www.romver.ru
/ /



( )

U mena den' rojdenia segodna :-)

V pro6liy 4etverg vse russkoazi4nie interneti obletela ujasnaa novost': ukradeni logini i paroli sta soroka tisa4 pol'zovateley "VKontakte". Ne potrudiv6is' proverit' fakti, ob etom soob6ila celaa ku4a onlaynovix izdaniy, ne govora uje o sotnax nikomu ne izvestnix bloggerov.

K sojaleniu, v takom vide soob6enie o4en' i o4en' daleko ot istini. Na4at' xota bi s togo, 4to fi6eri godami voruut logini-paroli ot "VKontakta", i ne tol'ko ot nego, i v samom etom fakte net ni4ego udivitel'nogo ili neojidannogo. Ni4ego neobi4nogo net i v tom, 4to zloumi6lenniki pri pomo6i troanskoy programmi pereadresovivali pol'zovateley na podlojniy sayt i pitalis' vimanit' u nix den'gi, predlagaa otpravit' SMS s tekstom "Ya ne loh" na korotkiy nomer 6008.

Ujas, no ne ujas-ujas

Na samom je dele glavnaa novost' sostoala v drugom: na sey raz xakeri zapisali vse ukradennie logini-paroli v prostoy tekstoviy fayl, dostupniy po pramoy ssilke lubomu jelau6emu, a sama eta ssilka po kakoy-to pri4ine po6la v narod. To est' re4' idt o ser'znoy ute4ke pol'zovatel'skix dannix.

Vpro4em, ne nastol'ko ser'znoy, kak ob etom vezde kri4at.

145 tisa4 takovo bilo ob6ee 4islo par login-parol' po sostoaniu na ve4er 30 iula. Za vi4etom pustix i otkrovenno nekorrektnix virajeniy ostaetsa vsego 125 tisa4. Ob6ee je 4islo pol'zovateley s unikal'nimi loginami, 4'i dannie bili zabotlivo soxraneni i ras6areni, sostavilo 4ut' bolee 40 tisa4 (to est' poradka 0,1% ot 4isla pol'zovateley servisa).

Pri etom administracia "VKontakte" dostato4no operativno sbrosila zasve4ennie paroli i vislala kajdomu postradav6emu vremenniy parol', tak 4to na6umev6aa ute4ka vrad li komu-to sil'no navredila.

Svataa prostota

Nam je eta ute4ka, naprotiv, o4en' daje pomogla. Mi davno xoteli sobstvennimi glazami posmotret', kak vigladat tipi4nie paroli tipi4nix pol'zovateley tipi4noy social'noy seti. 4to j, na6e lubopitstvo bilo vpolne udovletvoreno. Skajem srazu, mi i ne podozrevali, 4to umstvennie sposobnosti stol' su6estvennogo 4isla ludey perejivaut mra4niy period ugasania.

Pervim priznakom etogo samogo ugasania mojno s4itat' dikoe 4islo popitok zaloginit'sa na podlojnom sayte. Kazalos' bi, na kajdom uglu preduprejdaut: esli "VKontakte" prosit u teba deneg za vxod eto ne "VKontakte", eto "Jadnoklassniki". Odnako celie tolpi ludey, uvidev predlojenie ob otpravke SMS, vozvra6alis' i pitalis' vvesti login i parol' zanovo.

V srednem kajdiy postradav6iy vkontaktr pitalsa zaloginit'sa na sayte 3 raza. Odnako ne obol'6aytes': besprosvetno naivnix grajdan na samom dele kuda bol'6e, 4em vi dumaete. Tak, bolee 10 raz pitalis' vlomit'sa na poddel'niy sayt po4ti 1300 4elovek. A odin osobo odarnniy tovari6 nastol'ko sil'no stradal bez svoix odnokursnic, odnoklassnic i pornospama, 4to vvl login i parol' aj 55 raz kradu i, vi ne poverite, absolutno bezrezul'tatno!

Vtorim i glavnim priznakom ugasania vi6eozna4ennix sposobnostey mojno s4itat' koli4estvo nenadjnix paroley. 1344 4eloveka (ili 3,36 procenta ot 40 tisa4 unikal'nix pol'zovateley) za6i6aut svoi personal'nie dannie ne tol'ko prostimi, no i rasprostrannnimi parolami (k rasprostrannnim mi otnesli te, 4to vstre4autsa bolee 10 raz).

Vot dvadcatka naibolee popularnix iz nix:

Parol' Kol-vo Procent
123456 134 0,34%
123456789 85 0,21%
qwerty 85 0,21%
111111 51 0,13%
1234567890 41 0,10%
7777777 39 0,10%
123321 34 0,09%
666666 33 0,08%
1234567 31 0,08%
123123 29 0,07%
12345678 26 0,07%
qwertyuiop 26 0,07%
qazwsxedc 25 0,06%
000000 23 0,06%
lubov' 23 0,06%
555555 22 0,06%
zxcvbnm 22 0,06%
654321 19 0,05%
gfhjkm 19 0,05%
1q2w3e4r 18 0,05%


Prime4anie 1: Esli vdrug kto ne dogadalsa, "gfhjkm" eto slovo "parol'", nabrannoe v latinskoy raskladke klaviaturi. Mnogie s4itaut takoy prim o4en' xitrim.

Prime4anie 2: Bditel'naa administracia resursa s nekotorix por zapretila izmenat' paroli na 4isto cifrovie, odnako sozdavat' novie akkaunti s takimi parolami po-prejnemu dopuskaetsa.

Neskol'ko slov o glavnoy bolezni internetozavisimix - kopipeystinge. Napomnim, 4to v rassmatrivaemoy nami social'noy seti v ka4estve loginov ispol'zuutsa elektronnie adresa. Tak vot, u 343 pol'zovateley (0,86%) parol' identi4en loginu na po4tovom servise (t.e. 4asti po4tovogo adresa do "sobaki"), a e6 u 67 4elovek (0,17%) parol' polnost'u sootvetstvuet loginu (t.e. vsemu adresu, vklu4aa "sobaku" i to, 4to za ney sleduet).

Kto bil tot umniy mujik, kotoriy skazal, 4to svataa prostota xuje vorovstva?

Gde u nego knopka?

Ob odnom iz popularnix paroley, ne vo6ed6ix v TOP-20, xotelos' bi skazat' osobo.

Na stranice nastroek, v razdele smeni pol'zovatel'skogo parola, administracia razmestila sleduu6uu nexitruu instrukciu:

Ubedites', 4to ne vklu4ena knopka CAPS-Lock
Parol' doljen bit' ne menee 6 simvolov v dlinu
E6 lu46e ispol'zovat' i bukvi, i cifri
'kNOpKA' i 'knopka' raznie paroli

Kak i sledovalo ojidat', 16 4elovek iz 40 tisa4 (0,04%) vibrali v ka4estve parola slovo, privednnoe v posledney stro4ke. Iz nix 12 ispol'zovali variant "knopka", 2 "knopka" i 1 "KNOPKA". E6 odna prodvinutaa devu6ka zavela sebe parol' "ryjgrf", to est' "knopka" v latinskoy raskladke.

Kazalos' bi, 0,04% ni4tojnaa cifra. Odnako v mas6tabax vsego servisa eto uje ne 16, a 15600 akkauntov. I etot klu4 zabotlivo vlojila v ruki zloumi6lennikam sama administracia!

Pozvoni mne, pozvoni!

Sem' s li6nim tisa4 paroley v rassmatrivaemoy baze eto polnost'u cifrovie posledovatel'nosti (s4itau6iesa nesek'urnimi), iz kotorix nikak ne men'6e tisa4i (to est' bolee 2,5%) v toy ili inoy stepeni napominaut nomera telefonov. Stoit otmetit', 4to mi obra6ali vnimanie tol'ko na semizna4nie i desatizna4nie nomera, tak 4to eta cifra mojet bit' sil'no zanijena. Dobav'te k nim 237 11-zna4nix paroley, na4inau6ixsa na "80" (zdoroven'k buli, 6anovni ukrans'k druz!) i e6e desatok telefonoparoley, na4inau6ixsa s "+". Esli u4est', 4to vkontaktri s bol'6oy oxotoy publikuut na li4nix stranicax nomera telefonov, da i telefonnie bazi kupit' ne tak uj i slojno, s4itat' takie paroli nadjnimi nikak nel'za.

Neploxo? A ved' eto mi poka e6 ne skazali ni slova o lubvi.

Lubov' otkroet vse zasovi

"Lubov'" v tom ili inom vide prisutstvuet v 332 parolax (0,83%). Suda vo6li takje slova "lublu", "lubimiy", "lubimaa" i ix so4etania s imenem sobstvennim. Esli cifra v 0,83% vas ne vpe4atlaet, priplusuyte suda ne poddau6eesa u4tu koli4estvo paroley s imenami (v 4astnosti, nikneymami, familiami i inicialami) lubimoy devu6ki, lubimogo uno6i, a takje lubimogo seba.

Sredi paroley s imenami vstre4autsa takie kriptostoykie kak "lublusereju", "FamiliaIma" i daje "pusen'ka" (pri elektronnom adrese, na4inau6emsa s "pusya"). Napomnim, 4to ima lubimoy ili lubimogo, ne govora uje ob imeni samogo 4eloveka, mojno bez truda vzat' iz anketnix dannix neposredstvenno na sayte.

K sojalen'u, den' rojden'a...

E6 odin tip massovo ispol'zuemix nebezopasnix paroley eto dati. Deystvitel'no, namnogo trudnee zabit' parol', esli on sovpadaet s 4'ey-nibud' datoy rojdenia. V issleduemoy baze mi nas4itali po krayney mere 1200 paroley (3 procenta ot ob6ego 4isla) v formatax tipa 44MMGGGG i GGGGMM44.

Informacia je o date rojdenia pol'zovatela ili ego blijay6ego okrujenia za4astuu otkrita dla oznakomlenia. Bolee togo, servis za neskol'ko dney preduprejdaet druzey pol'zovatela o gradu6em vzlome priblijenii prazdnika. Esli data rojdenia budet vs-taki skrita, e mojno popitat'sa nayti v tex je telefonnix bazax.

Spravedlivosti radi zametim, 4to s datoy ili godom rojdenia vpolne mojno sozdavat' i dovol'no sil'nie paroli. Dostato4no dobavit' neskol'ko bukv do, posle ili mejdu ciframi. Po na6im ocenkam, poradka 0,5 procenta pol'zovateley tak i postupaet, xota nekotorie iz nix portat vs delo, dopisivaa vmesto slu4aynix bukv svo ima.

Pods4itali proslezilis'

Itogo imeem:

Rasprostrannnie paroli 1344 3,36%
Predpolagaemie nomera telefonov ~1300 ~3,25%
"Lubov'" (za vi4etom vo6ed6ego v p.1) 309 0,77%
Sovpadenie s elektronnim adresom
(do "sobaki" ili polnost'u)
410 1,02%
Dati rojdenia (tol'ko XX vek) ~1200 ~3%


Takim obrazom, v ob6ey slojnosti mi imeem do 11,4 procenta paroley, vzlomat' kotorie smojet luboy jelau6iy, pri uslovii 4to on znaet elektronniy adres pol'zovatela, imeet dostup k ego anketnim dannim i gotov potratit' pat' minut svoego dragocennogo vremeni.

Dobav'te k etomu paroli, sovpadau6ie s imenami sobstvennimi (pods4itivat' kotorie nam bilo len', no re4' idt procentax o desati, ne men'6e) i cifrovie paroli, operativno vzlamivaemie elementarnim brutforsom (ix dola, za vi4etom nomerov telefonov i dat, sostavlaet gde-to 11 procentov) i vi polu4ite udru4au6uu kartinu.

Situacia usugublaetsa tem, 4to pravila servisa trebuut ot pol'zovatela vikladivat' o sebe vsu podnogotnuu. Nali4ie takoy massi li4nix svedeniy v otkritom dostupe prosto prazdnik dla potencial'nogo vzlom6ika.

Diskleymer

Bezuslovno, v processe pods4ta nami bil sdelan celiy rad dopu6eniy. Da i issleduemuu bazu nikak nel'za nazvat' absolutno dostovernoy. Naprimer, 4ast' pol'zovateley avno ne mogla vspomnit' svoix paroley i prosto pitalas' ix podobrat'. A nemnogo4islennie soobrazitel'nie uzeri, nado otdat' im doljnoe, i vovse vospol'zovalis' formoy logina-parola, 4tobi poslat' fi6erov v pe6ee eroti4eskoe pute6estvie.

Samu viborku, nesmotra na e ves'ma prili4niy ob&m, toje nel'za s4itat' polnost'u reprezentativnoy, poskol'ku re4' idt li6' o pol'zovatelax, kotorie, vo-pervix, umudrilis' podcepit' zarazu, a vo-vtorix, dogadalis' otdat' svoi paroli v 4ujie ruki to est' o ludax, zavedomo naivnix v voprosax bezopasnosti.

Tem ne menee, prosmotrev drugie analogi4nie issledovania, provednnie v samix raznix 4astax sveta (esli ugodno Google vam v pomo6'), risknm predpolojit', 4to v svoix vivodax mi skoree preumen'6ili mas6tabi tragedii, nejeli preuveli4ili.

4to delat' i kto vinovat?

Sna4ala "Vebplaneta" xotela prilojit' k etoy stat'e paru manualov v duxe "spasenie utopau6ix delo ruk samix utopau6ix". A potom mi zaglanuli "VKontakt" i obnarujili, 4to instrukciy po bezopasnosti tam prud prudi. Pravda, bez pollitri ix ne srazu i nayd6': sna4ala nado tirknut' na "Texpodderjku" v samom nizu stranici, potom kliknut' po ssilke na gruppu "VKontakte | Bezopasnost'", kotoruu nujno otiskat' v saydbare, a zatem v soob6eniax gruppi nado popitat'sa vicepit' nujnuu informaciu. Naprimer, o tom, kak sozdat' sek'urniy parol' ili kak ne stat' jertvoy fi6erov.

V ob6em, administracia, s odnoy storoni, podgotovila vse instrukcii. A s drugoy storoni, daje obazala pol'zovateley (krome 6utok, imenno obazala i imenno pol'zovateley) "prinimat' nadleja6ie meri dla obespe4enia soxrannosti... imeni pol'zovatela (adresa elektronnoy po4ti) i parola". Odnako lu46e bi ona obazala ix pol'zovat'sa nadjnimi parolami pri pomo6i nexitrix texni4eskix sredstv, skajem, proveraa sozdavaemie paroli na kriptostoykost', na (ne)sootvetstvie ix loginu, familii, imeni jeni i drugim pol'zovatel'skim dannim...

Mojno skol'ko ugodno nazivat' pol'zovateley malogramotnimi ili ograni4ennimi, no ved' i sozdateli servisa doljni ponimat', 4to oni v otvete za tex, kogo priru4ili.

Po4emu je togda pri sozdanii i smene parola net pramoy (i napisannoy vot takim vot keglem) ssilki na podrobnuu instrukciu po bezopasnosti? I po4emu eta instrukcia voob6e vidna tol'ko zaloginennim pol'zovatelam? Polu4aetsa: sna4ala pridumay parol' i zaregistriruysa, a uj potom tebe rasskajut, kakoy parol' nado bilo pridumat'. Da i to, esli dogadae6'sa zalezt' v debri "Texpodderjki".

Bezuslovno, "VKontakte" daleko ne edinstvenniy resurs Runeta, ne pozabotiv6iysa o takix elementarnix merax. No eto odin iz samix pose6aemix resursov, i dla kibermo6ennikov eti 39 millionov pol'zovateley kak sortir dla mux. Pri etom podavlau6ee bol'6instvo iz etix millionov ludi, kotorie ne znaut, s kakoy storoni u sistemnogo bloka raz&m pitania. Oni i sistemniy blok-to oti6ut ne s pervoy popitki, a vi ix vipustili s goloy zadnicey v ki6a6iy virusami i 4ervami Internet!

No ved' i eto e6 ne vs. Xota posle pati neuda4nix popitok vxoda na sayt pol'zovatelu i pokazivaetsa kakaa-nikakaa kap4a, ograni4eniy na 4islo popitok vvoda parola, poxoje, poprostu ne ustanovleno: mi sbilis' so s4ta posle 35-y ili 40-y popitki. A etogo vpolne dostato4no, 4tobi perebrat' vse rasprostrannnie varianti, plus imena, telefoni i dati. Da i ot kap4i-to, kak viasnilos', malo tolku: ona poprostu ne aktiviziruetsa, esli podbor parola 4eredovat' s dvux ma6in s raznimi IP-adresami.

Ey-bogu, detskiy sad, trusi na lamkax! S takoy politikoy bezopasnosti servisa bespokoit'sa po povodu fi6inga i vsakix melkix ute4ek uje i ne nado.

Spisok popularnix paroley, spamerskaa baza elektronnix adresov i nebol'6oy botnet, vzatiy v arendu na 4rnom rinke vot i vs, 4to nujno, 4tobi tixo i ne privlekaa osobogo vnimania v sravnitel'no korotkie sroki prostim pereborom vzlomat' akkaunti 3,36% pol'zovateley etogo servisa. Algoritm mojno slegka uslojnit', dobaviv proverku na parol', polnost'u ili 4asti4no sovpadau6iy s loginom i vot vam e6 procent s kopeykami. Daje esli v spam-baze budet tol'ko polovina adresov, kotorie ispol'zuutsa v ka4estve loginov "VKontakte", v kone4nom itoge okajutsa vzlomannimi bolee 800 tisa4 akkauntov.

Mi ne sil'no udivimsa, esli okajetsa, 4to ne4to podobnoe kto-to uje delal.

Vmesto postskriptuma ili "Koro4e, Sklixosovskiy!"

Pri pods4te statistiki mi ne rassmatrivali paroli koro4e 6esti simvolov, poskol'ku v nastoa6ee vrema na servise, slava Durovu, imeetsa takoe ograni4enie. Odnako je odin sposob zavesti "VKontakte" korotkiy parol' mi vs-taki obnarujili.

Da, pri sozdanii akkaunta etot nomer ne proydt, i v pole parola pridtsa vbit' ne menee 6esti simvolov. No zato potom mojno zayti v razdel nastroek i zadat' v ka4estve novogo parola lubuu posledovatel'nost' iz dvux i bolee simvolov, kotoraa vklu4aet kak minimum odin znak !, $ ili &. Pri4ina sostoit v tom, 4to pere4islennie znaki "VKontakte" prevra6aet v patisimvol'nie posledovatel'nosti "!", "$" i "&".

Sootvetstvenno, nel'za zadat' parol', kotoriy sostoal bi bolee 4em iz 6esti znakov !, $ ili &, poskol'ku v rezul'tate ego dlina kak bi budet bolee 32 simvolov, 4to ne dopuskaetsa.

S etim svazan e6 odin zabavniy gluk "VKontakte". Pri sozdanii novogo akkaunta upomanutie 4udo-simvoli nikuda ne perekodiruutsa i soxranautsa kak est'. Poetomu mojno zadat' i bolee dlinniy parol', naprimer, "!!!!!!!!". A vot pomenat' takoy parol' 4erez sootvetstvuu6uu formu uje ne polu4itsa, poskol'ku stariy parol' pri vvode budet perekodirovan, obrezan i priznan nepravil'nim.

Igor' Kreyn, Vladislav Mixeev s sayta vebplaneta
3
  ,
:
. +7(812) 984 5721

e-mail
icq 415547094  romver  mail.ru  romverinbox.ru
1997 - 2020 romver.ru

Display Pagerank