А пароль-то голый!
Часто ли пользователи информационных систем задумываются о том, насколько тонкая стена ограждает их от взломщика?..
Часто ли пользователи информационных систем (как публичных, так и корпоративных) задумываются о том, насколько тонкая стена ограждает их от взломщика?
Имена пользователей (т.е. логины) системы часто не скрываются, а значит, чтобы взломать систему, достаточно только узнать пароль. Современные взломщики не дураки и понимают, что метод грубой силы (brute force) срабатывает очень редко. Какие же другие способы применяются?
Например, подбор пароля по словарю. Но иногда и подбирать-то практически ничего не надо. Скажем, в настройках по умолчанию большого количества сетевого оборудования (маршрутизаторы, модемы, точки доступа Wi-Fi) прописаны имя "admin", пароль "admin". Слушая один из прошлогодних подкастов, я очень удивился, что ситуация со сменой не то что имени, а даже и пароля по умолчанию стала настолько катастрофической, что дело решили взять в свои руки некоторые производители оборудования: в новых устройствах пароль по умолчанию будет уникальным (в рамках модели). Это, конечно, не панацея, но хоть насколько-то снизит число взломов.
Любопытная новость пришла и в этом году. Участились случаи взлома паролей популярных почтовых систем (gmail, mail.ru, yandex, rambler), основанные на методах социальной инженерии (в частности, на фишинге). Схема взлома такова: взломщики изучают способы работы почтовой системы и находят в каких случаях она рассылает своим пользователям какие-либо письма, требующие внимания (например, проверить свой ящик или настройки профиля). После чего отправляют жертве подельное письмо, очень похожее на настоящее. Если жертва перейдет по гиперссылке (на фальшивый, но, опять же, чрезвычайно похожий на настоящий, сайт), ей сообщат, что надо ввести имя и пароль. Что произойдет дальше - можно не объяснять.
Часто ситуация усугбляется еще и тем, что пользователи информационных систем не представляют себе всей глубины "кражи личности", думая: "Ой, да ладно, чего уж там можно получить, взломав мой пароль?"
Хотелось бы предостеречь: люди, будьте бдительны! Охраняйте свой пароль и не давайте взломать систему.
Комментарии 1
Есть еще очень простой способ украсть все пароли одним махом даже у внимательного пользователя - подсадить троян с кейлоггером.
С фишингом же во внутрикорпоративных сетях проще бороться не увещеваниями пользователей, а грамотным администрированием.