июл
20
Пароль – надежная защита
Нормальная практика любого приличного интернет-ресурса – наличие логина и пароля при входе на сайт для получения большего набора полезных и нужных функции. Казалось бы, ввод пароля позволит обезопасить и защитить страничку личного кабинета или почтовый ящик. Но, как показывает практика, это далеко не так. Хакеры с завидным постоянством взламывают странички социальных сетей или почтовые ресурсы, причем иногда это бедствие носит масштабный характер. По большей части это связано с недальновидностью и глупостью самих пользователей, на первом месте при взломе пароля находится пресловутый «человеческий фактор». К слову сказать, фишинг базируется на социальной инженерии. Так к примеру, надежность оборудования – это забота производителя (http://sd-tehno.ru/products/), а надежность пароля лежит на плечах самого пользователя.

Суть получения пароля посредством фишинга заключается в имитации настоящей страницы известного и крупного ресурса, где пользователю предлагается по привычке ввести пароль и логин. Главная задача хакера перенаправить пользователя на подставную страницу. Это достигает несложным путем, создаются или рекламные баннеры, при клике на котором происходит перенаправление на фишинговый сайт. Или в исходный код странички вставляется операнд безусловного перехода, который ведет опять же на фишинговую страничку. Практикуется и простая отсылка на почтовый ящик потенциальной жертвы письма от серьезного ресурса с сообщением, что прежний пароль устарел или страничка пользователя подверглась взлому и предлагается заполнить простую php-форму ввода нового пароля.
Избежать попадания на удочку, а именно так дословно переводится термин «фишинг» легко, главное правило заключается в отсутствии доверчивости и присутствии мнительности, которая может граничить с паранойей, но позволит достигнуть безопасности. Серьезные ресурсы с мировой известностью никогда не предлагают заменить пароль непосредственно в почтовом ящике, всегда это происходит только на самом сайте и имеет несколько уровней подтверждения. Даже наличие капчи, то есть букв или цифр на цветном фоне, которая создана для отличия человека от бота, может служить доказательством подлинности, потому что не всякий хакер будет «заморачиваться» вписыванием этого поля в сайт.
Также многие пароли легко взламываются из-за своей простоты. Ежегодно публикуются доклады о самых распространенных паролях, а пользователи продолжают их использовать. Ни в коем случае нельзя использовать в качестве паролей имена собственные, клички, даты знаменательных дней. Эти, кажущиеся известные только пользователю данные, легко подбираются простым брутфорсом, или перебором по словарю. Специализированных программ в сети великое множество и словарей на сотни тысяч символов также предостаточно. Избежать подобного возможно только использованием сложного пароля, который должен состоять не менее чем из 12-14 символов, которые чередуют в себе заглавные и прописные буквы и цифры. Такой пароль подбирается очень непросто, практически никогда.
Кроме придумывания сложного пароля можно поручить это дело специальным программам, которые могут сгенерировать пароль по всем правилам криптографии или зашифровать любое набранное слово различными системами кодировки и шифрования. Какой пароль не придумывать, добиться полной защиты не удастся никогда. В частности, это правило касается целенаправленных взломов ресурсов, когда хакер получает в пользование всю клиентскую базу данных, которая включает логины и пароли. Но такие взломы носят эпизодический характер. Увеличить же степень безопасности возможно следуя простым правилам, которые включают в себя создание сложного пароля и отсутствие доверчивости и наивности.