Сложный пароль — гарантия безопасности?

Сложный пароль — гарантия безопасности?

Еще не утихли страсти по поводу того, что более ста тысяч учетных записей от всем известной социальной сети стали достоянием общественности. Многие, кто взялся проанализировать эти данные, впоследствии писали, что удивлены тем, что кто-то все еще использует в качестве пароля очевидные данные, такие как 123456, qwerty, номер своего телефона или дату рождения. Но, помимо элементарных, в этом списке есть и пароли вроде F4xdi8huoQXK. Стоило ли придумывать и запоминать сложный пароль, если его все равно похитили? Это натолкнуло меня на размышления о том, какого же пароля будет достаточно, что бы защитить себя, но еще и так, чтобы не пришлось его записывать, потому что запомнить десять случайных символов трудновато.

Эксперимент выглядел так: создается два почтовых ящика на mail.ru. Пароль на обоих krot23 — банальные шесть символов. Теперь нужно как-то привлечь к этим ящикам внимание злоумышленников. Поискав в интернете преступные организации, которые предлагают взлом почты за деньги я обнаружил, что таких предложений довольно много. Цены за предлагаемые услуги разнятся от 1500 рублей до 1500 евро. Такой разброс цен меня заинтересовал. Злоумышленники, предлагающие услуги за меньшие деньги напирают на то, что задача несложная и те, кто хотят за это крупную сумму — мошенники, необоснованно завышающие цену. Более того, они даже не против того (а иногда и прямо призывают), что вы сами найдете клиента, согласного заплатить больше и отдадут вам разницу. А те, кто просит больше утверждают что выполняют услуги качественно и быстро, в отличие от тех кто предлагает те же услуги за копейки, но никогда не могут выполнить взятые обязательства или в интернете много сайтов по взлому, где очень часто работа выполняется некачественно, либо происходит обман и вам присылают лжедоказательства.

Подобных предложений великое множество. Сразу отбросив тех, кто просит полную или частичную предоплату, как очевидных мошенников я выбрал пять сайтов, дизайн которых наиболее приглянулся. Внимательно читая информацию, предоставленную на этих сайтах я не раз про себя улыбнулся всяким Наша команда одна из известных хакеров, за нас пишут в газетах и журналах, нас показывают по ТВ., Наш сервис обеспечивает проффессиональный подход к работе и к каждому заказу. — такое количество пафоса и грубых ошибок... Что характерно, сайтов без ошибок просто нет. Видимо слишком заняты серьезным бизнесом, чтобы тратить время на вычитку контента.

Не забывают взломщики и о социальных сетях — кое где есть многообещающее На нашем сайте помимо взлома почты, Вы можете заказать взлом анкеты vkontakte.ru.

Во всех случаях меня предупреждали: Не заказывайте этот ящик другим, так как его вообще не удастся взломать.

Дальнейшие действия были одинаковые во всех пяти случаях — я указывал один ящик, как тот, который требуется взломать, а второй — как ящик для связи со мной.

На следующий день на ящик для связи пришли подтверждения о том, что заказ принят от четырех сервисов. Пятый видимо уже заброшен. Дальше оставалось только ждать. Через какое-то время дал знать о себе заказанный ящик — туда пришло сообщение:

Вот такой вот банальный фишинг. При этом злоумышленники даже не посчитали нужным подставить что-то внушающее доверие в адрес отправителя. В качестве сервера, при помощи которого отправлялось письмо значилось странное host2.thejethost.info. Странная ситуация — якобы администрация мэил.ру отправляет письма, используя не свой сервер. Еще через день пришло еще одно письмо. Что интересно — содержание и оформление идентично. Отличалось лишь использованным для отправки сервером. То есть понять, было это письмо от другого сайта или еще одна попытка нельзя. Других писем по истечении недели не пришло — то ли времени у взломщиков не нашлось, то ли ответ о принятии заказа прислал робот, а сам сайт давно не контролируется. А может просто адреса, с которых приходят такие письма находятся в черном списке мэил.ру.

Какие можно сделать выводы? Исходя из того, что за деньгами ко мне никто так и не обратился, предположу, что заказанный ящик так и остался не взломанным. А принимая в расчет методы, использовавшиеся злоумышленниками о взломе говорить вовсе не приходится — это просто мошенничество, а не взлом. Ведь под взломом подразумевают либо использование уязвимостей сервера (в данном случае почтового) либо подбор пароля перебором.

Нужно отметить, что перебор паролей (брутфорс) мало эффективен при взломе интернет-сервисов. Это обусловлено недостаточной скоростью такого перебора. Кроме того, многие сервисы ставят ограничение на количество попыток ввода пароля:

Или добавляют капчу (captcha), после ряда попыток:

Это вовсе не означает, что нужно использовать простые пароли, вроде 123456 или qwerty. Но из этого можно сделать вывод, что выдумывать зубодробительные пароли, вроде F4xdi8huoQXK может быть излишне.

Возвращаясь к утечке данных, хотелось бы отметить, что большую опасность несет то, что очень многие используют одинаковые пароли к нескольким сервисам. Так отдав мошенникам пароль от учетной записи Вконтакте можно лишиться и почты. А если на эту почту завязаны еще какие-нибудь регистрации, то и их. С этой точки зрения куда важнее иметь разные пароли для разных учетных записей.