Вчора серфив інтернет і випадково, як це часто буває, наштовхнувся на дамп бази даних якогось DLE форуму. Тобто, вебмайстер форуму з якоюсь незрозумілою метою виклав дані про своїх користувачів на файлообмінник, з якого цей файл можна було вільно закачати. Дурень! Якщо таким чином ти передаєш комусь інформацію чи робиш для себе бекап, то хоч заархівуй з паролем!
Просто шкідник, а не вебмайстер.
Мене зацікавило, а що може звичайний користувач комп`ютера та інтернету, без особливих навиків у гакерстві, як я, витягти з цієї інформації?
Це питання перегукується з проблемою приватності та інформаційної безпеки загалом. Наскільки ми всі захищені, довіряючи свої дані стороннім сайтам та їх власникам?
Увага! Наступний текст не потрібно розглядати, як спонукання до протиправних дій – а лише, як викриття гакерських технологій. Ця інформація допоможе користувачам уникнути ризику втрати своїх особистих даних
Отже, у файлі кожен бажаючий міг знайти:
1. величезну кількість емейлів (для спаму вже можна було використовувати)
2. логіни (часто – унікальні імена, за якими користувача можна шукати на інших інтернет-ресурсах)
3. хеші паролів
Паролі у відкритому вигляді, звичайно, поважні програмісти зберігати не дадуть, тому у двигунці ДЛЕ-форуму кожен пароль зберігається у вигляді двічі захешованого тексту. Фактично, розшифрувати такий пароль неможливо. Можна лише підбирати слова, хешувати кожне окреме слово і перевіряти, чи результат не збігається з тим, що зберігається у базі даних. Перебирати таким чином паролі, якщо вони достатньо довгі – це поки що нереальна за часовими та обчислювальними вимогами процедура.
Але… користувачі самі допомагають гакерам, вибираючи примітивні паролі: “1234567”, “qwerty”, “пароль” (англійською розкладкою); прості слова, типу, “леголас”; число з цифрами дати свого дня народження або свій же логін чи емейл.
Думаю, багато хто з вас впізнав і свої паролі. Еге ж?
Я, використовуючи онлайн-сервіс, що дозволяє хешувати текст, двічі прогнав “1234567” і отримав набір символів, який мав би співпадати з даними у базі форуму, якщо хтось з користувачів вибрав пароль “1234567”. І, як ви здогадуєтесь, знайшов купу таких простачків. Тобто, якби я знав адресу того форуму, то міг би логінитись під десятками логінів.
Якщо ж потрібно взнати пароль конкретного юзера, то використовують вже існуючі таблиці хешів та відповідних їм слів. Якщо пароль простий і використовує слово зі словника, то, скоріше за все, його хеш вам швидко розхешують в тих же онлайн-сервісах. Я підозрюю, що такі таблиці наповнюються ще й за допомогою сервісів, на кшталт: “Перевір, наскільки надійним є твій пароль”, коли користувач, фактично, сам заповнює такі гакерські таблиці.
Отже, перша основна помилка користувачів – це примітивний пароль. Намагайтесь не використовувати слів зі словника чи лише цифри. Вибирайте паролі достатньої довжини (не менше 6 символів, але краще побільше), комбінуйте великі, маленькі літери і цифри. Не допускайте, щоб пароль співпадав з вашим логіном чи емейлом.
Друга основна помилка користувачів – використання однакових логінів, емейлів та паролів на різних інтернет-ресурсах.
З бази даних форуму я, скажімо, отримав мейл, логін і пароль користувача. Мені ніщо не заважає спробувати залогінитись на його поштовику чи на інших форумах і сервісах, де через Гугл знайдеться логін користувача. І кожен десятий випадок, повірте, буде успішним.
За Вами вже виїхали… 🙂
Хай їдуть – але, мушу попередити, мої консультації платні 🙂
На сьогоднішній день, для більшості серйозних cms, одного хешу недостатньо, щоб отримати з нього пароль.
Якщо пароль “1234567”, то які шифрування і хитрощі врятують користувача? 🙂
Елементарні. Незнаючи алгоритму хешування неможливі підбрати пароль до хешу.
Самописний софт, звичайно, може бути найбільш надійним. 🙂