Как работает логин-пароль и в какой момент хакеры могут украсть эти данные?

Идея использовать пароль для входа в учетные записи впервые появилась у сотрудников Массачусетского технологического института. Через некоторое время эксперты научились использовать для хранения паролей хэширование — алгоритм, который хранит пару логин-пароль в зашифрованном виде.

Хэширование

При вводе пароля и логина хэш проверяется сперва логин. Если введённый логин существует, то система берёт пароль, возможно, уже захэшированный, и сравнивает его с тем, который есть во внутренней базе данных пользователей. Далее многие сайты используют для передачи трафика и информации не пару логин-пароль, а их хэши.

Удивительно, но факт — хакеры при взломе пользовательских баз получают не списки паролей, а список хэшей. Однако, для их расшифровки понадобятся годы из-за того, что для хэширования используется вычисления, которые сложно обратить вспять. Этот способ кражи логина и пароля неэффективен, даже если есть алгоритм хэширования.

Подбор паролей

Поэтому хакеры предпочитают другой метод взлома — через подбор паролей. По данным одного из исследований, 90% онлайн-аккаунтов используют один из 10 тысяч паролей. При этом многие пользователи, забыв пароль, не пытаются его вспомнить, а сразу приступают к процедуре восстановления пароля.

Если вы используете аккаунт в социальных сетях или сервисах для авторизации на сторонних сайтах, то для входа в систему используется другой метод: сайт, куда производится залогинивание, ищет по “кукам” любую информацию, чаще всего — “логин-пароль”.

Поэтому обращайте внимание на то, какие сайты сохраняют “куки”: это слишком важная информация, чтобы предоставлять её посторонним.

Проверьте настройки браузера

Также у паролей есть ещё одна уязвимость — при взломе сайта, связанного с другими веб-сервисами или приложениями, злоумышленники получают доступ к информации на сторонних сайтах. Но этот метод кражи логинов и паролей — через взлом более уязвимых ресурсов — применяется чуть чаще.

Получение пароля с помощью фишинга

Зачем тратить силы для получения логина-пароля, если пользователи по собственной невнимательности сделают это для вас? Чаще всего кража логина и пароля производится с помощью фишинговых сайтов. Эти веб-страницы маскируются по известные ресурсы, обманывая пользователей, которые вводят свои настоящие логин-пароли. После этого сайт, созданный для кражи паролей, передаёт своим разработчикам полученную информацию и она уже используется на усмотрение злоумышленников.

Например, несколько лет назад существовало несколько ресурсов, выдающих себя за сайт социальной сети “Вконтакте”. Иногда эти ресурсы обещали расширенные функции: просмотр гостей, расширенные настройки и функции. Но все они преследовали одну цель — кражу пароля от “ВКонтакте”.

Обратите внимание на точность названия сайта и защищенность соединения

Кража паролей через электронную почту

Несмотря на то, что фейк-сайты для кражи паролей являются самым распространённым способом фишинга, есть и другие угрозы для безопасности пользователя. Одним из популярных методов является рассылка по электронной почте писем от лица якобы банка или известной компании. Вы скорее всего видели эти письма, или их “родственников”, где тема письма начинается с обращения по имени от лица представителя крупной компании.

Раньше такие письма заражали компьютеры и осуществлять кражу логинов и паролей сразу после открытия. Сегодня, с развитием киберзащиты пользователей не только со стороны антивирусных компаний, но и со стороны IT-корпораций-поставщиков услуг, этот механизм уже не действует. Поэтому кибермошенники придумывают другие способы обмана.

Например, включают в письма ссылки для кражи пароля. Эта ссылка сопровождается текстом о том, что конфиденциальность под угрозой или о том, что пользователь выиграл большой приз. Перейдя по “линку” или скачав файл, пользователь уже подвергает угрозе свои личные данные — фишинг может начаться в любой момент.

Кража пароля с помощью кейлоггеров

Кроме этого, некоторые ссылки содержать программы для кражи паролей — кейлоггеры. Они умеют устанавливаться в обход панели уведомления и тайно функционировать на устройстве, собирая информацию о том, какие данные вводил пользователь с помощью клавиатуры.

Существуют и трояны для кражи паролей. К сожалению, с ними можно столкнуться в любой момент, просто неосторожно скачав подозрительный файл на устройство, которое не защищено антивирусом.

Поэтому, отвечая на вопрос “в какой момент хакеры могут украсть данные логина-пароля”, можно сказать, что в любой отрезок времени. Всё зависит от пользователя: насколько он осмотрителен и использует ли антивирусные решения.

Эксперты компании-разработчика антивирусных решений Bitdefender рекомендуют не пренебрегать установкой и обновлением программ-защитников.

А вы сталкивались с кражей паролей? Как это произошло?

0
18 комментариев
Написать комментарий...
Den E
Автор

Конечно, используя более одного фактора аутентификации, вы существенно повышаете уровень защищенности. Тут часто действует принцип - пойти к тому, кого легче взломать. Поэтому, используя дополнительный фактор в виде смс, вы становитесь защищеннее, но не на 100%. Уже бывали случаи, когда помимо компьютера заражался и телефон, откуда вирус отправлял хакерам перехваченные одноразовые пароли. Но это достаточно дорогой вид атаки, поэтому встречается редко. Тут важнее учесть, что нельзя использовать одинаковые пароли в разных сервисах - не все поддерживают двухфакторную аутентификацию, поэтому, взломав такой сервис, хакер может перекинуться и на другие ваши аккаунты. Для удобства в таких случаях обычно используют менеджеры паролей. Они есть у большинства современных антивирусов, как дополнительный модуль - генерируют и подставляют сложные длинные неповторяющиеся пароли в нужные сервисы.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Den E
Автор

Вы хорошо дополнили статью, добавив как защититься от кражи пароля. Это тоже полезно читателям, факт. Но сама статья - "Как работает логин-пароль и в какой момент хакеры могут украсть эти данные?" И тут уже все, что подытожено вами указано - и кейлоггеры, и куки и так далее. Спасибо за коммент.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Den E
Автор

Ну, возможно, тогда статье будет место на Хабре, а не тут. По этой теме действительно можно написать не один десяток страниц.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Den E
Автор

Идея отличная, согласен. Сам использую 4 разных алгоритма, на просторах интернета, думаю, еще пару-тройку вариантов найду!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Arina Marchello

скажите, если почта через двойную аутентификацию, шансы взлома у хакера минимальны надеюсь?

Ответить
Развернуть ветку
Алексей Шатаев

Вот тоже кстати интересно

Ответить
Развернуть ветку
S-ed

Двойная аутентификация через СМС, приложение для смартфона, или OTP (One time Password)?
Плюс, отдельный вектор атаки - "печеньки" (Cookies). С их помощью можно обойти многие формы пароля. Но они расчитаны на весьма ограниченный промежуток времени, и представляют угрозу только для "целенаправленной" на вас атаки.

Ответить
Развернуть ветку
S-ed

Поясню.
SMS - можно обойти дублированием сим карты.
Приложение - сложнее, тут скорее всего сработает только вариант с MITM/сниффингом (когда атакующий вклинивается между вашим телефоном и сервером).
OTP - практически не возможно взломать, только если есть доступ к телефону с приложением (пункт 1)/карточке с кодами.

Ответить
Развернуть ветку
S-ed

Отсутствует пункт с атакой MITM.
Один из САМЫХ распространённых способов получения паролей. Ведь все любят подключаться к вайфай сетям в кафе/метро...

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
S-ed

Ну, злоумышленник может провести её и в офисе.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Den E
Автор

Да, действительно!!
Важный пункт, который не упомянул. Но по этой атаке будет отдельная статья, так как wifi сегодня слишком "проникновеннен" в нашу жизнь.)

Ответить
Развернуть ветку
Алексей Белков

Здравствуйте. А в какой момент происходит эта самая кража куки? Вот, допустим, я зашел на сайт со сторонней авторизацией (речь о Steam аккаунте). Сайт мне предлагает авторизоваться через мой стим акк. Хром автоматически заполняет формы моим логином и паролем, но в этот момент что-то стреляет, и я отменяю авторизацию. Кража могла произойти (ведь автозаполнение было) или нет (кнопка "Авторизоваться" не была нажата)?

Заранее спасибо за ответ. Очень интересно. 

Ответить
Развернуть ветку
15 комментариев
Раскрывать всегда