Как снизить вероятность взлома аккаунта в интернете. 10 правил параноика

|
FavoriteLoading В закладки
Как снизить вероятность взлома аккаунта в интернете. 10 правил параноика

Проверь себя и свой пароль.

Требования к паролям иногда раздражают:

— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНеДашьМнеДоступПрямоСейчас!
— Извините, но этот пароль уже занят!

Эти заморочки нужны, чтобы сохранять приватность данных и защищать от спама, рассылаемого взломанными аккаунтами. Угон пароля — неприятная проблема, которая может случиться с каждым. Но если принять все необходимые меры, то вероятность её возникновения будет низкой.

Эти рекомендации защитят от популярных методов массового угона паролей, с которыми может столкнуться каждый из вас и избавят от неудобных вопросов: «Друг, а почему ты решил заняться партнеркой Forex и так часто пишешь мне про это?».

Если кому-то сильно понадобится конкретно ваш пароль, то эти советы могут оказаться бессильными.

Как воруют пароли?

Есть три основных группы способов получения доступа к чужим аккаунтам:

  • Перехват — липовые страницы авторизации (фишинг), вирусные программы (отслеживание нажатий клавиш, снимки экрана, воровство данных), перехват трафика (например, передаваемого по незащищенным сетям Wi-Fi в кафе).
  • Взлом сайтов — получение доступа к базам данных, в которых хранятся пароли (вместе с логинами) и их расшифровка.
  • Подбор — тупо перебираются варианты возможных паролей при авторизации (брутфорс). В 2016 году у большинства сайтов и программ есть защита от автоматического повторного ввода, способ почти ушел в прошлое, но иногда случаются удивительные открытия. Например, пару месяцев назад исследователь из Бельгии обнаружил, что можно подбирать пароли на главной странице Instagram (в настоящий момент уязвимость закрыта).

Есть и другие способы: письма/звонки от «администрации сайта» с просьбой сменить пароль, наблюдение со скрытых камер в офисе, пытки… Но сегодня остановимся на защите от трех самых распространенных.

Хороший пароль это тот, который долго расшифровывать/подбирать и невозможно угадать. Но главное — защитить от перехвата при вводе.

1. Не ходите по левым ссылкам

Зарегистрировать сайт odnaklssniki.ru (схожий по написанию) и повесить на него страницу ввода логина/пароля — очень просто. Еще проще купить бота для отправки этой ссылки в личку/по почте всем подряд, сократив ее на bit.ly и приписав: «Ой, смотри как Вася мог такое в комментарии к твоей фотке написать». Этим промышляют очень много людей. Эпидемия фишинга началась более 15 лет назад, но люди еще ведутся и авторизируются на липовых страницах.

Еще бывают случаи, когда человек хочет подсоединиться к Wi-Fi в кафе, а его просят подтвердить свою личность, зайдя под свои логином и паролем в соцсеть. Те же яйца, только в профиль.

Более современный вариант — заражение компьютера вирусом, который будет перенаправлять человека на поддельный сайт в тот момент, когда он введет адрес настоящего сайта, а после кражи логина/пароля авторизировать человека там, где он хотел.

Лучший способ защиты — внимательность (тупо смотреть, где вводишь пароль) и не забывать проверять незнакомые сайты на virustotal.com. Даже если ссылка пришла от близкого человека (его могли взломать). Еще можно поставить антифишинговый плагин в браузер, антивирус для почты и настроить подтверждение ввода пароля по смс (пункт 4).

2. Вовремя обновляйте антивирус

top_antivirus

В первую очередь этот пункт касается тех, у кого Android и Windows. Поставьте себе хороший антивирус и не забывайте вовремя его обновлять. Это нужно для защиты от вредоносных программ, которые фиксируют ввод с клавиатуры, похищают данные с компьютера, перенаправляют на фишинговые сайты.

По результатам исследования портала TopTenReviews лучшие антивирусы в 2016 году это:

  • Bitdefender Antivirus Plus
  • Kaspersky Anti-Virus
  • McAfee AntiVirus Plus
  • Norton Security
  • F-Secure Anti-Virus

3. Шифруйте трафик

Следующая опасность, от которой внимательность и антивирус уже не помогут — перехват трафика. Если вы сидите в интернете с офисного и публичного Wi-Fi, то старайтесь использовать VPN.

Подробности о том, какую пользу вы можете извлечь из этой технологии, какого провайдера выбрать и что поставить на iPhone есть в статье VPN: зачем и как скрывать свой IP и шифровать трафик.

4. Подключите смс-подтверждение

Плюс к безопасности дает схема, когда для входа надо помимо пароля ввести код из смс. Посмотрите настройки сервисов, которыми часто пользуетесь на предмет фразы: «двухфакторная идентификация». Примеры сайтов, которые ее поддерживают:

  • Gmail
  • Mail.ru
  • VK
  • «Яндекс»
  • Twitter

Для Apple ID тоже можно подключить. В таком случае помимо пароля будут просить ввести проверочный код, который отображается на устройстве.

Когда это не сработает? Если у вас «открытая мобильная операционная система», то есть небольшая вероятность, что смс с кодом подтверждения может перехватить вирус. Она существенно понизится, если не забывать о пунктах 1 и 2 из этой статьи и на телефоне тоже. Подробности в статье Почему нельзя доверять деньги Android.

Владельцы блогов на WordPress могут подключить на нем двухфакторную авторизацию с помощью плагинов, чтобы сделать приятное пользователям и поставить дополнительный барьер для доступа в админку. Например Duo Two Factor Identification

5. Каждому сайту — свой пароль/логин/email

По разным данным одинаковые пароли для большинства аккаунтов используют от 15% до 25% пользователей.

Получить доступ ко всем аккаунтам такого человека можно, взломав базу какого-нибудь самописного блога васясрязани.ру, на котором человек засветил свой основной почтовый адрес и пароль от него ради скачивания книги «Советы от рыболова Васи».

Помимо уникального пароля, для регистраций на один раз лучше использовать временный адрес электронной почты, который можно создать на 10minutemail.com

Большинство людей не уделяют достаточно внимания безопасности своих сайтов и они имеют какие-либо уязвимости, позволяющие хакеру (а чаще просто настойчивому человеку) получить доступ к файлам сайта и базе данных => логинам, паролям и почтовым адресам пользователях.

Вот пример таблицы MySQL c сайта на WordPress, в которой хранятся вышеназванные данные. Третий столбец это хеши паролей, полученные в результате их обработки популярным (особенно у PHP-разработчиков) алгоритмом хэширования (одностороннего шифрования) md5:

wp_mysql_database

При авторизации пароль, введенный пользователь снова шифруется и сравнивается со значениями в базе. Когда хакеру нужно выяснить исходный текст пароля, он перебирает хеши разных паролей и сравнивает их с исходным значениям. Но сначала проверяет, не расшифровали ли уже этот пароль добрые люди.

Например, возьмем хеш 3e7fa8c51e2e498697a55104055aa1fd и забьем его в онлайн-расшифровщик MD5 (база уже расшифрованных хешей), вводим капчу и получаем результат:

md5_decryptor_online

Если у кого-то стоит простой пароль на всех ресурсах и он засветил его на сайте, который был взломан, вместе с основным адресом электронной почты, то все его аккаунты окажутся в руках хакеров после первого сравнения хеша с базой расшифрованного (в ней уже 125 миллионов строк). А проверить, где зарегистрирован человек можно на knowem.com.

Иногда к стандартной функции md5() добавляется криптографическая соль. Например, перед обработкой меняются местами буквы в пароле или добавляются какие-либо символы. Это несколько затрудняет расшифровку, но если получен доступ к базе, то скрипты, в которых прописан порядок обработки паролей тоже в руках мошенника и он может использовать их при переборе вариантов.

Вирусы и снифферы (анализаторы перехваченных пакетов трафика) тоже, чаще всего, собирают пароли в зашифрованном виде. Так как современные браузеры их в открытом виде не хранят и не передают.

Есть множество других алгоритмы шифрования и хэширования кроме md5, но это тема отдельной большой статьи. Но почти для любого алгоритма правила составления надежного пароля одинаковы. О них и поговорим.

Как создать такой пароль, который если и попадет в зашифрованном виде все же попадет к злоумышленникам, то они бы не смогли восстановить его методом подбора?

6. Чем длиннее, тем лучше

password_1
password_2
password_3

Зайдем на howsecureismypassword.net и посмотрим, сколько времени потребуется для подбора паролей разной длины:

  • iphones — 0,2 секунды;
  • iloveiphones — 4 недели;
  • iloveiphonesverymuch — 16 миллиардов лет.

Какая же оптимальная длина пароля? Джеф Атвуд, один из основателей Stack Overflow и владелец наикрутейшего блога CodingHorror утверждает, что 12 символов — минимум.

7. Разнообразие это +

password_4
password_5
password_6
password_9

Сложности для расшифровки и перебора добавляют Цифры, прописные и заглавные буквы, знаки пунктуации:

  • iph0nes — 2 секунды;
  • !ph0nes — 22 секунды;
  • !Ph0nes — 7 минут;
  • ilove!Ph0nes — 3400 лет.

8. Меньше смысла

Пароли из предыдущих пунктов — хреновые пароли. Ведь интернетом пользуется 3 с лишним миллиарда человек. И, наверняка, есть еще тысячи людей на этой земле, которые ставят себе пароли «айфоны», «Я люблю айфоны», «Я люблю айфоны очень сильно» заменяя «o» ноликом для большой «безопасности». По этой же причине никуда не годятся: «[email protected]»,«!admin123»,«motherrussia», «the_cool» и «thering7337».

Большинство подобных шаблонных фраз давно есть в хакерских словарях. Вот пример небольшого списка паролей для перебора. Можете скачать и поискать там ваш.

К тому же, при переборе хакеры используют не только словарные слова, но и закономерности, которыми бессознательно руководствуются люди при составлении паролей.

most_used_end_of_password
keyboard_patterns
most_used_words
names
top_pass_1
top_pass_2
top_pass_3
most_used_password

Люди мыслят и действуют очень похоже. И придумывают пароли тоже. На картинках — результаты анализа информации об аккаунтах 10 миллионов пользователей. Прокомментируем каждую из них:

1. Четверть паролей в мире заканчиваются на единицу!
2. Часто при создании пароля люди просто тыкают в стоящие рядом клавиши.
3. Слова «Я люблю его» в пароле встречаются чаще чем «Я люблю ее», но отстают по распространенности от слов «Я люблю себя» и «Я люблю секс».
4. Еще люди любят пятницу, бэтмена и чтобы логин совпадал с паролем.
5, 6, 7. Надежность пароля человека совершенно не зависит от его личных качеств. Вот примеры очень слабых комбинаций символов, которые используют руководящие работники известных компаний (на сайтах, которые принимали участие в исследовании).
8. Люди часто использует для своих паролей подряд идущие цифры и чьи-то имена, а также слова связанные с компьютерными играми и спортом.

Есть такая утилита для расшифровки паролей методом перебора, называется hashcat. Под нее можно создавать скрипты, которые учитывают подобные закономерности. Вот фрагмент таблицы с командами для их описания:
hashcat_table

К примеру, можно написать код, который будет брать логин человека, по разному переставлять в нем регистр символов, добавлять разные цифры перед ним и после него, удалять символы с разных позиций и проверять, совпадает ли зашифрованная строка с исходной или нет. Займет это дело меньше секунды. И для определенного процента пользователей это сработает! И не надо никаких миллиардов лет. Пароль в виде немного измененного логина — плохая идея.

Словарь, ссылка на который была чуть выше, перебирается схожим образом. Сначала берется текущее слово как есть, потом с измененным регистром и т.д. Чаще используется не просто список паролей, а ассоциативные цепочки заранее вычисленных хешей, так называемые «радужные таблицы». Есть хорошая статья на Хабре о том, как они составляются. Эта технология ускоряет время угадывания зашифрованной строки в тысячи раз. Так что сроки, вычисленные сервисом из пунктов 6 и 7 — условны.

Подбор и расшифровка паролей — это не то, о чем легко рассказать в двух словах (последнего мы не коснулись в статье вообще). Но независимо от платформы и способа перебора характеристики надежного пароля едины — длина, разнообразие и бессмысленность.

9. Да здравствуют коты и генераторы паролей!

password_generation
very_strong_password

Чтобы сгенерировать надежный пароль, можно попросить кошку походить по клавиатуре или зайти на passwordsgenerator.net. Для подбора примера на картинке понадобится 4 секстильона лет. И ассоциативный перебор не поможет.

Можно установить браузерный плагин для создания паролей или воспользоваться менеджером паролей (о них ниже).

10. Не забываем о контрольных вопросах

Баян из 2000-ых:

Alex: Слушай, мы чем-то похожи. Может мы родственники?
Kisa86: Думаешь?
Alex: Ну, может дальние. Какая девичья фамилия была у твоей матери?
Kisa86: Алексеенко
Alex: О, у тебя 8 новых писем )
Kisa86: в смысле???

Некоторые люди создали себе основную почту в лохматом году, сразу как вошли в сеть и по неопытности вводили ответ, о котором можно догадаться из их биографии. И с тех пор ничего не меняли. Рекомендую зайти сейчас в настройки своего почтового ящика и проверить этот момент.

Пример годного ответа на контрольный вопрос — s<)3:KH:*.9k6+a8W}R(. Можно сделать так, чтобы сброс пароля происходил с помощью мобильного телефона. Но если у вас почта на Яндексе или Mail.ru, то любой, кто знает ваш адрес электронной почты, сможет узнать в каком регионе вы покупали симку (первые 7 из 10 цифр телефона отображаются при сбросе пароля).

Где хранить пароли?

В голове. Или на бумажке, спрятанной в укромном месте. Но надо что-то придумать, чтобы в случае нахождения, ее кроме вас никто не мог использовать. В народе ходят разные «креативные» способы. Например:

  • Записать в адресной книге телефона виртуалов «Гуля», «Яша», «Мила», «Фоня» и поля для номеров заполнить паролями.
  • Составить список покупок в TO-DO листе и в комментарии к продуктам записать пароли. Допустим «Твикс» = «Twitter», «Патиссоны» = «iPhones». У кого какие ассоциации.

Но менеджеры паролей удобнее. Автоматическая генерация сложных комбинаций, автозаполнение, возможность передать данные на другое устройство. Главный минус — если кто-то узнает пароль от менеджера паролей, то он сразу будет знать все. Но для некоторых программ такая проблема уже в прошлом. Например, True Key поддерживает идентификацию по отпечатку пальца или другому устройству. А в Dashlane можно настроить подтверждение по смс.

Но если кому-то очень сильно понадобится расшифровать базу менеджера и узнать ваши пароли, то он это сделает. История знает много примеров таких ситуаций. Но если вас не разыскивает интерпол и характер у вас спокойный, то беспокоиться не о чем.

Еще в менеджерах паролей иногда обнаруживаются уязвимости. Помните историю с LastPass? Попасть в число первых жертв шанс совсем невелик и как только подобная проблема обнаруживается, то разработчики сразу присылают пользователям рекомендации о том, как обезопасить себя. Читайте письма от них и следуйте советам.

Владельцам iPhone рекомендую статью Где хранить пароли: лучшие менеджеры паролей на iOS.

Итог

1. При вводе пароля внимательно смотрим, на каком именно сайте мы находимся.

2. Защищаемся от вирусов.

3. Используем VPN.

4. Для каждого сайта придумываем отдельный пароль. А для разовых регистраций используем временные адреса электронной почты.

5. Если есть возможность, подключаем подтверждение по смс.

6. Длина пароля должна быть не менее 12 символов.

7. В пароле должны быть цифры, знаки пунктуации, прописные и заглавные буквы.

8. Пароль должен быть максимально бессмысленным.

9. Для создания паролей удобно использовать онлайн-генераторы и менеджеры.

10. Ответы на контрольные вопросы должны быть непредсказуемыми.

Что будет, если их не соблюдать?

Среди читателей обязательно окажется человек с паролем dodik1, который ставит его везде уже 15 лет подряд и думает: «Да ну тебя нафиг женщина, со своими сказками про хакеров. Я на все это забил и ни разу еще не случилось ничего».

Да, есть шанс всю жизнь прожить с паролем «qwerty» и ни разу не вляпаться в историю. Особенно, если мало сидеть в инете и пользоваться только техникой Apple.

check_your_password
ic_crack

На leakedsource.com можно проверить, есть ли ваш email и пароль от него (в зашифрованном виде) в базах взломанных аккаунтов. Старая почта для спама с 4-значным паролем засветилась аж в трех местах, как и 38 аккаунтов моих тесок. Искать человека можно по имени, фамилии, логину, номеру телефона и IP-адресу.

Если вы нашли свой адрес и пароль от него легко расшифровать, то:

  • Ваш профиль в соцсети может начать неожиданно рассылать спам.
  • Если кто-то захочет почитать вашу переписку, то он сможет купить доступ к информации о вас

Обнаружили себя — смените пароль.

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
Оставайся в теме. Подпишись на наш Telegram 👏
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Проверь себя и свой пароль. Требования к паролям иногда раздражают: — Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый! — Розы. — Извините, в вашем новом пароле слишком мало символов! — Розовые розы. — Извините, пароль должен содержать хотя бы одну цифру! — 1 розовая роза. — Извините, не допускается использование пробелов...
Прокомментировать

🙈 Комментарии 29

  1. obey_propaganda avatar
    obey_propaganda2 августа 2016
    0

    Да какой к черту антивирус, я – самый лучший антивирус. Нечего засорять и нагружать систему.

    NBoyRu3 августа 2016
    0

    @obey_propaganda, привет, Касперыч!!! Однако, самореклaмoй попахивает))…

  2. creker avatar
    creker2 августа 2016
    0

    Если сайт использует обыкновенные MD5 или SHA даже с солью для хранения паролей, то тут уже никакие ограничения на сложность пароля не спасут. Эти хэши перебираются одним мигом и все будет восстановлено любым бомжом с парочкой радеонов. Спасет только использование разных паролей на разных ресурсах, чтобы утечка пароля хотя бы ограничилась одним сайтом. А еще лучше регулярная смена пароля.

    К сожалению, до сих пор осталось стойкое убеждение что SHA1+соль защитит все пароли, а про bcrypt и тем более scrypt никто и знать не знает. Хотя к последнему пока еще надо относиться с осторожностью.

    Ирина Чернова avatar
    Ирина Чернова2 августа 2016
    0

    @creker, а не могли бы вы, пожалуйста, помочь найти пример базы расшифрованных md5 хэшей хотя бы до 14 символов?

    creker avatar
    creker2 августа 2016
    0

    @Ирина Чернова, базы больше не нужны, они потеряли актуальность. Давайте вспомним историю хранения паролей, чтобы все встало на свои места.

    Сначала пароли хранили в открытом виде, но это не интересно. Потом додумались их хэшировать с помощью того же MD5. Все замечательно, пароли никто не знает, безопасность. С приходом радужных таблиц этот метод щелкали на раз два.

    Следующее решение – хэширование с солью, чтобы заранее посчитанные таблицы нельзя было применить. Все замечательно, опять все в безопасности. Но тут начинается бум GPGPU. Одна такая игровая видеокарта за считанные сотни долларов может считать миллионы и миллиарды хэшей в секунду. А если брать специализированные ASIC, то цифры улетают вообще в небеса. И это речь только о домашнем дешевом железе.

    Все, на данном этапе всякие таблицы теряют актуальность, проще просто брутфорсить. А все потому, что используются неверные инструменты. Смысл хэш функций не только в их необратимости, но и в их скорости. Они должны быть очень быстрыми по определению, их никто не делал для хранения паролей. Это и подставило тех, кто на них надеялся. Далекие от криптографии люди предлагают всякие магические соли, двойные хэширования и прочие шалости – все это не работает.

    Сейчас единственный безопасный вариант хранения паролей это алгоритмы KDF – key derivation function. Самый надежный выбор сейчас – bcrypt. Они не просто необратимы и не позволяют применять таблицы за счет соли. Они так же позволяют контролировать необходимые вычислительные ресурсы для расчета хэша, а scrypt еще и количество памяти. Это свойство напрочь отметает любые попытки перебора. Нужно просто подкручивать параметры функции вместе с ростом вычислительных мощностей железа и никто даже близко не подступится. Единственный вариант взлома – нахождение уязвимости в самом алгоритме, что позволит упростить сложность атаки.

    К счастью, bcrypt получает все большее распространение и ситуация постепенно улучшается, но большое количество legacy систем и просто далеких от криптографии людей так и остается.

    YoureWrong avatar
    YoureWrong2 августа 2016
    0

    @creker, очень круто, спасибо.
    Криптография мне всегда нравилась – это же каким надо быть чтобы придумывать все это!! Математик+шизик какой-то, иначе как.
    Что бы вы порекомендовали почитать интересного на эту тему (шифры, взлом, персоналии)?

    Ирина Чернова avatar
    Ирина Чернова2 августа 2016
    0

    @YoureWrong, есть такой специалист по криптографии – Роман Коркикян (он иногда выступает на конференциях, можете видео посмотреть ). И он осенью 2015-го делал для ][ разъяснительный цикл статей по теме. Вот первая https://xakep.ru/2015/01/29/crypto-i-keys/ Остальные можно найти в архивах PDF (осень 2014, зима 2015).

    YoureWrong avatar
    YoureWrong3 августа 2016
    0

    @Ирина Чернова, спасибо

    creker avatar
    creker2 августа 2016
    0

    @YoureWrong, криптография это искусство, в этом весь прикол. Криптограф может придумать невероятную схему, за которой стоит сложнейший математический аппарат, и тебе будет казаться, что все безопасно. А потом придет криптоаналитик и за пару минут все сломает. Тут к сожалению формулы успеха нет. Собственно, поэтому хорошая криптография возможно только в условиях, когда все алгоритмы доступны для анализа.

    А почитать, если честно, не скажу так сходу. Просто принципы и смысл всех этих функций – приходило со временем в процессе применения этой криптографии в реальных проектах. Там почитал, там послушал и как-то отложилось. Математику за кулисами я практически не знаю, но сейчас как раз заинтересовался именной этой стороной. Можно лекции и доклады поискать. На ютубе достаточно серий лекций университетов, докладов на всяких конференциях, но скорее всего все будет на английском.

    Сейчас в разработке многообещающая книжка https://www.crypto101.io/ По предварительной версии выглядит интересно, потому что описание алгоритмов сопровождается описанием успешных атак, что порой даже важнее для понимания сути вещей. Приходит понимание, зачем делать именно так, как советуют авторы алгоритма.

    YoureWrong avatar
    YoureWrong3 августа 2016
    0

    @creker, понял. Почитаю. Спасибо

    barkholenka2 августа 2016
    0

    @creker, не сгущайте краски. Игровой видеокартой и даже десятком игровых видеокарт вы SHA265 и за пару лет не подберете.
    А в случае веб-приложений, вы еще и упретесь в защиту от брутфорса на приложении. Никто вам не даст миллиарды попыток залогиниться

    Ирина Чернова avatar
    Ирина Чернова3 августа 2016
    0

    @barkholenka, так cracker не о брутфорсе) а о переборе таблицы с паролями, которая уже скачана с взломанного сайта на комп)

    creker avatar
    creker3 августа 2016
    0

    @barkholenka, речь о ситуации, когда утекла база паролей, что сегодня частое явление. Если там будет SHA256 с солью, то это с большой вероятностью сломают без всяких таблиц брутфорсом на видеокартах или ASIC. Там конечно куча деталей связанных с энтропией реальный паролей и как это на самом деле еще больше упрощает атаки, но в общем все именно настолько плохо, поэтому хэш с солью больше не является безопасной схемой хранения паролей.

    AlexSoCute avatar
    AlexSoCute3 августа 2016
    0

    @creker, нука, подробнее расскажите, очень интересно:

    (md5+salt)md5 за считанные часы говорите? Уверены что вы найдете результат.?Вы не забывайте, ищем вариант который при этой функции выдаст тот же md5-хэш.
    Без брутфорс атаки на приложение. То-есть получить изначальный вариант без знания соли, которая случайна.
    И не говорите о коллизии. Мои специ столкнулись лишь с 3-мя в работе.

    Большинство расшифровок баз делалось только при условии наличия актуальной соли конкретно для этой базы или воспроизведение ее если она меняется.те уводили не только базу, а паровозом скриптовую часть

    creker avatar
    creker3 августа 2016
    0

    @AlexSoCute, 1. Я нигде не писал о часах или каком-то времени вообще. Лишь примерные цифры скорости расчета хэшей на дешевом железе, которые сделали хэш+соль полностью сломанными. Но уйдут скорее всего считанные часы, тут угадали.
    2. Соль, по-определению, лежит рядом с хэшем пароля в открытом виде. Если утекает база паролей, то чего вдруг не утечет соль, которая лежит в одной табличке рядом с этим паролем. А порой сама строчка хэша содержит себе соль как в каком-нить SSHA.

    AlexSoCute avatar
    AlexSoCute3 августа 2016
    0

    @creker, это где такое определение соли вы нашли?
    Сейчас(как и 2-3 года назад) любые публичные скрипты различных форумов имеют фиксированную соль (в скрипте прям, генерируется при инстале или админом) либо плавающую, которая создается по внутренней формуле.
    Вся вода которую вы налили может и работала лет 5-10 назад, но точно не сейчас. Аудиты с мд5+соль проходили такие организации, у которых целые здания с серверами.
    Если мы говорим о вебприложениях, то там достаточно чтоб соль была не в базе. Сидеть придумывать какие-то другие криптографические уловки нет никакого смысла. Ведь если у сайта дырявый сервер или база – то ему и криптография не поможет.
    И хочу напомниь так же, что эра уведения баз закончилась вместе с sql-инъекциями. А sql-инъекции масштабные sql инъекции закончились вместе с релизом PDO PHP (он все таки самый популярный был) и появлением vps, когда на любые иксы можно ставить одной командой анализаторы безопасности mysql базы не думая.

  3. gnidor avatar
    gnidor2 августа 2016
    1

    информация хороша, но русский язык у Вас, видимо, не родной. В противном случае, перед опубликованием статьи прочтите её хотя бы раз.

  4. YoureWrong avatar
    YoureWrong2 августа 2016
    0

    Статья хорошая, спасибо

    Ирина Чернова avatar
    Ирина Чернова2 августа 2016
    0

    @YoureWrong, :-)

  5. Anton Freeland2 августа 2016
    0

    Спасибо за статью! Всегда интересно почитать что-то что было написано специально для сайта а не тупо перепост с 9то5 или вердж.

    Ирина Чернова avatar
    Ирина Чернова2 августа 2016
    0

    @Anton Freeland, :-)

  6. barkholenka2 августа 2016
    0

    > Есть множество других алгоритмы шифрования кроме md5, но это тема отдельной большой статьи.
    Прошу, молю – исправьте !( md5 не алгоритм шифрования. Это алгоритм именно хэширования. Такая грубая ошибка и прямо несколько раз по тексту

  7. IRT avatar
    IRT2 августа 2016
    0

    Сорок тысяч обезьян в жопу сунули банан. (с) Лукьяненко.
    И все, никто не подберет. Ах да, известное выражение из Лабиринта Отражений. В таком случае, «сунули абрикос». Да все, что угодно.
    Любая осмысленная длинная фраза куда надежнее в качестве пароля, чем эти ваши 12 символов !%”[email protected]$#j

    Ирина Чернова avatar
    Ирина Чернова3 августа 2016
    0

    @IRT, Из 6-го пункта ясно видно то что вы написали насчет длины)

    Сейчас не вспомню адреса, но видела сайты с ограничениями длины: до 12, до 16, до 18. Для таких случаев и нужны бессмысленнность и специальные символы.

    IRT avatar
    IRT3 августа 2016
    0

    @Ирина Чернова, это плохие сайты с тупыми программистами. Понятное дело, что поля в базах данных у нас не резиновые, но в базе же хранится лишь хеш пароля, который всегда постоянной длины, не важно, какой пароль, 1 символ или 4096, хеш всегда будет, скажем, 16 байт (md5).

    Ирина Чернова avatar
    Ирина Чернова3 августа 2016
    0

    @IRT, я думаю, что они, скорее всего, просто не меняли форму регистрации с тех времен когда 16 символов было достаточно. И возможно рассуждали так: где-то надо ограничивать длину, чтобы по 50000 символов не вбивали, так ограничим на том минимальном количестве символов, которое уже нельзя расшифровать (ничего лишнего). Лет 7 назад даже на Яндекс 20 символов вроде было даже.

  8. Rainbow avatar
    Rainbow3 августа 2016
    0

    Я заметил, вы везде пишете о Россе Ульбрихте и всемогущественных спецслужбах. А вы знаете, как его поймали? Похоже, что он сам спалился. Обычная социальная инженерия. Людей находят старыми дедовскими методами, а не с помощью квантовых нейросетей, взламывающих TOR.

    Ирина Чернова avatar
    Ирина Чернова3 августа 2016
    0

    @Rainbow, Про Ульбрихта конекретно в этой статье ничего нет. А про нейросити ни в одной из статей слова нет.

    А в “Как быть действительно анонимным в сети” пример был удачный: ведь после выяснения IP-сайта ФБР договорились с провайдером, стали следить за тем в какое время Росс выходит в интернет и соотносить c активностью хозяина магазина Silk Road, чтобы доказать его вину. Шифровался, шифровался, а один маленький недосмотр испортил все. И такой маленький недосмотр может допустить каждый.

  9. Alex318i avatar
    Alex318i4 августа 2016
    0

    Судя по неисправленным “тескам” до конца статью мало кто дочитал. :)

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь