Воровство паролей, тайное завладение личными данными стало обыденной практикой на просторах Интернета со стороны недобропорядочных пользователей.
Под угрозой находится масса объектов и виртуальных систем (социальные сети, почтовые агенты, верифицированные аккаунты и прочее).
Данная статья содержит полезные материалы о том, как правильно тестировать пароли на сайтах, а также уберечь себя и свои конфиденциальные данные от взлома и кражи.
Как киберпреступники могут узнать ваш пароль?
Перед тем, как говорить конкретно о паролях, вначале необходимо понимать, как их могут воровать.
Украсть пароль можно непосредственно у пользователей, с веб-сервисов либо же на «отрезке» от клиента к сервису.
Далее поговорим касательно первого варианта, так как именно его можно отнести к парольной безопасности.
Остальные вариации связаны с уязвимостями веб-систем и шифрованием информации, при условии, что вероятность похищения пароля не зависит от его номинальной сложности.
Итак, чтобы украсть ваш пароль, злоумышленник может:
- Воспользоваться прямым перебором идентификационной информации потенциальной жертвы;
- С помощью социальной инженерии (к примеру, позвонить и представится сотрудником банка, создать рассылку писем и прочее);
- Физически, с помощью установки кейлоггера на локальный ПК потенциальной жертвы.
Какие есть механизмы защиты паролей
Если результативность выполнения двух последних пунктов прямо зависит от пользователей, то заблокировать автоматический перебор паролей можно еще на стадии разработки программного обеспечения, используя такие механизмы:
- Использование CAPTCHA. При верификации пользователю нужно дополнительно вводить специальные символы со специальных картинок;
- Двух-факторная аутентификация с применением разнообразных средств и систем. К примеру, отправить СМС на мобильное устройство пользователя для прохождения авторизации в ПО или просьбой воспользоваться онлайн-генератором одноразовых паролей;
- Временное ограничение пользователя после нескольких попыток неудачной верификации. К примеру, аккаунт пользователя может блокироваться на 10-30 минут после трех неудачных попыток ввода;
- Установление специальных требований к паролям.
Хорошие пароли — какие они?
- Надёжный пароль должен содержать от 8 до 12 символов;
- Пароль пользователя должен содержать как цифры, латинские символы, так и специальные символы;
- Оригинальное сочетание букв и цифр (как заглавных, так и строчных).
Инструкция по тестированию надёжности паролей/Тестирование на проникновение
Проверить текущий уровень защищенности информационной системы можно исключительно с помощью QA-консультирования на веб-проникновение.
На ранних стадиях проверки QA-специалисты выполняют пассивный сбор данных о потенциальных жертвах: инициалы, почтовые ящики, аккаунты в социальных сетях.
И именно на основе такой информации могут генерироваться шаблоны электронных писем и специальные словари для перебора.
Во время выполнения таких тестов активно используются общераспространенные методики социальной инженерии.
QA-инженеры создают рассылки и пробуют выведать необходимую им информацию со стороны тестовой группы пользователей.
Также в ход могут идти и другие способы «взаимодействия с Интернет-жертвой»: физический контакт, звонок по телефону и прочее.
Самое главное, что [highlight dark=”no”]подобное тестирование должно проводиться в окружении, которое в максимальной степени приближено к реальным условиям[/highlight].
0 Comments