Переважна більшість ресурсів в Інтернеті “пускають” користувачів до себе після вказівки правильних логіну та паролю. Вважається, що це надійний захист. Тоді яким чином зловмисники зламують електронну пошту, акаунти, сторінки в соціальних мережах та сайти?
Відбувається таке лихо з цілого ряду причин. І найголовніша з них – людський чинник. Простіше кажучи, людська дурість. Наприклад – як порівняно простим способом зламують електронну пошту.
Хакер (навіть з не дуже знаннями) створює на якомусь безкоштовному хостингу домен третього рівня. При завантаженні на нього сайту жодні паспортні та інші дані не потрібні. Це дозволяє хакеру анонімно поставити на сайті невелику програму. З її допомогою жертві відправляється на пошту HTML-повідомлення, наприклад такого вигляду: «Ваш пароль застарів. Потрібно терміново його замінити». І далі йде PHP-форма, де треба вказати колишній пароль та вставити новий. Довірливий користувач заповнює форму та натискає на кнопку «Надіслати».
Але куди йде відправлення? Правильно, через редирект із сайтика на пошту хакеру. Він отримує ваше повідомлення у відповідь, дивиться, який вказаний початковий пароль, заходить на ваш поштовий аккаунт і після введення логіну (а це – ваша електронна адреса) вписує ваш колишній пароль. Залишається тільки натиснути на “Увійти”, зайти та змінити пароль на будь-який інший. Все, вашу пошту забрали!
♠ Запам'ятайте : на всіх ресурсах не пропонується змінювати пароль шляхом заповнення форми безпосередньо на вашій пошті.
А тепер про те, які паролі не можна робити. Неприпустимі паролі, що складаються з імені (прізвища) та року народження; з номера телефону (у тому числі мобільного); з клички вашого песика або кішки; з імені та по батькові ваших батьків (рівно і з вашим ім'ям-по-батькові); із назви населеного пункту, де мешкаєте; з номера будинку, номера квартири та року народження… Суть тут у тому, що такі паролі досить легко дізнатися у спілкуванні або «обчислити». Як не дивно, але в Мережі зустрічаються і паролі у вигляді слова parol і цифр 12345. Тут вже без коментарів!
Складний пароль запам'ятати важко. Тому користувачі підсвідомо прагнуть до простих для запам'ятовування паролів. Це може бути не тільки номер особистої автомашини, але й будь-що інше. Навіть навіть клавіатура комп'ютера. Я це говорю серйозно. Багато разів бачив, як колеги набирали пароль, послідовно натискаючи на клавіші в одному ряду. Скажімо, пароль був такий: asdfg плюс рік народження. На перший погляд – досить важко для зору, але легко запам'ятовується збоку, якщо уважно дивитися на клавіатуру. Чи не вірите? Тоді подивіться на порядок цих “кнопочок”. Тут і хакером не треба бути, щоб зламати колезі пошту, обліковий запис у соціальних мережах чи ще щось. Найцікавіше: на більшості ресурсів під час реєстрації пароль такого виду оцінюється чомусь як середній за складністю. Можливо, для машини він і справді такий за складністю, але не для людини, яка сидить збоку від колеги і бачить, у якій послідовності натиснуто клавіші і куди вона зайшла.
Звісно, є різні алгоритми для криптування паролів. Але є спеціальні програми для їхнього злому. В основному вони ґрунтуються на переборі варіантів. Але чи потрібні такі програми, якщо випадково побачивши через спину «систему» набору пароля, зловмисник із ним же зайде на інші ресурси жертви, де потрібна авторизація? Особливість такого «повального» злому буде в тому, що користувач, якось придумавши складний пароль, надійно запам'ятав його та використовує на інших ресурсах. Тут також без коментарів.
Не сподівайтеся, що про вашу безпеку подбає ресурс, на який заходите. Досить звичайна практика: з метою зниження навантаження на сервер, для створення хешей застосовуються прості алгоритми, які дозволяють надійно шифруватися від злому спеціальними програмами. Якщо пароль має шаблонний вигляд за кількістю знаків, використання символів, їх порядку (лише великі або лише великі літери без включення цифр) і так далі, то перебором варіантів підібрати такий пароль може навіть людина, далека від хакерства. Усіх і справ – завантажити із Мережі потрібну програму та запустити її.
Гарантовано захиститись від злому пароля неможливо. Обіцянки забезпечити 100% захисту – міф. Але знизити ризик злому – це можливо. Пароль має бути довжиною в 10-12 символів. У ньому обов'язково поряд із літерами мають бути цифри. І не лише наприкінці, а й у будь-якому іншому місці. Крім того, слід чергувати регістр під час написання пароля. І найголовніше: пароль має бути унікальним. Не використовуйте онлайн-генератори паролів. Захід на сайт з таким ресурсом зазвичай закінчується тим, що ви отримуєте не тільки пароль, але й потай від вас на комп'ютер встановлюється міні-програма з числа шпигунських, яка передасть потім ваші паролі будь-куди.
Сучасне життя в Інтернеті засноване на логіні та паролі. Забудьте про те, що багато ресурсів пропонують вам запам'ятати пароль. На домашньому комп'ютері можна скористатися цією послугою. Та й то у випадку, якщо це ваш власний комп'ютер і ніхто з домочадців ним точно не користується. На робочому комп'ютері така ведмежа послуга загрожує дуже великими неприємностями.