Фото: Unsplash/CC0 Public Domain

Шрифты

В то время, когда личная информация и кибербезопасность на каждодневной повестке, после того как миллионы единиц личных данных были раскрываются в результате взлома, важно узнать, что миллионы людей в мире все еще рискуют своими данными, используя пароль «123456».

Этот пароль возглавил список наиболее часто используемых паролей в результатах, опубликованных поставщиком программного обеспечения как услуги NordPass.

В сотрудничестве с независимыми исследователями в области кибербезопасности, оценивающими базу данных в четыре терабайта, компания обнаружила, что «123456» был наиболее часто используемым паролем в мире, и был использован более 100 миллионов раз.

Исследователи рассказали о паролях в Австралии, но суть этого относится ко всем странам в мире.

Пароль «123456» также наиболее часто используется в Австралии — более 300 000 экземпляров.

На втором месте был «password» — возможно, самая очевидная запись, которую человек мог придумать, с почти 200 000 использований.

Хакеру потребуется меньше секунды, чтобы взломать эти пароли.

Третье место занял «lizottes» — название популярного ресторана в Ньюкасле в Австралии. Он используется почти сотней тысяч учетных записей.

По оценкам NordPass, в отличие от популярных паролей, на взлом этой записи уйдет три часа.

Ранее в этом году фирма по кибербезопасности Hive Systems выпустила обновленные таблицы с расчетным временем «взлома» — сколько времени потребуется хакеру, чтобы взломать пароль — показывая, что пароль, такой как «lizottes», будет взломан всего за три секунды или мгновенно, если используется технология высокопроизводительных вычислений.

По словам исследователя из UQ Cyber Университета Квинсленда, Джошуа Скарсбрука, люди выбирают простые пароли, потому что хотят уменьшить входной барьер.

«Мы часто видим быстро созданные пароли как барьер для входа в системы, с которыми мы пытаемся работать», — говорит Скарсбрук.

«Если у нас есть пароль, например, длинная парольная фраза из 16 или 32 символов, то ее ввод займет некоторое время».

«Поэтому люди используют более короткие пароли, которые проще и легче запомнить».

Но это делает людей уязвимыми для взлома.

Как хакеры могут так быстро взламывать пароли?

Взломав хэш.

Хэш — это длинная сложная последовательность символов, соответствующая текстовому паролю. Он создается программным обеспечением для хеширования, чтобы хранить ваш пароль на сервере.

Когда вы вводите свой пароль, это программное обеспечение выводит его в виде хэша, из-за чего на первый взгляд трудно понять, каким может быть пароль.

Хэш может выглядеть так:

e10adc3949ba59abbe56e057f20f883e

Вы, вероятно, не можете угадать пароль, глядя на это, не так ли?

Это пароль «123456», хешированный с использованием криптографического протокола MD5.

Тот факт, что мы знаем, что этот хэш соответствует наиболее часто используемому в мире паролю, не должен нас утешать, потому что MD5 был взломан.


Top10 наиболее часто используемых паролей в Австралии и сколько их используют.

ПозицияПарольВремя для взломаКоличество
1 123456 <1 секунды 308,483
2 password <1 секунды 191,880
3 lizottes 3 часа 98,220
4 password1 <1 секунды 86,884
5 123456789 <1 секунды 75,856
6 12345 <1 секунды 69,434
7 abc123 <1 секунды 68,434
8 qwerty <1 секунды 67,130
9 12345678 <1 секунды 37,675
10 holden 2 минуты 30,844

Источник: NordPass


Хакеры взламывают хэши, вычисляя комбинации ввода на вашей клавиатуре — буквы, цифры и небуквенно-нецифровые символы — и хешируя их. Они используются для создания списков этих комбинаций, которые затем сопоставляются с украденными хэшами паролей.

В конечном счете, у хакера может получиться точно определить, как «взломать» ваш пароль. Если это вызывает в воображении образ компьютерного гения, неоднократно пытающегося угадать вашу комбинацию в надежде получить ее правильно, вы будете правы.

«Существует два разных вида перебора паролей для взлома», — объясняет Скарсбрук.

«Когда ваш компьютер фактически взаимодействует с веб-сайтом, существует онлайн-перебор паролей для взлома с помощью эффективных попыток войти на веб-сайт или в компьютерную систему тысячи и тысячи раз».

«Затем есть более офлайн-подбор паролей для взлома, когда у хакера есть хэш или другая криптографическая подпись пароля, которую они пытаются преобразовать в обычный текст».

«В случае взлома веб-сайтов это может быть довольно медленным, но, в частности, в примерах Nordpass, они имеют в виду количество времени, которое требуется компьютеру для фактического взлома пароля в автономном режиме на основе хэша».

Взлом значительно упрощается благодаря тому, что известны хэши для вычисления возможных комбинаций паролей.

К примеру Hive Systems предлагает мгновенно взломать пароль, содержащий до 11 цифр.

С другой стороны, 11 строчных букв могут занять два часа.

На комбинацию из 11 букв верхнего и нижнего регистра уйдет пять месяцев. Добавьте сюда несколько цифр, и на это уйдет три года. Добавьте @, # или $ вместо буквы, и вы получите предложение на 34 года.

Бен Корниш — директор McGrathNicol, специализированной консалтинговой фирмы, которая консультирует правительство и частный сектор по рискам и кибербезопасности говорит, что когда дело доходит до данных, люди и компании должны заботиться о них, как о золоте.

«Персонально идентифицируемая информация (PII, Personally Identifiable Information), вероятно, является одним из самых ценных товаров в наши дни», — говорит Корниш.

«Говорят, что данные — это новое золото, и персональные данные также являются его ключевой частью».

«Страшно то, что люди, вероятно, используют [один и тот же] пароль для нескольких регистраций, сайтов и приложений, и теперь, когда эта информация раскрыта — имя пользователя и пароль — это, очевидно, означает, что все, что использует эту комбинацию имени пользователя и пароля, теперь уязвимо для хакеров».


Как быстро ваш пароль может быть взломан?

Количество знаковЦифры толькоБуквы нижнего регистраБуквы верхнего и нижнего регистровЦифры, Буквы верхнего и нижнего регистровЦифры, Буквы верхнего и нижнего регистров, Символы
4 Мгновенно Мгновенно Мгновенно Мгновенно Мгновенно
5 Мгновенно Мгновенно Мгновенно Мгновенно Мгновенно
6 Мгновенно Мгновенно Мгновенно Мгновенно Мгновенно
7 Мгновенно Мгновенно 2 секунды 7 секунд 31 секунда
8 Мгновенно Мгновенно 2 минуты 7 минут 39 минут
9 Мгновенно 10 секунд 1 час 7 часов 2 дня
10 Мгновенно 4 минуты 3 дня 3 недели 5 месяцев
11 Мгновенно 2 часа 5 месяцев 3 года 34 года
12 2 секунды 2 дня 24 года 200 лет 3 тысячи лет
13 19 секунд 2 месяца 1 тысяча лет 12 тысяч лет 202 тысячи лет
14 3 минуты 4 года 64 тысячи лет 750 тысяч лет 16 миллионов лет
15 32 минуты 100 лет 3 миллиона лет 46 миллионов лет 1 миллиард лет
16 5 часов 3 тысячи лет 173 миллиона лет 3 миллиарда лет 92 миллиарда лет
17 2 дня 69 тысяч лет 9 миллиардов лет 179 миллиардов лет 7 триллионов лет
18 3 недели 2 миллиона лет 467 миллиардов лет 11 миллионов лет 438 триллионов лет

Источник: Hive Systems


Как вы можете защитить себя?

Если руководствоваться таблицей Hive Systems, хорошим первым шагом будет сложный пароль — длинная смесь букв, цифр и символов.

Некоторые люди теперь используют «парольные фразы».

Вместо «AcDc!99» вы можете использовать «!tsaL0ngWay2TheT0p» (означает Its a Lоng Way to The Top).

Для взлома такого пароля потребуется невероятно колоссальное время, около 438 триллионов лет — довольно неплохо (хотя мы, очевидно, опубликовали его сейчас, так что не используйте его).

Возможны и другие меры безопасности, такие как двухфакторная или многофакторная аутентификация. При настройке это может включать уведомление, отправляемое на ваш смартфон или электронную почту с кодом ввода.

Приложения для управления паролями также являются решениями для создания и хранения длинных и сложных паролей.

Но каждый год появляются новые случаи нарушения конфиденциальности, и есть даже веб-сайт, который сопоставляет ваши данные с общедоступными событиями взлома.

Это, по словам Корниша, означает, что люди должны быть бдительны в отношении того, какой информацией они делятся — или на что подписываются — в первую очередь.

«Это сводится к тому, чтобы не размещать слишком много информации, не предоставлять все свои данные в случайных анкетах, которые вы получаете на Facebook или где-либо еще», — говорит Корниш.

«И будьте очень бдительны, когда люди запрашивают информацию или просят вас предоставить информацию».

«Убедитесь, что вы отслеживаете необычные взаимодействия или сообщения, которые вы можете получать по электронной почте, через текстовые сообщения, через телефонный звонок… следите за своими банковскими счетами на предмет любой необычной активности».

Источник: Cosmos.