18+

Пароль лесенкой или Показательная история про «взломанный ящик»

Вице-президент Mail.Ru Group Анна Артамонова рассказала в фейсбуке о вреде использования одинаковых паролей для разных сервисов и о пользе двухфакторной аутентификации.

Анна Артамонова

Вице-президент Mail.Ru Group

Буду тут рассказывать без имен все показательные истории про «взломанные ящики», с которыми ко мне обращаются многочисленные знакомые и знакомые знакомых.

Что характерно, чаще всего, это не новички интернета (я вообще не знаю, остались ли еще такие), не жители сел и деревень. Это люди нашего с вами круга (IT, медиа и вот это вот все), в интернете 5+ лет, уверенные, как говорится, пользователи, иногда даже профессионалы.

Кстати, знаете в чем характерное отличие таких пользователей от вашей мамы или бабушки? :) Нет, не не угадали! Не в том, что они себя ведут более осмотрительно, а в том, что мама, словив вирус, считает, что «я, балда, не доглядела», а «опытный пользователь», профукав пароль, чаще всего кричит «криворукие программисты сервиса Х виноваты!».

«Злоумышленник просто знал пароль»

Вот, собственно, последний случай: обращается продюсер известных звезд, говорит «у меня сменили пароль! мне пришла об этом смс-ка (то есть телефон подключен, что уже хорошо), я никому не сообщал этот пароль и он у меня очень хитрый, слава богу, я успел его оперативно восстановить через привязанный телефон».

Смотрим, что происходило вчера с его ящиком: в ящик был вход по паролю «ХХХХ» и смена пароля (как мы теперь понимаем, злоумышленником). После чего восстановление пароля через телефон (видимо хозяин) и смена пароля (хозяин).

То есть никаких попыток взлома или брутфорса, злоумышленник просто знал пароль и вошел с первой попытки (собственно, для системы он в таком случае выглядит как сам пользователь).

Спрашиваем продюсера «использовал ли ты, дорогой, этот пароль еще где-то»? «Нет, – говорит, продюсер, » вы что! Я очень ответственный...ну хотя, только на фейсбук такой же пароль, но не могли же у фейсбука украсть!».

Поскольку у нас пароли хранятся в виде соленых хешей, то посмотреть их не может никто, даже сотрудник нашей службы безопасности. Зато он может поискать емейл-жертву в различных базах аккаунтов, от взломов различных сервисов, которые во множестве доступны в даркнете (и мы их внимательно мониторим). И что же! «Хитрый пароль, который никому не сообщался», подходивший к аккаунту, обнаруживается сразу в нескольких базах – это и дампы социальных проектов и интернет-магазинов. Где его только нет. То есть реально, любой юный хакер, скачав базу за 10 долларов, мог войти в этот ящик по валидному паролю.

«Лучше уж на бумажке записывать!»

А как же мониторинг баз, вы же ищете и блокируете все совпадения? – спросите вы. Хороший вопрос! Это действительно так, как только мы находим свежую базу чужих взломанных аккаунтов с емейлами, мы проверяем ее содержимое на валидность у нас, и, в случае совпадения, ставим ящику статус «заблокирован», чтобы злоумышленники не могли в него войти, а восстановить мог только хозяин.

Так вот, когда все эти базы проверялись, у ящика был другой пароль! Который тоже был скомпрометирован таким же образом (то есть тоже встречался в таких базах). Мы ящик заблокировали около месяца назад, после чего человек разблокировал ящик и поставил «новый» пароль, который на деле оказался не таким уж новым и тоже был прилично засвечен в сети. Короче поменял шило на мыло.

Человеку повезло, что он в какой-то момент все-таки догадался привязать к ящику мобильный телефон, благодаря чему, восстановление доступа прошло для него практически безболезненно.

А теперь подумайте, кто из вас узнал в этом человеке себя. Небось тоже имеете три пароля «старый», «новый» и «еще новее» и используете без разбору во всех сервисах? Вам тоже кажется, что самый старый пароль уже «давно нигде не использовался, поэтому можно снова начать»? Нет ребята, так не работает. Интернет, он все помнит. Скорее всего, ВСЕ ваши старые пароли утекли когда-нибудь из старых говносайтов и форумов и болтаются где-то в базах, продающихся по два доллара за миллион. Никогда не возвращайтесь к ним, лучше уж на бумажке записывать, ей богу :)

Ну а мы тоже извлечем для себя урок, теперь будем прописывать в запрет на установку пароля даже те пароли, которых у нас никогда не было, но они попались нам в связке с вашим ящиком лгде-то в интернетах», вдруг вы решите к ним вернуться.

UPD: кстати, забыла сказать, что «хитрый пароль» у чувака был из букв, расположенных лесенкой на клавиатуре. Хитрости ему видимо добавляла единичка в конце.

UPD2: если у вас похожие аккаунты/ники на разных почтовых службах, а также в разных соц.сетях и службах знакомств, поверьте, злоумышленники умеют комбинировать: если украли базу, например, твиттера, где у вас ник vasya.petrov, то этот же пароль попробуют и к ящику vasya.petrov@mail.ru, vasya.petrov@gmail.com и т.п.

URL: https://m.babr24.com/?ADE=270828

Bytes: 5184 / 4810

Скачать PDF

Поделиться в соцсетях:

Также читайте эксклюзивную информацию в соцсетях:
- Телеграм
- ВКонтакте

Связаться с редакцией Бабра:
newsbabr@gmail.com

Другие статьи и новости в рубрике "Наука и технологии"

В Новосибирске уволили главу СО РАН

В Новосибирске уволили главу Сибирского отделения РАН Валентина Пармона.

Учёные ТГУ: микропластик в желудках рыб и новая защита иммунитета сельскохозяйственных растений

Учёные Томского государственного университета нашли способ защитить растения от патогенов и насекомых-вредителей с помощью сахарных молекул, так как ...

Автор: Андрей Тихонов.

Источник: Babr24.com.

Наука и технологии, Экология

Томск

9155

14.07.2026

Топливо из пластика? Двухэтапная переработка и соответствующий стандартам бензин

3 июля 2026 года стало известно, что учёные ТПУ предложили новый способ добычи компонентов для изготовления топлива из пластиковых отходов.

Автор: Андрей Тихонов.

Источник: Babr24.com.

Наука и технологии, Экология, Экономика

Томск

11766

09.07.2026

Первый в России кран-манипулятор для алюминиевой отрасли запустили на ИркАЗе

На Иркутском алюминиевом заводе запустили первый в России современный кран-манипулятор для алюминиевой отрасли. Об этом сообщает пресс-служба ИркАЗа.

Автор: Ярослава Грин.

Источник: Babr24.com.

Наука и технологии

Иркутск

5471

08.07.2026

В Новосибирске выбрали нового директора Института математики СО РАН

В Новосибирске выбрали нового директора Института математики СО РАН. Им стал Андрей Веснин, доктор физико-математических наук.

Учёные ТГУ: глюконовая кислота из сельскохозяйственных отходов

Учёные ТГУ совместно с коллегами из Индии создали способ, который позволит превращать отходы в ценные продукты.

Автор: Андрей Тихонов.

Источник: Babr24.com.

Наука и технологии, Экология

Томск

13659

30.06.2026

В Красноярском крае взяли под государственную охрану 51 древний памятник археологии

Служба по государственной охране объектов культурного наследия утвердила статус для 51 археологического памятника в Ужурском округе Красноярского ...

Монголия и Россия обсудили расширение сотрудничества в архивной сфере

В Улан-Баторе прошла XXVIII сессия Совместной монголо-российской комиссии по сотрудничеству в области архивного дела.

Изучать Байкал начал «Малый морской технолог»

На Байкале стартовала экспедиция по исследованию дна с помощью аппарата «ММТ‑3500».

Учёные ТГУ: ультрафиолет сквозь облака и кристаллы апатита в костях

Учёным ТГУ удалось выяснить, что все формы облаков в той или иной мере влияют на количество ультрафиолетовых лучей, в некоторых случаях даже сводя их ...

Автор: Андрей Тихонов.

Источник: Babr24.com.

Наука и технологии, Экология, Образование

Томск

15329

24.06.2026

Съедают серу и не боятся кислоты: в Красноярском крае нашли уникальных микробов-экстремалов

На Талнахском месторождении в Красноярском крае исследователи открыли новый вид бактерий, способных значительно улучшить экологичную переработку ...

Уникальная личина: археологи нашли древний наскальный рисунок в Хакасии

Археологи совершили открытие в Хакасии.