Подобрать любой пароль можно за несколько минут при помощи облачных вычислений, а в Google или «Яндекс» за пару секунд можно легко найти сервис дешифровки хэшированных паролей

 

Вооруженный файлом с паролями нужной длины, хакер может использовать его для взлома аккаунта методом перебора (brute force). В зависимости от имеющегося у него инструментария и длины пароля на это может потребоваться различное количество времени, но, к примеру, если задействовать облачные вычисления, то восьмисимвольный пароль может быть подобран приблизительно всего за 12 минут. По данным The Conversation, столь существенная экономия времени обойдется киберпреступнику всего в $25 (1910 руб. по курсу ЦБ на 23 сентября 2020 г.).

Но существуют и еще более доступные способы по затратам времени и денег получения доступа к нужному аккаунту. Существуют онлайн-сервисы, предлагающие покупателям архивы и паролями к ним, и тому, кто приобретет такие архивы, понадобится всего лишь найти требуемую ему комбинацию простым поиском по документу.

Google, Яндекс, дешифровка, хэш, пароль, пользовательские данные
Пароли продаются в интернете у всех на виду

Для примера, в Сети можно купить архив с 593 млн адресами электронной почты и паролями к ним. Обойдется такая покупка всего лишь в 14,4 австралийских доллара. (790 руб.).

Хэш –не панацея

Нередко в украденных базах с паролями с тех или иных сайтов эти самые пароли представлены в хэшированном (зашифрованном при помощи специального алгоритма) виде. Попытка авторизоваться, используя зашифрованный пароль, не приведет к должному результату.

 

Но и это в настоящее время перестало быть проблемой. В Сети существуют множество общедоступных сайтов, позволяющих моментально преобразовать хэшированный пароль в обычный. Более того, искать их даже не придется – поисковые сервисы сделают это самостоятельно. Например, пароль «Pa$$w0rd», зашифрованный хэш-алгоритмом SHA-1, выглядит как «02726d40f378e716981c4321d60ba3a325ed6a4c». Если же ввести эту комбинацию в Google, то первая же ссылка в поисковой выдаче приведет на сайт-дешифратор. Редакция CNews убедилась, что это работает и с «Яндексом».

Google, Яндекс, дешифровка, хэш, пароль, пользовательские данные
Пароли продаются в интернете у всех на виду

Дешифровка хэшей перестала быть проблемой и проводится прямо в онлайне

Расшифровка паролей из хэша стала настолько распространенной практикой, что в Сети стали появляться многочисленные веб-сайты, на которых перечислены общие пароли вместе с их хэшированным значением. Можно вписать в строке поиска нужный хэш и получить готовый пароль.

 

 

Безопасность данных никому не нужна

Практики по перебору паролей должны были бы привести к тому, что пользователи были бы вынуждены научиться создавать максимально длинные и сложные комбинации букв и символов для защиты от взлома. Но, на самом деле, все совершенно не так. В 2019 г., по статистике ресурса SplashData, в первую тройку наиболее популярных паролей входили «123456», «123456789» и, разумеется, «qwerty».

Google, Яндекс, дешифровка, хэш, пароль, пользовательские данные
Наиболее популярные пароли нельзя назвать изощренными.

Ситуация с популярными комбинациями символов для паролей не меняется годами. Так, «123456» удерживает первое место на протяжении как минимум последних пяти лет, а слово «password», с 2015 по 2018 гг. стабильно занимавшее вторую строчку, лишь в 2019 г. спустилось на четвертую.

 

 

Возможное решение проблемы

Пароли больше не могут обеспечить безопасность личных данных пользователей, но и повсеместно распространенной альтернативы у них пока еще нет. В итоге есть лишь один способ защитить свою информацию хотя бы частично – нужно использовать разные пароли на разных сайтах и в разных системах.

 

Такой подход позволит снизить вероятность взлома сразу всех аккаунтов. Кроме того, пользователю не придется в спешке менять пароли на всех сайтах, где он использовал украденную комбинацию. Также The Conversation рекомендует хранить все пароли в специальных менеджерах – отдельных программах или веб-сервисах.

 

Источник

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.

Новости о науке, технике, вооружении и технологиях.

Подпишитесь и будете получать свежий дайджест лучших статей за неделю!