Меня взломали хакеры

Большинство людей, с каким то трепетом относятся к хакерам. Они им представляются какими-то волшебниками, которые с помощью ритуалов вуду или каких-то магических приспособлений ломают все, что вокруг. Тем не менее, в большинстве случаев, люди сами виноваты в том, что их взломали. Давайте представим, что вы пригласили меня к себе домой и предложили взломать ваш компьютер. Вот мой топ ваших паролей:


  1. Имя вашей жены, ребенка, мамы, собачки. Возможно с цифрой 1 или 0 в конце;
  2. Паспортные данные, ваш идентификационные код;
  3. 123 или 1234 или 123456;
  4. qwerty или qwaszx или слово «пароль» в латинской раскладке;
  5. Город, Институт или ваша любимая команда по футболу, хоккею, Ваш адрес, номер дома, квартира;
  6. Ваши и ваших детей даты рождения, свадьбы, развода, покупки компьютера и т.д;
  7. Ваш номер телефона;
  8. Девичья фамилия вашей мамы;
  9. Название вашего монитора, ноутбука (ведь они всегда у вас перед глазами). Например: Samsung2243bw. Марка вашей машины, ее номер.
  10. Слова типа «Бог», «Впустименя», «Тыдурак», «ЯКрутой», «Однокласссники», «Программист», «Бухгалтер», конечно же, что б никто не догадался, вы печатаете их в латинской раскладке. Иногда добавляя в конце 1 или 0. Высший же пилотаж, это печатать эти слова с помощью транслитерации: «Tidurak123», «Superblogger», «MegaProgramist», «BukGalter»…. конечно же ни один компьютер не сможет до такого догадаться…. шутка!

Статистика показывает, что этот нехитрый список составляет 20% всех ваших секретных паролей. И даже, если в качестве пароля вы ничего такого не использовали, то всегда есть механизм восстановления «забытого» пароля, уж там то вы наверняка использовали имя мамы или любимую футбольную команду. Вы скажете, да это так, но кто знает мои паспортные данные или мою любимую футбольную команду? Вы и вправду в это верите? Как минимум, это знают ваши друзья, жена, отдел кадров на работе, спецслужбы, читатели вашего блога, одноклассники и т.д. И пускай чего-то там знают не все, но очень много чего можно спокойно найти немного погуглив или задав пару вопросов вашим друзьям. А теперь подумайте, кому может понадобиться ваш пароль от компьютера или почтового ящика? Думаю, что вы не задумываясь ответите: обиженной бывшей жене, «друзьям», партнерам по бизнесу, сотрудникам вашей бывшей или настоящей работы (например, отделу кадров), спецслужбам — работа у них такая… Люди которые этим занимаются, обладают целым арсеналом программ, которые за считанные секунды составляют все возможные комбинации паролей из подобной информации. Включая слова написанные задом наперед или с большими буквами на втором-третьем месте.  Программы используют словарики слов наиболее часто используемых в паролях, могут комбинировать их с вашими персональными данными (см. список выше). Вы скажете, все это конечно весело, но моя программа клиент банкинга блокируется, если ввести три раза подряд неправильный пароль! Я скажу вам, а зачем мне ломать ваш клиент банкинг? Я всегда могу взломать ваш аккаунт в одноклассниках, к вашей почте, skype, icq и там просто спросить ваш пароль у вашей жены. Написать письмо в банк. Или просто воспользоваться системой восстановления или смены пароля. Как я при этом буду рассуждать:

  • Вряд ли вы используете разные пароли для разных сайтов. Скорее всего у вас всего ДВА пароля, один для форумов и почты, второй для покупок в интернете и бизнеса;
  • Некоторые сайты прекрасно защищены и я даже не буду пытаться их трогать;
  • Но есть куча форумов, соц. сетей, блогов, где вы часто появляетесь и имеете аккаунт, с ними мне и надо работать;
  • Вряд ли вы используете разные имена на разных сайтах, скорее всего, вы везде AIvanow или Vova1966. Впрочем, составить список из 5000-10000 вариантов ваших логинов не составит никакого труда (для человека, который этим профессионально занимается);
  • Далее, мне достаточно подобрать логин+пароль хотя бы для одного сайта, и я могу пройтись по всем остальным и как минимум попробовать его и там;
  • Если получится получить доступ к вашей почте, я могу везде попробовать восстановить пароль и попросить выслать мне пароль на этот почтовый ящик;
  • Еще есть кукисы (cookies) и хотя там нет никакой важной информации, но как минимум я могу узнать, какими сайтами вы пользуетесь, включая сайты банков, соц. сетей и т.д.

И сколько может занять времени, подбирание одного пароля для одного сайта (хотя можно подбирать параллельно для нескольких сайтов, остановимся на одном). Тут все зависит от длины и сложности вашего пароля. Также, от того, какие символы вы используете в пароле. Используете вы только маленькие буквы или маленькие + большие или еще и символы типа «%@#$», цифры. Еще зависит от скорости интернета, скорости компьютера хакера, но это обычно, не есть проблемой для тех, кто этим занимается. Итак, давайте прикинем примерно, что будет, если ваш пароль полностью случайная последовательность (т.е. это не фамилия мамы, ваш номер паспорта и т.д.).

  • ваш пароль состоит из 3х символов: компьютеру надо 0.02 сек на подбор пароля состоящего только из маленьких букв латиницы и 0.86сек если вы используете любые символы;
  • 4 символа: 0.46сек и 1.36мин;
  • 5 символов: 11.9сек и 2.15час;
  • 6 символов: 5.15мин и 8.51дн;
  • 7 символов: 2.23часа и 2.21года;
  • 8 символов: 2.42дня и 210лет.

Числа приводятся для более менее среднего компьютера. Если использовать компьютеры гугла, то получится в 1000 раз все быстрее. И это для самого «плохого» случая, когда ваш пароль выбран случайно. Хакеры в первую очередь проверяют благозвучные пароли или слова из словаря.

Что же делать, что бы вас не взломали? Достаточно следовать простым правилам и у вас будет все в порядке:

1. Пользуйтесь  случайными паролями, не используйте слов в них и особенно именами, фамилиями, названиями фирм, футбольных команд.

2. Старайтесь или заводить везде разные пароли или как минимум разделять пароли по группам. Например пароль к интернет банкингу не должен восстанавливаться (быть привязанным) к вашему публичному email. Заведите специальный почтовый ящик со сложным паролем, который отличается от всех остальных. Помните, получив доступ к вашему почтовому ящику, злоумышленник всегда может по нему восстановить пароли для всех аккаунтов привязанных к нему.

3. Избегайте привязки паролей к вашему номеру телефона. Для «восстановления» сим карточки, достаточно примерно знать несколько ваших последних платежей. Очень часто, люди пополняют счет карточками с фиксированной суммой, даты тоже могут быть известны окружающим (например, продавцу, который эти карточки вам продавал). Я не буду говорить, что это совсем просто, но все же возможно.

4. Избегайте привязки ваших аккаунтов, к аккаунтам социальных сетей. Думаю понятно, почему?

5. Избегайте заражений вирусами.

Пару подсказок напоследок:

1. Не можете запомнить все эти тонны паролей и логинов? Воспользуйтесь простыми программками для хранения паролей. Они есть на любой вкус и почти под любую платформу. Так что выбрать есть из чего.

2. Помните, что обычно берут то, что плохо лежит. Так что вас реально нужно что бы все чем вы пользуетесь — «лежало хорошо». И даже если вы не интересны никому и никто не хочет получить ничего от вас, есть куча школьников, которые, почитав пару статеек про хакерство, начинают «чудить».

3. Не следует хранить пароли — логины в документе ворда на вашем компьютере. Вполне возможно, что ваш WiFi роутер не достаточно защищен, что может привести к плачевным результатам. Что мешает кому-то припарковаться рядом с вашим домом и спокойно подбирать пароль к вашему WiFi? Что мешает вашему соседу (которого вы затопили на прошлой неделе) делать это, лежа перед телеком на диване? Да и специальные программы трояны, вирусы еще никто не отменял.

4. Вы можете сказать, что у меня такой просто пароль на почтовый ящик, потому что я там не храню ничего важного и он не привязан никуда. Я там всего лишь общаюсь со своим друзьями и переписываюсь с женой. Вы и вправду считаете, что это не важная информация? Тогда перечитайте этот пост еще раз с самого начала и более внимательно.

Есть достаточно много людей, которые говорят примерно следующее: «Да кому я нужен, никто и никогда не будет такого делать». Есть куча аргументов, которые можно привести в пользу ошибочности данного заявления. Просто поверьте мне, если бы люди совершенно точно знали кому они нужны и зачем, то они бы никогда не использовали бы простых паролей. Важность того или иного человека, хорошо показывает следующий мульт.

Запись опубликована в рубрике Интернет с метками , . Добавьте в закладки постоянную ссылку.

6 комментариев на «Меня взломали хакеры»

  1. Ярослав говорит:

    не понятно, что имеется в виду
    «3. Избегайте привязки паролей к вашему номеру телефона. »

    Сейчас под этим на сайтах типа вконтакте, mail.ru, yandex подразумевается возможность восстановления пароля через телефон в виде SMS. Если вы имеете ввиду это, то почему стоит избегать?

    • Роман говорит:

      Ну тут несколько моментов:
      а) Любой, кто получит доступ к вашему аккаунту, автоматически получает ваш номер телефона, что уже не сильно хорошо
      б) Любой, кто получит доступ к вашему телефону, автоматически получает доступ ко всем вашим аккаунтам. Что уже совсем плохо, т.к. телефоны имеют свойство иногда теряться. Более того, вы можете случайно оставить телефон на работе, дома, у друзей…
      в) Если у вас подключение не контрактное, то любой, кто знает когда и на сколько вы пополняли счет вашего телефона, может легко «восстановить» вашу сим карточку у оператора….
      Если все эти моменты вас не смущают, то можно привязывать пароли. А лучше завести отдельную любую сим карточку и привязываться к ней, а основной номер не трогать )

      • Ярослав говорит:

        Мысль понятна, спасибо.

        Взлом.
        а) Неприятно, но не смертельно. Хотя, злоумышленник сможет получит доступ (на примере вконтакте, mail.ru) только к первым цифрам номера (к сожалению на «Яндекс почте» ко всему номеру).

        Утеря.
        б) по утерянному телефону нельзя понять к каким сервисам он подключен. И подключен ли вообще. К тому же частота потери телефона (ну 1 раз в 2 года допустим), не сравнима со скоростью с которой номер можно заблокировать (требуется около 15 минут для звонка оператору).

        Восстановление.
        в) Не совсем понял. В РФ, насколько я знаю, без паспорта номер вообще не получить => без паспорта его восстановить невозможно (один раз уже восстанавливал).

        Моменты не смущают, т.к. привязка аккаунта к сотовому телефону выглядит надежнее привязка к ответу на секретный вопрос вроде «девичья фамилия вашей матери». К тому же круг лиц которые хотят взломать наши аккаунты гораздо шире, чем круг лиц имеющий возможность украсть телефон.

        В общем, всё же не могу согласиться с этим пунктом. В остальном статья понравилась. Спасибо.

        • Роман говорит:

          Прежде всего спасибо за интерес )
          а) Согласен — не смертельно. Написал так, для полноты картины.
          б) Ну как раз утеря/воровство и не так страшны:
          — не известно, кто найдет ваш телефон
          — вряд ли карманники занимаются еще и взломом, по совместительству
          Смысл в том, что наверное 40-50% всех взломов делается близкими к человеку людьми (вторая половина — браузерные скрипты) — это ревнивые жены, завистливые или просто любопытные друзья, сослуживцы и т.д. При этом, вам и не надо даже терять телефон — достаточно просто забыть его дома или на работе. Понять к каким сервисам вы подключены по телефону — а зачем? Сервисов не так уж и много — просто заходишь на все и восстанавливаешь тупо везде.
          Смысл пункта не в том, что бы совсем отказаться от привязки к телефону, а в том что завести специальную сим карточку и привязывать к ней. Ведь если вы, имеете сбережения — не носите их с собой в карманах, вы кладете их на депозит. Привязав ваш электронный клиент-банк к вашему телефону, вы по сути начинаете носить свои сбережения у себя в кармане.
          в) В Украине номера можно покупать как колбасу в супермаркете. Там никаких привязок к паспорту нет. А так, да — для России, этот пункт снимается )))

          • Ярослав говорит:

            ОК. На этом и договорились :)

            маленький момент касательно «Сервисов не так уж и много — просто заходишь на все и восстанавливаешь тупо везде». Не получится. Надо точно знать логин, чтобы воспользоваться восстановлением. С другой стороны, если телефон — это смартфон, с настроенным Vkontakte, Yandex/Google/Mail.ru/… аккаунтом то узнать всё-таки можно.

            P.S. Насчет жены, кстати не подумал… :)

  2. Aleks говорит:

    Меня взломали что делать пожалуйста подскажите

Добавить комментарий