Массовые взломы паролей. Кто же виноват?


Лето 2012-го началось весьма интересно для хакерских кругов. Украли 2 крупных базы данных с паролями. У Riot Games и LinkedIn увели около 32-х миллионов и 6,5 миллионов аккаунтов соответственно. Однако украсть базу, ещё не значит получить доступ на сайт. Так как в БД хранятся не сами пароли, а их хеши, то по задумке на расшифровку должны уйти месяцы, а некоторые пароли и вовсе не должны быть расшифрованы. Однако на деле происходит всё по другому.

Для начала нужно разобраться, что такое хеш. Если кратко, то хешем называют преобразование любой последовательности символов в другую последовательность символов фиксированной длины. Например хеширование в MD5 всегда будет давать строку, состоящую из 32-х символов. Неважно будет изначальное слово «12345» или «sN30IPFeNJ», в результате всё равно будет 32 символа.
Кроме того важно понять, что обратного преобразования не существует. То есть невозможно имея готовый хеш вычислить изначальное слово. Обычно в базах данных хранятся именно хеши, а не сами пароли. Это сделано как раз для той цели, чтобы в случае потери базы злоумышленники не могли получить данные к аккаунтам пользователей. Проверить, как хранится пароль на сайте (в хеше или нет) довольно просто: достаточно воспользоваться формой восстановления паролей. Если вам придёт ваш старый пароль, то значит, что именно он хранится в базе данных, а если придёт новый, сгенерированный пароль, то значит, что в БД лежит хеш, который невозможно расшифровать.

Однако хакеры всё таки узнают пароли, имея только хеш. Да, расшифровать его невозможно, но получить хеш из готового пароля это не проблема. Значит остаётся дело за банальным перебором. В итоге получается, что если у вас пароль «из словаря» (например, «1234» или «angel»), то он будет взломан за считаные минуты. А вот хороший криптостойкий пароль, сгенерированный программой, который содержит буквы, цифры и спец. символы и имеет солидную длину, будет подбираться десятилетиями.

При подборе паролей важную роль играет время обработки. Именно поэтому никто в здравом уме не будет пытаться подбирать данные для авторизации на работающем сайте. И дело вовсе не в том, что без БД хакер не знает всех логинов, а потому, что на компьютере возможен перебор по нескольку паролей в течение 0,1 секунды, а в онлайне только 1 пароль на 1-2 секунды.

Именно для увеличения времени на обработки команды и придумали соль (salt). По сути соль это просто некая последовательность символов, которую нужно знать и подавать вместе с входными данными (с самим паролем) перед самим шифрованием. Проще говоря, соль увеличивает длину пароля, тем самым увеличивая время для шифрования, а следовательно и для подбора.

Но вернёмся к нашим баранам. У Riot Games украли базу данных в которой было более 32-х миллионов аккаунтов от игры League of Legends. И уже через несколько дней было объявлено о расшифровке большей части паролей. По данным расшифровщиков около 50% пользователей имели на столько простой пароль, что для взлома даже не потребовалось бы красть базу данных. 11 паролей повторялись более чем у 10 тысяч пользователей. А 2% пользователей использовали такой пароль, который есть ещё как минимум у одного игрока League of Legends.

Даже если учесть, что игроки f2p игр в основном школьники, которые не особо заботятся о безопасности, то можно взглянуть на данные об LinkedIn. Это сайт в стиле социальной сети, но для людей, которые ищут работу или предлагают её. То есть, по большей части, там сидят взрослые и образованные люди. В базе данных сайта насчитывается около 6,5 миллионов аккаунтов. И опять же, большую половину уже расшифровали. Отечественные хакеры даже выложили найденные пароли (а словарик то всё пополняется и пополняется) в онлайн для всеобщего обозрения.

Массовые взломы паролей. Кто же виноват?

Полная версия картинки здесь.

Смотря на эту печальную статистику уже не остаётся вопросов о том, как же крадут аккаунты в Diablo III. Да там не было утечки базы данных, но благодаря функции межигрового чата и бателтэгу можно без особого труда узнать логин любого игрока. А зная его логин, можно попробовать перебрать около 1000 самых популярных паролей, пусть и со скоростью 1 пасс в секунду.

Так кто же виноват? Если пользователь изначально не заботится о своей безопасности и создаёт пароль «1234», то винить хакеров или хозяев сайта, это уже хамство. Когда процент простых паролей снизиться до 5-10%, а не как сейчас 50-70%, то воровать базы данных станет бессмысленным занятием и о таких массовых взломах мы будем слышать всё реже и реже.

 (голосов: 3)




Если Вам понравилась новость, поделитесь с друзьями:

html-ссылка на публикацию
BB-ссылка на публикацию
Прямая ссылка на публикацию


Комментарии (0) Напечатать

Другие новости по теме:
Уважаемый посетитель, Вы зашли на сайт Hacker-Lab.com как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.