Внимание: это НЕ руководство на тему «Как украсть пароль», а адаптированный перевод «Руформатора» статьи Lifehacker с попыткой объяснить, насколько уязвимым может быть ваш текущий пароль.

Хакеры, и я не говорю сейчас об их этнической принадлежности, разработали широкий набор различных инструментов, чтобы украсть ваши персональные данные. Главным препятствием на пути этих мошенников по-прежнему остается пароль, который вы выбрали сами: по иронии судьбы, лучшая информационная защита, которая есть у людей, это та, к которой они относятся наименее серьезно.

Самый простой путь заполучить чужой пароль – использовать метод брутфорса (brut-force, «грубая сила»), когда пароль подбирается фактически вручную с помощью специальной программы.

Итак, как же понять, попадаете ли вы в группу риска? Довольно просто. Следите за моей логической цепочкой:

- Вы используете один и тот же пароль несколько раз в разных местах.

- Некоторые важные для меня сайты, такие как интернет-банк или ваше рабочее место, подключенное через VPN, обладают приличным уровнем безопасности, так что я их не буду трогать.

- Однако, сайты наподобие сервиса открыток Hallmark, ваш любимый онлайн-форум, интернет-магазин, в котором закупаетесь, вряд ли защищены должным образом. Так что я попробую сделать что-нибудь с ними.

- Таким образом, мой следующий шаг – утилиты наподобие Brutus, wwwhack, THC Hydra, которые будут применены к какому-нибудь из подобных сервисов с указанием подобрать 10 тысяч (ну или 100 тысяч – неважно) комбинаций пользователя и пароля так быстро, как это вообще возможно.

- Как только я получу пару логин-пароль, я могу попробовать ее на других сайтах.

- Ээ, стоп. Откуда я знаю, каким вы пользуетесь банком, и какой логин вы чаще все используете? По секрету – все это записано в куки-файлах (cookies), которые хранятся в браузере в незашифрованном виде и с отличными, «говорящими» именами.

Насколько быстро вся эта схема может быть реализована? Ну, это зависит от трех вещей: длина и сложность вашего пароля, мощность хакерского компьютера и скорость его интернет-соединения. Как правило, у хакеров довольно мощная машина и быстрый интернет, поэтому попробуем оценить примерное время подбора пароля в зависимости от его длины, сложности и с учетом всех возможных распространенных комбинаций. Обратите также особое внимание на регистр букв и специальные символы. Добавление только одной буквы или символа «*» привете к тому, что восьмисимвольный пароль будет подбираться не 2,4 дня, а два с лишним столетия.

Обратите внимание, это лишь примерное время вычисления на среднем компьютере, и в данной таблице предполагается, что используется любое слово из словаря. Если бы Google подключила к работе свои компьютеры, то закончила бы работу в 1000 раз быстрее.

Теперь я могу часами сидеть и пытаться вас поломать, чтобы сделать вас совсем несчастным – и 95% из этих методов используют прежде всего ваш слабый пароль. Так что же вам мешает защитить себя лучше и спокойней спать ночью?

Поверьте мне, я понимаю, что больше разных сложных паролей труднее запомнить. Но попробуйте хотя бы для начала сделать такой пароль, который хоть и будет простым для запоминания вами, но никогда не придет в голову другим. И вот вам еще несколько советов на эту тему:

1. Замените часть символов похожими на них. Например, «o» можно заменить на «0» или «@». К примеру, «koza» станет выглядеть как «k03a».

2. Часть букв в пароле капитализируйте, как это делают школьники «В Контакте» : например M0dIfIeD.

3. Подумайте об имени какого-нибудь близкого вам человека. Но не используйте это имя само по себе – лучше прибавьте к имени словарное слово, и это будет самая простая защита от брутфорса.

4. Любимое место, марка машины, впечатление от отпуска, любимый ресторан тоже подойдут.

5. Вам правда нужно использовать разные комбинации логина-пароля везде. Запомните, с технической точки зрения можно вломиться куда угодно, если знать, что вы используете стандартные пароли. Эта фишка не сработает, если вы используете разные пароли везде.

6. Поскольку трудно запомнить, какие пароли и где вы используете, рекомендую сохранять их в специальных крипто-программах, например, Roboform для Windows. Она хранит все ваши пароли в зашифрованном виде, и нужно знать только один мастер-пароль для доступа к ним всем. Также Roboform автоматом заполняет формы на веб-страницах и его даже можно установить на КПК, мобильном телефоне или на флэшке. (Читатели Lifehackers любят использовать программу KeePass с открытым исходным кодом, служащую тем же целям, и к тому же кросс-платформенную.) Пользователи Mac и iPhone могут использовать утилиту 1Password.

7. Подумали о новом пароле? Попробуйте утилиту Microsoft Password Checker и проверьте, насколько он хорош.

Другой аспект, который бы мне хотелось затронуть - это то, какое значение вы придаете паролям. Те, о которых вы думаете как о малозначимых, могут на самом деле значить очень много. Например, пароль от почтового ящика – многие думают, что это ерунда, потому что там ничего особо важного нет. А то, что e-mail связан с вашим аккаунтом в интернет-банке – к примеру? Если я взломаю ваш ящик, то смогу получить доступ к вашему банковскому счету – сказав, что забыл свой пароль и попрошу его выслать. Вы все еще считаете, что это неважно?

Многие люди думают, что они защищены своим роутером или файрволло, если хранят все свои пароли дома. И конечно же, они никогда не меняют пароли от своих устройств по умолчанию! Поэтому любой человек может подъехать к дому, сесть с ноутбуком на лестничной площадке и нарушить безопасность беспроводной сети, а затем заняться брутфорсом, пока не получит полный контроль над вашей сетью.

Каждый день мы сталкиваемся с людьми, которые чрезмерно раздувают ту или иной проблему, делая из мухи слона. Но поверьте – это не тот случай. Есть еще полсотни разных невыгодных для вас вариантов, которые могут вас скомпрометировать с помощью слабого пароля. Я их даже не хочу упоминать. Я также понимаю, что большинству людей просто пофигу на это все – естественно, до тех пор, пока им не преподадут хороший урок. Но сделайте одолжение мне, да и себе тоже – потратьте немного времени и усильте защиту своих паролей! Чтобы я знал, что мои слова не пропали даром.