Web Security

Да кому я нужен

Парольная безопасность

В статьях «Надежный пароль. Какой он» и «Как создать и запомнить сложный пароль» я рассказывал как придумать, запомнить сложные пароли для своих аккаунтов.

А в этой статье хочу наглядно показать почему так важно иметь сложный пароль, и каким образом злоумышленники подбирают пароли.

Некоторые думают: «Зачем мне сложный пароль? Я его могу забыть. Кому вообще нужен мой аккаунт?». Как показывает практика, сложный пароль является хорошей превентивной мерой защиты учетных записей, и лучше забыть пароль, потратить время на восстановление, чем быть взломанным.

Перед написанием этой статьи я провел эксперимент, и готов поделиться результатами.

Неделю назад я сделал специальный тестовый сайт (так называемый honeypot – система, которая имитирует реальные ресурсы и может быть использована для отслеживания и анализа действий злоумышленников, а также для сбора информации об их методах). Принцип такой, что сайт очень похож на вполне реальный, за исключением того, что на нем установлены специальные мониторы, фиксирующие попытки атак и взломов.

Итак, сайт управляется администратором «fedor». Логин администратора на сайте нигде не отображается. Также есть пользователь «igor», от имени которого на сайте опубликовано 2 новости.

Сайт намеренно не добавлен в поисковые системы – найти его каким-либо образом невозможно, если только не знаешь прямого адреса.

Спустя неделю получились следующие результаты.

blank

В течение семи дней существования сайта его пытались взломать 2079 раза. А пока я писал эту статью в течение нескольких часов, количество еще увеличилось до 2235.

Но как злоумышленники узнали об этом ресурсе? Никак. Для подобного подбора используются специальные боты, которые в автоматическом режиме перебирают все интернет-ресурсы и пробуют выполнить вход в административные панели. В случае успешного входа бот сообщает хакеру ресурс и данные для входа. То есть все, что необходимо сделать – это запустить необходимую программу.

Для входа боты используют наиболее популярные логины и пароли, а также данные из различных утекших баз.

В моем случае рейтинг логинов, которые подбирались, выглядит так:

  1. admin
  2. administrator
  3. igor

Можно заметить, что для подбора используются логины, которые используются в системах по умолчанию (admin и administrator), а также учетная запись «igor», которая открыто отображается в публикациях на сайте.

Наиболее популярные пароли:

  1. admin
  2. 123456
  3. password

Выводы:

  • абсолютно все ресурсы в интернете подвергаются атакам и попыткам взлома;
  • не используйте административные логины по умолчанию;
  • административные логины следует использовать исключительно для настройки ресурса – никаких открытых публикаций логина администратора;
  • используйте сложные пароли.
Артем Долгих

Консультант по информационной безопасности.

Похожие записи

Надежный пароль. Какой он

Надежный пароль. Какой он

Парольная безопасность

Каждый раз при регистрации в разных сервисах, приложениях возникает необходимость придумать сложный пароль для учетной записи. Многие используют…