электронная
72
печатная A5
298
12+
Пароль

Бесплатный фрагмент - Пароль

Объем:
116 стр.
Возрастное ограничение:
12+
ISBN:
978-5-4496-1767-5
электронная
от 72
печатная A5
от 298
«За безопасность необходимо платить, за ее отсутствие расплачиваться» Уинстон Черчилль

Об этой книге

Книга, которая хорошо написана, всегда кажется мне слишком короткой.

Джейн Остин

Вы не найдете в этой книге подробных технических описаний организации IT безопасности. Но после применения элементарных навыков, которые вы с легкостью освоите с помощью книги, станет возможным во многом обезопасить свою жизнь и работу с электронными вычислительными устройствами — компьютерами и смартфонами.

Мы привыкли использовать в своих домах и квартирах надежные входные двери, сложно вскрываемые замки. Но при этом, многие люди, не боясь, отдают свою пластиковую банковскую карту в руки другого человека, для оплаты работ или услуг, что не может быть безопасно.

Задумайтесь, когда вы в последний раз, не по настоянию системы электронной почты, а по собственной инициативе меняли свой пароль на электронный почтовый ящик, который расположен на бесплатном сервисе? Многие, к сожалению, меняют пароли уже после факта взлома аккаунта и проведения через него незаконных действий.

Эта книга призвана дать определенный небольшой багаж знаний о том, как управлять вашими логинами и паролями, которые, де-факто, являются вашими ключами к ЭВМ и ресурсам планетарной сети Интернет. Вы узнаете, как надежно и, главное, безопасно хранить ваши конфиденциальные данные, в том числе информацию для авторизации. Мы рассмотрим две очень распространенных программы. Первую программу вы сможете использовать на своем персональном компьютере под управлением Windows, а другая программа будет работать на вашем смартфоне под управлением операционной системы Android.

В завершение, вы сможете прочитать о несанкционированном проникновении на компьютер и его последствиях, а также узнаете, как злоумышленники попытались украсть у человека с карточки крупную сумму денег. Все истории основаны на реальных событиях, но в целях безопасности изменены должным образом.

Вы, как читатель, отдаете себе отчет и полностью соглашаетесь с тем, что данная книга является всего лишь справочным материалом, выражающим личное мнение автора, и не побуждает вас к каким-либо действиям. Все, что вы предпримите, исходя из написанного в этой книге, вы будете делать на ваш личный страх и риск. Автор не несет ответственность за любые последствия ваших действий. Все торговые марки, а также иные права на интеллектуальную и иную собственность сохраняются за их правообладателями.

Что такое пароль?

— Пароль?

— Пароль!

— Правильно, проходите.

© Народная мудрость в Интернет

Слово «пароль», как и его понятие, в нашем языке возникло из французского. При прямом переводе la parole (фр.) значит — слово или условное слово.

Первые упоминания об использовании секретных или условных слов появились еще в 201 году до нашей эры. Например, в Древнем Риме пароли использовались для безопасного прохождения людей ночью. Один из воинов, выбранный командиром, направлялся к командующему легионом, у которого получал специальную деревянную табличку с паролем. При прохождении в ночное время постов человек называл условное слово, и стража пропускала его.

Как видите, даже спустя тысячелетие, человечество все еще использует пароли. Как в военных целях, так и в гражданских. ПИН-код вашей банковской карты не что иное, как древнеримское секретное слово, пароль, а саму пластиковую карту можно сравнить с древнеримской деревянной табличкой, на которой это слово записано для того, чтобы пропустить вас.

На компьютерах пароли использовались уже с 1961 года, когда в Массачусетском технологическом институте появилась первая открытая система CTSS. На этом вычислителе была предусмотрена команда LOGIN для того, чтобы можно было войти в систему, введя пароль.

В книге Марка Бернетта «Perfect Passwords» утверждается, что среди англоязычных пользователей самым распространенным паролем является «123456», а возможные комбинации «1234» и «12345678» занимают третье и четвертое места по распространенности. Разумеется, не стоит использовать что-то подобное в вашей повседневной жизни — это очень небезопасно.

Так же хочу вас предупредить об использовании ваших памятных дат в качестве пароля. Каким бы образом вы не крутили дату своего рождения, будь то «18031986» или «18marta1986goda», данное сочетание не составит проблем подобрать и получить несанкционированный доступ к ресурсам под вашим именем.

Кстати, не только пароли являются частью безопасности доступа. Помните, как в шпионских фильмах существовали не просто парольные фразы, но и ответы на них, чтобы можно было однозначно определить личность агента. В настоящее время для определения принадлежности учетной записи, за которой, в идеале, должна аутентифицироваться определенная личность, используют такое понятие, как «имя пользователя». Но об этом в следующей главе.

Что такое имя пользователя?

В одном из банков России, где-то в районе обеденного времени 90-х годов XX века:

— Валь! Какой пароль на программу?

— Ку-ку!

— Валь! А ку-ку через черточку или нет?

Вы знаете, или слышали такие термины как: «логин», «юзер», «пользователь», «имя пользователя». Все это, под разными названиями, призвано однозначно определить личность того, кто производит вход или подсоединение куда-либо. Многие интернет сайты для процесса аутентификации пользователей используют адрес электронной почты, что принципиально выполняет основную функцию однозначного определения личности пользователя.

Вообще, в современной информационно-технологической отрасли проверку подлинности или авторизацию принято разделять на два уровня:

1. Идентификация — это ввод личных данных пользователя, которые предположительно должны совпадать с теми данными, которые хранятся в базе данных идентификаторов пользователей.

2. Аутентификация — сама проверка введенной пользователем информации и принятие на основе полученных результатов решения о допуске либо отказе в авторизации пользователя.

То есть, в любом случае, система доступа подразумевает некоего человека, который хочет получить разрешение на доступ к работе с какими-либо ресурсами, будь то компьютерная сеть, операционная система или сейф, в котором хранятся какие-либо предметы или документы.

И когда вы ввели свое имя пользователя для получения ресурсов, система контроля будет знать, когда вы входили, и к каким ресурсам у вас был доступ. При любом возникшем расследовании эти данные могут быть использованы как в вашу пользу, так и против вас. Так как будет считаться, что вы однозначно авторизованы.

Авторизация, то есть процесс определения личности пользователя, может быть осуществлена многими способами. Возьмем для рассмотрения самые основные:

1. Парольная защита — только пользователю известен некий набор символов, который он передает системе для получения доступа.

2. Использование предметов — метод авторизации с использованием, например, обычного ключа для замка, электронного бесконтактного пропуска, либо специализированного USB ключа.

3. Биометрическая — одна из самых ненадежных систем, основанная на проверке тембра голоса, отпечатка пальца или ладони. А ненадежная она потому, что палец или ладонь можно ампутировать без желания на то пользователя. Обычные ключи можно спрятать, а так придется прятаться самому.

4. Скрытая информация — система проверки, основанная на сличении местоположения авторизуемого пользователя с его предыдущей геолокацией, или, например, на проверке определенного программного кода, который должен присутствовать в обязательном порядке на компьютере или ином вашем оборудовании. Например, если вы постоянно работаете с веб-сайтом, находясь в России, а однажды подключились с острова Гаити, это, как правило, означает кражу вашего пароля.

Информация для авторизации пользователя в наше время содержит не только сведения о пароле, но и о том, кто именно получает доступ. Вся эта информация хранится в определенном виде в специальных базах данных, конкретнее об этом пойдет речь в следующей главе.

Как в компьютере хранятся и передаются пароли?

Из телефонного разговора системного администратора с коммерческим директором предприятия:

— Выдвини верхний ящик.

— Он заперт.

— Там в серванте, за бутылкой виски, в стакане, ключ от стола, а в ящике футляр для очков, в нем бумажка с паролем.

© Народная мудрость в Интернет

Самый простой способ хранения пароля — это записать его в файл, откуда при обращении системы авторизации его можно прочитать и сверить с тем, который ввел человек с клавиатуры. Ведь пока на компьютере не произведен вход, никто не может прочесть этот файл. Так раньше думали многие разработчики программного обеспечения. Но преступники, которых принято называть «хакеры», смогли без входа в систему получать доступ к подобным файлам. Например, отдельно подключив жесткий диск или загрузившись с дискеты, можно скопировать файл с хранящимися паролями и прочесть его.

А что если пароль в подобном файле будет храниться в зашифрованном виде? Тогда хакер попытается его раскодировать. Но чем лучше будет закодирован пароль, тем больше сил и времени потратит преступник на его прочтение. Думаю, читатель понимает, что когда в голливудских фильмах какой-то специалист за несколько мгновений взламывает чей-то компьютер, то это всего лишь художественный спецэффект, не имеющий к жизни никакого отношения.

В современных операционных системах пароли хранятся в зашифрованных файлах и сверяются с помощью хеширования. Это позволяет увеличить надежность сохранения данных авторизации. К примеру, большинство веб-сайтов в Интернете хранят пароли в базе данных в виде 128-битного хеша, вычисленного по алгоритму MD5, который был разработан профессором Л. Ривестом еще в 1991 году. Пароль «12345678» будет храниться в базе данных пользователей как отпечаток «25d55ad283aa400af464c76d713c07ad». Полученный при хешировании MD5 отпечаток пароля обратно в ту же запись «12345678» никак вычислить нельзя, поэтому данный способ хеширования называют необратимым.

Когда вы решите пройти авторизацию на этом веб-сайте, то введете свой логин и пароль. После нажатия кнопки «Войти» логин будет передан открытым текстом по сети, а пароль тут же превратится в вычисленный хеш, и уже значение хеша, тот длинный набор символов, будет передан на веб-сайт. Дальше ряд программ на веб-сайте начнет поиск пользователя с указанным вами логином в базе данных, а когда будет найдено совпадение, то начнется проверка хеша пароля. Если и логин и хеш пароля совпадут, то веб-сайт разрешит вам вход. Если хеш будет хоть как-то отличаться, то вам выйдет всем известная надпись: «логин или пароль указаны неверно».

Существует множество способов хранения и передачи парольной информации по компьютерным сетям. Но все эти способы объединяет один основной принцип, по которому пароль или иная информация для авторизации пользователя прячутся, шифруются, проверяются.

Как взламывают IT системы?

Операционная система Solaris имеет на одну степень стойкости к взлому больше, только из-за того, что когда хакер проникает в нее, он тратит до полутора лишних секунд на восклицание: «О! Солярка!»

© Народная мудрость в Интернет

Как бы нам этого не хотелось, но в подавляющем большинстве случаев взлома пользователь сам впускает хакера на свое устройство, будь то компьютер или смартфон. Представьте себе, что у вас дома незапертая дверь, в которую может войти любой желающий. Именно так для хакера выглядит ваш компьютер, на котором не установлен пароль на вход в систему. Преступнику остается только войти в вашу дверь. Затем хакер начнет узнавать ваши пароли, копировать ваши интимные фотографии и важные документы. Он получит доступ к информации о ваших банковских картах, с которых снимет ВСЕ деньги — увы, преступникам не знакомы понятия морали.

«Ко мне не залезут, что с меня взять-то?» — размышляют многие люди. Но если у вас есть хотя бы слабенький смартфон, то его ресурсы уже можно использовать для преступной хакерской деятельности. Вы, точнее, ваше устройство, может стать частью так называемой сети «ботнет», через ваше устройство будут взламывать какой-либо сервер банка, чтобы замести свои следы. Разумеется, у правоохранительных органов появится к вам ряд вопросов, и будет благом, если на вашем устройстве остались следы работы хакеров, потому что в ином случае именно вы становитесь преступником. Так же, после взлома хакеры могут пользоваться ресурсами вашего устройства для майнинга криптовалют в свою пользу.

В современном мире мало кто занимается подбором паролей, потому что, в основном, подбирают хеш-отпечатки, минуя стадию хеширования. Через Интернет хакеры обмениваются базами данных с уже подобранными парами имени пользователя и пароля, или предлагают в подбор основные пароли, которые используют люди. На сайте Марка Бернетта — он не хакер, он специалист в области IT безопасности — https://xato.net/10-000-top-passwords-6d6380716fe0 предоставлен список десяти тысяч слабых или известных паролей, но с одним уточнением, что уже существует список из десяти миллионов подобных паролей. Если вы поменяли пароль с «superpassword» на пароль «passwordsuper», то оба этих пароля содержатся в списках, про которые я писал чуть выше. Поэтому хакеру остается только перебрать определенные хеш-отпечатки при обращении к вашему устройству и получить незаконный доступ.

К сожалению, не только подбор паролей помогает злоумышленникам получить доступ к конфиденциальным данным. Так называемая «социальная инженерия» — когда, воздействуя на свою жертву психологически, преступник под видом разговора или угроз заставляет человека самому назвать пароль. Запомните, НИКОГДА НЕ ГОВОРИТЕ ПАРОЛЬ ПО ТЕЛЕФОНУ ИЛИ НЕ ПИШИТЕ ЕГО В СМС СООБЩЕНИЯХ, ЭЛЕКТРОННЫХ ПИСЬМАХ, ТАК ЖЕ НИКОГДА НЕ МЕНЯЙТЕ ПАРОЛЬ ПОД ДИКТОВКУ КОГО-ТО. Для того чтобы починить что-либо, инженерам не нужно знать ваш пароль, а если возникает такая необходимость, то IT специалисты сами попросят вас ввести ваш пароль.

Как создавать пароль и имя пользователя?

Пользователь, который пишет с ошибками и придумывает пароль на русском, набирая его в английской раскладке, имеет на две степени защиты пароля больше.

© Народная мудрость в Интернет

Чтобы обезопасить себя, вы можете отказаться от компьютера, смартфона, смарт-телевизора и прочих «умных» устройств. Но это, скорее, радикальный путь. Вы же не отказываетесь от своего жилища по причине того, что дверь могут выломать. Вы устанавливаете хорошую дверь с надежным замком. Так же и в цифровом мире, где можно привести аналогию двери с вашим именем пользователя, а пароль с замком.

Давайте представим обычное имя пользователя для какой-нибудь банковской онлайн системы, скажем «VasyaIvanov». О чем такой логин расскажет хакеру? Разумеется, первое — это то, что пользователя зовут Василий Иванов, а второе, и самое главное — что пользователя можно спокойно «развести» по социальной инженерии на пароль. То есть, наш мифический пользователь где-то в разговоре с банковским клерком обронил название своего имени пользователя, а хакер услышал это и сделал вывод, что данный пользователь пренебрегает IT безопасностью.

Если бы у мифического Васи был бы логин «V2a9s3i8L4Iy7», и для разговора с работниками банка он бы показал бумажку с написанным своим именем пользователя, то хакер бы просто не заметил бы его в толпе посетителей банка. А если бы и заметил, то сразу понял, что с подобным человеком связываться не стоит, потому что это будет сложно и результат непредсказуем, тем более, что вокруг и без него полно людей, которые халатно относятся к своей IT безопасности.

Конечно, утрированный случай, описанный выше, всего лишь говорит о том, что неожиданное и сложное имя пользователя может отпугнуть преступника. Вы же, когда создаете свое имя для входа, если это имя не для электронной почты, то постарайтесь использовать неожиданные сочетания. Например, в случае нашего придуманного пользователя Василия Иванова, он может использовать логины «BegemotBorya», «SladkayaSol» — легко запомнить, и сложно связать с пользователем его логин.

Разумеется, для электронной почты, где вы используете логин как часть своего адреса, это сложно выполнимо. Тем не менее, даже на бесплатных сервисах, таких как mail.ru, yandex.ru, yahoo.com, вы можете, создав основного пользователя, добавить еще один электронный почтовый ящик с любым логином и пользоваться именно им. При взломе и в другом любом непредвиденном случае вы сможете восстановить доступ на указанных сервисах с помощью мобильного телефона, если позаботились заранее зарегистрировать в системе его номер.

К созданию пароля надо подходить еще строже. В обязательном порядке использовать заглавные и прописные символы, цифры и знаки препинания. В большинстве систем создания паролей надежной оказывается конструкция «;bkbe <f, ecb2dtctks [uecz». Кажется, сложно к запоминанию, но в России, а также в тех странах, где использует кириллицу, то есть клавиатуру с двойным вводом, кнопки можно использовать как шифровочную таблицу. Представленный пример пароля набран на стандартной русской клавиатуре в системе ввода английского языка как: «жилиуБабуси2веселыхгуся». Согласитесь, такое запоминается легко. Главное — запомнить принцип ввода.

Сложно запомнить мешанину букв и цифр. Вот один из надежнейших паролей по версии программы KeePass:»} X"$8Z> 8UL5=SqHE7r:Y*eAntw6-s=». Данная конструкция очень сложна для перебора хеш-отпечатков, а перебор по словарю тех же десяти миллионов паролей, в принципе, бесполезен. Но у него есть один-очень серьезный минус — его достаточно сложно заучить и помнить продолжительное время. Давайте попробуем использовать свою собственную таблицу шифрации. Я приведу пример (смотрите рисунок 1):

Используя, к примеру, данные из таблицы вы сможете составить запоминающийся пароль. Предложу несколько вариантов: «$h1n@», «@v70m0B1l`», «@peL$1nK@», «Kr@$1V@ya». Как видите, все вполне реально запомнить, но не рекомендую пользоваться именно этой таблицей, так как она уже скомпрометирована через эту книгу. Составьте свою. Вы можете вписать свои аналоги букв, рисунке 2, и пользоваться своей личной шифровальной таблицей.

Если вы считаете, что пользоваться описанными выше инструментами слишком сложно или, по иным причинам, это не для вас, то остается использовать как шифровочную таблицу нашу старую добрую клавиатуру. Вот примеры с расшифровками некоторых фраз и выражений русского языка: «1dgjktytDjby» — «1вполенеВоин», «7,tl1jNdtn» — «7бед1оТвет», «HeccrbtLheuLheufYtJ, vfysdf. n» — «РусскиеДругДругаНеОбманывают» и т. д. Но вы должны знать, злоумышленники в области IT все мной описанное знают и используют в своей незаконной деятельности.

Самым надежным будет использовать действительно длинные пароли, которые ничего не означают, и какой-либо смысл в наборе символов отсутствует. Помните, выше был представлен один из надежных паролей — »} X"$8Z> 8UL5=SqHE7r:Y*eAntw6-s=»? Устанешь набирать на клавиатуре. Но есть способ облегчить ввод пароля — использовать программы для сохранения паролей. О них и пойдет речь в следующих главах.

Рис. 1
Рис. 2

Как хранить пароли?

Ваш пароль должен быть длиннее восьми символов, как минимум, содержать одну цифру, один знак пунктуации, экспозицию, завязку, развитие и очень захватывающий финал.

© Народная мудрость в Интернет

Учетные данные, ваши имена и пароли — всего лишь информация, которую для удобства можно структурировать и организовано хранить. Если ко всему этому еще добавить информацию о том, к чему конкретно это все относится, то получится исчерпывающий список ресурсов, которыми вы пользуетесь. Подобные списки интересны в первую очередь вам самому, и настолько же, если не больше, данная информация представляет интерес для преступников.

В современных браузерах при переходе на какой-либо сайт, где вы ранее уже сохранили пароль, будет предложено ввести сохраненные учетные данные. Конечно, это очень удобно и быстро. Но практика показывает, что если злоумышленник смог пробраться на ваш компьютер или смартфон, то все эти пароли к веб-сайтам, которые вы сохраняли в браузере, становятся компрометированными. Поэтому хранить пароли в браузере — не самая лучшая идея.

Записывать регистрационные данные и ресурсы, к которым эта информация относится, на бумагу (например, вести тетрадку с записями), может оказаться надежнее даже, чем доверие хранилищу паролей браузера, но и тетрадку могут выкрасть. Поэтому возникает вопрос, как же все сохранить, чтобы не компрометировать, но в любой момент можно было бы воспользоваться данными об авторизации? Ответ напрашивается сам собой — все должно храниться в шифрованном виде. Помните «рукопись Войнича»? Там все записано шифром, который по настоящее время никто так и не смог расшифровать (смотрите рисунок 3).

Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.
электронная
от 72
печатная A5
от 298