О себе События Портфолио Статьи Гостевая Фотоальбом На злобу дня Ссылки Учеба Программы
Alex_K (г.Киров) - Алексей Кощеев
Хостинг и регистрация доменов в Кирове

Еще раз о паролях / Защищаемся от хакеров

Вы случайно оказались в числе первых ста посетителей только что открывшегося почтового сервера с красивым адресом, например roma@mail.ru или сайта вида www.roma.narod.ru. Вы успешно зарегистрировались, но уже через неделю Outlook или Internet Explorer вам выдал: «Invalid Password». Обращаться в службу поддержки? Безусловно, суппорт поможет вам вернуть отобранный кем-то ящик, но это займет много времени и сил. Какие же ошибки вы допустили и как удалось хакеру получить пароль от вашего ящика?

Основной способ получения пароля от емейла - это не перебор стандартных паролей, не использование специальных программ, как анонсируют повсюду в интернете, а всего-навсего правильное использование поисковика Яndex. Естественно, я не буду рассматривать примитивный случай, когда паролем является имя пользователя или его фамилия, - это проверяется очень быстро.

Вы, получив новый емейл или создав домашнюю страничку с красивым адресом (URL), решили оповестить друга по сети и, зайдя на его домашнюю страницу, оставили там сообщение вида:
Имя: Ламеров Рома
Город: Санкт-Петербург
E-mail: roma@mail.ru
http://www.roma.narod.ru
Текст: «Привет, друг! Я сменил мыло! И создал хоумпагу!!! Пиши и заходи!»

Возможен вариант, когда вы участвуете в конкурсе или размещаете анкету на сайте знакомств. Человек, которому нужно вскрыть ваш ящик и сменить пароль, воспользуется поисковиком: зайдет на Яндекс и введет: "roma@mail.ru". Яндекс, как самый-самый продвинутый поисковик, найдет страницу из гостевой или анкеты знакомств и выдаст ему ваше имя. Теперь хакер идет на сайт, содержащий базу данных по Санкт-Петербургу, к примеру на http://interweb.spb.ru/phone, и вводит ваше имя. Он получает адрес и имена прописанных вместе с Ламеровым родственников. Другой способ - найти данные о Роме в базе ICQ.com, если, конечно, он там зарегистрирован. Что теперь? Атакующий идет на сайт почтовой службы, нажимает кнопку «Забыл пароль», и отвечает на секретный вопрос, например имя одного из родственников или дата рождения, тем самым получая доступ к ящику Ламерова. Если вопрос задан несколько иначе, например имя любимой собачки, то хакеру не составит никакого труда позвонить Роме домой, познакомиться и выведать ответ на вопрос. Такой способ очень эффективен и проверен автором статьи.

Заграничные службы поддержки очень доверчивы, даже служба поддержки Hotmail.com, почтового сервиса Microsoft. Послав в службу поддержки послание типа «Hi! I was travelling in Russia for three weeks, so I forgot my password. Please send it me. My name is Roma Lamerov» и указав в письме домашний адрес, хакер в 99% случаев получит пароль от нужного ему емейла. Этот способ также проверялся автором на службах поддержки сайтов www.usa.net и www.hotmail.com (а еще говорят про безопасность проектов Microsoft!).

Мораль: Во-первых, не использовать логин, совпадающий с паролем (в нашем примере это roma), во-вторых, стараться «ходить под ником», то есть никогда нигде не писать имя и фамилию; помните: ваши друзья и так поймут, кто оставил сообщение. В-третьих, стараться использовать численно-буквенные пароли длиной не менее 8 симвлов для стопроцентной гарантии того, что никто никогда не подберет ваш пароль. Пример удачного пароля: 5GHaY07j. Такой пароль довольно трудно запомнить на первый взгляд, но поверьте, автор этой статьи хранит в голове не менее 10 подобных паролей. И, наконец, никогда не сообщать никому ваш пароль, не писать его на лицевой странице записной книжки...

В начале 2001 года были распространены сообщения вида «Вас беспокоит служба поддержки. Нами была зафиксирована попытка взлома вашего емейла, поэтому его функционирование приостановлено. Пришлите нам ваш пароль для проверки и возобновления работы». Об этом писали и предупреждали также на Народе.Ру.

Помните, что любая служба поддержки и так знает, какой у вас пароль. Помните фильм «Хакеры» и три самых распространенных пароля? Напомню, это были «Love, God и Sex». К этому списку сегодня надо прибавить такие слова, как «Britney», «Lopez» (не смотрите MTV, в общем ;-), «Sony», «LG», «Trinitron» (обычно написаны на лицевой стороне монитора ;-), «password», «parol» и другие. Регистрируя новый e-mail, заполняйте как можно больше граф и, самое главное, те данные, которые невозможно узнать по базам данных - при обращении в службу поддержки по факту взлома вам надо будет вспомнить все, что вы заполняли.

Завершая этот текст, хочется сказать одно: почитайте УК РФ, если вы читали это пособие не для защиты, а для того, чтобы узнать, как ломают сайты в интернете.

Наверх  Посмотреть другие статьи
Fanshop.ru

Рейтинг@Mail.ru

Rambler's Top100

© Алексей Кощеев, г.Киров, 2001-2020 хостинг предоставлен компанией Айхэд