Недавно в публичный доступ попала небольшая база паролей от популярной социальной сети «ВКонтакте». Туда попало около 130 тысяч паролей ни в чем не подозревавших пользователей. «Откуда же столько паролей?» — подумаете Вы. — «Неужели ВКонтакте взломали?» Конечно нет, администраторы серверов данной социальной сети пока справляются со своей задачей, свои пароли пользователи сами отдавали злоумышленникам. Но как? Все Вы знаете, что ВКонтакте славен своими приложениями, но мало кто подозревает, что через приложения можно распространять вирусы (вот тут большая ошибка администрации ресурса). Приложения проверяются администрацией, но только один раз. То есть можно залить на проверку приложение без вируса, пройти проверку, а потом перезалить приложения уже с вирусом. Так же было и в этом случае. Вирус никакого вреда компьютеру не наносил, всего лишь подменял системный файл hosts. Получалось, что пользователь заходит не на настояший сайт, а на фишинговый сайт, который неотличим внешне от контакта, и отдает свои логины/пароли злоумышленникам. Так же раньше в сообщения приходили ссылки на фишинговый сайты, и многие люди по ним переходили.
Но данный пост не совсем об этом, а о паролях. Так как мне база с паролями попала довольно-таки давно, я успел проанализировать пароли. Самый популярные пароли: дата рождения, мобильный телефон и стандартные наборы букв, типа 123, 123456, qwerty, asdf. Судя по паролям и е-mail`ам с годом рождения, то можно сказать, что целевая аудитория, которая попала под атаку хакеров, имеет возраст от 12 до 20 лет.
Как же выбрать хороший пароль? Чтобы его было легко запомнить и трудно подобрать? Есть много советов по созданию паролей, но я придерживаюсь одному, который частично подсказал мне Мишка, известный на нашем блоге как 3mik3l. Возьмем любое простое слово, можно имя, например harry. Теперь напечатаем его, сдвигая все буквы на клавиатуре вверх, т.е. вместо a пишем q, вместо t пишем 5 и т.д, получиться yq446. Получился уже не простой пароль. Теперь мы его ещё нимножко усложним зажимая шифт через букву, получается такой пароль: Yq$4^. Но что делать, если кто-то узнал пароль от Вашего аккаунта на каком-нибудь сайте? Можно использовать Yq$4^ как кодовую фразу. а к ней добавлять несколько букв имени сайта, или доменную зону. Для данного блога можно было бы использовать пароль Yq$4^info или Yq$4^belp. В общем такие пароли легко запомнить и трудно подобрать ;-)
