Существует множество способов взлома паролей, включая методы, описанные в следующих разделах.
Как и показывают в кино, хакеры могут подобрать пароль. Если он прост и хакер что-то знает о человеке, он может попытаться подобрать пароль, исходя из его интересов. Хорошо известно, что юзеры часто используют в качестве пароля свое имя, имена своих близких или любимые хобби. Хакер может попытаться подобрать пароль вручную или использовать один из многих инструментов для автоматизации этого процесса. Если автоматический генератор паролей слепо пробует все возможные комбинации, это называется атакой «грубой силы». Если он использует предопределенный набор возможных значений пароля, который часто является набором слов, то такой инструмент называют «словарем». Большинство инструментов подбора паролей используют инструмент, который начинается с набора слов, а затем дополняет текстовые слова различными комбинациями цифр и специальных символов, чтобы подобрать более сложные пароли.
Примечание. Однажды я случайно подобрал пароль пользователя, о котором ничего не знал, с первой попытки. Я как раз закончил смотреть знаменитый фильм Орсона Уэллса «Гражданин Кейн», сюжет которого крутился вокруг словосочетания «бутон розы». Оно и оказалось паролем. Но со мной такое произошло только один раз.
Хакер также может использовать реалистичный, но мошеннический онлайн-запрос (через веб-сайт или электронную почту), чтобы обмануть пользователя и заставить его раскрыть свой пароль. Это называется фишинг. Если попытка фишинга использует то, что ранее было частной или внутренней информацией, это известно как spearphishing. Хакеры также могут использовать телефон или личный контакт, чтобы попытаться обмануть пользователей и узнать их пароли. Это работает гораздо чаще, чем вы думаете.
Если хакер уже имеет повышенный доступ к компьютеру жертвы, он может установить программу под названием кейлоггер, которая фиксирует нажатия клавиш. Кейлоггеры отлично подходят для получения паролей, и им все равно, сложный он или простой, длинный или короткий.
Если хакер может получить доступ к базе данных аутентификации жертвы, то может получить доступ к сохраненному паролю или, что более вероятно, к хэшам паролей. Сильные хэши криптографически устойчивы к обратному преобразованию в исходные текстовые формы. Более слабые и даже сильные хэши коротких паролей подвержены взлому. Взломщик хэша, используя методы грубой силы или словаря, пытается ввести все возможные пароли, преобразует их в хэш, а затем сравнивает вновь созданный хэш с украденным. Если они совпадают, то хакер теперь имеет пароль с открытым текстом. «Радужные таблицы» связаны с традиционными хэшами, только в их хэш-таблице хранится промежуточная форма, используемая для сравнения паролей или хэшей, что значительно ускоряет взлом. Есть много бесплатных программ для подбора и взлома паролей, доступных в Интернете. Если это вам интересно, обратитесь к открытому исходному коду John the Ripper (http://www.openwall.com/john/).
Если у хакера есть повышенный доступ, он может украсть хэш пароля пользователя или другое представление учетных данных из памяти компьютера или сохраненной базы данных аутентификации, а затем воспроизвести его на других компьютерах, которые принимают аутентификацию с использованием украденных учетных данных. Этот тип атаки, в частности известный как Pass-the-Hash (или PtH), стал довольно популярным за последнее десятилетие. В традиционном сценарии PtH злоумышленник сначала проникает на один или несколько обычных компьютеров конечных пользователей, находит локальные хэши учетных записей с повышенными привилегиями, а затем использует их для доступа к хранилищу всех учетных данных компьютера или сети, что, по существу, ставит под угрозу всю систему. За последнее время почти каждая организация, подключенная к Интернету, подверглась этому типу атаки.
Часто самый быстрый способ внедриться в систему – это взлом сервисов восстановления паролей. Многие системы аутентификации, особенно крупные онлайн-системы, позволяющие конечному пользователю ответить на ряд стандартных вопросов, используются для сброса пароля. Хакеры обнаружили, что гораздо легче подобрать или ответ на вопросы сброса пароля конкретной жертвы (например, «Какова девичья фамилия вашей матери?», «В какую начальную школу вы ходили?», «Какой была ваша первая машина?», «Какой ваш любимый цвет?» и так далее), чем подобрать сам пароль. Многие знаменитости были взломаны именно таким способом.
Существует столько же способов защиты паролей, сколько и способов их взлома.
Длинные и сложные пароли значительно усложняют работу инструментов подбора и взлома. Лучше использовать длинные пароли, чем сложные (если вы не можете получить истинную сильную энтропийную сложность). Сегодня большинство экспертов рекомендуют 12-значные или более длинные пароли, и это только для обычных пользователей. Учетные записи привилегированных юзеров должны содержать не менее 16 символов. Длина рекомендуемого минимального размера пароля со временем увеличивается. Однако это не влияет на атаки повторного использования учетных данных, такие как PtH-атаки.