Защо хакерите разбиват нашите пароли толкова лесно

хакерите

Нарушаването на потребителски пароли е едно от най-разпространените престъпления в мрежата, оставяйки DoS атаки и създаването на ботнет мрежи далеч назад. Защо хакерите са толкова лесни за разбиване на пароли? И всичко е свързано с прословутия човешки фактор.

Най-важната причина е, че ние подсъзнателно избираме пароли, които е много трудно да се познаят и запомнят за непознати, но с които един обикновен персонален компютър може да се справи „наведнъж“. Нека да поговорим за това как хакерите всъщност разбиват пароли и как да се справят с тях.

Повтаряме, Андерсън никога през живота си не е участвал в разбиване на пароли преди. Ето защо, впечатлени от успеха му, през май 2013 г. редакторите на Ars Technica решават да повторят експеримента със същия списък с хешове MD5, но с участието на трима професионални бисквити. Резултатите бяха още по-опустошителни този път.

Как работят специалистите по хакване и защо потребителските пароли са толкова лесни за дешифриране?

На първо място, „простите“ пароли се разбиват, което отнема най-малко време, а след това, както във всяка компютърна игра, хакерът преминава към по-високи нива, които изискват много повече време и специални умения.

Като начало се стартира груба сила, която позволява дешифриране на повече от половината пароли с дължина от един до шест символа включително, които включват 26 латински букви с главни и малки букви, 10 цифри и 33 други знака, общо 95. В резултат на това имаме много скромен брой комбинации, които средният работен плот може да изчисли за броени минути.

Разширяването на паролата само с един или два знака радикално увеличава броя на опциите и пълното търсене на всички комбинации ще отнеме няколко дни.

Поради това експертите обикновено избират например пароли, състоящи се само от малки букви, дълги до 8 знака, както и пароли с числа до 12 знака. Методът "груба сила" с такива параметри позволява дешифриране на значителен процент дълги пароли.

Използването на метода за груба сила за по-сложни пароли е неразумно, тъй като може да отнеме години и тук нападателят вече преминава към използване на специално съставени списъци с речници, които се изготвят на базата на реални потребителски пароли, „осветени“ в различни течове.

Базите данни като RockYou или LinkedIn са особено ценни, защото съдържат реални потребителски пароли, а не само произволни комбинации. Има специални правила за подмяна и отгатване за изчисляване на варианти, което дава още повече потенциални пароли. И ако анализирате темата на сайта, интересите и професиите на неговите потребители, тогава можете да добавите още по-фини алгоритми за изчисление със специфични шаблони и маски.