איך הייתי פורץ את הסיסמאות החלשות שלך

מומחה לתקני אינטרנט, מנכ"ל חברת האינטרנט iFusion Labs, והבלוגר ג'ון פוזדזידסיודע דבר או שניים על אבטחת סיסמאות - והוא יודע בדיוקאיך הוא היה פורץ את הסיסמאות החלשותאתה משתמש בכל האינטרנט.

תמונה רמיקס מתת-מעגל.

הערה: זה לא נועד כמדריך לפריצת סיסמאות חלשות של *אנשים אחרים*. במקום זאת, המטרה היא לעזור לך להבין טוב יותר את האבטחה של הסיסמאות שלך וכיצד לחזק את האבטחה הזו. פרסמנו במקור את הקטע הזה במרץ, אבל לאורפרצת האבטחה האחרונה שלנו, זה נראה ישים מתמיד.

אם הזמנת אותי לנסות ולפצח את הסיסמה שלך, אתה מכיר את הדף שבו אתה משתמש שוב ושוב עבור כמו כל דף אינטרנט שאתה מבקר בו, כמה ניחושים יידרש לפני שאקבל אותו?

בוא נראה... הנה רשימת 10 המובילים שלי. אני יכול להשיג את רוב המידע הזה הרבהקל יותר ממה שאתה חושב, אז אולי פשוט אוכל להיכנס לאימייל, למחשב או לבנקאות המקוונת שלך. אחרי הכל, אם אכנס לאחד כנראה אכנס לכולן.

1. שם בן הזוג, הילד או חיית המחמד שלך, אולי אחריו 0 או 1 (כי הם תמיד גורמים לך להשתמש במספר, לא?)

2. 4 הספרות האחרונות של מספר תעודת זהות שלך.

3. 123 או 1234 או 123456.

4. "סִיסמָה"

5. שם העיר שלך, או המכללה, קבוצת הכדורגל שלך.

6. תאריך לידה - שלך, של בן הזוג או של ילדך.

7. "אֵל"

8. "לטמיין"

9. "כֶּסֶף"

10. "אַהֲבָה"

מבחינה סטטיסטית זה כנראה אמור לכסות בערך 20% מכם. אבל אל תדאג. אם עדיין לא קיבלתי את זה כנראה ייקח רק עוד כמה דקות עד שאצליח...

האקרים, ואני לא מדבר על הסוג האתי, פיתחו מגוון שלם של כלים כדי להגיע לנתונים האישיים שלך. והמכשול העיקרי העומד בין השארת המידע שלך בטוח, או דולף החוצה, הוא הסיסמה שתבחר. (למרבה האירוניה, ההגנה הטובה ביותר שיש לאנשים היא בדרך כלל ההגנה שהם מתייחסים לפחות ברצינות).

אחת הדרכים הפשוטות ביותר לקבל גישה למידע שלך היא באמצעות שימוש ב-aמתקפת כוח אכזרי. זה מושג כאשר האקר משתמש בתוכנה שנכתבה במיוחד כדי לנסות להיכנס לאתר באמצעות האישורים שלך.Insecure.orgיש רשימה של 10 מפצחי הסיסמאות הטובים ביותר בחינםממש כאן.

אז איך אפשר להשתמש בתהליך הזה כדי למעשה להפר את הביטחון האישי שלך? פָּשׁוּט. פעל לפי ההיגיון שלי:

• אתה כנראה משתמש באותה סיסמה להרבה דברים נכון?

• לחלק מהאתרים שאליהם אתה ניגש כמו הבנק או ה-VPN שלך יש כנראה אבטחה די הגונה, אז אני לא מתכוון לתקוף אותם.

• עם זאת, אתרים אחרים כמו אתר כרטיסי ברכה דואר אלקטרוני Hallmark, anפורום מקווןאתה מבקר, או שאתר מסחר אלקטרוני שקנית בו אולי לא מוכן היטב. אז אלה הם אלה שהייתי עובד עליהם.

• אז, כל מה שאנחנו צריכים לעשות עכשיו זה לשחררברוטוס,wwwhack, אוTHC הידרהבשרת שלהם עם הוראות לנסות לומר 10,000 (או 100,000 - מה שלא יעשה אותך מאושר) שמות משתמש וסיסמאות שונים כמה שיותר מהר.

• ברגע שיש לנו כמה התאמות כניסה+סיסמה נוכל לחזור ולבדוק אותם באתרים ממוקדים.

• אבל רגע... איך אני יודע באיזה בנק אתה משתמש ומהו מזהה הכניסה שלך לאתרים שאתה מבקר בהם? כל העוגיות האלה מאוחסנות בפשטות, לא מוצפנות ובשמות יפה, במטמון של דפדפן האינטרנט שלך. (לִקְרוֹאהפוסט הזהכדי לתקן את הבעיה.)

וכמה מהרהאם ניתן לעשות זאת? ובכן, זה תלוי בשלושה דברים עיקריים, אורך ומורכבות הסיסמה שלך, מהירות המחשב של ההאקר ומהירות החיבור לאינטרנט של ההאקר.

בהנחה שלהאקר יש חיבור מהיר למדי ולמחשב האישי הנה הערכה של משך הזמן שייקח ליצור כל שילוב אפשרי של סיסמאות עבור מספר נתון של תווים. לאחר יצירת הרשימה זה רק עניין של זמן עד שהמחשב יעבור את כל האפשרויות - או ייסגר בניסיון.

שימו לב במיוחד להבדל בין שימוש באותיות קטנות בלבד לבין שימוש בכל התווים האפשריים (אותיות רישיות, קטנות ותווים מיוחדים - כמו @#$%^&*). הוספת רק אות גדולה אחת וכוכבית אחת תשנה את זמן העיבוד של סיסמה בת 8 תווים מ-2.4 ימים ל-2.1 מאות שנים.

זכור, אלה מיועדים רק למחשב ממוצע, ואלה מניחים שאתה לא משתמשכל מילה במילון. אם גוגל תפעיל את המחשב שלהם, הם היו מסיימים בערך פי 1,000 מהר יותר.

עכשיו, אני יכול להמשיך עוד שעות על גבי שעות על כל מיני דרכים להתפשר על האבטחה שלך ובאופן כללי למרר את חייך - אבל 95% מהשיטות האלה מתחילות עםלסכן את הסיסמה החלשה שלך. אז למה לא פשוט להגן על עצמך מההתחלה ולישון טוב יותר בלילה?

תאמין לי, אני מבין את הצורך לבחור סיסמאות בלתי נשכחות. אבל אם אתה מתכוון לעשות את זה, מה דעתך להשתמש במשהו שאף אחד לעולם לא ינחש ולא מכיל שום מילה או ביטוי נפוצים בו.

הנה כמה טיפים לסיסמאות:

1. החלף באופן אקראי מספרים באותיות שנראות דומות. האות 'o' הופכת למספר '0', או אפילו יותר טוב ל-'@' או '*'. (כלומר - m0d3ltf0rd... כמו modelTford)

2. לזרוק באותיות גדולות באקראי (כלומר - Mod3lTF0rd)

3. תחשוב על משהו שהיית קשור אליו כשהיית צעיר יותר, אבל אל תבחר שם של אדם! כל שם ועוד כל מילה במילון ייכשלו תחת התקפת כוח גס פשוט.

4. אולי מקום שאהבת, או רכב ספציפי, אטרקציה מחופשה או מסעדה אהובה?

5. אתה באמת צריך שילובים שונים של שם משתמש / סיסמה לכל דבר. זכור, הטכניקה היא לפרוץ לכל דבר שאתה ניגש אליו רק כדי להבין את הסיסמה הסטנדרטית שלך, ואז להתפשר על כל השאר. זה לא עובד אם אתה לא משתמש באותה סיסמה בכל מקום.

6. מכיוון שיכול להיות קשה לזכור המון סיסמאות, אני ממליץ להשתמשרובופורםעבור משתמשי Windows. זה יאחסן את כל הסיסמאות שלך בפורמט מוצפן ויאפשר לך להשתמש רק בסיסמת אב אחת כדי לגשת לכולן. זה גם ימלא באופן אוטומטי טפסים בדפי אינטרנט, ואתה יכול אפילו לקבל גרסאות המאפשרות לך לקחת את רשימת הסיסמאות שלך איתך על מחשב כף היד, הטלפון או מפתח USB. אם תרצה להוריד אותו מבלי שתצטרך לנווט באתר האינטרנט שלהם, הנהקישור להורדה ישירה.(הערה בעריכה: קוראי Lifehackerאַהֲבָההקוד הפתוח החינמיKeePassלחובה זו, תוך כדיאחרים נשבעיםחוצה פלטפורמות, מבוסס דפדפןLastPass.)

7. משתמשי Mac יכולים להשתמש1 סיסמה. זה בעצם אותו דבר כמו Roboform, חוץ מ-Mac, ויש להם אפילו אפליקציה לאייפון כך שתוכל לקחת אותם איתך גם.

8. לאחר שחשבת על סיסמה, נסה את הסיסמה של Microsoftבודק חוזק סיסמאותכדי לגלות עד כמה זה בטוח.

לפי בקשה יצרתי גם קצרסרטון הדגמה של RoboForm. מקווה שזה עוזר…

דבר נוסף שכדאי לזכור הוא שחלק מהסיסמאות שאתה חושב שהכי פחות חשובות למעשה. לדוגמה, יש אנשים שחושבים שהסיסמה לתיבת הדואר האלקטרוני שלהם אינה חשובה כי "אין לי שום דבר רגיש שם". ובכן, תיבת הדואר האלקטרוני הזו כנראה מחוברת לחשבון הבנק המקוון שלך. אם אוכל להתפשר, אוכל להיכנס לאתר האינטרנט של הבנק ולומר לו ששכחתי את הסיסמה שלי כדי לשלוח לי אותה בדואר אלקטרוני. עכשיו, מה אמרת שזה לא חשוב?

לעתים קרובות אנשים גם חושבים שכל הסיסמאות והכניסות שלהם מאוחסנות במחשב שלהם בבית, וזה בטוח מאחורי נתב או מכשיר חומת אש. כמובן, הם מעולם לא טרחו לשנות את סיסמת ברירת המחדל במכשיר הזה, כך שמישהו יוכל לנסוע ולחנות ליד הבית, להשתמש במחשב נייד כדי לפרוץ את הרשת האלחוטית ואז לנסות סיסמאות מרשימה זועד שהם ישיגו שליטה על הרשת שלך - לאחר מכן הם יהיו הבעלים שלך!

עכשיו אני מבין שבכל יום אנחנו נתקלים באנשים שמגזימים בנקודות כדי להניע אותנו לפעולה, אבל תאמין לי שזה לא אחד מהפעמים האלה. ישנן עוד 50 דרכים בהן ניתן להתפשר ולהיענש על שימוש בסיסמאות חלשות שאפילו לא הזכרתי.

אני גם מבין שלרוב האנשים פשוט לא אכפת מכל זה עד שיהיה מאוחר מדי והם למדו לקח קשה מאוד. אבל למה שלא תעשה לי ולעצמך טובה ותעשה קצת פעולה כדי לחזק את הסיסמאות שלך ותודיע לי שכל הזמן שהשקעתי במאמר הזה לא היה לגמרי לשווא.

בבקשה, תהיה בטוח. זה ג'ונגל בחוץ.

עריכה: אולי תרצה גם להאזיןהראיון שלי ברדיו הציבורי של קונטיקטלגבי אבטחת סיסמאות.

איך הייתי פורץ את הסיסמאות החלשות שלך[בלוג של איש אחד]