CyberMoon - Некоммерческое децентрализованное издание, простым языком повествующее о сложном мире организованной киберпреступности, цель которого - осведомление и противодействие.
Дисклеймер: Автор лишь рассказывает о мошеннических схемах, но НЕ предоставляет подобных услуг, НЕ рекламирует и даже НЕ называет в блоге названий "инструментов" и НЕ несёт никакой бы то ни было ответственности за использование нижеприведённой информации в незаконных целях.
Сегодня поговорим о том, как придумать сложный и, соответственно, устойчивый к взлому (подбору) пароль.
Пароль - последовательность знаков - букв верхнего и нижнего регистра, цифр, специальных символов которая используется для входа в аккаунт и с целью его защиты от несанкционированного проникновения. Пароли чаще всего используются в связке с логином и, тем самым, служат ещё и идентификатором аккаунта - ведь ввод определённого логина и подходящего к нему пароля приводит к авторизации на конкретном аккаунте.
Какой длины должен быть пароль?
Если предположить, что злоумышленник смог получить логи вашего устройства (разнородную информацию, в том числе логины и пароли), например, с помощью стиллера, граббера, кейлогера, рат (вредоносного программного обеспечения), то какой бы длины не был пароль - он известен от начала и до самого последнего символа.
Однако, будем считать, что устройство в безопасности и мошенник заранее не знает никаких данных. Тогда, оптимальная длина пароля: 20-37 символов. Такое количество знаков с одной стороны позволяет сложно их комбинировать, с другой - не испытывать серьёзных трудностей при запоминании и вводе. Разумеется, чем больше длина пароля - тем он "крепче", но слишком длинные пароли не удобны, а длинный и не грамотно придуманный пароль не только не удобен, но и не крепок.
Какой тип комбинации в пароле самый устойчивый?
Рассмотрим этот тип комбинации и придумаем сложный пароль:
1) Используем в пароле как заглавные, так и строчные буквы, например, вместо: "mnuiytd" и "MNUIYTD" стоит использовать "mNuiYtd".
2) Используем в пароле цифры, разбавляя ими буквы, например, вместо: "123456mNuiYtd" или "mNuiYtd123456" стоит использовать "1m23Nui4Y5td6".
3) Используем в пароле специальные символы сразу двух раскладок (RU и EN), например, вместо: "1%m2*3Nu+i4Y&5=td$6", стоит использовать "1%m2*3Nu+i4Y?5=td;6". (Обратите внимание, что в первом варианте символы: % , , & , $ принадлежат EN-раскладе (* - и той, и другой), а во втором варианте, помимо символов исключительно EN-раскладки, есть символы исключительно RU-раскладки: ? , ; ), (* - и той, и другой).
Обязательные требования и дополнительные рекомендации.
1) Не использовать в пароле что-либо, что так или иначе имеет к вам прямое или косвенное отношение.
К примеру: если ваша фамилия - Иванов, не используйте в пароле буквы i, v, a, n, o, v в таком порядке, даже если они "разбавлены" иными буквами, цифрами, символами. Можно использовать: "oavvni" или "o0a5vv)ni", но нельзя "ivanov", "i0v5an)ov" и даже "ri0vc5aun)mov". Обратите внимание, что в последнем варианте ("ri0vc5aun)mov") буквы i, v, a, n, o, v , пусть и "разбавлены", но формируют недопустимую последовательность "ivanov". Наилучший вариант, если в пароле и вовсе не будут использованы эти буквы в полном составе. Прямое отношение также имеют имя, отчество, число, месяц, год рождения. Косвенное - увлечения, хобби, род деятельности, профессия, никнеймы, любимые числа, слова, имена родителей, детей, их даты рождения, название города проживания и рождения, год даты регистрации страницы.
Также не стоит использовать в пароле упоминание платформы и её производные, к которой он относится. К примеру, недопустимо использование "vk" и "vkontakte" при регистрации во ВКонтакте или "steam" и "steam4ik" при регистрации в Steam.
2) Добавьте в начало пароля символ ":" (двоеточие).
Если ваше устройство заражено и злоумышленник смог получить логи, то логины и пароли аккаунтов в них прописаны в формате login:password. Например, логин: uNjfkd , пароль: ieuO4dO^ . В логах это будет выглядеть как: uNjfkd:ieuO4dO^ . Если добавить в начало пароля символ ":" (двоеточие), то в логах это приобретёт следующий вид: uNjfkd::ieuO4dO^ . Подобное может ввести в заблуждение проверяющего логи мошенника: он попытается войти в аккаунт по паролю "ieuO4dO^", хотя верным является: ":ieuO4dO^", либо вовсе не будет этого делать. Вполне возможно, что попросту не заметит двоеточие в начале - чекеры (проверщики) логов работают сутками напролёт и очень устают. Не рекомендуется использовать двоеточие в пароле одновременно и в начале и в любой другой его части, в случае, если вы не преследуете цель "иного обмана". Это отменяет его "чудесную" функцию.
3) Добавьте в пароль "шифратор-обманку".
В случае, если вредоносное ПО получило пароль из сервиса с высокой защитой информации (специфического сайта, программы для хранения паролей), то в логах пароль приобретёт зашифрованный вид. Если же шифрования не предусмотрено, то злоумышленник увидит пароль в первозданном виде. Но мы можем попытаться обмануть мошенника, добавив в него знакомые им слова, которые обладают "смыслом шифрования", например: "hash" , "SHA-256", "SHA-512" , "SEED". Лучше разделять основную часть и "обманку" специальным символом, к примеру "_" (нижнее подчёркивание), а саму "обманку" добавлять перед основной частью. Таким образом, если наш пароль: "1%m2*3Nu+i4Y?5=td;6", стоит сделать его таким: "hash_1%m2*3Nu+i4Y?5=td;6" или "SHA-256_1%m2*3Nu+i4Y?5=td;6" или "SHA-512_1%m2*3Nu+i4Y?5=td;6". Если знающий человек увидит подобное в логах, он подумает, что пароль зашифрован, а попытавшись его расшифровать указанным алгоритмом (SHA-512 / SHA-256), получит новую комбинацию, которая уже не будет являться нашим паролем.
4) Экспериментируйте с доступными символами.
Пользователи привыкли, что в качестве пароля можно использовать последовательность лишь из латинских (английских) букв и некоторых специальных символов. В последнее время многие платформы дают возможность использовать помимо латиницы ещё и кириллицу, например: "NqИtfЦj" вместо "NqXtfXj". Комбинация латиницы и кириллицы позволяет усилить пароль, особенно, если в качестве кириллицы брать те буквы, что и на латинице пишутся также: Р (эр, русская), P (Пи, английская), Х (Ха, русская), и X (Икс, английская) и по аналогии. Это поможет, если злоумышленник будет вводить ваш пароль вручную, а не копируя - подобное имеет высокую вероятность, так как антифрод-системы (анти-мошеннические) "не любят" копирование, что заставляет злоумышленника относиться к процессу входа бережнее. То же самое касается и специальных символов - одни сайты предоставляют возможность использовать узкий их спектр, другие - широкий, в том числе и те, что не доступны на базовой клавиатуре: ₽ , ¥ , ₩ , ©️, Ⓡ и другие.
Сложный пароль, в котором соблюдены все вышеописанные правила и применены рекомендации, выглядит так:
" :SHA-512_1%Äm2с*3NЦæu+i4МY?5=td;6 "
Попытайтесь запомнить его с помощью мнемоники или запишите на нецифровом носителе - бумажном блокноте. Имеет место хранение пароля прямо на устройстве, но НЕ в виде скриншота, текста в заметках или текстовом файле (.txt) - а с помощью стеганографии. На эту тему мы собираемся написать отдельную статью.
Получив доступ к личному или рабочему аккаунту злоумышленник может использовать его в корыстных целях. Защита аккаунта имеет важное значение, а потому необходимо грамотно и ответственно подходить к любому вопросу, повышающему её устойчивость.
Судебная практика доказывает, что взлом аккаунта в социальной сети или электронной почты является уголовным преступлением. Согласно статье 272 Уголовного кодекса Российской Федерации, за взлом может быть назначено наказание в виде штрафа или лишения свободы на срок до двух лет. Примеры из практики показывают, что последствия взлома аккаунта в сети могут быть катастрофическими.
Рекомендуем прочитать ещё одну нашу статью "Как взламывают ваш ВКонтакте?" -> https://dzen.ru/a/Zc-Zzob-BH3T62Pm
Ждём ваших комментариев. Предлагайте новые темы для рассмотрения. Ответим на возникшие вопросы по мере возможности.