В наше время тяжело представить свой день без соцсетей или мессенджеров. Но соцсети – сущность личная и личностная. В них хранятся частные переписки, персональные данные и прочее, которые требуют повышенной безопасности. Сегодня поговорим о том, как обезопасить свой уголок, который нередко является лакомым кусочком для конкретных людей или мошенников.
Перед началом отметим, что безопасностью должен заниматься сам пользователь. Если вашу страницу взломали, то виноваты в этом в основном вы сами. Современные социальные сети обладают целым спектром протоколов безопасности: начиная с обычного шифрования и заканчивая проверкой подлинности сеанса и мониторингом активности.
На какой сервис не зайди, везде увидим два поля при входе – логин и пароль. Логин не обязан быть чем-то особенным, хотя даже их иногда каверкают, чтобы злоумышленник не угадал не то что пароль, но и в какую учетную запись он входит.
Ломай меня полностью
Пароли же являются первой линией обороны вашей страницы и чтобы понять, каким он должен быть, нужно понять, как его можно взломать. Допустим злоумышленник знает, что на такую-то почту зарегистрирована запись в нашей воображаемой соцсети W и тогда ему останется лишь подобрать пароль.
Метод 1: Перебор
Перебор – это самый простой метод подбора пароля, его еще называют брутфорс (от англ. bruteforce – грубая сила). В таком случае перебираются все возможные комбинации букв, цифр и символов по возрастанию длины. Несмотря на свою простоту этот метод крайне неэффективен.
Дело в том, что на сложность пароля влияют два ключевых фактора: его длина и разнообразие символов. Ниже приведена сводная таблица, показывающая зависимость времени от этих параметров. Учтите, что таблица сводная и на время очень сильно влияет скорость перебора, которая зависит от мощности ПК и способов перебора.
Мерой противодействия этой атаке служат две вещи: одна зависит от вас, другая нет. Та, что не зависит – это ограничения для паролей, заданные сервисом. При регистрации сайт скажет вам, что ваш пароль слишком мал или в нем нет циферки, буковки, спецсимвола и так далее.
А вот что зависит от вас, так это сложность пароля. Общепринятой рекомендацией к паролю является длина не менее 12 символов и наличие этих самых циферки, буковки (в обоих регистрах) и спецсимвола, как минимум по одному каждого. Зачем? Заглянем в таблицу.
Сопоставляем строку на 12 символов, а затем двигаемся вправо:
«Только числа», что по сути является восьмизначным PIN-кодом, взламывается почти сразу. Но вот как только пароль вбирает в себя буквы, на это уже потребуется 2 дня безостановочного перебора. По мере продвижения вправо добавляется все больше символов и в конце концов мы получаем 3 тысячи лет перебора, чего явно никто делать не будет.
Дополнительной мерой защиты от перебора может являться ограничение на количество попыток входа. Если после скажем трех попыток сайт скажет «подождите минуту и попробуйте снова» это резко замедлит продвижение злоумышленника даже при 6 символах, ведь количество возможных комбинаций все равно велико.
Конечно, это раздражает, когда ты подзабыл свой собственный пароль и тычешься по полчаса в окошко входа, но ради безопасности можно и запомнить свой пароль надежнее.
Метод 2: Подбор по словарю
Многие из вас наверняка знают об этих шутках про пароль вроде admin, password, qwerty, 1234 и так далее. Но ведь в каждой шутке есть доля правды. Такие пароли не то что небезопасны, они прямо говорят о вашей безответственности и о том, что вы не читали наш канал, где мы уже говорили о топ-10 самых распространенных паролей.
В открытых источниках (а на Kali Linux в уже предустановленной библиотеке) можно найти тысячи самых распространенных паролей. Возможно, вы удивитесь, но такие пароли крайне часто встречаются, особенно на тех сайтах, на которых пользователь зарегистрировался «на разок». Перебор этих паролей весьма частая практика и нередко заканчивается успехом.
Чтобы такого не происходило, достаточно придумывать пароль с нуля, не поддаваясь шаблонам, которые вырисовываются на клавиатуре, и не брать первое, что пришло на ум.
Метод 3: Социальная инженерия
Представим ситуацию. Вам позвонил мошенник (но вы об этом конечно же не в курсе) и он, в рамках социального опроса, задал вам ряд вопросов, таких как дата рождения, пол, место рождения, любимый фильм, жанр музыки и так далее. Собрав эту информацию, он вежливо с вами попрощался, а на следующий день вы узнаете, что вашу страницу взломали. Как это связано? Очень просто – вы поддались социальной инженерии.
Этот метод заключается в сборе как можно большего спектра данных о пользователе, начиная с «общедоступных» (в кавычки взято не просто так, но об этом в следующих статьях), таких как имя, возраст или адрес электронной почты и заканчивая личными, например предпочтения в определенной сфере, имя вашей первой собаки и вообще ваш характер.
На основе этого злоумышленник и может вычислить пароль, подобрав его различными комбинациями слов и фраз на основе собранной информации. Например, часто в пароле присутствует имя целиком или частично, дата рождения (особенно год), какая-то личная информация (о родных например).
Для борьбы с таким недугом следует избегать использования этой самой «личной» информации при создании пароля. Не вставлять дату рождения, имя, фамилию, свой никнейм из игры в пароль. Само собой он так лучше запомнится, но и безопасности в нем будет несколько меньше.
Пароль твоей мечты
Так каким же должен быть идеальный пароль? Лучший пароль – случайно сгенерированный. В интернете существует множество различных генераторов паролей, однако и с ними нужно быть осторожнее. Настоящий сайт-генератор не попросит никакого логина и не спросит для какого сервиса вы его генерируете. В идеальном случае вы получите мешанину из всевозможных символов и оптимальной длины, такой что можно записать на бумажку или себе в заметки.
Если же хочется что-то запоминающееся, то следует пользоваться следующими правилами:
- длина пароля 10-12 символов
- буквы верхнего и нижнего регистров, цифры и спецсимволы
- избегать распространенных паролей и комбинаций символов
- не использовать в пароле личную информацию
- запомнить его себе куда-нибудь, а то вдруг забудется ;)