Anton Gostev
июнь 2016.
9950

Влияет ли в действительности сложность пароля на безопасность аккаунта?

Ответить
Ответить
Комментировать
2
Подписаться
5
4 ответа
Поделиться

Влияет и довольно сильно. Давайте рассмотрим варианты взлома пароля. 
1. Внешний взлом - самый простой и самый топорный - взломщик не имеет доступа к самой БД сервиса и пытается залогинится так же, как обычный пользователь. Только делает это очень быстро и очень много раз. Такой тип подбора называют Brute Force. Если ваш пароль короткий и простой, на его подбор у машины уйдет значительно меньше времени, чем на подбор более сложного пароля (причем, с каждым добавленным знаком сложность подбора возрастает почти экспоненциально). 

  1. Внутренний взлом - когда злоумышленник получает доступ к базе логинов-паролей сервиса. Само по себе ему это не так много даст - пароли во всех сколько-нибудь серьезных сервисах хранятся в зашифрованном (точнее сказать, захэшированном виде) и расшифровать их не так-то просто. Но тут brute force для злоумышленника упрощается (поскольку подбор теперь происходит локально и скорость его ограничена только вычислительными возможностями железа), так что если пароль у вас простой, его почти наверняка подберут очень и очень быстро, и опять же, каждый добавленный нетривиальный символ, добавляет сложности к подбору. 

Конечно, как правильно указал мой тезка, в современном мире с нынешними вычислительными мощностями, одного только пароля для максимальной надежности бывает недостаточно, поэтому многие сервисы (особенно имеющие дело с важными персональными данными) вводят механизмы двойной аутентификации. Ими стоит пользоваться.

Илья Левинотвечает на ваши вопросы в своейПрямой линии
36
-5

как bruteforce может работать к примеру в вк, если там капча стоит, получается пароль даже подобрать невозможно

0
Ответить

ну каптча может замедлить подбор, но лок все равно сбрасывается через какое-то время.

+2
Ответить

К тому же ВК далеко не единственный сервис и не везде есть каптча или другие методы защиты от брутфорса.

+1
Ответить
Прокомментировать

Думаю, смотря от кого вы его ставите. Если от угрозы случайного взлома (подбор паролей типа 12345, qwerty, 54321), то да, лучше сгенерировать пароль с участием цифр и букв верхнего и нижнего регистра. Если же это будет массовый взлом, то, думаю, длина вашего пароля ничего не решит, подобрать его путем будет так же просто, хоть и немного подольше (сначала брутятся аккаунты с самыми простыми паролями, которые указаны выше), поэтому в таком случае лучше ставить двухэтапную аутентификацию (хотя да, этот способ можно обойти, но не думаю, что именно ваш аккаунт столь важен, чтобы тратить на него время).

8
-3

Скажите пожалуйста подробнее если можете? 
Реально ли бесплатно в свободном доступе найти инструкции к взлому персональных данных, именно соц. сетей, тот же ВК например?

0
Ответить

в относительно свободном, так сказать. в даркнете, либо на специально созданных для этого форумах выкладываются базы (текстовые документы), в которых содержится информация (почта и пароль для игровых аккаунтов, просто почта, наверное, для вк), которая чекается на валидность, а потом брутится. откуда берут возможные пароли - не скажу, т.к. точно не знаю, но очевидно это тоже база, которую можно купить.

0
Ответить

и да, взлом - дело уголовно (или административно, не помню) наказуемое дело, так что я бы не советовал)

0
Ответить
Ещё 4 комментария

ну административно по факту жалобы, ну вот допустим я специально сейчас поставлю СЛОЖНЫЙ ПАРОЛЬ и аутентификация через телефон и попрошу "хакера" себя же взломать, сможет ли он? КАКОЙ УРОВЕНЬ для этого нужен? Сможет любой "школьник" или взлом страницы соц. сети это сложно и требуется мастер своего дела? Сколько это занимает времени? Еще нужно как то телефон мой узнать... или как они получат КОД ИЗ СМС С МОЕГО ТЕЛЕФОНА?

0
Ответить

уже случались истории, когда двухэтапная аутентификация не спасала. насколько я понял сам, читая их, тут два способа:

1. есть свой человек (друг, знакомый) в телефонной компании (мтс, мегафон, билайн), который "помогает"

2. каким-то образом убедить сотрудника компании в офисе, что это именно "твой" номер, просто документы утерял/забыл/в деревне оставил, и, если это случится, номер настоящего хозяина сделают вашим (запишут на новую симкарту), а старый, т.е. настоящий - заблокируют.

0
Ответить

Владислав, для того, чтобы просто взять и "взломать" что-то типа Вконтакте, уровень нужен очень высокий.

Но для получения доступа к страничкам большинтсва людей этого не требуется. Самое слабое звено здесь - это пользователь. И именно его невнимательность обычно используют.

Самые простые варианты получения пароля от странички: 1. дать ссылку на полную копию вконтакте, которая отличается только адресом в адресной строке. При входе на неё пароль отправляется создателю. Очень многие на это попадаются.

  1. найти вашу квартиру, попытаться подключиться к вашей wifi сети, используя дыры роутера. В случае успеха перехват пароля - дело времени.
0
Ответить

Ну и далее остаётся на минуту минут завладеть вашим телефоном. Подойти на улице и попросить позвонить, например.

Короче говоря, это всё реально проделать, всё упирается в вас и вашу вниматрльность.

P.S. программы и инструкции к ним, необходимые для п. 1 и 2 находятся в свободном доступе и да, с ними разберутся многие школьники.

P.P.S. Ещё отмечу, что не стоит привязывать страничку к почте mail. Я, конечно, ни разу не разбираюсь во взломах почт, но 99% угнанных аккаунтов от всяких скайпов, что продаются в интернете, были привязаны к почте от mail.

0
Ответить
Прокомментировать

Учитывая, что обычно людей волнует безопасность в вебе, про него и расскажу. Итак, для начала уточним, что есть 2 способа авторизоваться за любого пользователя, не зная пароль: первый - подбор, второй - присвоить его аккаунту новый, известный вам, пароль. Про первый вариант довольно хорошо рассказал Илья Левин. Второе можно провернуть, зная имейл и пароль от него (если для сброса пароля не высылают смску); или получив доступ к исходному коду (чтобы узнать алгоритм хеширования, прогнать через него пароль, внести изменения в базу данных), что возможно только при взломе сервера (как самой машины, так и определенного хостинг-аккаунта), что подсилу лишь профессионалам (если хостинг-провайдер и веб-разработчик позаботись о безопасности каждый со своей стороны).

Если же:

-- Взломщик не получил доступ к базе данных, но количество попыток ввода не ограничено и нет никакой каптчи, защиты от роботов, и т.д., то подбор пароля - дело времени.

-- Взломщик получил доступ к базе данных, но не получил доступ к исходному коду, а веб-разработчик пишет в БД не пароли, а их хеши (необратимое шифрование) - он (взломщик) не сможет просто поменять пароль, т.к. пароль не будет совпадать с его же хешем. Так же, на самом деле, взломщику НЕ ИМЕЕТ СМЫСЛА просто подбирать пароль под хеш у себя, т.к. алгоритм может быть абсолютно любым: однократное хеширование, цикличное, хеширование с солью, хеширование несколькими алгоритмами, и т.д.! Можно даже написать такой алгоритм, который будет весить мегабайты (но зачем?). Например, пароль '12345', пропущенный через функцию md5 превратися в '827ccb0eea8a706c4c34a16891f84e7b', что при повторном хешировании той же функцией превратится в '1f32aa4c9a1d2ea010adcf2348166a04'. То есть, имея на руках хеш, и не зная алгоритм, подобирать пароль не имеет смысла.

-- И наконец, взломщик получил доступ к базе данных, а веб-разработчик - мудак, и пароли не хеширует, а просто пишет их в БД, то ваш пароль (да и не только ваш) можно не подбирать - вот же он! Вместе с кучей других и соответствующих им имейлов.

Теперь, возвращаясь к первоначальному вопросу, о сложности: при подборе она действительно имеет значение, т.к. только дети считают, что подбор начинается с 'a', проходит по всему алфавиту, цифрам, дальше идет 'aa', 'ab', 'ac', и так далее до момента совпадения. На самом деле, сначала проверяются самые популярные варианты, и лишь после этого начинается посимвольный подбор.

Кстати, на 2ip.ru есть классная утилита проверки надежности пароля. Согласно ей, мой пароль простым подбором, например, взломают только после столкновения с Туманностью Андромеды, но мне будет уже как-то все равно :D

Теперь о безопасности за пределами Веба. Вот вам список безопасности по убыванию:

-- Ваш мозг

-- Бумажные носители (их не возможно взломать)

-- Биометрический ключ доступа

-- Банки, сейфы, и прочие охраняемые/защищенные объекты

Как видите, компьютеров здесь нет, т.к.: трояны, кейлоггеры, скринкапчеры, вирусы, хакеры, спецслужбы, владельцы-лохи. Что-нибудь, да случится.

Из личного опыта: (Вместо постскриптума) Будучи кодером, можно обезопасить себя (и не только) лучше, чем, как тебе кажется, это сделал кто-то другой. Например, на сайте, который я писал для себя, я знал, что авторизоваться могу только я, поэтому смог себе позволить white-list IP, которые могут получить доступ к авторизации, прикрутив сверху еще и максимум три попытки авторизации, после которых эта возможность блокируется, а блок снять можно только после даже не двойной авторизации (нет, я не параноик, просто попрактиковался :D. Можно было сделать проще, но это скучно...)

7
-3

Классно, спасибо. :)

+1
Ответить

Если взломщик получил доступ к БД, то даже если пароли хэшированы, он все равно сможет их подобрать, просто локально, основываясь, например, на собственном заранее ему известном пароле (в идеале нескольких известных). Брутфорс будет быстрее, чем стучаться через вэб в то же самое.

+1
Ответить

Ну, не зная алгоритма хеширования, используемого в коде, и имея на руках таблицу хешей из БД, можно подобрать пароль только в случае, если заранее известен пароль от одного из аккаунта. Тогда можно сравнить пароль с его хешем и попытаться вычислить алгоритм. Что сделать очень и очень маловероятно, т.к. самый распространенный способ хеширования - комбинированое цикличное хеширование с солью, полезной нагрузкой и самописными функциями самого кодера. Так что я пока останусь на своем: имея на руках хеши, и не зная алгоритма, подбирать не имеет смысла.

0
Ответить
Ещё 2 комментария

Знать как минимум один пароль довольно не трудно - надо зарегистрироваться на том же сервисе и свой пароль ты знаешь) 
Так же в современных условиях, если была слита БД, то почти наверняка был слит и код, так что подбор хоть и остается сложным, становится проще.

+1
Ответить

Чтобы слить код, нужно взломать хостинг или фтп-подключение, чтобы слить бд, нужно взломать хостинг или найти способ sql-инъекции. Я не говорю, что вы не правы, просто ваш вариант как возможен, так и не возможен. Зависит от обстоятельств.

0
Ответить
Прокомментировать

Не влияет вообще! (а точнее несущественно)

21 век уже! MD5, SHA1, SHA256 устарели и больше не используются! 20 значный захешированный пароль полностью находится за сотые доли секунды. Мощность современных серверов трудно представить!

Важна не длина пароля, а защита и ограничения. Лучше всего, среди привычных нам компаний, в этом плане преуспел google. От логина через физическое устройство, до автоматической блокировки аккаунта при смене ip. Вот что защитит ваш аккаунт, а не длинный пароль!

Vassillissk .отвечает на ваши вопросы в своейПрямой линии
7
-10
Прокомментировать
Ответить
Читайте также на Яндекс.Кью
Читайте также на Яндекс.Кью