British Airways - 380 000 украденных учетных записей пользователей, MyHeritage – 92 миллиона, Equifax –143 миллиона. Вот всего три примера недавних массовых нарушений безопасности хранения данных. Даже в совокупности они представляют собой небольшую часть миллиардов счетов, взломанных за последние несколько лет. Это важное напоминание о том, что независимо от того, насколько вы осторожны с вашими паролями, вы не всегда можете полагаться на компании, которые имеют базы с данными клиентов.
Однако можно сделать свой код доступа настолько трудным для взлома, что даже если вы станете жертвой «неосторожной» компании, ваш код доступа не будет мгновенно взломан.
Несмотря на появление новых биометрических методов (таких, как отпечатки пальцев, радужная оболочка или распознавание лиц), большинство из нас все еще склонны использовать обычные (символьные) пароли, чтобы пройти аутентификацию в Интернете. И если при создании собственных passwords используете похожие термины (девичьи фамилии, имена домашних питомцев, название футбольных клубов и т.д.), а не произвольно генерируете их – как только один пароль будет украден, остальные становятся более легкой добычей.
В этом обзоре мы рассмотрим методы, используемые хакерами, чтобы взломать код доступа пользователей и дадим советы, как можно защитить себя от них. Мы также объясним, как возможно узнать, был ли взломан какой-либо из ваших паролей или произошла ли утечка личной информации при серьезном нарушении конфиденциальности данных. Грустно, но шансы на это удивительно высоки.
Как похищаются коды
Большинство пользователей сталкивались с этим. Стремясь вспомнить один из паролей аккаунта, мы пытаемся ввести комбинацию наиболее «популярных» комбинаций символов, в надежде угадать. Затем на экране появляется не радостное сообщение о том, что превышено количество попыток входа, запись заблокирована на определенное время. Но если вас греет мысль, что у хакера (как и у вас) для взлома буде 3 или 5 попыток – вы глубоко ошибаетесь. Заблокированная запись может быть досадной проблемой для вас, но это не вопрос для хакеров.
Большинство кодов доступа взломали хакеры, работающие в «автономном режиме». Они уже «приобрели» базу данных учетных записей пользователей и будут использовать различные методы для взлома паролей учетных записей на этой локальной базе.
Единственный раз, когда они когда-либо попытаются войти в вашу учетную запись - это когда у них уже есть ваш password. Поэтому ограничения на попытки входа в систему, хотя и помогают предотвратить случайное обращение к вашим учетным записям, бесполезны, если база данных (в которой наличествует и ваша учетная запись) была украдена.
«Хэширование» кода
Хорошей новостью станет то, что даже имея доступ к базе данных аккаунта, хакеры не смогут увидеть фактические пароли как обычный текст. Любой авторитетный веб-сайт никогда не будет хранить ваш код доступа в открытом виде. Вместо этого используются алгоритмы для преобразования в уникальный блок данных фиксированной длины, известный как хэш.
Например, используя один очень популярный криптографический алгоритм - SHA256, который был разработан Агентством национальной безопасности США, - многократно используемый пароль «P@SSWOrd» генерирует хеш-память на 64 символа.
Конкретный пароль всегда будет создавать уникальный хеш. А веб-сайт может сравнить его с хешем кодом доступа, который вы вводите при входе в систему. Вы можете видеть, как это работает, создавая хэши SHA256 на сайте passwords-генератора.
Обратите внимание, что при изменении даже одного символа хеш полностью изменяется.
Защита с помощью солтинга
Хеширование позволяет веб-сайтам безопасно хранить ваши пароли, потому что их невозможно переконвертировать назад. Однако, хакеры могут использовать любое количество методов для расшифровки вашего кода доступа. Насколько легко это им удастся сделать - зависит от того, насколь сложным является ваш пароль и методы, используемые веб-сайтом для генерации своего хэша.
Чтобы хакеру было сложно использовать так называемые «rainbowtables» (базы данных просочившихся passwords) для разработки пароля из своего хэша, большинство веб-сайтов генерируют ряд случайных символов и добавляют их к вашему коду доступа перед созданием хэша - процесс, известный как «salting» (присаливание).
Например, используя солтинг «aE92 @3» (на самом деле большинство из них намного сложнее, чем этот), наш предыдущий пароль P@SSWOrd становится «aE92@3P@SSWOrd». Поскольку это генерирует совершенно другой хеш, маловероятно, что он будет существовать в rainbowtables, следовательно – будет намного сложнее взломать.
Чтобы повысить безопасность, веб-сайт будет использовать для каждого пользователя различный солтинг.
Как проверить, украдены ли коды
Когда ваши пароли (или любая другая личная информация) просочились в сеть, они обычно попадают в огромные базы данных «темной сети». Попытка найти информацию о том, стали ли вы жертвой, не только занимает много времени, но и рискованно, потому что данные обычно находятся на криминальных сайтах. К счастью, есть безопасные сайты, которые вы можете использовать вместо этого.
Ресурс «Have I Been Pwned? (HIBP)» был создан в 2013 году австралийским экспертом по безопасности Троем Хантом. Это база данных с более чем пятью сотнями миллионов взломанных (или «pwned») учетных записей электронной почты из многих хаков, которые произошли за эти годы.
Вы также можете выполнить поиск своей почты в базе данных взломанных аккаунтов с помощью средства Mozilla Firefox Monitor, запущенного недавно.
Hacked Emails (управляется американской фирмой по безопасности 4IQ) и BreachAlarm (принадлежит австралийской фирме Avalanche) являются двумя популярными альтернативами HIBP. Все три сайта содержат актуальную информацию об «утечке» данных, отслеживают криминальные сайты, где хакеры публикуют информацию о взломанных учетных записях. Данные затем компилируются в одну базу данных, доступную для поиска.
Сайты используют аналогичные методы для проверки того, является ли адрес электронной почты частью «украденных» данных. Введите email в поле на странице и нажмите Enter.
В то время как HIBP и BreachAlarm показывают мгновенные результаты, Hacked Emails отправляет ссылку на введенный адрес электронной почты, ограничивая просмотр выполненного сканирования паролей только адресами, к которым вы можете получить доступ.
Запуск поиска пароля
Помимо адресов электронной почты, HIBP позволяет проверить, уникален ли ваш код доступа. Нажмите меню «Password» сайта HIBP, затем введите свой пароль.
Мы конечно не сомневаемся, что HIBPу можно доверять, но поиск текущего пароля все же связан с риском. Хотя маловероятно, что хакеры смогут украсть его, если они атакуют ресурс и установят вредоносное ПО для кейлоггеров.
Поэтому мы рекомендуем все же не использовать текущий код доступа. Вместо этого попробуйте выполнить поиск старых кодов доступа или просто используйте его, чтобы узнать, насколько распространены определенные пароли. Например, «12345» использовался более 2 миллионов раз, а «P@ssw0rd» - почти 50 000 раз.
Если все же вы проверяете текущий password и обнаруживаете, что он «знаком» не только вам (чем проще пароль, тем больше он будет использоваться другими людьми) - немедленно измените его. Если код доступа был замечен онлайн даже один раз, он будет включен в базу «rainbowtables», что упростит взлом.
Что делать, если ваши данные просочились
- Если ваши данные могли быть похищены при взломе ресурса – уточните дату события. И если вы еще не изменили свой пароль на атакованном сайте, сделайте это немедленно. Хакеры знают, что люди часто добавляют дополнительный символ при смене кода доступа, поэтому убедитесь, что он совершенно другой (не меняйте, например, пароль «Vitjaz/su» на «Vitjaz/su1»). А если украденный пароль использовался на других сайтах - измените его и там.
- Если вы получили положительные ответы с рассмотренных сайтов, это не означает, что ваши личные данные на 100% никогда не воровались. О многих мелких нарушениях и взломах баз данных не сообщается, а некоторые небольшие компании или ресурсы просто не знают, что были атакованы.
- Лучший способ защитить себя - это использовать надежные коды доступа и, в идеале, password-менеджеры. Также подумайте о регистрации в службе мониторинга HIBP, которая отправит вам электронное сообщение, если ваши данные появятся в обновленной информации взломанных данных. Для этого нажмите «Уведомить меня», затем введите адрес электронной почты, который вы хотите контролировать.
Ваше мнение помогает сделать канал лучше - подписывайтесь, комментируйте, и обязательно ставьте оценку!!!