В базе данных с паролями, хранящейся на обычном компьютере, смартфоне или в «облаке», информация представлена не как «УМэриБылБарашек123$», а в хешированном виде, т. е. как зашифрованная последовательность цифр и букв. Эта последовательность и представляет ваш пароль.
Таким образом, именно хеши паролей, а не они сами, хранятся в защищенной области памяти компьютера и именно их получают хакеры в результате взлома целевых систем или утечки данных. Получив хеши паролей, хакер может использовать программы наподобие John the Ripper и oclHashcat для их расшифровки либо методом перебора (проверки каждой возможной комбинации букв и цифр), либо пробуя каждое из слов списка, например словаря. Настройки в программах John the Ripper и oclHashcat позволяют хакерам при подборе паролей преобразовывать слова по различным шаблонам, например по шаблону, который называется leetspeak (или просто leet) и представляет собой систему замены латинских букв цифрами, как в «k3v1n m17n1ck». Благодаря этому шаблону все пароли можно заменить на различные модификации на языке leetspeak. Эти методы позволяют с гораздо большей эффективностью взламывать пароли, чем при простом методе перебора (или брутфорсе, «метод грубой силы», как его еще называют). Самые простые и распространенные пароли без труда взламываются в первую очередь, а на взлом более сложных паролей требуется больше времени. Объем этого времени зависит от ряда факторов. С помощью инструмента для взлома паролей и ваших скомпрометированных данных (логин и хеш пароля) злоумышленники получат доступ к одному или нескольким вашим аккаунтам, применив этот же пароль к другим сервисам, подключенным к вашей электронной почте или иному идентификатору.
В целом, чем больше в пароле символов, тем больше времени потребуется таким программам, как John the Ripper, чтобы испробовать все возможные варианты. Однако чем мощнее становятся процессоры, тем меньше времени требуется на вычисление всех возможных паролей, состоящих из шести и даже из восьми символов. Именно поэтому я рекомендую использовать пароли не короче 25 символов.
После того как вы придумали надежный пароль, даже несколько надежных паролей, никогда никому их не сообщайте. Кажется, что это совершенно очевидно, но несколько опросов общественного мнения в Лондоне и других крупных городах показали, что люди готовы раскрыть свои пароли в обмен на нечто совершено незначительное, например, на ручку или шоколадку.
Мой друг как-то поделилися паролем к сервису Netflix со своей девушкой. Казалось, что это логичный поступок. Смысл был в том, чтобы она выбрала фильм для совместного просмотра. Но ловушка скрывалась в разделе с рекомендациями Netflix они составляются на основе ранее просмотренных фильмов, часть из которых мой друг смотрел вместе с предыдущими девушками. Например, очевидно, что комедию «Джинсы-талисман» он не стал бы заказывать для себя самого, и его девушка это понимала.
Конечно, у всех есть бывшие. Если ваш партнер утверждает, что у него (или нее) раньше никого не было, это, скорее, странно. Но ни одна девушка не пожелает столкнуться лицом к лицу с напоминанием о своих предшественницах.
Если доступ к вашим онлайн-аккаунтам защищен паролем, необходимо также устанавливать пароль и на персональные устройства. У большинства из нас есть ноутбуки, а у многих до сих пор есть настольные компьютеры. Возможно, вы целый день проводите дома в одиночестве. Но что, если вы пригласите на ужин гостей? Вдруг кто-нибудь из них откроет ваши файлы, фотографии или игры, просто сев за ваш стол и передвинув мышку? Еще одна поучительная история, связанная с Netflix: когда-то давно, когда этот сервис занимался рассылкой DVD, я был знаком с парой, которая стала жертвой розыгрыша. Они устроили дома вечеринку и не закрыли на компьютере вкладку с личным кабинетом на сайте Netflix в браузере. Впоследствии эта пара оказалась подписана на порнографические фильмы всех сортов (они обнаружили это, только когда получили по почте второй или третий DVD).
Еще важнее защищать себя паролями в офисе. Только подумайте о том, сколько раз вам приходилось покидать свое рабочее место ради спонтанного совещания. Кто угодно мог, проходя мимо вашего стола, увидеть таблицу с бюджетом на следующий квартал. Или все электронные письма в вашем ящике. Хуже того, если вы отойдете от рабочего стола надолго (например, на обед или длительное собрание) и у вас не установлена экранная заставка, включающаяся через пару секунд отсутствия активности, кто-то может сесть, написать электронное письмо и отправить его от вашего имени. Или даже изменить проект бюджета на следующий квартал.
Существуют новые хитроумные способы избежать подобного поворота событий, например программа блокировки экрана, которая определяет, насколько вы далеко от компьютера, с помощью технологии Bluetooth. Иными словами, если вы вышли в туалет и ваш смартфон оказался вне радиуса действия Bluetooth, экран тут же заблокируется. Также существуют программы, ориентирующиеся на Bluetooth-сигналы таких устройств, как умные часы или браслеты.
Создание паролей для защиты учетных записей в Интернете это одно, но это не поможет вам, если кто-то физически завладеет устройством, особенно если вы не вышли из этих учетных записей. Если бы можно было установить пароль только на какой-то один тип устройств, то остановить выбор необходимо было бы на мобильных устройствах, поскольку они наиболее подвержены утрате или хищению. И все же, согласно данным издания Consumer Reports, 34 процента американцев совсем не защищают мобильные устройства, даже простейшим 4-символьным пин-кодом.
В 2014 году в полицийском участке города Мартинес, штат Калифорния, произошел следующий инцидент. Оказалось, что сотрудник полиции украл интимные фотографии со смартфона женщины, задержанной за вождение в нетрезвом виде, что представляет собой явное нарушение четвертой поправки к конституции США, входящей в состав Билля о правах. В частности, четвертая поправка запрещает производить необоснованные обыски и изъятие имущества без выданного судьей ордера и без веского довода сотрудники правоохранительных органов должны объяснить, зачем им необходимо проверить содержимое телефона.
Если вы до сих пор не установили пароль на смартфон, сделайте это сейчас, потратьте минуту своего времени. Я серьезно.
Существует три основных типа блокировки экрана смартфона будь то устройство под управлением Android, iOS или какой-либо другой операционной системы. Самый распространенный это код доступа, последовательность цифр, которые необходимо ввести в определенном порядке, чтобы разблокировать смартфон. Не назначайте код, состоящий из рекомендованного по умолчанию количества цифр. Перейдите в раздел настроек и вручную установите длину пароля в 7 цифр или более (указав, например, ваш старый номер телефона). Во всяком случае, длина пароля должна быть точно больше 4 цифр.
На некоторые мобильные устройства можно устанавливать пароль, содержащий буквы, как, например, тот, о котором мы говорили выше. Опять же предпочтительная длина составляет 7 символов. Современные мобильные устройства отображают одновременно как буквенные, так и цифровые символы, благодаря чему стало гораздо проще чередовать буквы с цифрами.
Третий вариант блокировки графический ключ. Начиная с 2008 года, на смартфонах под управлением операционной системы Android присутствует функция под названием Android Lock Patterns (ALP). На экране отображаются девять точек, вы соединяете их в любом порядке, и эта последовательность соединения становится вашим паролем. Возможно, вы думаете, что это гениальное изобретение и что обширный диапазон возможных комбинаций делает ваш ключ неуязвимым. Но человеческую натуру не изменить, и на конференции PasswordsCon в 2015 году ученые заявили, что хотя существует более 140 704 вариаций графических ключей, участники исследования предпочитали использовать всего несколько из них. Какие же графические ключи оказались самыми распространенными? Часто это первая буква имени человека. Исследование также показало, что люди предпочитают задействовать центральные точки и редко включают в комбинацию угловые точки. Примите это во внимание, когда будете придумывать себе следующий графический ключ.
Помимо прочего, существует биометрическая защита. Компании Apple, Samsung и другие популярные производители в настоящее время позволяют пользователям для разблокировки телефонов использовать сканер отпечатков пальцев. Следует знать, что они не обеспечивают стопроцентной защиты. После появления технологии TouchID исследователи по крайней мере, те, которые ожидали, что компания Apple усовершенствует существовавшие и прежде сканеры отпечатков пальцев с удивлением обнаружили, что несколько старых способов обхода блокировки срабатывают и на iPhone. Например, можно снять отпечаток пальца с чистой поверхности, используя детскую присыпку и липкую ленту.
Некоторые модели смартфонов оснащены функцией распознавания лица владельца. Их также можно обмануть, поднеся к камере фотографию с высоким разрешением.
В целом биометрические данные как таковые уязвимы для хакеров. В идеале биометрия должна быть лишь одним из нескольких этапов идентификации владельца. Оставьте слегка смазанный отмечаток пальца или улыбнитесь в камеру, а затем введите PIN-код или пароль. Так ваше мобильное устройство будет в безопасности.
Что, если вы придумали надежный пароль, но не записали его? Восстановление пароля это отличный вариант, когда вы никак не можете войти в редко используемую учетную запись. Но это также и легкая мишень для потенциальных взломщиков. С помощью подсказок, которыми изобилуют наши профили в социальных сетях, хакеры могут получить доступ к нашим электронным ящикам или другим сервисам, просто сбросив старый пароль.
В СМИ рассказывали о мошеннике, который узнал четыре последние цифры номера банковской карты своей жертвы, а затем использовал эту информацию как средство подтверждения личности во время телефонного разговора со службой поддержки. В поддержку он звонил, чтобы сменить электронный адрес, привязанный к учетной записи в одном из сервисов. Так злоумышленник может сменить пароль на свой собственный, а владелец аккаунта даже не будет об этом знать.
В 2008 году студент университета Теннесси Дэвид Кернелл решил посмотреть, получится ли у него взломать на сайте Yahoo! личный электронный ящик Сары Пэйлин, кандидата на пост вице-президента. Кернелл мог бы попробовать подобрать пароль, но доступ к ящику был бы заблокирован после нескольких неудачных попыток. Вместо этого он воспользовался функцией сброса пароля позже он описал этот процесс как «простой».
Я уверен, что такое случалось с каждым из нас: сначала вы получаете странное письмо от друга и знакомого со ссылкой на иностранный порносайт, а потом выясняется, что его электронный ящик был взломан. Часто это происходит из-за слабого пароля. Или же кто-то просто узнал пароль в результате утечки или использования функции сброса пароля.
В момент создания аккаунта любого, например, почтового или на сайте банка вам могут задать так называемые секретные вопросы. Обычно их три штуки. Часто сервис предлагает раскрывающийся список с вариантами вопросов, и вы можете выбрать, на какие из них отвечать. Как правило, эти вопросы довольно очевидны.
Где вы родились? В какой школе вы учились? Или институте? И вечный фаворит девичья фамилия матери, вопрос, который используется в качестве секретного, наверное, минимум с 1882 года. Как вы узнаете чуть позже, компании могут (и с удовольствием это делают) сканировать Интернет в поисках персональных даных, с помощью которых можно без труда ответить на любой распространенный секретный вопрос. Всего пара минут в Интернете и у вас есть ответы на практически любой секретный вопрос конкретного человека.
Только недавно эти секретные вопросы стали понемногу обновляться. Например, вопрос «В каком городе родился ваш шурин?» довольно редкий (хотя правильно отвечая на такие «хорошие» вопросы, вы также рискуете, о чем я расскажу чуть ниже). Но множество так называемых секретных вопросов по-прежнему очень просты, например: «Кличка вашего домашнего животного?»
В целом, устанавливая секретные вопросы, постарайтесь избегать наиболее очевидных вариантов из раскрывающегося списка. Даже если сайт предлагает только распространенные вопросы, обратитесь к своему воображению. Кто сказал, что ответы обязательно должны быть честными? Проявите смекалку. Например, только для потокового видеосервиса вашим любимым цветом может стать «тутти-фрутти». Кто узнает? Это же цвет, верно? Информация, которую вы указываете в качестве ответа, становится «правильным» ответом на секретный вопрос.
Когда вы придумываете ответы, обязательно записывайте и сам вопрос, и ответ на него и храните эту подсказку в надежном месте (или просто пользуйтесь менеджером паролей). Может так случиться, что когда-нибудь, обратившись в службу технической поддержки, вам нужно будет ответить на один из своих секретных вопросов. Носите с собой в кошельке карточку или блокнотик, который поможет вам вспомнить, что на вопрос: «Где вы родились?», вы ответили: «В роддоме» (или запомните и постоянно используйте один и тот же набор ответов). Эта простая хитрость собьет с толку того, кто собирал о вас информацию в Интернете и попытался дать более правдоподобный ответ, например: «Кировск, Мурманская область».
Отвечая правильно на редкие секретные вопросы, вы еще больше рискуете: вы выдаете личную информацию сверх той, что уже доступна. Например, сайт, на котором вы честно ответили на вопрос: «В каком городе родился ваш шурин?», теперь может продать этот ответ, и вполне возможно, вместе с другими данными. Или же с помощью этого ответа кто-то сможет восполнить пробелы в собранных сведениях. Например, по ответу на этот вопрос можно узнать, что вы женаты (или были женаты), что у вашей жены (или бывшей жены) есть брат, родившийся в указанном городе. Для одного простого ответа это очень много дополнительной персональной информации. С другой стороны, если у вас нет шурина, вперед отвечайте с фантазией, например: «Пуэрто-Рико». Это собьет с толку любого, кто собирает на вас досье. Чем больше ложных данных вы предоставите, тем лучше защитите свою конфиденциальность в Интернете.
Отвечая на менее распространенные секретные вопросы, всегда взвешивайте, насколько тот или иной сайт ценен для вас (например, можно доверить дополнительные персональные сведения своему банку, но никак не потоковому видеосервису). Также обращайте внимание на политику конфиденциальности (ищите формулировки, которые прямо свидетельствуют или косвенно намекают на то, что сайт может продавать собранные данные третьим лицам).
Для сброса пароля электронной почты Сары Пэйлин потребовалась ее дата рождения, почтовый индекс и ответ на секретный вопрос: «Где вы познакомились с мужем?» Дату рождения и почтовый индекс Пэйлин без труда можно было найти в Интернете (в тот момент Пэйлин была губернатором штата Аляска). Чтобы ответить на секретный вопрос, пришлось приложить чуть больше усилий, но Кернелл сумел найти нужную информацию. Пэйлин давала множество интервью и из раза в раз повторяла, что в своего мужа она влюблена еще со старших классов школы. Таким образом, ответ на секретный вопрос: «Старшие классы школы».
Отгадав ответ на секретный вопрос Пэйлин, Кернелл смог сбросить пароль от ее ящика Yahoo! и сменить его на новый. Так ему удалось прочитать всю личную переписку политика. Снимок экрана с ее папкой «Входящие» был выложен на хакерском ресурсе. Сама же Пэйлин не могла войти в свою почту, пока не сбросила пароль.
Поступок Кернелла был противозаконным, он нарушил закон «О компьютерном мошенничестве и злоупотреблении с использованием компьютеров». Его признали виновным по двум пунктам обвинения: препятствование правосудию путем уничтожения улик и незаконный доступ в компьютерную систему. В 2010 году его приговорили к тюремному заключению сроком один год и один день плюс три года профилактического наблюдения после освобождения.
Если вашу почту взломали так же, как почту Пэйлин, в первую очередь необходимо сменить пароль, сбросив его (вы, наверное, уже догадались сами). Пусть новый пароль будет надежнее, как мы только что говорили. Далее проверьте папку с отправленными от вашего имени письмами. Возможно, вы найдете там письмо со спамом со множеством адресатов из вашего списка контактов. (Теперь-то вы понимаете, почему все эти годы ваши друзья шлют вам спам кто-то взламывает их электронную почту.)