Есть несколько способов взломать пароль. Сегодня я расскажу о трёх из них. Подробнее расскажу о третьем из них, т.к. я веб-девелопер и для меня было важно изучить эту тему.
• Фишинг;
• подбор;
• дампы и базы.
Фишинг
Этот способ заключается в вводе пользователем логина и пароля путём создания идентичного нужному пользователю сайта. Т.е. если хакеру нужен пароль от стима, то он создаёт сайт идентичный сайту стима с похожим URL-адресом и рассылает сообщения на почту или любым другим способом завлекает пользователя на сайт, где ничего не подозревающий человек введёт пароль, а в базе данных сайта появятся данные, которые ввёл пользователь. Далее злоумышленник, имея доступ к вашему аккаунту, может забрать его себе.
Подбор
В этом способе используется полный или частичный подбор.
При полном подборе злоумышленник перебирает миллионы вариантов пароля. Это сложно и долго, поэтому так взламывают пароль редко.
Частичный подбор подразумевает подбор комбинаций данных жертвы. Т.е. если злоумышленник знает, что жертва – это Ангелина Иванова и она родилась 12.12.1975, то он составляет комбинации по типу: aivanova1972, 12121975ai и т.п.
Дампы и базы
Этот способ завязан на ошибках сайтов и лени пользователей. Как мы все знаем, как правило, все пользователи используют один и тот же пароль на всех сайтах. Ну или 2. Это со стороны пользователей, а сайт, на котором зарегистрировался пользователь часто ленится использовать дополнительные методы защиты своей базы данных (далее БД), не говоря уже о том, что многие из них не защищены от SQL-инъекций! Злоумышленник, используя прокси и программу по типу Searcher, пробегается такой программой по популярным поисковикам со специальными запросами, которые называются дорки, и находит множество страниц. Их адреса автоматически сохраняются в текстовый документ. Далее используя другую программу, к примеру, SQLi Dumper, отсеивает эти ссылки на валид, т.е. на работоспособность. Далее идут только рабочие ссылки, в них эта же программа ищет уязвимости, если находит такие, то сливает на компьютер хакера такие базы. Учитывая человеческий фактор, о котором я писал выше, ваши страницы уже взломаны. При таком подходе, бывают проблемы, главная из которых – зашифрованный в MD5 или SHA-1 пароль. Расшифровать их нельзя, можно только подобрать, т.е. по очереди зашифровывать сочетания букв и цифр и сравнивать их хеш с хешем, который мы получили посредством дампа. Дампом называется процесс SQL-инъекции с получением БД. К счастью, огромное количество пар хеш-пароль уже есть в интернете на специальных сайтах, а хакеру остаётся только ввести полученный хеш и получить расшифрованный пароль, но не все хеши есть в БД сайтов для расшифровки.
Мои рекомендации
Рекомендую вам использовать разные пароли на разных сайтах и проверять URL-адрес сайта перед тем, как вводить туда свои данные.
Админов сайтов взываю – да не ленитесь вы, сделайте защиту от SQL-инъекций! Это не сложно и ваша репутация не будет испорчена неожиданным взломом сайта.
Автор: admin
