Защита от дурака: часть 2(Пароли).
В этой части статьи «Защита от дурака» поговорим о паролях. О создании и как защитить себя от кражи.
Необязательно похищать пароли с вашего компьютера, их можно добыть и по другому.
1. Пароли можно подобрать.
Как в ручную так и автоматическим путём. Существуют специальные программы в которых забиты часто встречаемые пароли, и эта программа будет сама подбирать из своей базы пароли к вашему почтовому ящику.
Я использовал ручной метод. Собирал о человеке данные: дата рождения, домашний, мобильный телефон и т.д. И подставлял их.
Часто встречал, что пароль являлся частью логина, например логин sex-intims, а пароль intims. Были случаи, что в пароле пишут свой ник, дату рождения.
Делаем первый вывод: Пароли лёгкими быть не должны.
Пароль должен состоять из цифр и букв(разного регистра) латинского алфавита. Делайте длину пароля по возможности(смотря для чего пароль) как можно больше.
Существуют специальные программы, которые сами генерирую вам пароль и вам не придётся фантазировать над его созданием.
Или можно взять любое слово(к примеру ваше имя, ну или что угодно, что вы можете запомнить) и закодировать его в какой ни будь кодировке например в Base64.
2. Пароль можно получить ответить на секретный вопрос.
При регистрации почтового ящика обычно вас просят указать секретный вопрос и ответ на него. Хочу сразу сказать, что ответить(ну или попытаться ответить) на этот вопрос можете не только вы, а кто угодно. Так что лучше придерживаться предыдущему пункту и придумывать что ни будь оригинальное.
Ответ на секретный вопрос можно опять подобрать в ручную и с помощью специальных программ, которые тоже как и с паролем будут брать ответы из своей базы.
Делаем второй вывод: ответ на секретный вопрос не должен быть лёгким.
Ответ на секретный вопрос можно получить от вас при обычной беседе и вы не задумайтесь что вас раскрутили. Или же используя другие методы, например телефонная база, в которой тоже можно узнать многое, например «Девичью фамилию матери», если она там прописана. Встречал случаи, где люди указывали свой вопрос и в ответ писали тоже самое. Или писали ответ — свой логин, ник.
3. Пароли вы можете отдать сами.
Раньше я прикалывался так: сдирал дизайн с сайта сервера на котором нам надо взломать почту(делал фейк страницы авторизации). Делаем там форму с двумя полями — логин и пароль. Писал скрипт для того чтобы данные из этих полей отправлялись мне на почту. Далее писал жертве письмо, якобы от «Технической поддержке» что то типа — сервер был атакован и нужна повторная авторизация, и кидал ссылку на свой сайт, где находилась моя заготовка. Интересно то, что иногда от лени моей, ссылка на сайт была явно не от того сервера, а люди всё равно клевали. Заходили и писали пароли, которые потом приходили мне.
Знаю такой случай. Все хотят халявы и думают, что им выложат правдоподобные способы взлома. Но сыр бывает только в мышеловке. Вот тому пример, в интернете ходила такая статься: найдена дырка на сервере mail.ru, если вы отправите письмо(со специальным кодом, в котором должен содержаться ваш пароль и логин жертвы), якобы, на адрес, где сидит робот и обрабатывает данные по восстановлению пароля, то он вам пришлёт пароль от желаемого адреса. Вроде смешно! Но это заворачивали в обёртку и это Действовало!
Ну в интернете существует куча способов, чтобы обмануть вас.
Делаем третий вывод: В интернете доверять не стоит никому.
Почтовые серверы никогда не попросят вас выслать им пароль. И халявы в интернете не бывает. А авторизационные данные вводите, убедившись, что это не сайт злоумышлиника(т.е. всегда смотрите адрес сайта в строке браузера).
4. Сохранение паролей на компьютере.
Тут хочу поговорить о запоминание паролей в программах(ICQ и почтовые клиенты, браузеры).
Конечно, ставить галку о запоминании паролей не стоит. Особенно если компьютер не твой. На своём не удобно будет каждый раз вводить пароли. В браузере нужно отключить запоминание паролей.
Это спасёт, но не от всего. Даже не сохранённый пароль может быть перехвачен (поговорим об этом ниже).
При заполнении форм(полей логин и пароль) браузер сохраняет куки. Их отключить теоретически можно, а практически — у вас не будет работать большая часть сайтов. Эти куки можно у вас украсть, расшифровать или подставить себе.
Делаем четвёртый вывод: Пароли на компьютере в программах лучше не оставлять. Чистить куки после завершения работы.
Существуют программы для автоматического стирания.
5. Частая смена пароля.
Раньше очень много писали о том, что пароль надо часто менять.
Это нужно в том случае если похититель не хочет менять пароль или не может это сделать по какой ни будь причине(не хочет палиться, читая ваши документы и рассчитывает на продолжение; он не знает сам пароль, но пароль сохранился на его компьютере). Но имеет доступ к вашей учётной записи и пользуется этим.
А так от самой кражи пароля это не спасёт. Рекомендую проводить операцию по смене пароля только в случаях, если вы, что то подозреваете. Ну и так раз в полгода для профилактики. Чаще не советую, а то забудете его или запутаетесь.
Делаем вывод: частая смена пароля не спасает от его кражи.
Недавно знакомые отдыхали на Адриатическим морем в Хорватии, вроде как очень понравилось, всем теперь советуют. И цены на недвижимость в Хорватии сравнительно не большие. Эх, давно я уже на море не был.
