edgeways.ru
|
|
Отв: паралельная реальность в московском метро Пользователь: Michael_Sv (IP-адрес скрыт) Дата: 12, October, 2016 12:50 Загадочная мозаика московского метро и ее разгадка
В правой руке - мобильник у уха. В левой - ай-фон. А внизу, перед ним - ноутбук. Странная штука мозг человека.. его избирательность. В одном случае он видит знакомую ему тривиальность на вресках московского метро. А почему? Потому-то каждый день вынужден ездить на работу по знакомому маршруту и домысливать окружающую тюрьму-реальности знакомыми ему мемами из мира символов и кино .. [kirill-rozhkov.livejournal.com] Слепота к изменению - 4% паролей относятся к тому, что пользователи видят перед глазами. Сами загадали и сами разоблачили. Сами себя высекли. Алексей Лукацкий "Зная, КАК пользователи выбирают себе пароли, злоумышленник может существенно сэкономить себе время. А как происходит такой выбор? Пользователь, как существо по природе своей ленивое, не хочет утруждать себя процедурой выработки правильного ключа шифрования и тем более заниматься тестированием качества созданного им пароля. Мало того, даже если кто-то побеспокоился о пользователе и создал для него стойкий ключ, пользователь не захочет напрягать свои мозговые клетки для запоминания сложной комбинации цифр и букв в верхнем и нижнем регистрах. В большинстве случаев пользователь выберет для такого ключа (или точнее пароля, на основании которого создается ключ) свое имя, название своей компании, имя жены или любимой рыбки, номер телефона или автомобиля и т.п. В «лучшем» случае пользователь для ключа выбирает какое-то осмысленное слово, но и здесь его подстерегает ловушка. Несмотря на то, что всех возможных комбинаций букв русского языка очень много, 17-томный «Словарь современного русского литературного языка» включает в себя всего 120480 слов (4-хтомный «Словарь живого великорусского языка» В.И. Даля содержит около 200000 слов). Но где вы встречали человека, который оперирует таким многообразием слов? Даже Пушкин оперировал всего 22000 словами («Словарь языка А.С. Пушкина» включает 21 290 разных слов), а словарный запас современного взрослого образованного человека, по данным ученых, не превышает 10-12 тысяч слов. Осуществить их полный перебор не составляет большого труда даже для персонального компьютера средней мощности. А зная область интересов человека, ключ или пароль которого необходимо узнать, число возможных вариантов сокращается еще больше. Известен анекдотичный случай, когда при запросе «Введите пароль:» около трети американских военных вводили… «пароль». Еще больше число возможных вариантов сокращается, если знать, что большинство паролей вводится только в нижнем регистре без применения цифр, знаков препинания и иных символов. Ну и, наконец, в Internet можно найти уже готовые файлы, содержащие «200 самых распространенных паролей», «1000 самых распространенных паролей» и т.п. Таким образом, спецслужбам нет нужды заниматься сложными алгоритмическими преобразованиями, направленным на взлом того или иного шифра. Достаточно знать основы человеческой психологии в применении к информационной безопасности. Другой способ обойти все шифровальные препоны – проникнуть в устройство, осуществляющее шифрование. Другими словами, достаточно внедрить на ваш компьютер троянца и все, «ваше дело в шляпе». Злоумышленники смогут получить доступ ко всей важной информации, в т.ч. к паролям и ключам шифрования. Так, например, поступили в 1999 году агенты ФБР, пытавшиеся получить доказательства преступной деятельности мафиози Никодемо Скарфо, делающего деньги на нелегальном игровом бизнесе в Нью-Джерси. Этот субъект шифровал все компрометирующие себя файлы (по некоторым данным с помощью известной программы PGP). Однако агенты ФБР оказались тоже «не лыком шиты», - они внедрили на компьютер Скарфо клавиатурного шпиона, который регистрировал все нажатия клавиш, в т.ч. и в момент ввода пароля доступа к засекреченным данным. После этого ФБР смогло собрать все необходимые доказательства и улики, и в феврале 2002 года Скарфо был осужден американским правосудием. Именно поэтому в инструкциях ко многим средствам криптографической защиты написано, что пользователь обязан обеспечить защиту своего компьютера и ключей. Но кто из, считающих себя продвинутыми, пользователей читает документацию? А из тех, кто читает, кто защищает компьютер так, как это написано?... И, наконец, по статистике очень много пользователей выбирают в качестве паролей не случайные наборы символов, а вполне осмысленные слова, которые можно найти в любом толковом словаре. Учитывая, что даже в самых больших словарях приводится не больше 100-200 тысяч слов, а реальный словарный запас человека составляет всего 20 тысяч слов, из которых только 3000 он использует ежедневно. Вот и получается, что обычный пароль вычисляется злоумышленником меньше, чем за одну секунду - гораздо быстрее, чем туже самую операцию можно проделать над криптографическими ключами, при генерации которых используются специальные датчики случайных чисел, исключающие из процесса человеческую предсказуемость. Вернемся к реальной статистике. 65% паролей взломанного портала phpbb.com можно было найти в обычном словаре английского языка. А в «хакерском» варианте словаря можно было найти уже 94% паролей. 16% пользователей выбирали в качестве пароля имя - свое или какой-нибудь персоны (известного футболиста, актера, библейского персонажа и т.п.). Например, 5% паролей на сайте phpbb.com относились к шоу-бизнесу - «starwars», «matrix», «legolas», «ironmaiden» и т.п. 4% паролей являются вариантом английского слова «password» - «passw0rd», «password1» или «passwd». Еще 4% относятся к тому, что пользователи видят перед глазами, например, название монитора («samsung»), компьютера («apple»), напиток («cocacola») и т.д. Важно также понимать, что защищается паролем? Например, третьим по популярности пароль взломанного сайта phpbb.com стал «phpbb», а одним из популярных взломанной сети MySpace - «myspace1». Чтож тут не одна свол...ь не видит гаджеты в руках ребёнка?. |