Как воруют пароли из браузера

Обновлено: 06.07.2024

Слово “ пароль ” происходит от французского “ parole ” — кодовое слово или набор символов, который предназначен для подтверждения личности или прав. Пароли используются с давних времен: древнегреческий историк Полибий описал использование паролей караульными в Древнем Риме.

С появлением компьютеров и интернета пароли получили еще более широкое распространение в различных сферах.

Для чего используются пароли

В большинстве случаев, пароли используют для защиты аккаунтов и информации от несанкционированного доступа. Комбинация “логин-пароль” используется во всех десктопных операционных системах (Windows, Linux, MacOS), в мобильных операционных системах и приложениях (Android, iOS) и на большинстве интернет-сайтов и веб-сервисов. Пользователю необходимо выбрать пароль при создании электронной почты (Яндекс, Гугл, Мейл ру), при регистрации аккаунтов в социальных сетях (Дзен, Вк, Инстаграм, Фейсбук, Одноклассники), а также для создания учётных записей на любых других сайтах.

Безопасность пароля

По статистике, около 40% всех пользователей интернета используют для регистрации аккаунтов пароли, которые можно быстро подобрать в автоматическом режиме. Такие пароли легко угадать (123456, siteadmin, password, qwerty), поэтому они считаются слабыми и уязвимыми. Более стойкими к взлому паролями считаются пароли, которые невозможно или очень трудно угадать.

Как взламывают пароли

Взлом пароля это один самых распространенных видов атак на сайты и сервисы, использующие авторизацию по логину и паролю. Смысл атаки сводится к тому, чтобы получить возможность входить в чужой аккаунт и соответственно завладеть пользовательскими данными защищенными паролем.

Привлекательность такого рода атаки для хакера заключается в том, чтобы при успешном взломе пароля он получил все права пользователя, аккаунт которого был скомпрометирован. Например, доступ к письмам электронной почты, денежным средствам в платежной системе или возможность рассылать спам контактам взломанной учетной записи в социальной сети.

Технически атака может быть реализована несколькими способами:

• Прямой перебор всех возможных комбинаций символов допустимых в пароле. Простые пароли, например “qwerty123”, можно подобрать очень быстро с помощью нехитрого программного обеспечения.
• Подбор по словарю . Способ заключается в попытках авторизоваться используя слова и их сочетания из словаря того или иного языка, а также используя базы скомпрометированных ранее паролей.
• Социальная инженерия . Этот способ заключается в получении обманным путем данных, из которых может состоять пароль пользователя. Способ оказывается эффективным, если юзер (жертва) использовал в качестве пароля к своему аккаунту личные данные, например Федор Егоров, который родился 23.11.1981 вполне может использовать пароль “fe23111981” либо аналогичный с использованием этих данных.
• Перехват и расшифровка трафика . Такой способ заключается в анализе перехваченного трафика и попытках расшифровать хеши паролей (например, при подключении потенциальной жертвы к публичному Wifi). Несмотря на то, что большинство сервисов хешируют пароли с помощью необратимых алгоритмов, злоумышленники могут расшифровывать хеши с помощью баз данных, которые содержат хеши миллионов различных ранее скомпрометированных паролей.

Как воруют пароли

Кроме различных способов взлома, хакеры часто прибегают к прямой краже паролей у пользователей социальных сетей и других интернет сервисов, используя такие способы как:

• Вредоносные программы (вирусы) . Это, пожалуй, самый известный и распространённый способ кражи паролей. Он имеет множество разновидностей, но основная суть одна - злоумышленник получает возможность завладеть пользовательскими данными, в том числе паролем. Вредоносная программа, попав на компьютер или мобильное устройство жертвы, отправляет данные для авторизации хакеру. Кроме паролей, с помощью вредоносных программ можно получить полный доступ к устройству пользователя, в том числе контролировать экран, вебкамеру и клавиатуру “зараженного” гаджета. Вирусы обычно попадают на устройство при установке сомнительного софта и мобильных приложений.

Используйте только лицензионные программы и никогда не выключайте антивирус

Не переходите по сомнительным ссылкам. При авторизации, смотрите на адрес сайта в адресной строке браузера

Где и как хранить свои пароли

Существует достаточно много вариантов хранения паролей, вот лишь некоторые из них:

Попытаться запомнить

Этот способ можно рассматривать только если нет необходимости помнить пароли от большого количества сервисов.

Плюсы : не требуется физических носителей, пароль невозможно украсть (кроме способов социальной инженерии описанных выше).

Минусы : обычный человек не может помнить много различных сложных паролей, пароль можно забыть.

Записать на бумаге

Этот способ предпочитает старшее поколение, по привычке записывающее логины, пароли, номера телефонов и другие данные в блокнот.

Плюсы : у злоумышленников не будет возможности доступа к такому носителю.

Минусы : ручной поиск и ввод данных для авторизации, возможность утери или случайной порчи бумажного носителя.

Записать в текстовом файле

Текстовый документ на компьютере часто используют как альтернативу бумажному носителю.

Плюсы : пароли в файле легко найти и скопировать за несколько кликов.

Минусы : пароли доступны только на одном устройстве, при использовании другого компьютера или смартфона получить доступ к файлу не получится. Второй минус в том, что пароли могут украсть при несанкционированном доступе к компьютеру.

Хранить на флешке

Это ещё один способ хранения паролей, который предпочитает в основном старшее поколение.

Плюсы : мобильность: флешку можно носить с собой, и текстовый документ с паролями будет всегда под рукой.

Минусы : как и в случае с бумажным носителем, флешку можно потерять или случайно испортить. Потеря флеш-накопителя может привести не только к утрате паролей, но и к несанкционированному доступу злоумышленников.

Хранить облачном сервисе

Этот способ стал особенно популярным в последнее время благодаря широкому распространению облачных технологий. Текстовые документы с паролями можно размещать во всех облачных хранилищах, например, в Дропбоксе, Яндекс Диске, Гугл Драйве, Microsoft OneDrive или в онлайн-блокнотах вроде Evernote.

Плюсы : доступность паролей из любого места, с любых компьютеров и мобильных устройств подключенных к интернету.

Минусы : опасность случайного открытия публичного доступа. При взломе учетной записи в облачном хранилище, злоумышленник может получить все пароли сразу.

Хранить в браузере

Функция запоминания паролей присутствует во всех современных браузерах.

Плюсы : эта возможность значительно упрощает и ускоряет процесс входа в аккаунты различных сервисов. Существует возможность синхронизации паролей между разными устройствами.

Минус : пароль может быть удален при переустановке или обновлении браузера. Разработчики браузеров не рекомендуют “запоминать” важные пароли, так как есть риск несанкционированного доступа к данным для авторизации со стороны вредоносных программ.

Использовать менеджер паролей

Такие сервисы ( KeePasS , LastPass и 1Password и другие) созданы специально для надежного хранения данных для авторизации.

Плюсы : информация в менеджерах паролей хранится в зашифрованном виде, что сильно повышает уровень защиты данных от несанкционированного доступа. Пароли доступны онлайн с любого устройства. У некоторых менеджеров паролей есть расширения для браузеров и приложения для мобильных устройств.

Минусы : большинство менеджеров паролей платные и в некоторых из них достаточно сложно разобраться неподготовленному пользователю.

Как создать надёжный пароль

1. Использовать генератор паролей

Для генерации сложного и надежного пароля из 8 символов просто нажмите кнопку “СГЕНЕРИРОВАТЬ ПАРОЛЬ”. Программа создаст случайный пароль состоящий из заглавных и строчных английских букв, цифр и спецсимволов. Такой пароль надёжно защитит вашу учетную запись в почте, социальной сети, платежной системе, интернет-банке или на популярном сайте. Его практически невозможно подобрать, поэтому взломать ваш аккаунт перебором паролей злоумышленники не смогут.

При необходимости, воспользуйтесь настройками онлайн-генератора случайных паролей для создания сложных паролей из меньшего или большего количества выбранных вами символов, например, если вам нужен пароль из 6 символов, который содержит только буквы и цифры.

2. Придумать пароль самостоятельно

Расширение для браузера Chrome воровало банковские данные пользователей.

Владельцы магазинов программного обеспечения — Google, Apple, Amazon и так далее — ведут примерно такую же постоянную борьбу с разработчиками зловредных программ, как и компании, разрабатывающие защитные решения. Злоумышленники пишут зловреды, которые попадают в магазины. Там их со временем обнаруживают и с позором изгоняют, внося какие-то изменения в политики безопасности, чтобы такие же зловредные программы не попали в магазин еще раз. Ну а потом злоумышленники учатся обходить эти политики и писать свои зловреды так, чтобы они вновь сколько-то времени могли провести в магазине и чтобы их скачало побольше народу. И так по кругу.

Мы всегда рекомендуем устанавливать приложения только из официальных источников, но это не значит, что там совсем нет зловредов — просто их там хотя бы меньше, чем в других местах. И если в Google Play всякая гадость действительно встречается уже довольно редко, то в магазине расширений для браузера Google Chrome они попадаются значительно чаще. На днях наши эксперты обнаружили в Chrome Web Store вредоносное расширение, воровавшее банковские данные пользователей.

Банковский троян в вашем браузере

Также зловред содержал скрипты, предназначенные для извлечения той или иной информации, вводимой пользователем, с интернет-страниц. Например, когда пользователь попадал на страницу входа в онлайн-банк, зловред перекрывал поля ввода логина, пароля и одноразового кода подтверждения своими, полностью повторявшими интерфейс банка. По нажатии кнопки входа в банк он копировал введенные данные себе и лишь затем передавал эту информацию в реальные поля на банковской странице.

Обнаружить зловред удалось в том числе благодаря тому, что домен, на котором располагался его командный сервер, использовал тот же IP-адрес, что и несколько других доменов, ранее уличенных во вредоносной деятельности. Этим он и привлек внимание исследователей.

Так что с расширениями надо быть предельно аккуратными — они далеко не так безобидны, как многим кажется.

Защита от зловредных расширений для браузера

Вот еще несколько советов, которые помогут не подцепить зловред, прикидывающийся полезным расширением для браузера:

Всем доброго времени суток. Закончились предновогодние авралы и зимние каникулы и пора уже что-нибудь написать в блог. Первую запись в этом году я хочу посвятить ликбезу по методам кражи паролей в противовес одной из предыдущих публикаций: Когда вас «взломали» не обязательно бежать менять все пароли . Сразу стоит уточнить, что материал направлен на неспециалистов по защите информации и носит ознакомительный характер. Хотя, возможно, специалисты тоже подчерпнут для себя что-то новое.

Как бы все не ненавидели пароли, это по сей день остается наиболее популярным средством идентификации, но, к сожалению, иногда у нас их крадут. Частично проблему помогает решить двухфакторная аутентификация, но лишь частично и лишь для наиболее критичных сервисов.

По статистике наиболее распространенными причинами потери контроля над аккаунтами становятся две вещи: использование простых (словарных) паролей и социальная инженерия. В этой статье я расскажу об основных методах взлома паролей естественно с целью повышения осведомленности в этом вопросе у широкой аудитории (использование материалов в деструктивных целях карается законом, автор ответственности не несет и прочее бла-бла-бла).

Да, все так просто. Ваш пароль могут тупо угадать. Помните все эти эпизоды в голливудских фильмах, когда герои взламывают чей-то компьютер и в качестве пароля пробуют имена детей, бабушек, дедушек, дядь, теть, клички домашних животных жертвы и т. д.? Так вот, это действительно один из действенных способов взлома и этот архаичный метод эффективен до сих пор. Ведь сейчас все публикуют тонны информации о себе в социальных сетях и если пароль основан на каких-то данных, связанных с личностью владельца взламываемого аккаунта, то подбор пароля — дело времени (это как раз является причиной того, почему пароли нужно периодически менять).

Противодействие методу: в общем, надеюсь, вы поняли, что «tanyushka1990» — это плохой пароль, даже если Танюшка это не вы, а ваша любимая внучка. Используйте не угадываемые интуитивно пароли. Периодически (не реже раза в год) меняйте пароли хотя бы к критичным аккаунтам.

Здесь только вскользь упомяну о таких очевидных вещах, как о паролях на стикерах, которые приклеены к монитору или на бумажках под клавиатурой. Под подглядыванием здесь можно понимать и подглядывание процесса набора пароля. То есть пароль лучше вводить, когда за процессом никто не наблюдает. Есть люди с интересными способностями. Например, один мой знакомый поспорил со мной, что посмотрит, как я ввожу пароль на ноутбуке, а потом повторит ввод этого пароля сам. И действительно повторил. Я очень удивился, так как владею слепым десятипальцевым набором и могу ввести свой пароль очень быстро. Оказалось, что у знакомого какая-то особенная фотографическая память. Опасный человек =)

То есть подглядывание помогает злоумышленнику быстро получить готовый пароль и не прибегать к другим более сложным или ресурсоемким техникам, о которых речь пойдет далее. Но подглядывание пароля «глазами» это не единственный способ. Например, если вы вводили свой пароль на чужом компьютере и случайно сохранили пароль, вышли из аккаунта, но не очистили данные, то кто-то другой может не только войти в аккаунт не зная пароля (это еще полбеды), но и выудить этот пароль в явном виде, вставив в адресную строку браузера на странице где введен логин и пароль (замаскирован звездочками) вот такой простой скрипт:

Если пароль используется на других аккаунтах, то злоумышленник может получить доступ и к ним тоже. Вот поэтому специалисты по безопасности категорически не рекомендуют использовать один и тот же пароль для разных аккаунтов.

Мы плавно перешли от интуитивных и мошеннических техник угона паролей к техническим. Первая из них это подбор паролей по словарям. Пожалуй, даже неспециалисты в области информационной безопасности слышали из новостей о крупных утечках паролей к почтовым ящикам на разных почтовых сервисах. Как потом выяснилось большинство из этих утечек было связано не со взломами серверов поставщика услуг, а с банальным подбором паролей к почтовым ящикам по словарям. Большинство паролей «взломанных» почтовых ящиков представляли из себя комбинации типа «123456», «qwerty» и тому подобные. В разделе «Материалы» я выложил парочку словарей с паролями (их можно пополнять самостоятельно), которые можно использовать как в различных инструментах типа John the Ripper или Hydra , либо для проверки банальным поиском есть ли в словаре ваш пароль. Если есть, то срочно меняем!

Противодействие методу: использование сложных, не словарных паролей.

Название метода происходит от двух английских слов: brute — грубая и force — сила. Из названия интуитивно понятно, чем этот метод отличается от предыдущего — здесь просто перебираются все возможные комбинации пароля. Метод затратен по времени и по ресурсам, ведь для подбора таким методом нужны немалые вычислительные ресурсы. Поэтому к такому методу злоумышленники прибегают только в крайних случаях. Уменьшить время подбора может позволить, например, знание точной длины пароля или знание того, что в пароле точно нет специальных символов и цифр. Таким образом, сокращается количество возможных комбинаций.

Противодействие методу: использование длинных хаотичных паролей и периодическая смена паролей.

Все кому в последние годы приходилось восстанавливать пароль к какому-либо сервису должны были заметить, что если раньше некоторые сервисы просто присылали вам ваш пароль на электронную почту, то теперь вам нужно сразу же придумать новый пароль. Это связано с тем, что ни один уважающий себя сервис не хранит пароли в открытом виде. Хранятся пароли в виде хешей. Если коротко, то хешем называется результат преобразования текста (в нашем случае — пароля) некой необратимой математической функцией. Результат преобразования распространенным алгоритмом MD5 слова «password» (без кавычек) выглядит следующим образом: 5f4dcc3b5aa765d61d8327deb882cf99. Примерно в таком виде и хранятся наши пароли у провайдеров услуг, и поскольку считается, что функции необратимые, то сами провайдеры вроде как не могут знать наш пароль и выслать нам его в открытом виде. Подробнее о хешировании можно почитать здесь .

Радужные таблицы, если очень грубо говорить позволяют восстановить пароль по хэшу. Полный процесс конечно гораздо сложнее, чем кажется. Поэтому, кому интересно ознакомиться с технологией подробнее, можно начать со страницы в википедии . Казалось бы, что с помощью радужных таблиц можно было бы взломать почти любой пароль, но и тут есть свои сложности для злоумышленника. Если при брутфорсе нужны временные и ресурсные затраты на сам перебор, то в случае радужных таблиц то же самое нужно для генерации этих самых таблиц. При этом любой набор радужных таблиц будет иметь множество ограничений, к ним относятся: ограничение на длину пароля, ограничение на набор символов, ограничение на конкретный алгоритм хэширования. В сети в общем доступе можно найти радужные таблицы для подбора паролей не длиннее 6 символов, которые содержат только буквы английского алфавита обоих регистров, но без спецсимволов и цифр. Но вот уже за что-то посерьезнее просят денег.

Противодействие методу: засолка хешей. К сожалению, данный вид противодействия доступен только на уровне администраторов сервисов и никак не зависит от действий конечного пользователя.

Под гибридными методами понимается сочетание различных методов, приведенных выше, в совокупности. На самом деле, пример использования методов «брутфорс» + «подглядывание» уже был приведен выше. Например, злоумышленник может подсмотреть не пароль целиком, а лишь символы, из которых состоит пароль. Это позволит ему в параметрах при брутфорсе указать только нужные символы, а все остальные исключить из перебора, тем самым существенно сократив количество возможных комбинаций.

Еще один пример гибридного метода: берется словарное слово и в нем делаются замены букв на спецсимволы. Например, берется словарный пароль «password» и пробуются комбинации «password123», «p@ssword», «pa$$w0rd» и т. д.

Противодействие гибридным методам заключается в использовании всех методик противодействия, приведенных выше.

Файлы «cookie» («куки») могут делать гораздо больше, чем просто отслеживать вашу активность в интернете. Теперь, кажется, хакеры нашли способ украсть и ваши пароли тоже.

«Куки» - это небольшой файл, который посещаемые вами веб-сайты сохраняют на ваш компьютер. Обычно они совершенно безвредны, но даже весьма полезны. На самом деле, многие веб-сайты, которые вы посещаете каждый день, используют файлы с «куками» для более корректной работы.

«Куки» были разработаны для того, чтобы стать для веб-сайтов надежным механизмом, позволяющим помнить требуемую информацию и записывать историю посещений своих пользователей. Эти крошечные текстовые файлы могут быть использованы для хранения регистрационной информации и некоторых данных о банковской карте, а также они могут помочь рекламодателям показывать вам рекламу, которая, по их мнению, будет соответствовать вашим предпочтениям.

Файлы cookie могут быть полезны, например, для экономии времени при вводе регистрационных данных на ранее посещенном веб-сайте. «Куки» напрямую не отображают пароли, а вместо этого они содержат хэш, который хранит ваш пароль. Когда пароль был хэширован, он был зашифрован таким образом, чтобы прочитать его мог только тот веб-сайт, с которого он был записан в «куки» . Каждый сайт использует уникальный алгоритм шифрования для кодирования хэша и его раскодирования.

Обычно хакеры любят красть пароли, но кража ваших файлов с «куками» также может принести хакерам выгоды. Установив ваши файлы cookie с хэшированными паролями в свой веб-браузер, кибер-преступник может немедленно получить доступ к вашему аккаунту на этом сайте , при этом ему не понадобится вводить ваши регистрационные данные.

Ваши «куки» могут быть использованы для того, чтобы быстро и просто можно было взломать ваши аккаунты в социальных сетях, в электронной почте и на многих других онлайн-сервисах.

Если хакеры могут получить доступ к вашему компьютеру или вашей сети , они, вероятно, смогут украсть ваши файлы cookie. Иногда они также могут украсть их непосредственно с небезопасного веб-сервера.

Люди становятся все умнее в вопросах защиты своих компьютеров от вредоносных программ, а потому все чаще устанавливают на компьютеры надежные антивирусные программы (например, вы можете скачать бесплатную пробную версию Panda Dome здесь ). В результате этого преступникам приходится прибегать к более совершенным методам, таким как кража информации, проходящей через публичные сети Wi - Fi .

Все, что нужно хакеру, чтобы заполучить ваши «куки», - это, например, расширение для браузера Firefox под названием Firesheep . Firesheep – это расширение,Что я могу сделать, чтобы защитить мои «куки»? которое использует технологию обнаружения и копирования файлов с «куками», отправляемых по беспроводной сети. Когда расширение обнаруживает файлы с «куками», оно создает список на компьютере хакера. Затем хакер у себя на компьютере может просто нажать на требуемый файл с «куками», после чего он войдет на соответствующий сайт вместо вас (как будто это вы зашли).

Простой, но эффективный способ остановить хакеров от кражи вашей личной информации – это просто регулярно удалять файлы «куки» . Специалисты рекомендуют делать это каждые 7-14 дней . Они также советуют никогда не хранить информацию о своей банковской карте на сайте , особенно, если он не является надежным. Однако удаление файлов с «куками» имеет один недостаток – вам придется повторно вводить пароли и личную информацию при следующем входе на соответствующий веб-сайт. Это может быть неудобно и раздражительно, но все же это гораздо безопаснее в долгосрочной перспективе, т.к. такой подход позволит защитить вас от кражи «куков».

И если у вас есть проблемы с запоминанием большого количества паролей, подумайте о том, чтобы использовать менеджер паролей для их безопасного хранения. Для получения дополнительной информации взгляните на наше руководство о том, как защитить свой пароль и подальше держаться от хакеров .

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Читайте также:

  
• 1с как получить вид объекта
  
• Программа для андроид временная почта
  
• Luminar для фотошопа как установить как плагин
  
• Сервис параметры загрузка сохранение microsoft office поставить галку как на рисунке
  
• Asus x541na прошивка bios