Cum poate fi sparta o parola

Spargerea parolei, indiferent de parola – e-mail, banking online, Wi-Fi sau contul Facebook, in ultimul timp a devenit un subiect de discutii. In mare parte se datoreaza faptului ca utilizatorii nu respecta regulile de siguranta la crearea, stocarea si utilizarea parolelor.

In acest articol vei gasi informatii despre, ce metode pot fi folosite pentru spargerea parolei utilizatorului. Iar la sfarsitul articolului vei gasi o lista de servicii online, care iti vor arata daca parola ta a fost sparta.

Ce metode sunt folosite pentru spargerea parolei

Pentru spargerea parolei nu sunt folosite atat de multe metode. Aproapte toate sunt cunoscute.




Phishing

Metoda cea mai cunoscuta, care in ziua de astazi «fura» parole serviciilor de e-mail si retelelor sociale – phishing.

Aceasta metoda consta in accesarea site-ului aparent cunoscut (Gmail, Facebook, etc.) si dintr-un motiv esti rugat sa introduci numele de utilizator si parola (pentru logare, confirmare, inlocuirea acestora, etc.). Imediat dupa introducere parola ajunge la atacatori.

Cum functioneaza: poti primi un mesaj, aparent de la suport tehnic, in care esti rugat sa accesezi contul de pe link-ul din mesaj. Accesand link-ul vei ajunge pe un site, care este o copie exacta a originalului. Pot fi cazuri, cand dupa instalarea unui soft piratat pe calculator, setarile de sistem sunt modificate astfel, incat tastand in bara de adrese a browserului adresa site-ului dorit, de fapt ajungi pe un site de tip phishing.

Asa cum am spus mai sus, multi utilizatori cad in aceasta capcana, si de obicei acest lucru se datoreaza neglijentei:

  • Primind un mesaj, care intr-o forma sau alta solicita accesarea contului pe un site sau altul, verifica daca mesajul a fost trimis de pe adresa e-mail site-ului original: de obicei sunt folosite adrese e-mail similare. De exemplu, in loc de support@facebook.com poate fi support@facebook.org sau ceva similar. Cu toate ca adresa e-mail nu garanteaza ca totul este in regula.
  • Inainte de a introduce parola, verifica bara de adrese din browser. In primul rand, trebuie sa fie adresa exacta a site-ului dorit. De asemenea, verifica prezenta unei conexiuni criptate, care poate fi identificata prin utilizarea protocolului https in loc de http si afisarea «lacatului» in bara de adrese. Aproape toate site-urile, care necesita introducerea datelor de logare, utilizeaza criptarea.

Cum poate fi sparta o parola

Apropo, atacurile de tip phishing si prin forta bruta (Brute Force, descris mai jos) in ziua de astazi nu presupune munca manuala a unei persoane (adica, nu trebuie sa introduca manual un milion de parole) – toate acestea fac programe speciale, rapid si in cantitati mari, iar apoi trimit rapoarte atacatorului. In plus, aceste programe pot lucra pe calculatorul tau, si nu pe calculatorul atacatorului, ceea ce mareste eficacitatea spargerei.

Atac prin forta bruta (Bruce Force)

Verificarea sistematica a tuturor parolelor posibile, pana cand este gasita paroa corecta, de asemenea este foarte raspandit. Daca acum cativa ani acest tip de atac a fost o adevarata cautare a tuturor combinatiilor de caractere, in ziua de astazi totul se face mult mai usor (pentru hackeri).

Statisticile ulimelor ani demonstreaza ca aproximativ jumatate dintre parole sunt unice, mai ales pe site-uri cu majoritatea utilizatorilor neexperimentati.

Ce inseamna acest lucru? In general – hackerul nu verifica milioane de combinatii: avand o baza de date cu 10-15 milioane de parole (numarul aproximativ, dar apropiat de realitate) si utilizand doar aceste combinatii, poate sparge aproximativ jumatate din conturi de pe orice site.

In cazul unui atac impotriva unui anumit site poate fi folosit si un simplu atac prin forta bruta: o parola din 8 caractere poate fi sparta in cateva zile, iar daca aceste caractere reprezinta data sau combinatia de nume si data, poate fi sparta in cateva minute. Vezi si: Verifica parola cu ajutorul Kaspersky Secure Password Check

Spargerea site-ului si obtinerea hash-ului parolei

Majoritatea site-urilor de incredere nu stockeaza parola in forma, pe care o stii tu. In baza de date este stockat doar hash-ul – rezultat metematic criptografic (adica din acest rezultat nu poate fi obtinuta din nou parola). In timpul conectarii pe site, se calculeaza hash-ul, si daca corespunde cu cel stocat in baza de date, inseamna ca ai introdus parola corecta.

Este stocat hash si nu parola chiar din motive de securitate – in caz de spargere si obtinerea bazei de date, atacatorul sa nu poata folosi informatiile.

Cu toate acestea atacatorul poate:

  • Pentru calcularea hash-ului sunt utilizate anumiti algoritmi, in cea mai mare parte – cunoscuti (adica, oricine le poate folosi).
  • Avand o baza de date cu milioane de parole (din punctul despre forta bruta), atacatorul de asemenea are acces la hash-ul acestor parole, calculate dupa toti algoritmii cunoscuti.
  • Comparand informatia obtinuta din baza de date si hash-ul parolelor din propria baza de date, poate determina algoritmul utilizat pentru aflarea parolei reale printr-o simpla comparatie.

Programe spyware

SpyWare – set de programe periculoase instalate pe calculator fara stirea utilizatorului (de asemenea, functiile spyware pot fi inlcuse intr-o aplicatie necesara), care colecteaza informatii despre utilizator.

Printre altele, anumite tipuri de spyware, de exemplu keyloggers (programe de urmarire a tastelor apasate de pe tastatura).

Ingineria sociala si intrebari pentru recuperarea parolei

Potrivit Wikipedia, ingineria sociala (engleza Social Engineering) este un termen prin care se intelege arta de a influenta, de a manipula si de a minti. Cu alte cuvinte, este priceperea unor maestri in psihologia maselor de a-i face pe altii să gandeasca si sa creada ceea ce ‘maestrul’ vrea ca acei „altii” sa creada. Pe Internet poti sa gasesti o multime de exemple utilizarii ingineriei sociale, dintre care unele sunt remarcabile. Cu alte cuvinte, metoda se reduce la faptul ca aproape orice informatie, necesara pentru accesarea informatiilor confidentiale, poate fi obtinuta cu ajutorul slabiciunii umane.

Voi da un simplu exemplu, care are legatura cu parole. Dupa cum stii, pe multe site-uri pentru recuperarea parolei trebuie doar sa introduci raspunsul la intrebarea de securitate: la ce scoala ai invatat, numele de fata al mamei, porecla animalului de companie… Chiar daca aceste informatii nu sunt publice pe retele sociale, ce crezi, folosind aceleasi retele sociale, cat de greu pot fi obtinute aceste informatii?

Cum pot afla daca parola a fost sparta?

Cum poate fi sparta o parola

Exista cateva servicii, care iti arata daca parola a fost sparta, prin verificarea adresei e-mail sau nume de utilizator cu baza de date a parolelor.

Ai gasit contul tau in aceasta lista? Ar trebi sa schimbi parola, iar despre siguranta parolelor voi scrie zilele urmatoare.

Cum poate fi sparta o parola
5 (100%) 3 votes

Share This Post

Post Comment