1. Главная
  2. Книги
  3. Ферри Денис
  4. Секреты супер хакера
  5. Страница 12
Выбрать главу

К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются "wwtbt" и "fuon". Как видите, подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Шестой тип паролей - интерактивные последовательности "вопрос - ответ", предлагают пользователю ответить на несколько вопросов, как правило, личного плана: "Девичья фамилия вашей супруги?", "Ваш любимый цвет?", и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с "правильными". Сеансы вопросов и ответов могут оказаться лакомым кусочком для хакера, который хорошо знаком с пользователем, под чьим именем он пытается войти в систему. Системы с использованием вопросов - ответов склонны к тому же прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, дабы подтвердить его право пользоваться системой. Это очень раздражает, особенно если пользователь погружен в интересную игру. Ныне такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

"Строгие" пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством - "цербером". В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а бедолага-пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами, а также в параноидальных организациях.

Одноразовые коды - это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соотвествуюший времени, дате или дню недели. Может быть, вам повезет и вы найдете такой список в одном из своих походов за мусором. Коды, конечно, вам уже не пригодятся, но зато вы уразумеете принцип зашиты данной системы.

Пароли, устанавливаемые пользователем

Большинство паролей относятся к типу "выбери сам". Большинство современных программ запрашивают не слишком короткий пароль, чтобы систему было "труднее взломать". Обычно пароль содержит не менее четырех-пяти букв. Существуют также и другие меры, призванные не позволить пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, "компьютер", ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются. Вам необходимо досконально познакомиться с такими программами. Тогда вы будете иметь представление о том, какая из этих программ используется в избранной вами системе, и какие пароли данная программа не пропускает.

Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Людям требуется время, чтобы начать мыслить творчески. Начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль окажется вариантом одной из общих и актуальных для всех тем особенно если у пользователя не хватает времени или он находится в незнакомом месте. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Возможно, каждая минута промедления оборачивается все новыми центами и долларами, либо его окружает группа технических работников, которые обучают этого человека работе с системой. Как бы то ни было, стоит запросу появиться на экране, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Люди выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. Пароли создаются впопыхах, а последующая замена такого пароля на более надежный происходит достаточно редко. Таким образом, многие пароли извлекаются из мыслей, которые плавают на поверхности сознания - мыслей о работе, семье, возможных событиях, имуществе, оборудовании, увлечениях и интересах. Если вам удастся угадать или узнать одну из подобных характеристик полноправного системного пользователя, вероятность того, что вы угадаете верный пароль, значительно возрастет.

Возьмите каталоги компаний, занимающихся изготовлением наклеек-постеров, юмористических фотографий и прочей ерунды, которой пестрят стены офисов. Сколько раз вам уже приходилось видеть растиражированную фразу "Вам необязательно быть кретином, чтобы работать здесь... Но стать им не помешает!". Могу дать гарантию, что словечко "кретин" с этого плаката используется в качестве пароля ежедневно.

Не забывайте также о возрасте и образе жизни среднестатистического пользователя, под которого вы собираетесь маскироваться, чтобы войти и совершить взлом. В офисе какой-либо солидной корпорации, скорее всего, не приклеят постер с обнаженной натурой, но вот в студенческом городке это вполне возможно - там стоит опробовать пароли типа "playmate", "victoria", "body" или "month".

Самый простой способ раздобыть пароль - самому войти в систему в качестве пользователя, или подсказать пароль пользователю, входящему в систему впервые. Можно разыграть перед новичком роль компьютерного гуру рассказать ему об основах этого дела, обойдя молчанием аспект секретности, и постараться узнать их пароль при вводе. Новичок либо громко скажет вслух только что придуманный пароль, или же вы увидите, как загорятся его глаза при виде настенного календаря с заголовком: "surfboard". (Порой они говорят: "Господи, какой бы пароль посекретнее придумать? О, знаю...", и вслух сообщают вам свой пароль, набирая его на клавиатуре.)

Вышесказанное - приятная случайность. Обычно, особенно если к вашему появлению пароль уже введен, приходится изрядно повозиться, прибегая к методам тупого перебора, наблюдениям, социальному либо техническому методам узнавания пароля.

Пароли в большинстве своем являются литературными словами типа "subway", "chocolate" и т. п. В самом деле, можете ли вы представить себе новичка, сидящего за компьютером и старательно вводящего в качестве пароля нечто вроде "fMm6Pe"? Ну, конечно же, нет! Правила правописания для паролей не применяются: при создании паролей разрешается использовать имена собственные, равно как и слова с орфографическими ошибками, аббревиатуры, бессмыслицы и иностранные термины. Так, любитель посмотреть по телевизору Star Trek может создать пароль "enterprize" вместо корректного "Enterprise". Возможно, он (или она) не знаком с правописанием, а может, ему так просто больше нравится, - неважно. Важно, чтобы вы знали: слова с ошибками полноправные обитатели мира паролей. Можно найти букву "k" на месте "с" "koka kola", "х" вместо "ks" в "thanx" и другие фонетические заменители.

Некоторые хакеры просматривают каждое слово в английском языке, пока не найдут что-нибудь, работающее в качестве пароля. Если пароль, который они ищут, действительно обычное слово, но неправильно написанное, можно потерять кучу времени. Поиск паролей с помощью одной лишь тупого перебора слов, со словарем, нередко превращается в безрадостное и бесполезное занятие. Многие слова часто встречаются среди паролей. В то же время иные слова почти никогда не используются в качестве паролей. Разве найдется человек, способный ввести в качестве пароля наречие? Такие слова следует опробовать в последнюю очередь. Пароли, как правило, относятся либо к существительным, либо к глаголам (обычно общеупотребительным), а иногда - к прилагательным. Среди паролей популярны имена и прозвища друзей и подружек; вы узнаете их, проведя предварительные исследования.

~ 12 ~