"Назовите явки, пароли!"
Почему нельзя использовать в качестве паролей "12345" и qwerty
Июнь и июль этого года стали в некотором роде выдающимися: группами хакеров, которые по своему обыкновению "пожелали остаться неизвестными", были взломаны сразу несколько крупных сайтов.
В результате взлома в руках злоумышленников оказались пароли нескольких миллионов человек.
Жертвами взломщиков стали пользователи, зарегистрированные на популярном музыкальном сервисе Last.fm, люди, использующие различные сервисы Yahoo! (в том числе и почту), участники социальной сети LinkedIn, предназначенной для поиска работы или сотрудничества.
Во всех случаях пользователи были лишены возможности защитить свои страницы и почтовые ящики от "утечки" - взломщики не подбирали и не воровали пароли, а взламывали саму базу данных. Кроме того, хакеры публиковали полученную информацию в общедоступных местах, то есть любой желающий мог воспользоваться чужим паролем, чтобы войти в систему и напакостить. Например, стереть или поменять личные данные, организовать спам-рассылку и так далее.
При этом, как выяснили некоторые издания, уровень компьютерной грамотности людей чрезвычайно низок - несмотря на то, что Интернет как массовое явление существует уже лет пятнадцать. Дело в том, что подавляющее большинство пользователей выбирает для защиты своих страничек очень простые пароли - например, "1111", "12345" или qwerty. Американцы (и жители других англоязычных стран) очень любят в качестве пароля использовать слово password ("пароль").
Будьте сложнее
Большинство из вас наверняка пользуются не только электронной почтой, но и другими сайтами в Интернете, где нужна регистрация с паролем. Например, социальными сетями "ВКонтакте" и "Одноклассники", форумами, "конструкторами сайтов" и так далее. Поэтому самый первый и самый главный совет, который специалисты дают всем без исключения интернетчикам - на разных сайтах нужно использовать разные пароли.
Для чего это нужно? Допустим, в результате хакерской атаки (это не сюжет фантастического боевика, а суровая реальность) один из ваших паролей "утек" в Интернет и оказался в публичном доступе в числе прочих (это называется умным термином "скомпрометирован"). Первым делом, узнав ваш пароль, злоумышленники попытаются "применить" его на других популярных сайтах. И если вы используете один и тот же пароль везде, где только можно, то, получив ваши данные для входа в "Одноклассники", хакеры зайдут и на вашу страничку "ВКонтакте", и куда угодно.
После этого они могут при помощи специальных программ разослать спам или вирусы вашим друзьям, которые заразят свои компьютеры и тоже станут жертвами взломщиков. А вашу страницу или ящик электронной почты могут заблокировать за подобные действия, хотя сами вы не имеете к злодеянию никакого отношения. А восстановление (разблокировка) странички "ВКонтакте" или почтового ящика - довольно сложная процедура.
Программы в помощь
После того как вы заведете себе хотя бы три-четыре разных пароля для разных сайтов, перед вами встанет непростая задача - пароли нужно будет запомнить (записывать их на бумажки и наклеивать на монитор все же не стоит). Для человека с хорошей памятью это не проблема, а те, кто не обладает столь выдающимися качествами, могут прибегнуть к помощи специальных программ.
Например, так называемый менеджер паролей под названием KeePass Password Safe (www.keepass.ru) позволяет хранить все пароли в одной базе данных на домашнем компьютере, а для доступа к ним вам достаточно запомнить всего один "главный" пароль.
Для того чтобы заполнить формы для входа на тот или иной сайт, достаточно открыть окно KeePass и "перетащить" имя (логин) и пароль в соответствующие поля на открытой веб-странице. При этом вся секретная информация шифруется сложным кодом, так что даже если на ваш компьютер вдруг попадет вирус, который рыщет в поисках паролей по жесткому диску, волноваться совершенно не о чем.
Кроме того, те, кто использует менеджеры паролей, защищены от вредоносных программ, которые заражают компьютер и отслеживают нажатия клавиш - ведь, "перетаскивая" пароль из KeePass, вы не нажимаете кнопки на клавиатуре и не "светите" секретную информацию.
Ловля на живца
Есть, однако, способы выудить пароль даже у подкованных в плане компьютерной грамотности пользователей. Он называется "фишинг" и является весьма действенным, поскольку позволяет легко ввести человека в заблуждение.
Сам процесс кражи пароля выглядит примерно так: вам по электронной почте приходит письмо с сообщением о том, что ваш ящик (страница в "Одноклассниках" или "ВКонтакте") якобы заблокирован или будет заблокирован в самое ближайшее время. Далее указывается "веская" причина - например, рассылка вирусов или спама, истечение "срока действия" или что-то в этом роде. Чтобы избежать блокировки, достаточно "всего лишь" пройти по любезно предоставленной ссылке и ввести имя (электронный адрес) и пароль.
По ссылке же чаще всего находится фальшивый сайт, внешне очень-очень похожий на известный вам ресурс - сервис электронной почты, "ВКонтакте" или Facebook. Вот только адрес отличается - в строке браузера вместо mail.ru или vk.com указано что-то совершенно неизвестное. Далеко не все смотрят, какой адрес у сайта, на который они попали, и смело вводят логин и пароль на поддельной странице. После этого ваши данные уже не ваши - они отправились злоумышленникам.
Впрочем, паниковать не стоит - если вы вдруг поняли, что ошибочно ввели пароль где-то "не там", то вручную наберите настоящий адрес сайта, подделка которого вам попалась, зайдите в настройки и поменяйте пароль. Не забудьте записать его в KeePass. В распоряжении мошенников теперь находится старый пароль, который уже абсолютно бесполезен.
Советы бывалых
Как известно, нет лучшего лечения, чем профилактика. В качестве таковой специалисты рекомендуют использовать дополнительные меры защиты своих страничек и ящиков.
Во-первых, пароль должен содержать не только цифры, но и буквы, а кроме того, быть достаточно длинным - 9-10 знаков. Хакеры, которые "натравливают" на страницы в социальных сетях и ящики электронной почты специальные программы, спасуют перед сложным паролем.
Во-вторых, помните ответ на контрольный вопрос ("кличка вашего первого домашнего животного", "девичья фамилия матери" и так далее). Даже если злоумышленники зайдут на вашу страницу и поменяют пароль, у вас будет возможность, ответив на этот вопрос, взять власть в свои руки.
В-третьих, следите, чтобы резервный ящик электронной почты, на который в случае чего будет отправлен новый пароль, находился в рабочем состоянии и не был переполнен письмами. И, конечно же, пароль от него тоже помнить необходимо.
Кроме того, рекомендую посетить специальный ресурс под названием "Полезно знать" (www.google.ru/goodtoknow), открытый компанией Google. Там даются очень дельные советы относительно того, как правильно держать свои секреты вдали от мошенников и не попасться на различные уловки злоумышленников.
Словарик
Менеджер паролей - программа, которая хранит все пароли, которые вы в нее ввели, и сама "вводит" их на сайтах по вашему требованию.
Фишинг - метод кражи паролей злоумышленниками, когда вместо известного сайта пользователь вводит пароль на поддельной странице.
Вопрос - ответ
- В моем компьютере постоянно сбивается время. Кроме того, он "забывает" настройки BIOS, включает дисковод, который был выключен. В чем может быть дело?
- Не очень новые компьютеры имеют на материнской плате специальную "плоскую" батарейку, которая отвечает за ход часов и сохранение основных настроек ПК. Перечисленные симптомы могут говорить о том, что эта батарейка держится из последних сил, но осталось ей недолго. Ее надо заменить на новую - достаточно открыть корпус, вынуть ее из специального гнезда и вставить "свежую".
Комментарии
*************************************************************
Вот ради этого так замудрена статья. Вводите сюда пароли и менты будут спокойно спать. Если понадобится ваш пароль то все они в ихней базе в куче.
Вот с эл. подписями и многобитными ключами шифрования - сложнее.
Нет. Зависит от длины пароля. У меня как-то выделенный комп целое лето к WinRAR'у 21-знаковый пароль подбирал.
"сайты Лондона и Амстэрдама и в Калифорнию , им до меня нету дела и поверте" - теперь расскажите мне еще, что у Вас все размещено в защищенных платных датасторах, по договору с которыми в случае несанкционированного доступа Вы получаете страховую сумму, или еще что нибудь в этом роде.
"Гугловский сервер атаковало правительство КНР" - ссылку, будьте так любезны.
"Покрайней мере после введения несколько раз неверного пароля ГУГЛ блокирует почтовый ящик и затем идёт сложный процес разблокировки" - гмайл ломается не брутфорсом. Этот расклад давно обходится, равно как и раздражающие капчи.
"Кроме этого ГУГЛ информирует каждого о том кто с какого IP входил в ящик в какое время и с какого компа." - не рассказывайте мне за гугловские сервисы :) я ими пользуюсь давно и плотно, и на будущее запомните, любой автоматической системе определения IP - грамотный чел "скормит" именно тот адресок, какой ему НУЖНО, чтобы она отобразила.
В общем не рассказывайте мне восторженных майсов. :) Это чуть чуть не тот случай :) При всем моём уважении к гугловским сервисам.
Кстати, на Alkid Live DvD в разделе "шифрование" есть очень остроумная маленькая утилитка(сорри, не помню точно названия :() для вскрытия шифрованных архивов. RAR овские вскрываются на раз. Правда врать не буду, с паролем в 21 символ не пробовал. Но некритично думаю. Там явно не подбором реализовано
Только не пойте песен, Прохожий, за абсолютную нерушимость гугла и ему подобных :)
Ну потому что "выхлоп" от такого гешефта будет вряд ли соизмерим с трудозатратами.
А "небольшой группой" - это уже реальнее. Но - только при наличии заказа и гарантии оплаты.
Что кстати, надо сказать в+ гуглоидам - они исправно платят за найденные у них уязвимости.
http://www.interfax.ru/society/txt.asp?id=192729
целенаправленный взлом возможен, по заказу.
или из интереса.
3 миллиона почт... хакеру не нужны.
Повторюсь., сломать конкретную почту за деньги или без них это одно
большинство профессионалов по безопасности, бывшие хакеры, с великолепным математическим образованием, защитившие докторские кандидатские по безопасности
они зарабатывают столько, что ваш спам... это капля в море.
я знаю поскольку общался с подобным бывшим, защитившимся в академии ФСБ
**************************************
После того как вы заведете себе хотя бы три-четыре разных пароля для разных сайтов, перед вами встанет непростая задача - пароли нужно будет запомнить (записывать их на бумажки и наклеивать на монитор все же не стоит). Для человека с хорошей памятью это не проблема, а те, кто не обладает столь выдающимися качествами, могут прибегнуть к помощи специальных программ.
Например, так называемый менеджер паролей под названием KeePass Password Safe (www.keepass.ru) позволяет хранить все пароли в одной базе данных на домашнем компьютере, а для доступа к ним вам достаточно запомнить всего один "главный" пароль.
указанный мной человек давно бы уехал, только вот он не хочет.
он уже и на квартиру в москве заработал, и на все остальное.
официально.
рассылка спама для него ниже его достоинства.
ему интересно. и часто интерес движет взломом или дорогой заказ.
и большинство профессионалов именно такие.
естесственно я не имею ввиду псевдо профессионалов которые тащат експлойты с секьюрити лаба. и выставляют себя как хакеры
демонстрируете свое незнание.
:) человек защитивший работу в Академии ФСБ, не обязательно быть ФСБшником, это раз.
Второе., занимаясь безопасностью безразлично где т живешь) и изначально он нисколько не москвич))
а базы продают люди работающие в соотв. организациях.
хех, опять... вопли про понаехавших... смешно
для сведения специалист по безопасности в крупном банке, который занимается в том числе противодействием, получает от 350 тысяч рублей
ваши базы... это смешно
а занимаетесь болтологией))
Но так то - в принципе может и нормально можно поднять. Но - не думаю что сумма будет стоить потраченных усилий. ИМХО, опять же
Только это, скажем так, меня несколько раздражает активное содержимое :)
Конечно продвинутые пользователи скажут,что есть много других способов очистки,но мне так проще,и надежнее.Ну,а самое лучшее,так это не открывать разные непонятные сообщения,и не рыться в сомнительных сайтах..)) Всем удачи!
Комментарий удален модератором