Взлом аккаунтов: всё проще

26 Сен 2007

Взлом сайтов и аккаунтовЗаметка Дениса Болтикова «Топ 30 наиболее часто используемых паролей» натолкнула меня на некоторые размышления.

Итак, есть сервис, требующий авторизацию. Имена пользователей в большинстве случаев известны. Так же известно, что 4-5% пользователей в качестве пароля используют имя пользователя (там, где это разрешено). Ещё 10-15% используют один из паролей вроде этих:

12345 123456 11111 55555 77777
qwerty 111111 00000 666666 123456789
 

Составить список таких паролей — не проблема, тем более, что 20-30 штук, как видно, вполне хватит. Таким образом можно довести до 20% вероятность взлома пароля пользователя быстрым тупым брутфорсом по сверхмаленькому словарю.С учётом того, что полно сервисов, вешающих на единую систему авторизации все свои сервисы (в том числе и финансовые), эта дыра является критической. Более того, 75% пользователей используют единый пароль доступа на все ресурсы.Так что, люди, совет один: используйте хорошие пароли.

Хороший пароль:

  1. длинный (8-12-15 символов).
  2. содержит как заглавные так и прописные латинские буКвЫ.
  3. содержит цифры.
  4. не найдется в словаре, это не имя и не слово (ckjdj) в латинской раскладке.
  5. никак не связан с владельцем.
  6. меняется периодически и по мере надобности.
  7. не является любимым — разные пароли для разных входов.
  8. его возможно запомнить.

Жилинский Владимир.






 

Dimox     .

Написано 26 сентября 2007 года в 12:46


Я в основном использую пароли длиной 15-20 символов. Большинство указанных пунктов соблюдаю.

 

Жилинcкий Владимир     .

Написано 26 сентября 2007 года в 12:52


Прально :-)

 

Денис Болтиков     .

Написано 26 сентября 2007 года в 13:06


Я не думаю, что чстая смена пароля повысит его безопасность. Скорее наоборот.

 

Жилинcкий Владимир     .

Написано 26 сентября 2007 года в 13:07


Не частая, но периодическая. Раз в 45 дней рекомендуется, если не ошибаюсь.

 

Денис Болтиков     .

Написано 26 сентября 2007 года в 13:23


Все равно считаю это лишним. Лучше надежный сложный пароль и на долго.

 

Жилинcкий Владимир     .

Написано 26 сентября 2007 года в 13:26


Отснифят, заруткитят =)
/me вспомнил свои пароли и решил что пора менять — лет 5 уже прошло…

 

Сергей     .

Написано 26 сентября 2007 года в 14:57


Последний пункт, при выполнении предыдущих, становится просто крайне трудновыполнимым :(

 

Жилинcкий Владимир     .

Написано 26 сентября 2007 года в 15:08


Жизнь трудна… 8-)

 

Mad Cat     .

Написано 26 сентября 2007 года в 15:32


Давно юзаю везде уникальные пароли и храню их в KeePass :) а вот самый достойный (ИМХО) паролегенератор — http://www.pctools.com/guides/password/

 

Skop     .

Написано 26 сентября 2007 года в 17:24


Правильно, но по необходимости не стоит её так уж усложнять, и пользоваться для не сверх важных паролей KeePass или аналоги =)

 

Жилинcкий Владимир     .

Написано 26 сентября 2007 года в 17:26


Честно говоря, пароли от всякой фигни у меня сохранены в программах (TC, FF) и продублированы в текстовых файлах на Gmail.
Ничего умнее пока не придумал. А ставить какой-то софт — не очень-то удобно: хочется онлайновость, а доверять не хочется.

 

Dimox     .

Написано 26 сентября 2007 года в 18:43


Владимир, попробуйте Password Commander (http://www.pascom.ru/). Имеется и автозаполнение логин/пароль, и крутой генератор паролей.

 

smmurf@livejournal     .

Написано 26 сентября 2007 года в 19:02


Надо будет на KeePass посмотреть повнимательнее, пока пользуюсь Password Commander’ом, а тут еще и под GPL программа.
Лично я считаю, что таким хранилкам можно доверять (если это не любительская поделка), с одной стороны появляется возможность хищения шифрованной (!) базы паролей, с другой — резко снижается вероятность пароль забыть.

 

Старх     .

Написано 27 сентября 2007 года в 03:10


с последним пунктом проблемы пользуюсь Password Commanderом до недавнего времени пользовал робоформ

 

Паразит     .

Написано 27 сентября 2007 года в 16:24


Это конечно все правильно, но ведь в параноика превращаться никто не собирается, особенно те люди, которые ничерта не секут в компах…

 

allex     .

Написано 27 сентября 2007 года в 22:35


Пара ссылок по теме:
1. Password Strength Meter — оценка качества пароля.
2. — генерация паролей для сайтов на основе мастер-пароля и адреса сайта. Очень удобно, сам пользуюсь.

 

pskovskij_kot@livejournal     .

Написано 28 сентября 2007 года в 10:54


А у меня туго с паролями…
Стараюсь придумывать, но очень сложно запоминать. Есть 2 больших буквенно цифровых, но в основном небольшие.

И хранил я их раньше набумажке, которую благополучно выкинули в мусор(объяснив что там всё равно хрень какая-то)

Вот теперь храню в txt файлике. Банально… Но никакой конфиденциальной инфы на компе у мну нет.

 

Жилинcкий Владимир     .

Написано 28 сентября 2007 года в 11:08


Да, меня тоже заинтересовало. Весьма.

 

Жилинcкий Владимир     .

Написано 28 сентября 2007 года в 11:12


С учётом того, с какой легкостью вирусные модули выгрызли пароли из компьютеров нескольких известных мне сетей, хранение в plain text всё ещё суицидально. Буду пробовать KeePass.

 

pskovskij_kot@livejournal     .

Написано 28 сентября 2007 года в 13:18


Кстати, а если пароли хранить в телефоне/кпк/смартфоне??? Есть такие программы???

Хотя если кто-либо узнает что пароли именно там, могут и прибрать к рукам дивайсик…

 

Денис Болтиков     .

Написано 28 сентября 2007 года в 13:25


У меня в сониэрикосн т630 это стандартная функция.

 

pskovskij_kot@livejournal     .

Написано 28 сентября 2007 года в 13:49


В мотороллах тоже есть такое приложение, но не совсем удобное.
Я думал может есть какие-то более удобные варианты.

 

Skop     .

Написано 28 сентября 2007 года в 13:56


KeePass имеет J2ME версию
Загляните в Contributed/Unofficial KeePass Ports and Builds на оф.сайте

 

pskovskij_kot@livejournal     .

Написано 28 сентября 2007 года в 14:49


Спасибо, очень пригодится. 8)

 

Anton     .

Написано 3 октября 2007 года в 14:13


Грусно! хотя так и есть !

 

Жилинcкий Владимир     .

Написано 3 октября 2007 года в 14:15


Очень грустно… Домодедово осталось без ссылки… Не мучайтесь. 8-)

 

Блог интернет-разработчика » Как защитить WordPress-блог     .

Написано 19 января 2008 года в 02:44


[…] пароля больше скорее всего никто не откроет. Ну а каким должен быть пароль я уже […]

 

Блог интернет-разработчика » Взлом сайтов     .

Написано 16 марта 2008 года в 00:23


[…] Взлом аккаунтов: всё проще. […]

 

проходящий мимо     .

Написано 6 июля 2008 года в 21:45


Храните пароли в KeePass?? ну ну ))

Оставить комментарий:

You must be logged in to post a comment.

© 2007-2010 Блог интернет-разработчика, автор — Zhilinsky.ru.
При использовании информации ссылка на источник обязательна.