Mutt
Professional
- Messages
- 1,448
- Reaction score
- 1,032
- Points
- 113
К настоящему времени все мы должны знать, что пароли, которые легко угадать, будут угаданы.
Недавно мы напомнили себе об этом, угадав вручную 17 из 20 самых популярных паролей в базе данных Pwned Passwords Have I Been Pwned (HIBP) менее чем за две минуты.
Мы попробовали 10 последовательностей 1, состоящих из цифр 12, 123и так далее 1234567890, и восемь из них попали в первую двадцатку.
Тогда мы попробовали другие очевидные цифры комбо, такие как 000000, 111111и 123123 (мы начали с шестью цифрами, потому что это текущая минимальная длина от Apple, и потому, что мы заметили, что 123456 вышли далеко впереди 12345 и 1234).
Остальные были одинаково легко: qwerty, password, abc123, password1, iloveyouи qwertyuiop, последний из которых является полезным напоминанием о том , что длина одних отсчетов для очень мало.
Остальные три пароля мы получили позже, немного поработав.
Один из них был очевиден 1q2w3e4r5t- мы изначально отказались от попыток 1q2w3e4r, но явно должны были подумать о том, чтобы пойти дальше, учитывая, что два других 10-символьных сочетания клавиатуры уже присутствовали в нашем списке.
И мы должны были подумать о том, чтобы попробовать китайский зодиак, который раскрыл бы 6-буквенные пароли monkey и dragon, которые заканчивали список под №19 и №20 соответственно.
Как вы можете видеть выше, эти пароли не просто появлялись по одному разу во множестве общедоступных дампов паролей, которые были найдены и обработаны HIBP, но буквально миллионы раз, причем 123456наверху было более 24 миллионов появлений, а dragonв дно с 994142.
Поэтому нам нужно выбрать лучшие пароли, и хотя 99pass!!word45, вероятно, это достаточно безопасно (но не используйте ее - вы можете легко сделать лучше!), Действительно длинную и надежную строку, такую как yjCMth15SU,atTWT?пароль, который вы должны быть нацелен на.
Если вам интересно, это мнемонический пароль, который вы можете вспомнить, сказав: «Вы просто не можете придумать все это, не правда ли?» .
Достаточно силен для всего?
Проблема в том, что некоторые из нас, кажется, все еще думают, что, запомнив действительно длинный и надежный пароль, мы в основном решили проблему с паролем.
Проще говоря, до сих пор существует такая школа мысли:
Как мы объясняли ранее на этой неделе, киберпреступники часто получают пароли без необходимости их угадывать или алгоритмически взламывать, например:
Введите учетные данные
Повторное использование пароля - вот почему киберпреступники используют уловку, называемую заполнением учетных данных, чтобы попытаться превратить взлом, сработавший для одной учетной записи, во взлом, который будет работать с другой.
В конце концов, если они знают, что одна из ваших учетных записей была защищена yjCMth15SU,atTWT?, почти ничего не стоит потратить на то, чтобы увидеть, использует ли какая-либо из ваших других учетных записей тот же пароль или тот, который явно связан с ним, что дает мошенникам два- по цене одного нападения.
Под «очевидно связанным» мы имеем в виду, что если мошенники получат список паролей, который показывает, что ваш пароль Facebook был yjCMth15SU-FB, они, вероятно, попытаются yjCMth15SU-TWиспользовать Twitter и yjCMth15SU-GMGmail, потому что такая схема довольно очевидна.
И, по данным Министерства юстиции США (DOJ), предполагаемый киберпреступник по имени Чарльз Онус, арестованный в начале этого года в Сан-Франциско, всего за несколько месяцев сбежал с приличными 800000 долларов.
Подозреваемый, утверждает Министерство юстиции, просто перепробовал уже известные пароли тысяч пользователей для их учетных записей в онлайн-сервисе расчета заработной платы в Нью-Йорке.
Мы предполагаем, что можно было угадать, какие потенциальные жертвы были пользователями службы расчета заработной платы, просто взглянув на их адреса электронной почты.
Если адрес совпадает (или, возможно, в профиле человека в социальной сети) имя работодателя, использовавшего услугу…
… Тогда было хорошей ставкой на то, что у них будет счет для заработной платы с тем же адресом электронной почты, и, следовательно, это также был стоящий криминальный эксперимент, чтобы проверить, есть ли у них одинаковый пароль.
В заявлении говорится, что Onus смог незаконно войти как минимум в 5500 различных учетных записей, используя эту простую систему - настолько простую, что это даже не считается «взломом».
Затем он, по-видимому, смог изменить реквизиты банковских счетов некоторых пользователей, чтобы их следующая выплата заработной платы шла на счет дебетовой карты, который он сам контролировал, и снял колоссальные 800000 долларов в период с июля 2017 года по начало 2018 года или около того.
Что делать?
Недавно мы напомнили себе об этом, угадав вручную 17 из 20 самых популярных паролей в базе данных Pwned Passwords Have I Been Pwned (HIBP) менее чем за две минуты.
Мы попробовали 10 последовательностей 1, состоящих из цифр 12, 123и так далее 1234567890, и восемь из них попали в первую двадцатку.
Тогда мы попробовали другие очевидные цифры комбо, такие как 000000, 111111и 123123 (мы начали с шестью цифрами, потому что это текущая минимальная длина от Apple, и потому, что мы заметили, что 123456 вышли далеко впереди 12345 и 1234).
Остальные были одинаково легко: qwerty, password, abc123, password1, iloveyouи qwertyuiop, последний из которых является полезным напоминанием о том , что длина одних отсчетов для очень мало.
Code:
Ранг Пароль SHA-1 Появление хэша
---- ---------- ------------------------------------ ---- -----------
1: 123456 7C4A8D09CA3762AF61E59520943DC26494F8941B 24,230,577
2: 123456789 F7C3BC1D808E04732ADF679965CCC34CA7AE3441 8,012,567
3: qwerty B1B3773A05C0ED0176787A4F1574FF0075F7521E 3,993,346
4: пароль 5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8 3,861,493
5: 111111 3D4F2BF07DC1BE38B20CD6E46949A1071F9D0E3D 3 184 337
6: 12345678 7C222FB2927D828AF22F592134E8932480637C0D 3,026,692
7: abc123 6367C48DD193D56EA7B0BAAD25B1945estive29F5EE 2,897,638
8: 1234567 20EABE5D64B0E216796E834F52D61FD0B70332FC 2,562 301
9: 12345 8CB2237D0679CA88DB6464EAC60DA96345513964 2,493,390
10: пароль1 E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D 2,427,158
11: 1234567890 01B307ACBA4F54F55AAFC33BB06BBBF6CA803E9A 2,293,209
12: 123123 601F1889667EFAEBB33B8C12572835DA3F027F78 2,279,322
13: 000000 C984AED014AEC7623A54F0591DA07A85FD4B762D 1,992,207
14: iloveyou EE8D8728F435FD550F83852AABAB5234CE1DA528 1,655,692
15: 1234 7110EDA4D09E062AA5E4A390B0A572AC0D2C0220 1 371 079
16: - - - - - B80A9AED8AF17118E51D4D0C2D7872AE26E2109E 1,205,102
17: qwertyuiop B0399D2029F64D445BD131FFAA399A42D2F8E7DC 1,117,379
18: 123 40BD001563085FC35165329EA1FF5C5ECBDBBEEF 1,078,184
19: - - - - - AB87D24BDC7452E55738DEB5F868E1F16DEA5ACE 1 000 081
20: - - - - - AF8978B1797B72ACFFF9595A5A2A373EC3D9106D 994,142Остальные три пароля мы получили позже, немного поработав.
Один из них был очевиден 1q2w3e4r5t- мы изначально отказались от попыток 1q2w3e4r, но явно должны были подумать о том, чтобы пойти дальше, учитывая, что два других 10-символьных сочетания клавиатуры уже присутствовали в нашем списке.
И мы должны были подумать о том, чтобы попробовать китайский зодиак, который раскрыл бы 6-буквенные пароли monkey и dragon, которые заканчивали список под №19 и №20 соответственно.
Как вы можете видеть выше, эти пароли не просто появлялись по одному разу во множестве общедоступных дампов паролей, которые были найдены и обработаны HIBP, но буквально миллионы раз, причем 123456наверху было более 24 миллионов появлений, а dragonв дно с 994142.
Поэтому нам нужно выбрать лучшие пароли, и хотя 99pass!!word45, вероятно, это достаточно безопасно (но не используйте ее - вы можете легко сделать лучше!), Действительно длинную и надежную строку, такую как yjCMth15SU,atTWT?пароль, который вы должны быть нацелен на.
Если вам интересно, это мнемонический пароль, который вы можете вспомнить, сказав: «Вы просто не можете придумать все это, не правда ли?» .
Достаточно силен для всего?
Проблема в том, что некоторые из нас, кажется, все еще думают, что, запомнив действительно длинный и надежный пароль, мы в основном решили проблему с паролем.
Проще говоря, до сих пор существует такая школа мысли:
- Пароль password1- плохая идея. Это всегда плохо, поэтому не стоит его нигде использовать.
- Пароль 99pass!!word45достаточно безопасен, если вы используете его только на одном сайте.
- Но huEX+IDszSSMcBjMw/S9kAТАКОЕ ХОРОШИЙ ПАРОЛЬ, что вы можете использовать его везде , потому что никто никогда не узнает его.
Как мы объясняли ранее на этой неделе, киберпреступники часто получают пароли без необходимости их угадывать или алгоритмически взламывать, например:
- Если небрежный интернет-сервис хранит ваш пароль в виде открытого текста, а затем его взламывают, злоумышленники получают ваш фактический пароль напрямую, независимо от того, насколько он сложен.
- Вредоносные программы для кейлоггеров на вашем компьютере могут захватывать ваши пароли по мере ввода, таким образом получая их «у источника», независимо от того, насколько длинными или странными они могут быть.
- Вредоносное ПО, очищающее память на взломанных серверах, может вынюхивать необработанные пароли во время их проверки, даже если сам пароль никогда не сохраняется на диск.
Введите учетные данные
Повторное использование пароля - вот почему киберпреступники используют уловку, называемую заполнением учетных данных, чтобы попытаться превратить взлом, сработавший для одной учетной записи, во взлом, который будет работать с другой.
В конце концов, если они знают, что одна из ваших учетных записей была защищена yjCMth15SU,atTWT?, почти ничего не стоит потратить на то, чтобы увидеть, использует ли какая-либо из ваших других учетных записей тот же пароль или тот, который явно связан с ним, что дает мошенникам два- по цене одного нападения.
Под «очевидно связанным» мы имеем в виду, что если мошенники получат список паролей, который показывает, что ваш пароль Facebook был yjCMth15SU-FB, они, вероятно, попытаются yjCMth15SU-TWиспользовать Twitter и yjCMth15SU-GMGmail, потому что такая схема довольно очевидна.
И, по данным Министерства юстиции США (DOJ), предполагаемый киберпреступник по имени Чарльз Онус, арестованный в начале этого года в Сан-Франциско, всего за несколько месяцев сбежал с приличными 800000 долларов.
Подозреваемый, утверждает Министерство юстиции, просто перепробовал уже известные пароли тысяч пользователей для их учетных записей в онлайн-сервисе расчета заработной платы в Нью-Йорке.
Мы предполагаем, что можно было угадать, какие потенциальные жертвы были пользователями службы расчета заработной платы, просто взглянув на их адреса электронной почты.
Если адрес совпадает (или, возможно, в профиле человека в социальной сети) имя работодателя, использовавшего услугу…
… Тогда было хорошей ставкой на то, что у них будет счет для заработной платы с тем же адресом электронной почты, и, следовательно, это также был стоящий криминальный эксперимент, чтобы проверить, есть ли у них одинаковый пароль.
В заявлении говорится, что Onus смог незаконно войти как минимум в 5500 различных учетных записей, используя эту простую систему - настолько простую, что это даже не считается «взломом».
Затем он, по-видимому, смог изменить реквизиты банковских счетов некоторых пользователей, чтобы их следующая выплата заработной платы шла на счет дебетовой карты, который он сам контролировал, и снял колоссальные 800000 долларов в период с июля 2017 года по начало 2018 года или около того.
Что делать?
- Не используйте пароли повторно. И не пытайтесь изобрести технику для небольшого изменения каждого пароля по сравнению с исходным шаблоном, чтобы они казались разными, потому что мошенники ищут этого.
- Рассмотрим менеджер паролей. Менеджеры паролей генерируют случайные и несвязанные пароли для каждой учетной записи, поэтому мошенник не сможет найти сходства, даже если один из паролей будет взломан. Помните, что вам не нужно вводить все свои пароли в приложение-менеджер, если вы этого не хотите: это нормально, если у вас есть особый способ работы с вашими наиболее важными учетными записями, особенно если вы не используете их часто.
- Включите двухфакторную аутентификацию, если можете. Двухфакторная аутентификация не гарантирует защиты от злоумышленников, но она предотвращает такие атаки, как эта, от того, чтобы они проводились так легко и в таком широком масштабе, потому что одних паролей было бы недостаточно.
- Сообщайте об аномалиях платежей. Очевидно, вам нужно искать исходящие платежи, которые не должны были произойти, и входящие платежи, которые так и не поступили. Но также обратите внимание на исходящие платежи, которые почему-то не прошли, когда они должны были пройти, или на входящие средства, которых вы не ожидали, независимо от того, насколько мала сумма. Чем раньше вы сообщите о любых ошибках, даже если вы не потеряли деньги, тем скорее вы поможете себе и всем остальным.
