Взлом VK. Безопасная авторизация (часть 1 из 3)

Внимание! Статья 2012 года. Переношу блог со своего сайта на форум.

Привет друзья! Сейчас я поднимаю тему о безопасной авторизации, будем предотвращать кражи паролей.
Сначала я думал, напишу одну большую тему, но как только начал ее составлять, решил разделить на 3 части:

1. Поведение пользователей и виды взлома.
2. Пишем скрипт авторизации.
3. Мыслим о том, что еще можно сделать.

Если эта тема рассчитана на всех, то последующие две - для программистов. Но все равно я постараюсь писать, так чтобы всем было понятно.
Итак, начнем!



Украсть или быть обокраденным. Социальная сеть Вконтакте - это пример, который тесно связан с этой темой. Все что описано ниже - касается бок о бок с аккаунтами: ВКонтакте, Твиттер, Facebook, Google и др.

Как можно получить доступ к ресурсам, которые почти невозможно взломать? У них работает настолько грамотный штат специалистов, что пытаться обойти их систему защиты – выйдет себе дороже!

Но все в нашем мире возможно! И взламывать аккаунты нам помогает - человеческая глупость! Я серьезно! Сейчас приведу пару примеров...

Пример 1.

Вот представим, у нас есть банковский аккаунт, мы пользуемся любимым форумом и играем в какую-нибудь онлайн игру. Вопрос: как получить доступ к банковскому аккаунту?

Вариант с утюгом и паяльником конечно хорош, но не лучше взломать тот любимый форум или туже онлайн игру, я думаю, у них более менее лояльная система защиты, чем у банка! А причем тут человеческая глупость? У многих пользователей ОДИНАКОВЫЕ ПАРОЛИ, причем логины зачастую тоже одинаковы.

Пример 2.

Второй фактор человеческой глупости это «супер пароль»
Вот пару примеров:

1. 123123
2. 12345
3. qwerty
4. 111111
5. 55555
6. 777777
7. Password

Вы это называете паролем? Такие пароли грубым перебором проверяются в первую очередь! К той же области относятся пароли вроде номера телефона или даты рождения, а еще лучше просто ваше имя! Злые друзья вам спасибо скажут.

Пример 3.

Фишинговый сайт - это такой сайт, который похож на оригинальный, только служит для собирания логинов и паролей. Умный вариант чтобы развести свою жертву...

Пример 4.

Забыли установить антивирус? Ну если ваш компьютер подключен к интернету, и у вас не установлен антивирус, то будет бо-бо голова, когда половину ваших аккаунтов заблокируют, а к другой половине просто утеряем доступ. Но мы не такие люди, у нас все в наличии. Правда?

К сути данного примера:

• Сидит на нашем компьютере клавиатурный шпион, отслеживает: на каких сайтах - какие данные мы вводим.
• Сидит умный червячок, перенаправляет нас на фишинговые сайты (Пример 3).
• Заходим случайно на левый сайт, в поисках информации, а там недоскрипт, ворующий Cookies браузера.

Пример 5

Сидим в кафе, решили войти на сайт, а рядом сидит умный дядя, который чисто случайно перехватил пару пакетов, который отсылает ваш компьютер, и методом фильтрации находит логин и пароль, супер! Не забыли про Пример 1?
А как это относится к глупости? В общественных местах все сайты с незашифрованным соединением (без SSL) попадают в категорию уязвимых сайтов... Это каждый должен знать.

Объединяем наши примеры:

Историю, где мы недавно авторизовались, можно узнать из cookies браузера. По этому хакеру не трудно узнать, где мы зарегистрированы, чтобы сделать свое грязное дело!
Многие любят зарегистрироваться на несуществующей почте (или на временной). Так вот, кто-то умный это может проверить, зарегистрировать «вашу» почту, и восстановить пароль! А у вас везде одинаковые пароли? Хорошо, что нет

Итог:

• На важных ресурсах должен быть иной пароль
• Пароль должен быть простым для вас, но сложным для других
• Не отправляйте другим лицам ваш пароль
• Пользуйтесь антивирусом
• В незнакомых местах не стоит пользоваться незашифрованным соединением

SQL injection – последствия могут быть разными. Результатом чего могут сломать базу, и сайт выйдет из строя, либо просто своруют ваш логин (и пароль, если он не за хеширован).

XSS – последствием является утечка Cookies. На сайтах вы можете встретить скрипты, которые будут передавать копии ваших куки в третьи руки. Что очень опасно для вашей конфиденциальной информации.

Сниффер – программа, которая считывает трафик, и методом фильтрации выискивает логины и пароли в локальной сети. Иными словами заходя на сайт, вы отправляете серверу информацию, которую можно перехватить.

Фишинговый сайт – вы просто отдаете свои данные. В основном на такие сайты попадают двумя способами: невнимательность и вирус.

Брутфорс – имея логин, пароли тупо перебирают.

Вирусы – чего они только не творят.

Если кто-то имеет прямой доступ к вашему компьютеру, то ему не составит труда получить все ваши сохраненные пароли (в браузере например).

Устарело это все

@-Unick,
Какой антивирус наиболее нормальный(в смысле защиты) на данный момент ?

@tilperion, http://www.comss.ru/page.php?id=2000

P.s. у меня nod32 стоял когда-то, так как фаервол удобно настраивался. Сейчас сидя на линуксе мне это не нужно

Читал публикацию от автора негласной нормы пароля, который должен обязательно содержать цифры, заглавные буквы и символы, что этот "стандарт" был ошибкой.
Как выяснилось, пароли, содержащие в себе несколько никак не связанных между собой слов, надёжнее.
А как вы думаете?

Это как бы давние истины. Хотя для новичков будет полезно, но те кто давно увлекается ит сферой - это все уже знают, хотя не факт, что всегда следуют всем рекомендациям.
У меня вот к ресурсам которые не представляют особой важности - часто стоят одинаковые пароли, но я не беспокоюсь, если их взломают - или создам еще аккаунт или восстановлю через телефон или мейл.
ВК у меня за 9 лет пользования ни разу не взламывали. И фишинговый сайт - хрень для полных нубов: у меня закладка вк и фб на экспресс-панели - таким образом хрен я попаду на фишинговые сайты.

Во всех нормальных системах, где требуется ввод пароля, уже давно стоИт защита от брутфорса.
Поэтому, кража пароля стала крайне маловероятным явлением.

Есть ещё такие, кто умудряется попадать на фишинговые сайты. Мне периодами знакомые говорят, что их взломали каким-то образом. Думаю, что тут как раз-таки их косяк был.

Ну, это совсем глупым надо быть.

Для ввода пароля лучше использовать виртуальную клавиатуру и конечно же антивирусная программа обязательна. Я использую касперского. Считаю лучшим антивирусным решением

Разве авторизация через смс не решает подобные проблемы? У меня не самый сложный пароль, но используя этот метод даже не переживаю за свою страничку.

Тыкать мышкой? Как-то не удобно и долго. так же можно получить коориднаты мышки и скриншоты, и чувак за спиной видит куда тыкаешь (клава + скоропись = че за?)

Да. Смс или программы для двухфакторной авторизации очень хорошо поднимают уровень безопасности. Ведь на одних паролях очень стремно жить, они никогда не считались безопасными.

Спасибо.

Можно сделать не самый сложной пароль, но для тебя. По факту меняя часть пароля в зависимости от сервиса, которым пользуешься. Тогда не так страшно будет потерять мобильный.

Статья 2012 года, тогда этого всего добра не было реализовано Но я рад что ее все еще кто-то читает. Я верю, что кому-нибудь это помогло, путь он сам этого и не знает

Уже сколько раз говорили, что такой метод тоже достаточно просто можно взломать.

Вроде бы это не актуально