Соцсети
Den E
445

Как работает логин-пароль и в какой момент хакеры могут украсть эти данные?

Идея использовать пароль для входа в учетные записи впервые появилась у сотрудников Массачусетского технологического института. Через некоторое время эксперты научились использовать для хранения паролей хэширование — алгоритм, который хранит пару логин-пароль в зашифрованном виде.

В закладки

Хэширование

При вводе пароля и логина хэш проверяется сперва логин. Если введённый логин существует, то система берёт пароль, возможно, уже захэшированный, и сравнивает его с тем, который есть во внутренней базе данных пользователей. Далее многие сайты используют для передачи трафика и информации не пару логин-пароль, а их хэши.

Удивительно, но факт — хакеры при взломе пользовательских баз получают не списки паролей, а список хэшей. Однако, для их расшифровки понадобятся годы из-за того, что для хэширования используется вычисления, которые сложно обратить вспять. Этот способ кражи логина и пароля неэффективен, даже если есть алгоритм хэширования.

Подбор паролей

Поэтому хакеры предпочитают другой метод взлома — через подбор паролей. По данным одного из исследований, 90% онлайн-аккаунтов используют один из 10 тысяч паролей. При этом многие пользователи, забыв пароль, не пытаются его вспомнить, а сразу приступают к процедуре восстановления пароля.

Если вы используете аккаунт в социальных сетях или сервисах для авторизации на сторонних сайтах, то для входа в систему используется другой метод: сайт, куда производится залогинивание, ищет по “кукам” любую информацию, чаще всего — “логин-пароль”.

Поэтому обращайте внимание на то, какие сайты сохраняют “куки”: это слишком важная информация, чтобы предоставлять её посторонним.

Проверьте настройки браузера

Также у паролей есть ещё одна уязвимость — при взломе сайта, связанного с другими веб-сервисами или приложениями, злоумышленники получают доступ к информации на сторонних сайтах. Но этот метод кражи логинов и паролей — через взлом более уязвимых ресурсов — применяется чуть чаще.

Получение пароля с помощью фишинга

Зачем тратить силы для получения логина-пароля, если пользователи по собственной невнимательности сделают это для вас? Чаще всего кража логина и пароля производится с помощью фишинговых сайтов. Эти веб-страницы маскируются по известные ресурсы, обманывая пользователей, которые вводят свои настоящие логин-пароли. После этого сайт, созданный для кражи паролей, передаёт своим разработчикам полученную информацию и она уже используется на усмотрение злоумышленников.

Например, несколько лет назад существовало несколько ресурсов, выдающих себя за сайт социальной сети “Вконтакте”. Иногда эти ресурсы обещали расширенные функции: просмотр гостей, расширенные настройки и функции. Но все они преследовали одну цель — кражу пароля от “ВКонтакте”.

Обратите внимание на точность названия сайта и защищенность соединения

Кража паролей через электронную почту

Несмотря на то, что фейк-сайты для кражи паролей являются самым распространённым способом фишинга, есть и другие угрозы для безопасности пользователя. Одним из популярных методов является рассылка по электронной почте писем от лица якобы банка или известной компании. Вы скорее всего видели эти письма, или их “родственников”, где тема письма начинается с обращения по имени от лица представителя крупной компании.

Раньше такие письма заражали компьютеры и осуществлять кражу логинов и паролей сразу после открытия. Сегодня, с развитием киберзащиты пользователей не только со стороны антивирусных компаний, но и со стороны IT-корпораций-поставщиков услуг, этот механизм уже не действует. Поэтому кибермошенники придумывают другие способы обмана.

Например, включают в письма ссылки для кражи пароля. Эта ссылка сопровождается текстом о том, что конфиденциальность под угрозой или о том, что пользователь выиграл большой приз. Перейдя по “линку” или скачав файл, пользователь уже подвергает угрозе свои личные данные — фишинг может начаться в любой момент.

Кража пароля с помощью кейлоггеров

Кроме этого, некоторые ссылки содержать программы для кражи паролей — кейлоггеры. Они умеют устанавливаться в обход панели уведомления и тайно функционировать на устройстве, собирая информацию о том, какие данные вводил пользователь с помощью клавиатуры.

Существуют и трояны для кражи паролей. К сожалению, с ними можно столкнуться в любой момент, просто неосторожно скачав подозрительный файл на устройство, которое не защищено антивирусом.

Поэтому, отвечая на вопрос “в какой момент хакеры могут украсть данные логина-пароля”, можно сказать, что в любой отрезок времени. Всё зависит от пользователя: насколько он осмотрителен и использует ли антивирусные решения.

Эксперты компании-разработчика антивирусных решений Bitdefender рекомендуют не пренебрегать установкой и обновлением программ-защитников.

А вы сталкивались с кражей паролей? Как это произошло?

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Den E", "author_type": "self", "tags": [], "comments": 18, "likes": 0, "favorites": 10, "is_advertisement": false, "subsite_label": "social", "id": 74606, "is_wide": false, "is_ugc": true, "date": "Tue, 09 Jul 2019 12:58:51 +0300", "is_special": false }
0
{ "id": 74606, "author_id": 246319, "diff_limit": 1000, "urls": {"diff":"\/comments\/74606\/get","add":"\/comments\/74606\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/74606"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199129, "last_count_and_date": null }
18 комментариев
Популярные
По порядку
Написать комментарий...
1

эммм, как то слабовато написано, автору незачот

Поехали - основа безопасности:

Первое:
Пара логин-пароль наиболее уязвима в момент его ввода
Кей-логгеры, взгляд через плечо, стук клавиатуры (есть и такое, по звуку щелчка при нажатии кнопок) и куча всего, включая анализ записей скрытых камер/камер наблюдения

Второе:
Неудачная система хранения логина-пароля.
От записи на бумажку и затем выкидывания ее в мусорную корзину,
до хранения пары логин-пароль в открытом виде в не сильно охраняемом/защищенном месте на сервере. Сюда же - перехват куков, кража блокнота со всеми паролями у сисадмина и прочее

Третье:
Критерии сложности пароля - или защита от подбора
Чем сложнее и оригинальнее пароль, тем менее вероятно его подберут
Классика "СоРоК вОсЕмЬ ОбеЗьЯн ...." - не подбираема

Это елси вкратце

Как защищаться?
1. Сложные пароли
2. Разные и неповторяющиеся пароли для всего
3. Меньше использовать авторизацию через соцсети (или кукисы сопрут)
4. Храните пароли так, чтобы никто их не нашел, ну или же не понял

Например, в одном из проектов лет *дцать назад стоял простой пароль.
Запоминался просто - по фразе "Очки Гарри Поттера"
Вводился вот так ,/O_o\.

Ответить
0

Вы хорошо дополнили статью, добавив как защититься от кражи пароля. Это тоже полезно читателям, факт. Но сама статья - "Как работает логин-пароль и в какой момент хакеры могут украсть эти данные?" И тут уже все, что подытожено вами указано - и кейлоггеры, и куки и так далее. Спасибо за коммент.

Ответить
1

Я б написал побольше. но времени мало, честно-честно : ((

Но тему б раскрыл:
Как именно генерируются хеши?
Какова криптозащищенность в зависимости от "битности" базового шифрующего алгоритма?

Насчет кей-логгеров и прочие способы увести пароль - тут тоже вагон всего можно добавить
Особенно про социальный инжиниринг/разводки

ну и т.д. )

Ответить
0

Ну, возможно, тогда статье будет место на Хабре, а не тут. По этой теме действительно можно написать не один десяток страниц.

Ответить
0

ога.

Кстати, дарю идею для контента, тема:
"Как придумывать пароли, чтобы никто не догадался" ))

Ответить
0

Идея отличная, согласен. Сам использую 4 разных алгоритма, на просторах интернета, думаю, еще пару-тройку вариантов найду!

Ответить
0

рекомендую еще один - использовать упрощенную ASCII-графику

И ломать сложно, и ассоциативность не позволяет забыть пароль

например
/^\ - шалаш )) и т.д.
@-> - цветы
и т.д.
8=>(_:_)/^\<-@

"с милым рай и в шалаше"

Ответить
1

Конечно, используя более одного фактора аутентификации, вы существенно повышаете уровень защищенности. Тут часто действует принцип - пойти к тому, кого легче взломать. Поэтому, используя дополнительный фактор в виде смс, вы становитесь защищеннее, но не на 100%. Уже бывали случаи, когда помимо компьютера заражался и телефон, откуда вирус отправлял хакерам перехваченные одноразовые пароли. Но это достаточно дорогой вид атаки, поэтому встречается редко. Тут важнее учесть, что нельзя использовать одинаковые пароли в разных сервисах - не все поддерживают двухфакторную аутентификацию, поэтому, взломав такой сервис, хакер может перекинуться и на другие ваши аккаунты. Для удобства в таких случаях обычно используют менеджеры паролей. Они есть у большинства современных антивирусов, как дополнительный модуль - генерируют и подставляют сложные длинные неповторяющиеся пароли в нужные сервисы.

Ответить
0

скажите, если почта через двойную аутентификацию, шансы взлома у хакера минимальны надеюсь?

Ответить
0

Вот тоже кстати интересно

Ответить
1

Двойная аутентификация через СМС, приложение для смартфона, или OTP (One time Password)?
Плюс, отдельный вектор атаки - "печеньки" (Cookies). С их помощью можно обойти многие формы пароля. Но они расчитаны на весьма ограниченный промежуток времени, и представляют угрозу только для "целенаправленной" на вас атаки.

Ответить
1

Поясню.
SMS - можно обойти дублированием сим карты.
Приложение - сложнее, тут скорее всего сработает только вариант с MITM/сниффингом (когда атакующий вклинивается между вашим телефоном и сервером).
OTP - практически не возможно взломать, только если есть доступ к телефону с приложением (пункт 1)/карточке с кодами.

Ответить
0

Отсутствует пункт с атакой MITM.
Один из САМЫХ распространённых способов получения паролей. Ведь все любят подключаться к вайфай сетям в кафе/метро...

Ответить
0

не все любят, хотя и мучаются на 4G при этом )))

да и любая общественная сеть это такая дырявая клоака...

Ответить
0

Ну, злоумышленник может провести её и в офисе.

Ответить
1

от офиса зависит ))) и злоумышленника

после майнинга битка на терминалах киви уже ничему не удивляюсь ))

Ответить
0

Да, действительно!!
Важный пункт, который не упомянул. Но по этой атаке будет отдельная статья, так как wifi сегодня слишком "проникновеннен" в нашу жизнь.)

Ответить
0

Здравствуйте. А в какой момент происходит эта самая кража куки? Вот, допустим, я зашел на сайт со сторонней авторизацией (речь о Steam аккаунте). Сайт мне предлагает авторизоваться через мой стим акк. Хром автоматически заполняет формы моим логином и паролем, но в этот момент что-то стреляет, и я отменяю авторизацию. Кража могла произойти (ведь автозаполнение было) или нет (кнопка "Авторизоваться" не была нажата)?

Заранее спасибо за ответ. Очень интересно. 

Ответить
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovx", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "disable": true, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ] { "page_type": "default" }