Простые пароли — в топку!

Когда речь заходит о выборе пароля, лучше всего приложить максимум своей фантазии. В противном случае, однажды, проснувшись рано утром, вы не сможете зайти в одну из социальных сетей или почувствуете себя на месте Дженнифер Лоуренс. Давайте рассмотрим сочетания, которых точно не должно быть в вашем списке, а также программы, позволяющие генерировать надежные пароли.

В большинстве случаев, пользователи предпочитают надежности простоту, и создают пароли, которые очень легко запомнить. Поэтому их часто взламывают, крадут крайне важные данные, странички в социальных сетях и деньги.

Список простых паролей, которые чаще всего используют, а значит и взламывают:

• Цифры в возрастающем или убывающем порядке. Это может быть 1234, 12345 или 9876. По многим опросам, это самые популярные пароли. Вы же не хотите сделать такую же ошибку? Тогда быстро выбрасывайте его в корзину!
• Буквы и цифры по порядку. Еще одно прекрасное сочетание — abc123 или 123abc. Будьте смелее, как минимум, перемешайте символы.
• Дата рождения. Никогда не пишите в пароле свою дату рождения, ни в какой комбинации: 03051995 или 19760327. Да, это очень легко запомнить, но и очень легко взломать.
• Имя или фамилия. Вот еще один прекрасный пример, как не нужно делать — писать свое имя или фамилию: michael, dasha или ivanov.
• Password. Еще один отличный пароль — «пароль». Что может быть более оригинальным? Пароль «пароль» тоже отправляем в топку.
• Спорт. Если вы фанат спорта, вполне возможно, у вас в паролях будут спортивные термины: football, basketball, skating, joga, swimming и тому подобные. О них тоже стоит забыть!
• Комиксы. Ну а если вы любите комиксы, среди ваших паролей обязательно встретится superman или batman. При взломе вашей почты их сверхспособности вам не помогут!
• Средиземье. Толкинистам я советую не использовать имена и названия различных существ, земель и имена, вроде middle-earth, hobbit, dragon, gandalf, saruman, sauron. Их силы не действуют в человеческом мире, они не защитят от взлома!
• Фауна. Очень часто пользователи используют и названия животных в качестве пароля: monkey, horse или lion. Давайте будем любить братьев наших меньших вне сети!

Чтобы не морочить себе голову и не придумывать сложный пароль, который можно легко забыть или потерять, используют специальные программы. Одной из самых популярных остается 1Password для OS X и iOS. Она генерирует сложные пароли из строчных и заглавных букв, цифр и разных спецсимволов. Вы сможете сохранить в 1Password уже имеющиеся пароли, а также отследить их надежность. Главное — придумать надежный пароль для входа в саму программу.

Самый большой конкурент 1Password — программа LastPass. Это тоже отличная программа, она тоже генерирует и хранит пароли. LastPass бесплатна, за исключением некоторых функций, но и без них достаточно эффективна и надежна.

Вообще, если сейчас зайти в App Store, можно найти множество программ, хранящих пароли, есть и различные интересные сервисы под Mac, вроде Keepass или Splashdata. Да и сам браузер Safari прекрасно справляется и с хранением, и с генерацией паролей. Так что сейчас вам не нужно держать в голове множество разнообразных комбинаций. Достаточно просто придумать нечто оригинальное и сохранить в одной из программ.

А пользуетесь ли вы программами для хранения паролей или все запоминаете по-старинке?

Цена:
Бесплатно

Цена:
Бесплатно

Цена:
Бесплатно

Придумать надежный пароль и запомнить его

Как сгенерировать уникальный пароль и запомнить его без программ?

Тебе нужен пароль? Тебе нужен длинный пароль? Тебе нужен длинный пароль с цифрами, заглавной буквой и спецсимволом? Ты его получишь и запомнишь, обещаю! Я расскажу тебе один проверенный прием.

Не важно, где ты регистрируешься, на любом сайте ты оставляешь личную информацию о себе, защищенную паролем. Чем раньше ты придумаешь себе сложный и уникальный пароль, тем быстрее приучишь себя к порядку и сделаешь все возможное, чтобы твои учетные записи не были взломаны. 

Да, сейчас наиболее важные сервисы используют двухфакторную авторизацию. Даже узнав твой пароль, мошенник не войдет в учетку, так как вход надо подтвердить кодом, который пришел к по смс на твой телефон. 

Но согласись — мало приятного, осознавать, что твой единственный пароль от всех сервисов стал известен кому-то. И теперь только вопрос времени, когда он попробует его ввести на других сайтах в связке с твоим емейлом. А там — бонусные баллы в магазинах, твои адреса доставки и другие персональные данные.

Чем популярнее сайт, тем сложнее у него требования к паролю. Уже недостаточно иметь просто длинный пароль, наверняка уже не раз встречался с назойливыми и, порой, неадекватными требованиями.

Формула

Всё дело в Формуле. Она состоит из 4 частей.

Сначала тебе потребуется простое слово. Желательно, чтобы это слово легко переводилось на английский и содержало не меньше 5 символов. Для примера возьмем слово пианино. И пишем так, будто оно расположено в начале приложения, с большой буквы: Pianino.

Затем понадобится комбинация из цифр, 2-3 достаточно. Желательно не иметь повторений символов и подряд идущих цифр. Некоторым сайтам это может не понравиться. Возьми число твоего рождения или счастливое число, чтобы легче запоминать.

А теперь лайфхак. 3 часть не надо придумывать или запоминать! Просто берем первые 3 (или больше) символа того сайта, куда заходим. К примеру, мы регистрируемся на yandex.ru, значит берем YAN, или на GOOGLE.COM — значит будет GOO.

3 части пароля готовы. И теперь вишенка на торте. Выбирай любой спецсимвол, который тебе нравится, пусть будет знак вопроса “?”.

Финальный аккорд. Записываем пароль по формуле, которую ты сам себе сейчас сочинишь, расположив эти части как тебе угодно. 

Формулу компонуем по принципу:

или

Вот лишь некоторые примеры, что может получиться:

• 12Pianino?YAN

• ?YANPianino12

• Pianino?YAN12

• Pianino12YAN?

Главное запомнить формулу, по которой ты будешь его генерировать. Экспериментируй с вариантами и дальше, перемещай заглавную букву, дублируй части и так далее.

Резюме

Конечно это не панацея. Не стоит рассчитывать, что такой пароль спасет от взлома, так как нет гарантии, что пароль не будет скомпрометирован самим сервисом, где ты его вбивал. Однако, гарантирую, что он удовлетворяет подавляющему большинству сайтов с самыми жесткими требованиями к паролям и то, что такого пароля нет ни в каких базах паролей. А самое главное, что если такой пароль похитят, то он не сможет быть применен в другом месте, так как он уникален за счет частички адреса.

Интернет без бед на весьма неплохом канале

Данная статья в видео формате.

Уважаемый, хочу представить твоему вниманию проект «Интернет без бед».

Советы и приемы, которыми может воспользоваться каждый пользователь домашнего компьютера, чтобы обезопасить себя в интернете, а не только профессионал в этой области.

Контент только начинаю генерить. Буду откровенно рад любым замечаниям или вопросам, которые не дают спать спокойно, от продвинутой аудитории на Хабре. Спасибо.

Подробней о миссии: https://www.youtube.com/watch?v=bt6Us…

Телеграм-канал о безопасности в сети: https://t.me/internetnotbad

#internetnotbad #интернетбезбед

PS> UPD. 20.11.2020

Спасибо сообществу за активную жизнь в комментариях. Это очень полезно и все вы по-своему правы.

Как я и говорил, цель статьи: предложить легкую для запоминания в уме формулу создания пароля с всеми требуемыми самой жесткой парольной политикой составляющими. Помочь тем людям, которые не хотят связываться с доп. ПО, но им приходится выдумывать пароли с усложнениями из-за этих требований, после чего они их благополучно забывают.

Вопрос надежности тут стоит довольно просто: любой такой пароль будет сложнее подобрать, чем просто набор строчных букв. Проверил на сайте https://www.security.org/how-secure-is-my-password/

Проверка пароля по формуле

Проверка VASYA123

Для аналитики могу предложить почитать статью:

Исследование на тему паролей

Здесь я постараюсь собрать воедино и проанализировать всю информацию о пользовательских паролях на р…

habr.com

Из которой можно взять на заметку, что обычные юзеры популярных сайтов очень часто используют лишь буквенные пароли и не заморачиваются. Знание мнемонических приемов, которыми не ограничивается приведенный в этой статье вариант, значительно помогает запоминать важную информацию, в частности — пароль.

Как узнать пароль от телефона. Код, рисунок, даже текст

Вот вы поставили пароль на смартфон. Неважно, какой: 6-значный, текстовый, рисуночком или вообще скрытыми нажатиями на области экрана.

Думаете, он непробиваем? Ничего подобного. Есть немало методов узнать его, и необязательно подсматривать за вами через плечо.

Злоумышленники могут украсть ваши пароли у всех на виду, даже когда на них смотрят камеры.

Как не допустить этого?

Достаточно простого тепловизора

Вы ввели пароль, затем просто убрали смартфон. Ученые из Штутгартского университета совместно с коллегами из Мюнхенского университета Людвига-Максимилиана доказали, что это небезопасно.

Вооружившись компактным тепловизором, ученые смогли считать введенный пароль с экрана смартфона. Через 15 секунд после ввода, PIN-код из четырех цифр распознавался в 90% случаев. А графический ключ получалось угадать почти всегда даже через 30 секунд.

Если спрятать тепловизор в рукаве или замаскировать его под игрушку, никто и не подумает, что проходивший мимо смартфона человек считал код.

Защититься ученые предложили случайными свайпами по экрану (b). Среди аппаратных способов – повышение яркости дисплея на несколько секунд (a) или резкий рост нагрузки на процессор (c). В тепловизоре такое выглядит следующим образом:

Можно вычислить пароль по масляным следам

Камера с высоким разрешением способна сделать качественный снимок, на котором можно будет распознать масляные следы от пальцев на экране смартфона. Ещё в 2010 году специалисты Пенсильванского университета описали этот способ.

Сегодня на такое способна даже любительская фотокамера или хороший смартфон. Не составит труда сделать вид, что за обедом вы снимаете не смартфон коллеги, а свою еду для Instagram.

Такой метод лучше всего распознает следы от ввода графического ключа, чуть сложнее – PIN-код или цифро-буквенный пароль. Если это не слово, фраза или дата рождения, будет слишком много вариантов порядка букв и цифр.

Вообще, графический ключ Android – самый небезопасный

Чем сложнее графический ключ, тем проще его распознать, утверждают исследователи. Достаточно сесть сбоку от жертвы на расстоянии до 5 метров и банально снять на видео процесс разблокировки.

Затем видео загружается в специальное приложение. Оно анализирует движения пальцев и предложит до пяти вариантов ключа. В 95% случаев один из этих ключей правильный.

Ваш пароль может «слить» сеть Wi-Fi

Бывший технический директор компании SpringSource Адриан Колье рассказал, как перехватить PIN-код с помощью анализа сигнала Wi-Fi. Технологию он назвал WindTalker.

Колье установил, что движения пальцев по экрану влияют на сигнал Wi-Fi. Если злоумышленник создаст точку доступа, то он сможет отследить эти микропомехи.

В эксперименте Колье удалось взломать аккаунт Alipay, платёжной системы компании Alibaba. Приложение выдало ему три варианта пароля, и один из них подошел.

Точность метода – 68%. Чем больше данных, тем точнее анализ. Чем больше попыток ввода допускает приложение, тем больше шансов ввести правильный пароль.

Движения фитнес-трекера или умных часов тоже «сдают» пароль

Если хакер установит специальный сканер рядом с вашим рабочим местом, банкоматом или терминалом, он сможет получить пароль или PIN-код, отследив движение ваших рук по фитнес-трекеру или смарт-часам.

Эксперимент провели сотрудники Технологического института Стивенса и Бингемтонского университета (США). Они разработали сканер, отслеживающий электромагнитное излучение от датчиков в смарт-часах и трекерах. Данные со сканера передавали по Bluetooth.

Результаты сканирования обрабатывали в приложении, которое определяет до 5 тыс. ключевых движений. Для создания алгоритма задействовали двух десятков пользователей, две модели умных часов и фитнес-браслет со стандартным девятиосным акселерометром.

С первой попытки пароль распознавался в 80% случаев, со второй (если пользователь два раза вводит одну и ту же комбинацию) – в 90%. Чем больше сенсоров в носимом устройстве (гироскопов, магнитометров, акселерометров), тем выше точность. Положение руки на неё не влияет.

Даже скриншоты выдадут ваш пароль

Ваш компьютер технически может сделать скриншот в любой момент, в том числе когда вы вводите пароль. Возможность еще в ноябре 2017 года обнаружил основатель компании Fastlane Tools Феликс Краузе.

Скриншот делает функция CGWindowListCreateImage. Разрешения от пользователя она не требует.

Вирус, который снимает скриншоты, может работать в фоновом режиме. Он всё равно будет иметь доступ буквально к каждому пикселю.

Переходим к настоящему взлому. MITM-атаки

MITM (Man-in-the-middle) – атаки типа «человек посередине». Чаще всего для перехвата паролей и кук (cookies) с помощью атак этого типа используют снифферы вроде Intercepter-NG.

Перехваченные данные позволяют заходить в чужие аккаунты, видеть загруженные файлы и т.д. Кроме того, приложение позволяет принудительно удалить куки пользователя, заставив его повторно пройти авторизацию.

Раньше инструмент позволял перехватывать даже пароли от iCloud. Но разработчики Apple уже пофиксили это.

Другие способы перехвата трафика (в том числе паролей) также существуют. Даже если это пароли от HTTPS-ресурсов. Главное, чтобы устройство жертвы находилось в той же Wi-Fi-сети, что и устройство хакера.

Как защититься от таких хардкорных методов

1. Не оставляйте смартфон лежать экраном вверх. Тогда ни тепловизор, ни фото отпечатков на экране вам не страшны.

2. Не вводите пароли в публичных Wi-Fi-сетях. Пользование надежным платным VPN снижает риск, но полностью взлом не исключает.

3. Когда вводите пароли в приложениях, не включайте функцию их отображения. Иначе пароль могут быстро сфотографировать, либо вирус сделает скриншот.

4. Прикрывайте рукой экран, когда вводите графический ключ. Желательно устанавливать ключ, начинающийся не от угла дисплея. А лучше выбирайте смартфоны со сканером отпечатка или другим способом биометрической идентификации – так надёжнее.

5. Не вводите пароли и PIN-коды рукой, на которой носите смарт-часы или фитнес-трекер. Тут всё понятно.

Также существуют приложения, которые автоматически отправляют данные о злоумышленнике, который неправильно ввел пароль от вашего смартфона. Одни из самых популярных – Prey Anti-Theft для iOS и Lockwatch для Android. Они бесшумно делают фото и отправляют его вам на e-mail вместе с GPS-координатами. Главное, чтобы GPS и доступ в интернет были активны.

🤓 Хочешь больше? Подпишись на наш Telegram.

… и не забывай читать наш Facebook и Twitter
🍒

В закладки

iPhones.ru

Злоумышленники могут украсть ваши пароли у всех на виду.

Ксения Шестакова

@oschest

Живу в будущем. Разбираю сложные технологии на простые составляющие.

• До ←
  

  В смартфонах Android нашли скрытую видеорекламу, которая разряжает батарею

• После →
  

  Все фотожабы с Тимом Куком и новым iPad mini. Родился новый мем

Проверенный способ создать запоминающийся, но сложный пароль

Итак, типичная ситуация: у вас заведены почтовые ящики на 3 разных сервисах, зарегистрированы аккаунты в 3 разных соцсетях (Вконтакте, Инстаграм, Одноклассники), есть еще множество интернет-магазинов и прочих сайтов, где вам пришлось создать личный кабинет. 

Мы уже неоднократно писали, что использовать везде один и тот же пароль просто опасно. Если вы не читали эту статью, сделайте это прямо сейчас. 

С другой стороны, удерживать в уме с десяток разных паролей тоже крайне сложно. Как быть? Рекомендуем воспользоваться вот такой методикой. 

Шаг 1: любимое слово

Итак, все наши пароли могут начинаться одинаково. Поскольку их нужно вводить латиницей, выберите одно любимое слово, при этом не собственное имя и не название аккаунта (многие сервисы будут против таких комбинаций). Скажем, пусть это будет rabbit (кролик). 

Шаг 2: название сервиса

Следующая часть пароля должна отличаться от сервиса к сервису. И ей может быть… название сервиса. Например, yandex для аккаунта на Яндекс или mail, соответственно, для mail.ru. Если вам лень набирать длинные слова, можете ограничиться несколькими первыми буквами – например, yand.

Шаг 3: контрольная сумма

Многие сайты просят использовать и буквы, и цифры. На этот случай нам понадобится еще одна часть пароля – цифровая. В качестве цифры можно использовать, например, количество букв в предыдущей части (названии сервиса). То есть для Яндекса это 6, для mail.ru это 4. Как вариант — количество гласных или согласных. 

Шаг 4: правило написания

Опять-таки сервисы могут попросить использовать и строчные, и заглавные буквы. Настала пора объединить все наши части, заодно придумав правило их написания. Например, каждая часть пишется с большой буквы. На всякий случай лучше добавить в конце какой-нибудь символ — скажем, «!». Использование символов тоже может быть требованием сервиса. Итого, вот какие пароли получаются у нас для Яндекса и mail.ru: 

• RabbitYandex6!
• RabbitMail4!

Как видите, пароли довольно сложные и сильно отличаются. При этом, если вы запомните принцип их формирования, то сможете восстановить в памяти любой. Например, к Фейсбук: RabbitFacebook8! Главное – не забыть первое слово. 

Это лишь один из вариантов создать надежный пароль и легко его запомнить. Конечно, каким бы уникальным и длинным он ни был, лучше взять за правило менять комбинацию хотя бы раз в год. Можно сделать это разными способами — к примеру, заменить первое слово или поставить его после второго. О том, зачем это сделать, мы тоже уже рассказывали. 

Теги

безопасность

Очень сложные пароли список. Сложные пароли

Пароль от электронной почты — это твой ключ.

Пароль должен быть достаточно простым для вас, чтобы вы его не забыли, но не настолько, чтобы его можно было взломать и воспользоваться вашим адресом.

Пароли, которые часто взламывают

• электронная почта, потому что так можно получить доступ ко всем сервисам, на которых вы зарегистрировались,
• ICQ, особенно короткие номера, которые продают, или просто хулиганят от вашего имени,
• Skype, по той же причине,
• ВКонтакте.

Пароли, которые легко взломать

• дата рождения,
• 111, 333, 777 или что вроде этого,
• 12345 или qwert — буквы клавиатуры идущие подряд.
• простые имена — sergey, vovan, lena …
• русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.

Самые распространенные пароли в мире

1. 123456 (290,731)
2. 12345 (79,078)
3. 123456789 (76,790)
4. Password (61,958)
5. iloveyou (51,622)
6. princess (35,231)
7. rockyou (22,588)
8. 1234567 (21,726)
9. 12345678 (20,553)
10. abc123 (17,542)
11. Nicole (17,168)
12. Daniel (16,409)
13. babygirl (16,094)
14. monkey (15,294)
15. Jessica (15,162)
16. Lovely (14,950)
17. michael (14,898)
18. Ashley (14,329)
19. 654321 (13,984)
20. Qwerty (13,856)

Список самых распространенных паролей

Защищенный пароль

• длинный (8-12-15 символов),
• сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!),
• не из словаря, то есть не слово, не имя…
• отдельный пароль для каждого отдельного сервиса.
• не связанный с вами (адрес. номер сотового…).

Если вам приходится очень много регистрироваться, то почему бы не сделать группы паролей, напр. один пароль для всех форумов, где вы регистрируетесь потому, что там красть нечего (если вы не известный человек, разве что друзья подшутят).

Инсайдеры

Инсайдеры — это люди, которые имеют прямой доступ к вашим данным, например сотрудники Mail.ru, где находится ваша почта или сайтов Одноклассники, ВКонтакте. Недобросовестный сотрудник просто может взять ваш пароль.
Поэтому не пользуемся сомнительными сервисами. В продаже паролей был уличен Mail.ru.
Надежными являются сервисы Google , Яндекс .

Не должно быть одинаковых паролей

• для доступа эл.почты,
• эл. платежные системы (WebMoney , RBK Money , Яндекс.Деньги …).

Одинаковые пароли

Для легкости запоминания пароля люди используют одинаковый пароль для всего.
Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем.
Остальные пароли можно группировать. Например:

• Простой пароль и логин для регистрации во всех временных и не важных мест. Скажем, мы хотим что-то скачать на этом сайте, а от нас требуют регистрацию. Шансов мало, что мы вообще туда зайдет, защищать нам нечего, потому пишем что-то простое и уникальное (чтобы было свободно). Напр. логин сим-сим
  пароль откройся
  .
• Надежный пароль для всех форумов и социальных сетей и т.д.

Потому, как бы ни был сложен ваш пароль — мы не делаем один пароль для всего!!!

Самый сложный и охраняемый пароль

Это пароль вашей электронной почты. Если получить доступ к вашей почте, то можно получить доступ ко всем местам, где вы регистрировались. Поэтому этот пароль должен быть надежным.
Хранить пароли удобно в специальных программах —

Продолжаем тему безопасности. Мы уже говорили про , и методы защиты своей страницы.

В любом случае мы придем к тому, что уровень безопасности аккаунта, будет во многом зависеть от того, насколько сложный пароль вы установите для вк (см. ).

Почему-то, многие пользователи не сильно затрудняются, и используют самые простые комбинации. А ведь такая халатность может выйти боком (см. ).

Как придумать сложный пароль вконтакте

Да по сути, как и на любом другом сайте. Используйте несколько основных принципов.

• Используйте буквы и цифры
• Набирайте пароль в разных раскладках клавиатуры
• Не храните данные на компьютере
• Длина пароля — не менее 8 символов

Что из этого можно вынести. Не стоит ограничиваться стандартным паролем, в духе:

Хорошо хоть то, что на многих сайтах ввели правило, использовать буквы латинского алфавита, и по крайней мере, одну цифру или специальный символ. Но на деле получается не сильно лучше:

Как вы можете догадаться, взломать или подобрать такую комбинацию, для злоумышленника не составит особого труда.

Так какой же пароль можно назвать безопасным? Вот пример:

[email protected]#@$

Здесь использованы цифры, буквы в разных раскладках и специальные символы.

Видео урок: какой пароль можно придумать для страницы вконтакте

Заключение

Что хочу еще вам сказать. Воздержитесь от того, чтобы хранить свои пароли на компьютере. Не стоит записывать их в блокнот, и держать на рабочем столе. Велика вероятность их кражи.

Вконтакте

Сегодня мы поговорим с вами о том, что такое самые сложные пароли. Как их придумать? Можно ли запомнить? Или лучше записывать на бумажку и везде носить с собой? Давайте попробуем разобраться с вами в этом непростом вопросе.

Основы мастерства

Итак, первым делом стоит попробовать основные приемы, используемые для создания трудных пассвордов, которые легко запоминает владелец. Сейчас мы научимся с вами этим маневрам.

Самый сложные пароли, как правило, создаются из простых символов. Тем не менее, если сделать комбинацию значимой для вас, то можно будет надеяться на легкое запоминание. Например, в основу заложите какую-нибудь важную дату или имя человека. Главное, старайтесь не рассказывать знакомым о своей задумке. Иначе вас могут легко взломать.

Кроме того, самый сложный пароль в мире содержит какое-нибудь слово. Или имя. Все то, что вы пожелаете. Придумайте что-нибудь такое, что сможете запомнить сами. Кличка вашего домашнего питомца, имя друга или собственный ник — все это приписываете к основе. А лучше всего перед ней. Так вы сможете легко и просто придумать пассворд, который будет довольно трудно разузнать.

Также хорошим приемом является использование зеркальной комбинации специальных символов: тильды, «кракозябры», звездочки-проценты и так далее. Самый сложные пароли стоит заключать в подобные «ворота». Таким образом, если уж кто-то и сможет разгадать основу вашего пассворда, то вряд ли злоумышленникам под силу выявить зеркальную комбинацию.

Каждому — свое

Что же, теперь давайте попытаемся придумать, как же нам не запутаться в многочисленных паролях. Ведь лучше всего на каждом сайте использовать что-то свое.09;

— $-)astral967rutack(-$2015.

Попробуйте придумать что-нибудь самостоятельно. На самом деле это не так сложно, как может показаться на первый взгляд. Тем не менее, если у вас все равно не получается ничего путного, можно воспользоваться еще один довольно интересным способом. Сейчас мы с ним ознакомимся.

Генераторы

Сейчас в народе огромной популярностью пользуются специальные программы-генераторы паролей. Они способны в один клик выдать вам какую-то очень сложную (а порой и тяжело запоминающуюся) комбинацию, которая защитит личные данные на долгое время.

К сожалению, даже самые сложные пароли, сгенерированные такой программкой, можно взломать. Достаточно подобрать правильный подход. Так что наиболее надежным способом защиты является придуманный самостоятельно пассворд. Немного потренируйтесь, и вы заметите, что предложенные правила помогают.

1 голос

Доброго времени суток, уважаемые читатели моего блога. Знаете ли вы, что список самых простых паролей появился в Сети в 2009 году. Сразу после того, как одному хакеру удалось массово взломать 32 миллиона аккаунтов на Facebook.

Самое удивительное, что среди самых популярных шифров встречались такие как Epsilon793 и 8675309. Первый фигурировал в фильме «Звездный путь», а второй в песне Tommy Tutone.

А ведь тем, кто использовал эти комбинации казалось, что они придумали самые сложные пароли. Кстати, о таких мы сегодня и поговорим.

2009 год выдался не самым лучшим для крупных компаний. Пока один хакер взламывал 32 миллиона аккаунтов на фэйсбуке, другой работал всего над одним. От панели администратора Twitter, что в дальнейшем привело к угону аккаунтов у Барака Обамы и Бритни Спирс.

Все потому, что кто-то догадался в админке использовать невероятно сложную комбинацию, а именно слово: «Счастье». Наверное, администратору казалось, что никто и пытаться не станет взламывать Твиттер.

Не будьте наивными. Не думайте, что никому не нужен. Некоторые люди взламывают аккаунты пачками и продают эти сведения, а другие могут делать это просто так, третьи же по цепочке получают по настоящему важные сведения.

Если кому-то удастся взломать пароль, который вы используете для одноклассников, то дальше по нему могут восстановить даже данные банковской карты. И все равно, что вы ей никогда не пользовались на этом сайте.

Что я могу сказать о случаях, когда на нескольких ресурсах используют одни и те же шифры? Некоторые хакеры специально выбирают слабенькие ресурсы с несерьезной защитой аккаунтов и быстро узнают нужные данные. Все остальные сведения добываются по цепочке, один за другим. Когда они идентичные – вы значительно проще и быстрее.

Кстати, в свободном доступе есть программы, которые теоретически помогают восстановить пароль, а фактически взломать его. Кстати, в наиболее продвинутых версиях хранятся огромные списки стандартизированных паролей, в секунду они подбирают более 2 миллиардов вариантов к одному логину или email.

1. Чем более комфортен пароль для запоминания, тем он проще для взломщиков. Если шифр не вызывает у вас никаких ассоциаций, его будет сложнее взломать. Даже самый, казалось бы, изощренный ход мысли можно предугадать.
2. Никогда не используйте одинаковые или очень простые пароли, если волнуетесь за собственную безопасность.
3. Всегда думайте о защите ваших данных, даже незначительная информация может привести к получению секретных и значимых сведений.
4. Ну и последнее, о чем я еще не упоминал – не храните пароли в обычном ворде на компьютере или в сообщениях на телефоне. При целенаправленной атаке, да со специализированным оборудованием не составит никакого труда получить полный доступ ко всем данным на этих устройствах. Кольнет кому-то, а вы потом страдать будете.

Как придумать надежный пароль

Существует множество способов придумать очень надежный пароль. Но, как я уже говорил, лучше всего не пытаться найти каких-либо алгоритмов, а создавать все наобум. Понятное дело, что в таком случае возникнет множество проблем.

Начиная с того как запомнить всю эту информацию (хранить в Яндекс браузере или Google нельзя) и заканчивая бесконечными повторениями из-за ошибок при вводе.

И тем не менее нам на помощь как впрочем и всегда, приходит два способа. Один бесплатный, другой простой. Начнем с первого. Как придумать пароль, который будет сложно взломать? В интернете нет ничего невозможного, вот только чем сложнее шифр, тем меньше людей могут его взломать и вообще будут пытаться это сделать.

Кстати, одна моя знакомая работает в крутой фармацевтической компании. Чтобы получить доступ к своему ноутбуку, она должна ввести специальную флешку в определенный слот (из пяти имеющихся), затем в течение трех минут прописать свой пароль, который автоматически меняется каждые 15 минут, а в момент ввода флешки в слот отправляется ей на телефон.

Если девушка три раза не успевает закончить ввод по истечение времени, приходится звонить в техподдержку собственной компании.

Вот такая защита, а вы говорите. Как действовать вам?

• Берете любое изречение, детский стишок или куплет из известной песни и записываете его в русской раскладке, в то время как печатаете на английской клавиатуре. Некоторые буквы по аналогии замените цифрами, а вместо пробелов между словами используйте заглавные буквы.

Допустим: U0ke,0qDfg0n. На русской раскладке, то это будет выглядеть так: «Г0луб0йВаг0н». К сожалению, не исключено, что где-то я ошибся. Кстати, в моем случае это всего лишь короткий пример. Ваш надежный шифр должен состоять из куда большего количества строчек песенки.

Метод довольно неплохой, но учтите, что если им начнут пользоваться часто, то довольно быстро появится программа со списком самых популярных песен, афоризмов и детских стишков. Автоматическая замена букв цифрами не займет много времени.

• Можно использовать только первые буквы каждого слова неизвестной песни.

Допустим, МммалИ0и0и0вт («Миллион алых роз»). Здесь я тоже заменил одну из букв на цифру. Кстати, вы можете усложнить и придумать свои замены. Не обязательно вместо О писать ноль, можно все буквы «Т» заменить на «8». Но опять же, не используйте одну и ту же схему для разных сайтов, чтобы вас не взломали по цепочке.

• Взгляните на клавиатуру и нарисуйте клавишами какой-то узор. Главное, запомнить его.

Допустим o90pli или i9olkju8 – круги. Можете , чтобы запоминать было удобнее.

Как создать самый сложный пароль

Я уже неоднократно рассказывал про эту программу, но тема того требует. Для заполнения форм на разных сайтах, придумывания и запоминания паролей я использую RoboForm

.

Очень полезный сервис, который можно установить на все браузеры и устройства. О том, как с ним работать я уже рассказывал в одной из своих статей и даже упоминал случай, который случился со мной из-за откладывания установки и неосторожности. Можете прочитать в моем блоге — .

Робоформ

– это отличный генератор, с которым невозможно забыть ни один из шифров. Они создаются автоматически, без какого-либо алгоритма. Что-то из серии «удариться головой о клавиатуру». Потом надежно шифруются. То есть ваш пароль хранится мало того что под паролем, так еще и в зашифрованном виде.

Вы можете установить программу на все устройства: телефон, планшет, компьютеры и всегда найдете пароль от нужного сайта, где бы вы ни находились. Очень удобно, особенно если делаете .

Звонит заказчик, которого вы не видели 15 лет (это частое явление) и требует, чтобы вы немедленно выслали ему логин от админки. Вам не составит труда это сделать в кратчайший срок и забыть о дурном заказчике. Ни одного нерва на него не потратите, ни одной негативной эмоции.

Ну вот и все. Теперь вы знаете как создавать сложные пароли для вк, своих сайтов, любых сервисов, делать это быстро и никогда не терять нужные данные.

Если вам понравилась эта статья – подписывайтесь на рассылку и узнавайте самую достоверную и актуальную информацию. До новых встреч и желаю вам удачи.

Большинство интернет-мошенников не заморачиваются с изощрёнными методами кражи паролей. Их цель — легко угадываемые комбинации. 1% всех существующих паролей подбирается с 4 попыток.

Как такое возможно? Очень просто. Вот великолепная четвёрка самых распространённых в мире комбинаций: password, 123456, 12345678, qwerty. После перебора этих вариантов в среднем открывается 1% всех «дверей». Перебор — это система, позволяющая по порядку попробовать все возможные версии пароля. Для пароля из 5 цифр это 100 тысяч комбинаций. Программа справляется с такой задачей за считанные секунды. Приличные почтовые сервисы не позволяют бесконечно вводить неправильные пароли, но такая защита настроена не везде.

Кроме топ-5 самых примитивных паролей, существуют типичные ошибки, которые допускают беспечные пользователи. Использование последовательных комбинаций и повторяющихся символов вроде «222222», «abcdefg» или сочетание соседних букв на клавиатуре не будут надёжным паролем. Также замена похожих цифр и символов, напоминающие буквы, например, @ в слове «п@п@», — это очевидный ход и для мошенников тоже.

И напоследок: не применяйте в качестве пароля своё имя или имена своих близких, даты рождения, номер страхового полиса, логин или другую личную информацию. Эти данные в руках мошенников будут сразу же использованы против вас.

Блокировка телефона — блокировка экрана смартфона и другие методы защиты? ESET.

05.06.2020

Сегодня люди хранят в смартфонах значительную часть конфиденциальной информации — от личных фотографий до банковских данных. Более того, часто мобильные телефоны используются для доступа к корпоративным данным, особенно во время удаленного режима работы и использования двухфакторной аутентификации. Поэтому высокий уровень безопасности мобильных устройств является крайне важным.

Базовым и одним из главных элементов защиты является блокировка телефона. Способов блокировки телефонов на базе операционной системы Android существует много — от классической защиты с помощью пароля до более современных методов с использованием биометрических данных. Однако, какие из них являются более эффективными?

Графический ключ

Такой метод блокировки экрана на телефоне предусматривает введение определенного шаблона рисунка. Чем проще графический ключ, например, в форме буквы L, тем легче будет его отгадать или повторить. Поэтому такой вариант блокировки обеспечивает в лучшем случае средний уровень защиты.

По данным исследования, в 64,2% случаев пользователи могли правильно повторить графический ключ, который видели впервые. Для безопасности собственных данных следует использовать как можно более сложный образец ключа, или другой метод блокировки телефона. Например, более безопасными вариантами являются PIN-код или пароль.

PIN-код или пароль

Большинство пользователей наверняка знакомы с возможностью блокировки телефона с помощью PIN-кода. Его нужно вводить для разблокировки SIM-карты при включении телефона. По умолчанию это обычно четырехзначный код, однако из соображений безопасности лучше установить более длинную комбинацию цифр.

Блокировка телефона с помощью пароля остается одним из самых популярных методов. Если вы используете пароль, важно, чтобы он состоял по крайней мере из 8 символов и содержал буквы, цифры и специальные символы. Такую комбинацию сложнее запомнить, однако она обеспечит более надежную защиту. Для дополнительной безопасности личной информации можно установить удаление всех данных после определенного количества неудачных попыток ввода пароля.

Биометрический отпечаток пальца

Сканеры отпечатков пальцев все еще активно используются разработчиками смартфонов. Вариантов их размещения существует несколько — они могут быть встроены в кнопки, экран или размещаться отдельно. Стоит отметить, что блокировка телефона с помощью отпечатка пальца является одним из самых быстрых и безопасных методов.

Обойти такую ​​систему защиты достаточно сложно, но возможно. Отпечатки пальцев можно получить из фотографий и других источников, а затем воспроизвести даже с помощью двумерной печати. В частности, в 2017 году одному исследователю кибербезопасности удалось получить отпечаток пальца министра обороны Германии из фотографий высокого разрешения.

Сканирование лица

Этот метод защиты предусматривает сканирование лица пользователя. И хотя на первый взгляд кажется, что процесс является достаточно сложным и влечет за собой большое количество технологических процессов, на самом деле используется только фронтальная камера устройства и специальное программное обеспечение. Камера сканирует изображение вашего лица, а затем использует алгоритм распознавания лица, чтобы проверить его соответствие. Скорость разблокировки телефона в таком случае зависит от модели телефона и качества фронтальной камеры.

Такой способ блокировки телефона также считается не очень безопасным, поскольку злоумышленник может использовать фотографию вашего лица для обхода системы. Исследователи даже проводили соответствующий тест на 110 различных смартфонах и результаты были неутешительными. Поэтому специалисты ESET рекомендуют использовать блокировки с помощью биометрических отпечатков пальцев в сочетании с паролем.

Особые методы блокировки

Различные бренды смартфонов применяют собственные биометрические меры безопасности для защиты устройств. Это могут быть различные варианты— от особых уровней сканирования лица до распознавания радужной оболочки глаза. Например, в смартфонах компании Samsung есть своя технология сканирования радужной оболочки, которую достаточно просто настроить. Эта технология использует инфракрасный светодиод для освещения глаза, в то время как узкая фокусная камера фиксирует структуры радужной оболочки. После этого смартфон анализирует полученную информация и учитывает даже то, носит ли пользователь очки. Такой метод блокировки кажется чрезвычайно современным и высокотехнологическим, однако специалистам по компьютерной безопасности удалось обойти защиту на одном из первых телефонов Samsung с этой функцией.

Существует большое количество вариантов блокировки, поэтому каждый пользователь может выбрать наиболее удобный для него. Однако,специалисты ESET рекомендуют использовать комбинацию из различных типов защиты. Наиболее безопасными вариантами по прежнему считаются надежный PIN-код и сложный уникальный пароль, а также сканирование отпечатков пальцев.

Независимо от выбранного варианта стоит ответственно отнестись к защите личных данных, поскольку это поможет избежать многих проблем в будущем. В случае кражи или потери смартфона дополнительную защиту данных обеспечит ESET Mobile Security для Android с модулем Антивор. Вы получите возможность отслеживать активность на устройстве, заблокировать его, а также удаленно удалить все персональные данные с устройства.

Опубликовал:

ESET

0 коментарий(ев)

Добавьте комментарий

Какие пароли нельзя ставить на телефон/смартфон?

Простые и легко взламываемые пароли, которые устанавливают на смартфоны.

Безопасность личных данных в первую очередь зависит от сложности выбранного пароля. И гаджет, и почта, и социальные сети нуждаются в надежной защите. Рассмотрим два популярных вида паролей: численно-буквенные и графические.

Ненадежные численно-буквенные коды

Статистические данные указывают, что большинство взломанных устройств были защищены простыми численно-буквенными паролями, например, 0000, 1111, 1234, 5555 и так далее. Подобных комбинаций необходимо избегать, поскольку взломщики их легко угадывают.

Не рекомендуется устанавливать в коде свою дату рождения (особенно год), а также дату рождения близких людей. Не используйте и данные, выложенные в открытом доступе, к примеру, на странице в ВК. Для разгадки таких паролей злоумышленнику достаточно найти владельца в социальных сетях.

Безопасные численно-буквенные коды

Рекомендуется использовать слова и числа, которые никак не связаны с пользователем и его родными. Пусть это будет длинное слово, написанное буквами из разных регистров. Перед кодом и после него поставьте ряд чисел в хаотичном порядке. Возможно, поначалу такой пароль будет нелегко запомнить, зато он обеспечит смартфону или странице в социальной сети максимальную безопасность.

Для установки PIN-кода также рекомендуется вводить числа в хаотичном порядке. Проследите, чтобы две одинаковые цифры не повторялись на стыке. В качестве альтернативы численно-буквенным паролям служат графические коды.

Ненадежные графические коды

Сложно точно сказать, какой пароль окажется наиболее безопасным, поскольку графические коды тоже имеют достоинства и недостатки. Статистика показала, что около половины всех существующих графических ключей пользователи начинают вводить из верхнего левого угла. Около 80% рисунков начинается в одном из углов экрана — это значительно облегчает взлом ключа для злоумышленников. Также многие пользователи задействуют всего 4 узла из 9 возможных.

Опытные взломщики способны разгадать графический код, только пронаблюдав траекторию движения пальцев пользователя с расстояния. Также имейте в виду, что ключи можно взломать, проследив направление рисунка по следам отпечатков пальцев на экране.

Исследования показали, что некоторые графические пароли представляют собой обычные буквы. К примеру, создавая ключ, пользователь чертит на экране первую букву своего имени или имени одного из родственников, что также не очень надежно.

Безопасные графические коды

Ниже представлен ряд рекомендаций по созданию безопасного графического пароля:

• Не создавайте ключ слева направо или сверху вниз, поскольку начало большинства паролей имеют именно такую траекторию.
• Для усложнения защиты используйте как можно больше узлов.
• Установите различные пересечения: хотя разблокировать такие рисунки не особо удобно, зато взломать код будет куда сложнее.
• Также отключите в настройках безопасности опцию «Показать паттерн», поскольку подобные подсказки облегчают взлом ключа.

Заключение

Важно, что пароль создавался с умом. Используйте длинные и сложные слова и хаотичный порядок цифр для численно-буквенного кода, задействуйте разные регистры. Для графического рисунка придумывайте более сложные комбинации с пересечениями и используйте больше узлов. Не чертите на графической клавиатуре буквы или слова.

Вот актуальный список популярных и ненадежных паролей:

Загрузка…

20 самых распространенных телефонных PIN-кодов: уязвимо ли ваше устройство?

(Pocket-lint) — PIN-код вашего телефона «1234»? Нет? А как насчет «0000»? Вы не поверите, но это два наиболее распространенных кода доступа, которые люди используют.

Тара Уиллер, руководитель службы кибербезопасности, которая является старшим директором отдела доверия к данным, угроз и уязвимостей в Splunk, недавно поделилась наиболее распространенными PIN-кодами, используемыми пользователями мобильных телефонов для защиты своих устройств.Она получила список от эксперта по информационной безопасности через институт SANS.

Это, безусловно, поучительный взгляд на людей и их выбор PIN-кода — и если ваш пароль есть в списке, мы предлагаем изменить его сейчас.

20 самых распространенных PIN-кодов мобильных телефонов

Уиллер сказал, что 26% всех телефонов взламываются с помощью этих кодов доступа:

• 1234
• 1111
• 0000
• 1212
• 7777
• 1004
• 2000
• 4444
• 2222
• 6969
• 9999
• 3333
• 5555
• 6666
• 1122
• 1313
• 8888
• 4321
• 2001
• 1010

Хотя многие из них имеют смысл, некоторые из них действительно ломают голову, например, «1004» в верхней части списка.Почему эта последовательность?

Unsplash

Как изменить PIN-код мобильного телефона

Если ваш PIN-код находится в приведенном выше списке, вы должны быть обеспокоены уязвимостью вашего устройства. Вам следует немедленно изменить свой пароль.

Устройство iOS

1. Перейдите в «Настройки», затем, в зависимости от модели, коснитесь одного из следующих элементов: Face ID и пароль, Touch ID и пароль или Пароль.
2. Нажмите «Включить пароль» или «Изменить пароль».
3. Можно ввести шестизначное число.Более длинные PIN-коды, как правило, более безопасны.
4. Но есть и другие варианты кода доступа, например, четырехзначный числовой код, настраиваемый числовой код или настраиваемый буквенно-цифровой код.

Дополнительные инструкции см. В справочном руководстве Apple здесь.

Рейтинг лучших смартфонов 2021 года: лучшие мобильные телефоны, доступные для покупки сегодня

Крис Холл
·
17 марта 2021

Устройство Android

1. Откройте приложение «Настройки» на своем устройстве.
2. Нажмите «Безопасность и местоположение» (или нажмите «Безопасность»).
3. Чтобы выбрать тип блокировки экрана, коснитесь «Блокировка экрана». Если вы уже установили блокировку, вам нужно сначала ввести свой PIN-код, графический ключ или пароль.
4. Коснитесь параметра блокировки экрана, который хотите использовать. В данном случае это ПИН-код.
5. Следуйте инструкциям на экране. Вы можете ввести четыре или более чисел. Более длинные PIN-коды, как правило, более безопасны.

Дополнительные инструкции см. В справочном руководстве Google здесь.

Написано Мэгги Тиллман.

номеров телефонов, открытых из-за несовместимых процессов сброса пароля

Отсутствие стандартизации процедур сброса пароля веб-служб может помочь хакерам найти номер телефона, связанный с адресом электронной почты жертвы.

В онлайн-сервисах

реализованы механизмы, позволяющие пользователям изменять пароль для входа в систему, если они потеряют или хотят более надежный. Адрес электронной почты, связанный с учетной записью, необходим для процедуры.

Если номер телефона доступен, поставщики услуг предлагают варианты мобильного текста или голоса для получения временного кода. Это необходимо для проверки того, что законный владелец учетной записи инициировал процедуру сброса пароля.

В качестве альтернативы пользователи могут инициировать процедуру, указав номер телефона для получения адреса электронной почты. В обоих случаях раскрываются только биты информации.

Несколько критических цифр

Послушный злоумышленник может найти как можно больше обфусцированных символов и сузить возможности до точки, где их можно будет проверить вручную.

В телефонных номерах видны только несколько цифр, этого достаточно, чтобы пользователи с несколькими телефонами знали, где ожидать код. Однако службы скрывают разные части, и кто-то может использовать электронную почту жертвы, чтобы узнать больше цифр из попыток сброса пароля на нескольких службах.

Мартин Виго, исследователь безопасности в сфере безопасности, изучил методы сброса пароля для популярных веб-сайтов и обнаружил, что они показывают от двух до пяти цифр; это будет до 50% телефонного номера в США и больше для других стран.

В случае номера в США данные из общедоступных источников могут помочь найти некоторые скрытые цифры. Это потому, что он состоит из трех блоков, которые определяют более широкую территорию (например, большой город), биржу (например, город) и абонента.

Компания Vigo обнаружила, что используя ресурсы только Администратора плана нумерации Северной Америки (NANPA) и Администратора национального пула (NPA), злоумышленник может найти правильный номер жертвы.

NANPA хранит обновленный общедоступный список кодов городов и их обменов.Ресурс NPA может помочь отбросить неиспользуемые абонентские номера.

Биржи в Сан-Франциско

Следуя этому методу, Vigo удалось сократить до 445 возможных вариантов выбора номера телефона жертвы в Такоме, штат Вашингтон, с eBay и учетной записью LastPass.

Он создал инструмент под названием «email2phonenumber», который не только автоматизирует этот процесс, но также выполняет обратную проверку, когда номер телефона вводится во время процедуры сброса пароля, чтобы увидеть, коррелирует ли он с известным адресом электронной почты.

«email2phonenumber — это инструмент, который позволяет вам указать частичный номер телефона и получить список всех возможных действительных номеров телефонов, исключив несуществующий код города и обменяясь номерами».

Amazon и Twitter принимают телефонные номера для сброса пароля и отображения некоторых символов из адреса электронной почты. Сравнивая просочившиеся символы, злоумышленник может угадать, правильный ли проверенный номер телефона.

email2phonenumber автоматизирует этот процесс и пытается обмануть защиту captcha, копируя поведение человека.Чтобы запутать поставщика услуг, он запускает сброс пароля для нескольких телефонных номеров.

Одинаковый шаблон маскировки для всех номеров

Хотя злоупотребление процессом сброса пароля может замедлить поиск телефонных номеров в США, Виго подчеркивает, что в других странах телефонные номера с меньшим количеством цифр, например Исландия, Эстония или Сан-Сальвадор, где их всего семь.

Поскольку службы не корректируют маскировку в соответствии с длиной телефонного номера, этот метод должен работать быстрее, если жертва зарегистрирована в такой службе, как PayPal, которая показывает первую и четыре цифры во время процесса сброса пароля.

Решение исследователя состоит в том, чтобы добавить поддержку ярлыков, указывающих адрес электронной почты и назначение номера телефона (личный, рабочий) и использовать их в качестве подсказки во время процедуры сброса пароля.

Vigo проинформировал онлайн-сервисы, что показал более двух цифр потенциального злоупотребления, особенно когда они являются частью зоны и обмениваются блоками.

«LastPass обновил маску, чтобы показать только две последние цифры, соответствующие номеру подписчика. EBay теперь показывает первую и последние две цифры, не очень, но лучше, чем было раньше.«

PayPal сообщил, что все работает, как задумано, и не предпринял никаких действий, несмотря на то, что раскрыл пять цифр, когда известен адрес электронной почты цели.

Виго представил свое исследование «От адреса электронной почты к номеру телефона» в Лас-Вегасе на конференции по безопасности BSides (видео ниже) и хакерском мероприятии DEF CON.

Как сбросить пароль Facebook по номеру телефона?

Забыть пароль Facebook — это так же нормально, как забыть Молоко.Не нужно паниковать. В наши дни ожидается установка сложных паролей из соображений безопасности. Естественно, эти пароли очень сложно запомнить. Без менеджеров паролей многие люди потерялись бы полностью. Даже если ваш пароль простой, поверьте мне, может наступить время, когда вы его больше не вспомните. Часто это происходит, когда вы начали сохранять свои пароли в браузере или диспетчере паролей.

Можно ли восстановить пароль по номеру телефона?

Да, но при одном условии.Чтобы это работало, вы должны добавить номер телефона в качестве опции аутентификации в свою учетную запись Facebook (до того, как вы вышли из системы). Если вы не указали номер телефона в своей учетной записи, вы всегда можете изучить другие варианты восстановления пароля, которые предоставляет Facebook, например, использование адреса электронной почты или отправка кода сброса вашим доверенным друзьям.

Если у вас есть номер телефона, сохраненный в вашей учетной записи Facebook, выполните действия, описанные ниже. Если нет, вам следует проверить альтернативные варианты сброса с помощью мобильного телефона.Или, если вы определили для своей учетной записи «Доверенные друзья», вы можете прочитать о сбросе настроек с помощью параметра доверенных контактов.

1. Посетите официальную страницу входа в Facebook и нажмите « Забытый аккаунт ». Откроется новая страница с параметрами восстановления пароля. Вы также можете попробовать войти в свою учетную запись несколько раз, пока не появится экран, изображенный ниже.
2. Вы получите SMS на свой телефон с кодом для сброса пароля. Найдите свой аккаунт, введя свой номер телефона в текстовое поле и нажав « Search ».
3. Выберите вариант, в который вы хотите отправить код сброса. В этом случае ваш телефон через СМС. Щелкните « Продолжить ».
4. Откройте приложение для сообщений, чтобы получить доступ к отправленному коду. Введите код в поле и нажмите « Продолжить ».
5. Введите новый пароль в появившемся поле.

Готово! Ваш новый пароль установлен, и вы снова готовы к работе!

Будьте готовы

Учетные записи Facebook останутся с людьми на всю жизнь, если вы не отключите или не удалите их.Однако номер телефона, связанный с вашей учетной записью, может измениться, и в некоторых случаях вы можете потерять доступ к своему старому номеру телефона. Если это произойдет, и вы никогда не связали свой адрес электронной почты со своей учетной записью, сбросить пароль станет очень сложно. Не ждите, пока вы окажетесь в такой ситуации.

Кроме того, вы можете использовать приложения менеджера паролей, такие как встроенный менеджер паролей вашего браузера, Dashlane, LastPass или KeePassX. Любой из них упорядочит все ваши пароли и сохранит их в безопасности.Они удобны в использовании, а восстановление пароля — простой процесс по сравнению с тем, что обсуждалось до сих пор.

Итог

Описанные выше шаги — это все, что вам нужно для сброса пароля учетной записи Facebook с помощью текстового сообщения (SMS). Если вы не можете сбросить его с помощью текстового сообщения, это не единственный вариант. Есть и другие, которые также довольно просты. Вы можете сбросить пароль через адрес электронной почты, связанный с вашей учетной записью. Шаг 1 остается таким же, но на шаге 2 вы выбираете « Отправить код по электронной почте ».Вы получите код на свой почтовый ящик, из которого вы сможете получить и использовать его для сброса пароля.

Это все так просто. Не блокируйся!

Почему телефонные номера воняют удостоверением личности — Krebs on Security

Телефонные номера воняют для безопасности и аутентификации. Они воняют, потому что большинство из нас так много вложили в эти цифры, что фактически стали их личностями. В то же время, когда вы теряете контроль над номером телефона — может быть, он был украден мошенниками, вы расстались или развелись, или вы слишком поздно оплатили телефонный счет — тот, кто унаследует этот номер, может быть вами во многих местах. онлайн.

Как именно мы дошли до точки, когда одна, полуобщественная и иногда временная точка данных, такая как номер телефона, может разблокировать доступ к такой значительной части нашего онлайн-опыта? KrebsOnSecurity подробно рассказала об этом Эллисон Никсон , директору по исследованиям в области безопасности нью-йоркской компании киберразведки Flashpoint.

Никсон сказала, что большая часть ее взглядов на мобильную идентичность окрашена линзами ее работы, в которой она выявляет некоторых из самых крупных преступников, участвующих в захвате телефонных номеров с помощью атак с заменой SIM-карт.Незаконная подмена SIM-карты позволяет мошенникам захватить номер телефона жертвы и использовать его для кражи финансовых данных, паролей, криптовалют и других ценностей у жертв.

Никсон сказал, что бесчисленное количество компаний, по сути, построили свою аутентификацию клиентов на основе телефонного номера, и что очень многие сайты по-прежнему позволяют пользователям сбрасывать свои пароли, используя только одноразовый код, отправленный на телефонный номер в учетной записи. В этой атаке мошеннику не нужно знать пароль жертвы для взлома учетной записи: ему просто нужен доступ к номеру мобильного телефона жертвы.

«Как потребитель я вынужден использовать свой номер телефона в качестве документа, удостоверяющего личность, потому что иногда это единственный способ вести дела с сайтом в Интернете», — сказал Никсон. «Но со стороны этого сайта, когда они видят, что с этого номера телефона поступает сброс пароля, у них нет возможности узнать, что это я. И никто ничего не может сделать, чтобы остановить это, кроме как прекратить использование телефонных номеров в качестве документов, удостоверяющих личность «.

По словам Никсона, помимо атак с заменой SIM-карт, существует ряд способов передачи телефонных номеров новым владельцам.Самая большая причина — отсутствие оплаты за прошлые телефонные счета. Но, возможно, кто-то переживает неприятный развод или разлуку и больше не может получить доступ к своим телефонным или телефонным счетам. Учетная запись отправляется в коллекции и закрывается, а номер телефона возвращается в общий пул для переназначения через определенный период времени.

Многие крупные провайдеры по-прежнему позволяют людям сбрасывать пароли с помощью текстового сообщения. На прошлой неделе я пошел, чтобы восстановить доступ к учетной записи Yahoo, которой не пользовался почти пять лет.Функция забытого пароля Yahoo позволяет мне ввести номер телефона, и после ввода кода, отправленного на мой телефон, я смог прочитать свою электронную почту.

Итак, если эта учетная запись Yahoo привязана к номеру мобильного телефона, на который вы можете получать текстовые сообщения, вы можете взять на себя управление учетной записью. И все остальные учетные записи, связанные с этой учетной записью Yahoo. Даже если этот номер телефона больше не принадлежит лицу, изначально создавшему учетную запись электронной почты.

Это именно то, что недавно произошло с читателем, который поделился этим аккаунтом:

Некоторое время назад купил новый номер телефона.Я зашел на Yahoo! mail и набрал номер телефона в логине. Он спросил меня, хочу ли я получить SMS, чтобы получить доступ. Я сказал да, и он прислал мне ключ подтверждения или код доступа по SMS. Я набрал полученный код. Я был удивлен, что у меня не было доступа к своей электронной почте, но на самом деле я получил доступ к электронной почте предыдущего владельца моего нового номера.

Yahoo! даже не просили меня ввести адрес электронной почты, имя и фамилию. Он просто отправил мне SMS, я ввел полученный код и, не прося меня ввести адрес электронной почты или имя и фамилию, он предоставил мне доступ к электронной почте ПРЕДЫДУЩЕГО ВЛАДЕЛЬЦА моего номера.Не запрашивал учетные данные или адрес электронной почты. Это требует серьезной доработки. Как минимум Yahoo! должен попросить меня ввести адрес электронной почты или имя и фамилию, прежде чем отправлять мне SMS с кодом доступа.

Брайан Кребс (Британия): У вас есть подобный опыт. Или вроде того. Вы скажете.

Allison Nixon (AN): Любая компания, занимающаяся разведкой угроз, будет выполнять какую-либо бизнес-функцию, которая требует довольно частой покупки телефонов для записи, что предполагает получение новых номеров телефонов.Когда вы получаете новые номера, они утилизируются у предыдущих владельцев, потому что, вероятно, новых уже нет. Я получаю много разных текстовых сообщений для сброса пароля. Я продолжал получать сообщения из банка этого парня. Каждый раз, когда он получал депозит, я получал текстовое сообщение о том, сколько было внесено на счет, и некоторую основную информацию о счете.

Я обратился в банк, потому что был обеспокоен тем, что, возможно, этот случайный человек окажется под угрозой из-за исследования безопасности, которое мы собирались провести с этим новым номером.Я попросил их снять его с номера, но они сказали, что ничего не могут с этим поделать.

Однажды я случайно взломал аккаунт случайного человека. Я пытался вернуть свою учетную запись у поставщика онлайн-услуг, и я ввел номер телефона записывающего устройства на сайт, прошел процесс сброса пароля по SMS, получил ссылку, и она сказала: «Добро пожаловать обратно» на какое-то имя пользователя, которое я не сделал » не знаю. Затем я нажал кнопку «ОК» и внезапно начал читать личные сообщения учетной записи.

Я понял, что украл аккаунт предыдущего владельца телефона.Это было непреднамеренно, но также очень ясно, что не было никаких технических причин, по которым я не мог захватить еще больше учетных записей, связанных с этим номером. Эта проблема затрагивает на тонну поставщиков услуг. Это могло произойти на многих-многих других веб-сайтах.

BK: Мы не всегда были так привязаны к нашим телефонным номерам, верно? Что произошло?

AN: Вся концепция телефонного номера насчитывает более ста лет. Оператор набирал номер, который, как вы знаете, был связан с вашим другом, и вы могли позвонить этому человеку и поговорить с ним.В то время телефон не был привязан к личности какого-либо человека, и обладание этим номером телефона никогда не доказывало личность этого человека.

Но в наши дни номера телефонов связаны с телефонными номерами , хотя мы их перерабатываем, и эта переработка является фундаментальной частью работы телефонной системы. Несмотря на то, что переработка телефонных номеров существовала всегда, у нас все еще есть все эти интернет-компании, которые решили, что они собираются принять телефонный номер в качестве документа, удостоверяющего личность, и это ужасно.

BK: Чем отличается номер телефона от более традиционных документов, удостоверяющих личность?

AN: Возьмите традиционную концепцию документов, удостоверяющих личность — когда вы должны физически явиться и предъявить удостоверение личности в каком-либо бизнесе или офисе, а затем оттуда они найдут вашу учетную запись, и вы сможете провести транзакцию. В сети все совсем по-другому, и вы не можете физически показать свое удостоверение личности и не можете показать свое лицо.

В экосистеме Интернета есть различные компании и службы, которые продают вещи в Интернете, которые определились с различными факторами, которые считаются достаточно хорошим доверенным лицом для документа, удостоверяющего личность.Вы указываете имя пользователя, пароль, а иногда и свой адрес электронной почты или номер телефона. Часто, когда вы настраиваете свою учетную запись, у вас есть какой-то согласованный способ подтверждения этого с течением времени. На основе этого предустановленного протокола пользователь может входить в систему и совершать транзакции.

Это плохая система, и то, как она работает, просто допускает мошенничество. Когда вы не можете физически появиться в каком-либо месте, вы можете совершить лишь определенное количество мошенничества. Многие атаки на телефонные компании направлены не на самоценность телефонного номера, а на его использование в качестве документа, удостоверяющего личность.

BK: Вы сказали, что переработка телефонных номеров является фундаментальной частью работы телефонной системы. Поговорим об этом подробнее, насколько это распространено.

AN: Вы можете развелись или внезапно оказаться в бедности после потери работы. Но этот номер можно отдать, и если он достанется кому-то другому, вы не получите его обратно. Бывают всевозможные жизненные ситуации, когда телефонный номер не является хорошим идентификатором.

Может быть, одна из причин, по которой проблема утилизации телефонных номеров не привлекает особого внимания, заключается в том, что люди, которые не могут оплачивать свои счета, вероятно, в любом случае не имеют много денег для кражи, но довольно ужасно, что этой ситуацией можно злоупотреблять. пнуть людей, когда они упали.Я не думаю, что таким образом можно украсть много денег, но я действительно думаю, что тот факт, что это происходит, действительно может подорвать всю систему.

BK: Мне кажется, что было бы хорошо, если бы больше онлайн-торговцев упростили вход на свои сайты без использования паролей, а вместо этого с приложением, которое просто спрашивает, что вы только что пытаетесь войти в? Да? Хорошо. Бум, вы вошли в систему. Похоже, этот вид «принудительного» входа может использовать смартфон пользователя, не полагаясь на номер или пароли, если на то пошло.

Если номера телефонов плохие, на что мы должны обратить внимание как на более надежные и устойчивые идентификаторы?

AN: Я много думал об этом в последнее время. Похоже, что все остальные варианты либо плохи, либо действительно спорны. С одной стороны, я хочу, чтобы мой банк знал, кто я, и я хочу предоставить им свой адрес электронной почты и номер телефона, чтобы они могли подтвердить, что это я, и знать, как связаться со мной в случае необходимости. Но если я создаю учетную запись электронной почты, я не хочу предоставлять им всю свою информацию.Я не привязан ни к одной альтернативной идее, мне просто не нравится то, что мы делаем сейчас.

Для получения дополнительной информации о том, что вы можете сделать, чтобы уменьшить зависимость от номеров мобильных телефонов, ознакомьтесь с разделом «Что вы можете сделать?» раздел «Повесить трубку на мобильном телефоне во имя безопасности».

Обновление, 18 марта, 13:25 ET: 14 марта Google опубликовал инструкции, описывающие, как отключить SMS или голосовую связь при двухэтапной аутентификации в аккаунтах G Suite.

Теги: Allison Nixon, Flashpoint, SIM-своп

Эта запись была опубликована в воскресенье, 17 марта 2019 г., в 19:25 и находится в разделах «Немного солнечного света», «Инструменты безопасности», «Замена SIM-карты».Вы можете следить за любыми комментариями к этой записи через канал RSS 2.0.

И комментарии и запросы в настоящий момент закрыты.

От электронной почты к номеру телефона, новый подход OSINT

В последнее время я трачу время на изучение слабых мест и векторов атак в параметрах сброса пароля. В BSides Las Vegas я представил инструмент под названием «Ransombile». Он автоматизирует процесс сброса пароля через SMS для многих веб-сайтов, входящих в топ-100 Alexa, и облегчает целевые атаки при наличии физического доступа к заблокированным мобильным устройствам в течение короткого периода времени.Я также говорил о широком влиянии взлома систем голосовой почты на DEF CON и CCC путем злоупотребления сбросом пароля при телефонных звонках.

Работая над этими темами, я провел много часов, тестируя и сбрасывая пароли на разных веб-сайтах. В какой-то момент я начал замечать закономерность, которую раньше не замечал. Если вы хотите сбросить пароль, вы вводите адрес электронной почты, а затем вам предлагаются различные варианты. Обычно они включают в себя получение электронного письма с уникальной ссылкой для нажатия, получение SMS с секретным шестизначным кодом или даже возможность получить звонок и вместо этого услышать секретный код.

Рассматривая вариант сброса пароля с помощью SMS или телефонного звонка, я заметил, что пользовательский интерфейс обычно показывает часть номера телефона. Однако он замаскирован таким образом, что показывает только несколько цифр, которых достаточно, чтобы пользователь мог распознать, какую из них, если у него несколько телефонов. Другими словами, , если я знаю ваш адрес электронной почты, я могу инициировать процесс сброса пароля для ваших учетных записей и получить несколько цифр вашего номера телефона.

Как упоминалось выше, я потратил много времени на сброс паролей и понял, что не все веб-сайты показывают одни и те же цифры.Кто-то покажет последние четыре, кто-то первый, последние два и так далее. Не существует стандартного способа замаскировать личную идентифицирующую информацию (PII), такую ​​как номера телефонов . Маскировка происходит полностью на усмотрение разработчиков, и мне это показалось проблемой.

Сброс пароля показывает 5 цифр 2FA показывает 3 цифры

Чтобы продемонстрировать, насколько это так, возьмем, к примеру, Paypal. Если я инициирую процесс сброса пароля, он покажет первую цифру и последние четыре.Но если я войду в систему и столкнусь с проблемой 2FA, он покажет только последние три. В этом нет никакого смысла. Имея только ваш адрес электронной почты, я могу получить пять из десяти цифр вашего номера телефона. Если я знаю ваш адрес электронной почты и пароль, то получу только три. Paypal скрывает больше цифр от злоумышленника, который уже знает ваш пароль, чем от того, кто знает только ваш адрес электронной почты .

Копаем глубже

Я составил список популярных веб-сайтов, на которых люди обычно регистрируются, и проверил их процесс сброса пароля.Моя цель состояла в том, чтобы определить, какие сайты будут запрашивать только электронное письмо для запуска процесса (дополнительная информация не требуется), поддерживаемый сброс пароля на мобильном устройстве и количество «утечек» цифр. Вот небольшое подмножество:

Утечка первых трех и последних двух цифр:

Утечка первых и последних четырех цифр:

Утечка первых и последних двух цифр:

Утечка последних четырех цифр:

Утечка последних двух цифр:

• Google
• Facebook
• Твиттер
• Hotmail
• Пар

Если вы посмотрите на список выше, мы можем сделать вывод, что, например, , если у вас есть учетная запись eBay и LastPass, злоумышленник может знать семь из десяти цифр вашего номера телефона.Просто зная свой электронный адрес . Другими словами, злоумышленник может использовать ваш адрес электронной почты, чтобы уменьшить вероятность угадывания вашего номера телефона с одного миллиарда до тысячи.

Это не единственная возможная комбинация, но давайте сосредоточимся на этом сценарии в этом посте.

Обнаружение оставшихся чисел

У нас есть семь из десяти цифр, что означает, что нам не хватает только трех. На этом этапе важно сосредоточиться на , которые нам известны.

Телефонный номер в США состоит из 3 полей: код города (или NPA), телефонный номер (или код центрального офиса) и номер абонента (слава @jjarmoc, который рассказал мне об обмене и заставил меня понять, что это было нечто большее чем я думал). Также есть код страны, но пока мы ориентируемся на номера в США.

Поля номера телефона в США

eBay + LastPass дали нам код города и номер абонента. Важно подчеркнуть, что у нас не просто отсутствуют 3 цифры, нам не хватает 3 цифр, соответствующих обмену .Это важное различие, поскольку оно поможет нам еще больше сузить возможности.

NANPA

Я потратил немало часов на изучение и изучение обменов. Моя главная цель состояла в том, чтобы понять, могу ли я надежно сократить оставшуюся тысячу возможных телефонных номеров, обнаружив номера обмена, не присвоенные определенному коду зоны.

Введите администратора плана нумерации Северной Америки (NANPA). План нумерации для коммутируемой телефонной сети общего пользования для Канады, США и их территорий, а также некоторых стран Карибского бассейна.Этот сайт — настоящая золотая жила! Я так много узнал о том, как работают телефонные системы, только из этого источника. Самое главное, я нашел именно то, что искал.

NANPA поддерживает обновленный список кодов городов и соответствующих АТС, который является общедоступным. Он часто обновляется, и вы можете запросить данные или загрузить анализируемый файл со всей информацией.

Биржи в Сан-Франциско

Насколько это полезно? Что ж, возьмем код города Сан-Франциско 415.Если мне не хватает только трех цифр, соответствующих обмену, у меня есть тысяча возможных чисел для моей цели. Используя набор данных NANPA, я сократил его до 784 возможных номеров, потому что 216 номеров обмена не присвоены коду зоны 415. Это снижение более чем на 20%, неплохо!

Но насколько это хорошо? Я играл с разными кодами городов, и, например, для кода города Аляска 907 назначено только 625 станций. Это 375 телефонных номеров, которые нам больше не нужно учитывать, просто используя ценную информацию, которую нам предоставляет NANPA.Или код города Такома 253 с только 458 обменами. Мы избавились от более чем половины возможных телефонных номеров.

Что делать, если у цели есть только учетная запись Paypal? Мы знаем пять цифр из десяти. Но опять же, , какие ? У нас есть первая цифра кода города и последние четыре случайные цифры. Представим, что вы знаете, что цель из Калифорнии. Благодаря NANPA мы знаем все коды городов, соответствующие Калифорнии. В Калифорнии есть только два кода города, которые начинаются с цифр 2, 213 и 209.Два других, начинающиеся с 3, два, начинающиеся с 4, и т. Д. Зная первую цифру кода города, вы все равно можете довольно легко вывести первые три цифры телефонного номера.

Национальная администрация пулов

Но как насчет того, чтобы у цели была только учетная запись eBay? Или Paypal + Google? У нас есть код города и последние две цифры номера абонента. Опять же, давайте сосредоточимся на известных нам числах. Выше я обсуждал, как мы можем использовать общедоступные записи NANPA, чтобы сузить возможные числа на основе кода города и обмена. Существуют ли какие-либо общедоступные записи, которые могут помочь нам удалить недействительные номера телефонов на основе номера абонента? Да! Спасибо национальной администрации пула.

Готовы? Объединение номеров — это способ назначать меньшие блоки номеров (в тысячах) областям роста. Исторически сложилось так, что телефонный номер — это способ укоренить звонок человеку в физическом месте. Возьмите 415-272-XXXX. Первые 3 цифры сужают его до более широкой области, такой как Сан-Франциско, обмен 272 специфичен для Саусалито, а недостающие 4 цифры указывают фактического человека (подписчика) в этой ограниченной области.Поскольку операторы владеют конкретным кодом города + обмен, это означает, что существует 10000 телефонных номеров, назначенных жителям Саусалито, у которых есть тарифный план с AT&T (оператор, владеющий 415-272).

По состоянию на 2017 год в Саусалито проживает 7110 человек. Это означает, что из 10 тыс. Доступных номеров будет использовано только 7 тыс., И это, если все являются клиентами AT&T. При таком способе присвоения номеров многие будут потрачены впустую и не будут использоваться.

Распространение кабельных модемов и услуг VOIP, которые упростили задачу стать оператором связи, усугубило проблему.FCC решила, что номера следует присваивать меньшими блоками в зонах роста. Конкретно блоками из тысяч чисел, а не из десяти тысяч. Следовательно, блоки номеров будут присвоены операторам связи как XXX-XXX-X, включая первую цифру номера абонента.

Национальная администрация пула отвечает за его управление и имеет общедоступные записи о назначенных блоках, включая номер абонента . Мы можем использовать эти данные для дальнейшего удаления недействительных номеров.Например, взяв наш номер Саусалито 415-272-XXXX, в котором отсутствуют последние 4 цифры, мы можем использовать общедоступные записи, чтобы отбросить телефонные номера, такие как 415-272- [0-8] XXX, и сосредоточиться только на номерах, с которых начинает абонент. 9. Другими словами, мы сократили количество возможных действующих телефонных номеров с 10 тысяч до одной тысячи .

9-й блок — единственный, которому присвоено

Еще… осталось много возможных номеров

У вас есть адрес электронной почты вашей жертвы, он из Такомы и имеет учетную запись eBay и LastPass.Вы запускаете процесс сброса пароля и набираете семь из десяти цифр его номера телефона. Теперь вы можете использовать NANPA, чтобы избавиться от 542 и сократить список до 458 возможных номеров, назначенных этому адресу электронной почты. Затем вы используете Национальную администрацию пула, чтобы проверить, назначен ли номер вашего блока различным возможным биржам, уменьшая количество возможных действительных номеров телефонов до 445.

Что теперь? Это по-прежнему изрядное количество телефонных номеров. Я бы сказал, что сокращение одного миллиарда возможных телефонных номеров до 445, только зная, что есть электронная почта, очень важно.Остальное можно даже проверить вручную. Но цель — максимально сократить возможности перед попыткой какой-либо проверки вручную. Вернемся к чертежной доске!

Есть несколько способов взять оставшиеся телефонные номера и посмотреть, связаны ли они каким-либо образом с адресом электронной почты. Использование поисковых систем с четко определенными флажками поиска, чтобы попытаться найти подсказки на случай, если цель оставила свой номер телефона на форуме, веб-сайте и т. Д. Найдите письмо по номеру телефона в онлайн-сервисах, таких как pipl, BeenVerified или Spokeo, которые имеют огромные базы данных с людьми персональная информация.Вы даже можете использовать онлайн-сервисы телефонной системы, которые позволяют выполнять обратный поиск владельца телефона по его номеру. В основном телефонная книга наоборот. На самом деле я был довольно шокирован объемом личной информации, которую я смог получить от таких сервисов, как WhitePages, через его надстройку Twilio, просто указав номер телефона и заплатив десять центов.

Эти варианты хороши, но не на 100% надежны. Вы можете ничего не найти в поисковых системах, в онлайн-фермах данных нет номера телефона вашей цели, а WhitePages, как правило, несколько устарели, часто на них просто нет нужной информации.Итак, я начал придумывать новые способы надежного получения номера телефона, привязанного к адресу электронной почты.

Повторное использование того же вектора атаки в обратном порядке

Добраться до того сладкого момента «Эврики» не заставило себя долго. Я размышлял о шагах, которые я сделал, чтобы зайти так далеко. Я злоупотреблял функцией сброса пароля онлайн-сервисов, чтобы собрать несколько цифр телефонного номера, назначенного электронной почте…

Хммм .. Я сбросил пароль, поставив электронную почту … и получаю обратно несколько цифр. Могу ли я… сбросить пароль, введя номер телефона и вернув несколько символов электронной почты?

Сброс пароля Amazon по номеру телефона

Eureka! Оказывается, есть популярные сервисы, такие как Amazon и Twitter, которые позволяют сбросить пароль, введя номер телефона и получив электронное письмо для завершения процесса.Самое главное, он отобразит несколько символов адреса электронной почты, по которому будет отправлена ​​ссылка на . В случае Amazon вы получаете первую и последнюю букву имени пользователя и полный домен. Вы также получаете длину имени пользователя, поскольку число * соответствует количеству замаскированных символов.

Twitter показывает вам первые два символа имени пользователя и первый символ домена. Вы также узнаете длину, посчитав звездочки.

Вектор атаки выглядит так:

1.Используйте адрес электронной почты цели, чтобы инициировать процесс сброса пароля на нескольких сайтах, чтобы собрать несколько цифр номера телефона

2. Сократите список возможных телефонных номеров, отбросив несуществующие коды городов, обмены и номера абонентов, используя NANPA и общедоступные данные Национальной администрации пула

3. Инициируйте процесс сброса пароля, перебирая оставшийся список телефонных номеров и сопоставив просочившиеся символы электронной почты с адресом электронной почты цели

.

Следуя этим шагам, вы сможете получить полный десятизначный номер телефона, связанный с адресом электронной почты, без необходимости совершать один звонок! Просто злоупотребляя параметрами сброса пароля и эффективно используя общедоступную информацию.

Автоматика

Указанный выше вектор атаки можно выполнить вручную. Вы можете использовать такие сервисы, как namechk, чтобы определить, куда идти собирать цифры. Посмотрите сами на данные NANPA, чтобы исключить недопустимые числа. Вы даже можете подобрать оставшиеся номера телефонов, чтобы найти совпадающий адрес электронной почты, используя функции веб-прокси, такие как взломщик Burp. Но в этом нет необходимости, я написал инструмент, который сделает все это за вас.

email2phonenumber — это инструмент, который позволяет указать частичный номер телефона и получить список всех возможных действительных номеров телефонов, исключив несуществующий код города и обменяясь номерами.Этот инструмент также позволит вам подобрать номера телефонов с помощью функции сброса паролей Amazon и Twitter и сопоставить замаскированные электронные письма с тем, которое вы предоставили, в поисках совпадения . Он будет пытаться пролететь мимо радара капчи, реплицируя поведение пользователя и рандомизируя некоторые параметры в запросах. Он также поддерживает использование прокси-серверов. Что мы делаем, так это запускаем сброс пароля для разных номеров телефонов. Это означает, что службы не могут обнаружить вас по конкретному номеру телефона, по которому вы забиваете.

Существует множество других служб, позволяющих сбросить пароль с помощью телефонных номеров, которые можно использовать для той же цели. Инструмент поддерживает Amazon и Twitter для перебора. Идея состоит в том, чтобы заручиться поддержкой сообщества через пул-реквесты для поддержки дополнительных.

Вы можете найти этот инструмент в моем репозитории на github.

Демо

телефонный звонок

email2phonenumber — отличный инструмент, но многое из того, что он делает, можно сделать с помощью таких инструментов, как Burp или wfuzz. Истинная власть основана на сборе, анализе и использовании общедоступных данных, связанных с планом нумерации телефонов страны.

Поэтому я работаю над новой онлайн-службой, которая позволит вам создавать списки возможных телефонных номеров. Он будет иметь многострановую поддержку, он предоставит вам гораздо больше информации и подробностей, в нем будут исторические записи и, самое главное, расширенные фильтры.

Допустим, вы знаете, что у цели есть AT&T, вы можете отфильтровать по оператору связи и еще больше сократить список возможных номеров. У вас может быть информация о том, что этот человек из Калифорнии, телефонный оператор будет принимать во внимание только эти коды городов.Возможно, вы знаете, что у цели был номер телефона более двух лет, поэтому давайте отбросим обмены и заблокируем номера, которые были присвоены недавно.

Я все еще работаю над инструментом и собираю все данные. Следите за обновлениями и датами выпуска в моем аккаунте в Twitter . Наконец-то он здесь!

Другие страны

До сих пор я сосредоточился на телефонных номерах в США, но есть дополнительные вопросы, которые я хочу выделить при рассмотрении целей из других стран.Я сам из Испании, и испанские номера мобильных телефонов тоже имеют интересные свойства. Во-первых, все номера мобильных телефонов начинаются с цифры 6 (а недавно и 7). Кроме того, номера телефонов состоят всего из 9 цифр. Почему это важно? Что ж, я знаю одну цифру с самого начала, и службы , такие как eBay или LastPass, не корректируют свою маску, чтобы пропускать меньше цифр для более коротких телефонных номеров . Поэтому, если моя цель из Испании, просто с LastPass я знаю 5 из 9 цифр. Это больше половины цифр.

Я заметил проблему использования одной и той же маски для всех клиентов на других сайтах. Следующим моим шагом было поиск стран с очень короткими номерами. Возьмите Исландию, Эстонию или Сан-Сальвадор с 7-значными телефонными номерами. Все клиенты eBay из этих стран имеют 5 из 7 цифр, доступных любому, кто знает их адрес электронной почты. Объедините его с учетными записями LastPass, и вы получите полный номер телефона цели. Просто зная их адрес электронной почты…

Первые 3 и последние 2 с Ebay

Последние 4 с LastPass

Понимая свойства телефонной системы страны и пользуясь преимуществами веб-сайтов, которые не корректируют маскировку для утечки меньшего количества цифр на более короткие номера, можно получить все цифры телефонного номера.

И что?

Я показал вам, как перейти от адреса электронной почты к номеру телефона. Ну и что? Неужели это так плохо? Что ж, мы можем ответить на этот вопрос с разных точек зрения, например, с точки зрения конфиденциальности и безопасности, но давайте перечислим несколько векторов атак, которые происходят от знания телефонного номера цели:

• Замена SIM-карты . Это проблема, которая в последнее время приобрела большую известность и встречается гораздо чаще, чем вы думаете. Злоумышленники могут перенести ваш номер телефона на SIM-карту, находящуюся под их контролем, с помощью различных средств, таких как социальная инженерия, вымогательство или даже мошеннические сотрудники оператора связи.Это позволит злоумышленникам сбросить пароли от вашего имени или обойти защиту 2FA.
• SS7 атакует . SS7 — это протокол, используемый операторами связи для взаимодействия между собой. Он очень старый, и на нескольких конференциях по безопасности исследователи продемонстрировали, как они могут отслеживать местоположение людей или даже шпионить за коммуникациями.
• Таргетинг на вашу голосовую почту. Посмотрите мой доклад DEF CON, чтобы понять, как злоумышленник скомпрометирует вашу голосовую почту.Серьезно, системы голосовой почты представляют собой угрозу.
• Отслеживание местоположения. Джозеф Кокс подробно осветил эту проблему.
• Подмена CallerID . Множество онлайн-сервисов позволяют подделывать идентификаторы вызывающих абонентов. Это отличный инструмент для социальной инженерии.

Выводы

Отсутствие стандартизированного способа маскировки PII приводит к различным подходам, применяемым онлайн-сервисами. Это утечка частичной информации о вашем адресе электронной почты и номере телефона в такие места, как область сброса пароля.Им можно злоупотреблять и автоматизировать для очистки фрагментов информации с целью восстановления целевых данных.

Возможно, особенно при целевых атаках, получить все цифры телефонного номера, связанного с адресом электронной почты. Когда злоумышленник получает номер телефона, он может использовать его для других атак с серьезными последствиями, которые могут привести к полной компрометации учетной записи, отслеживанию местоположения и шпионажу.

Это особенно актуально для стран с более короткими номерами телефонов, поскольку многие службы не корректируют маскировку в зависимости от длины телефона.

Маскировка недостаточна, даже если она показывает только пару цифр телефонного номера. Жители острова Святой Елены заслуживают такой же планки безопасности, как и все мы, с их 5-значными телефонными номерами. Для электронных писем маскировки только имени пользователя недостаточно, домен может предоставить информацию о том, где этот человек может работать. Даже TLD может выдавать, если этот человек является студентом или из какой страны он может быть.

Мое предложение — разрешить пользователям устанавливать метки .Например, пользователь может пометить адрес электронной почты как «личный адрес электронной почты» или номер телефона как «рабочий телефон». Таким образом, , когда процесс сброса пароля отображает подсказку, он будет показывать метку, а не лакомые кусочки PII .

Пользователи не должны указывать свой номер телефона, если это строго не требуется. Многие онлайн-сервисы просят об этом, но в этом нет реальной потребности для бизнеса. Им просто нужно больше информации о вас. Если это необходимо, рассмотрите возможность использования виртуального номера, такого как Google Voice, или даже выделенной SIM-карты, которую вы используете только для этой цели, и никогда не разглашайте номер.

Речь идет не только о OPSEC, но и о защите ваших данных.

Ответственное раскрытие информации

Я обратился к онлайн-службам, которые показывали более двух цифр, особенно если они были частью кода города или телефонной станции. LastPass обновил маску, чтобы отобразить только две последние цифры, соответствующие номеру абонента. eBay теперь показывает первые и последние две цифры, не очень хорошо, но лучше, чем было раньше. На момент написания этой статьи Yahoo все еще рассматривает риски и способы их устранения.

Paypal, который отображает пять цифр, включая код города, всем, кто знает адрес электронной почты (но только три, если злоумышленник знает пароль цели), решил, что это работает так, как задумано, и не будет предпринимать никаких действий.

Ресурсы

Я представил это исследование в BSides Las Vegas и Recon Village @ DEF CON

Вы можете скачать слайды с Slideshare

Взрыв телефона: Нерассказанная история подростков и преступников, взломавших Ма Белл, автор

Фил Лэпсли

Фантастическая книга о телефонном фрикинге.

Конфиденциальность, безопасность и OSINT-шоу — Эпизод 111

В этом выпуске рассказывается о проблемах предоставления вашего номера телефона онлайн-сервисам.

Анализ PIN-кода

Сообщения Иэна заставили меня усмехнуться.Позже в тот же день я прочитал этот мультфильм XKCD. Объединение этих двух юмористических тем послужило основой для этой статьи.

Какой ПИН-код является наименее распространенным?

Если бы вам пришлось сделать предположение о том, какой из 4-значных PIN-кодов является наименее часто используемым, как бы вы предположили?

Это косвенно относится к мультфильму XKCD.В мультфильме Рэндалла план преступника имел неприятные последствия, потому что выбранный им номерной знак был настолько уникальным, что запомнился. Какой номерной знак запомнился меньше всего? Спросите любого знакомого шпиона (хихикает), как лучше всего раствориться в толпе. Их ответ будет не выделяться, не выглядеть «нормальным» и никоим образом не выделяться.

Эта статья , а не , предназначена для хакерской библии или для использования в качестве служебной программы, ресурса или инструмента для помощи потенциальным ворам в совершении гнусных действий. Я буду раскрывать только данные, достаточные для того, чтобы выразить мою точку зрения, и постараюсь избегать предоставления конкретных данных за пределами очевидных примеров. Я не хочу быть помощником для детей-скрипачей.Пожалуйста, не пишите мне с просьбой указать базу данных, которую я использовал; если вы это сделаете, вы зря потратите время, потому что я не собираюсь отвечать. Я не собираюсь продавать, передавать или разглашать исходные данные — не спрашивайте!

Источник

Очевидно, у меня нет доступа к базе данных PIN-кодов кредитных карт. Вместо этого я буду использовать прокси. Я собираюсь использовать сжатые данные из опубликованных / раскрытых / обнаруженных таблиц паролей и нарушений безопасности.

Мыльница — Экспозиции базы паролей

Я не пытаюсь продавать здесь свои услуги в качестве консультанта (хотя, если вам интересно, мои ставки очень разумны по сравнению с затратами на юридическую защиту, потенциальными санкциями Федеральной торговой комиссии, коллективными исками, реакцией акционеров, штрафами, убытками репутации и бизнеса…) В отрасли есть множество экспертов по безопасности, которые могут вам помочь (если вам нужна помощь в их фильтрации и у вас нет рекомендаций, лучше начать с тех, кто имеет квалификацию CISSP).

Итог Безопасность усиливается за счет слоев, и простое применение шифрования в таблице базы данных может помочь защитить данные вашего клиента, если эта таблица будет раскрыта. Он не защищает от всех возможных атак, но делает только хорошее. Какая возможная причина хранить вещи в открытом виде?

Вернуться к данным

Учитывая, что пользователи могут свободно выбирать свой пароль, если пользователи выбирают четырехзначный пароль для своей онлайн-учетной записи, нетрудно использовать его в качестве прокси для четырехзначного PIN-кода.

Мне удалось найти почти 3,4 миллиона четырехзначных паролей. Каждая из 10 000 комбинаций цифр от 0000 до 9999 была представлена ​​в наборе данных.

Первый «озадачивающий» пароль, с которым я столкнулся, был 2580 в позиции №22. Какое значение имеют эти цифры? Почему так много людей должны выбрать этот код, чтобы он оказался на вершине списка?

(Еще одна интересная мелочь заключается в том, что люди, кажется, предпочитают четные числа нечетным, а коды вроде 2468 встречаются выше, чем эквивалент нечетных чисел, например 1357).

Как отмечалось выше, в частотных таблицах преобладают наиболее популярные варианты выбора паролей. Самый популярный PIN-код 1234 более популярен, чем наименьших 4200 кодов вместе взятых!

Верно, вы можете взломать более 10% всех кодов с помощью одной попытки! Расширяя это, вы можете получить 20%, используя всего пять чисел!

Ниже приведен график совокупной частоты:

По статистике, , треть всех кодов можно угадать, попробовав всего 61 комбинацию!

Порог совокупной вероятности 50% пройден всего для 426 кодов (намного меньше, чем 5000, которые можно было бы предсказать при случайном равномерном распределении).Еще не параноик?

Многие из часто встречающихся PIN-кодов можно интерпретировать как годы, e.грамм. 1967 1956 1937… Похоже, что многие люди используют год рождения (или, возможно, годовщину) в качестве своего PIN-кода. Это, безусловно, поможет им запомнить свой код, но значительно повысит его предсказуемость.

Просто посмотрите на статистику: Каждые 19 ?? комбинацию можно найти в верхней пятой набора данных!

Ниже представлен график этого в графическом формате. На этой диаграмме каждая желтая линия представляет собой ПИН-код, который начинается с 19 ??

Если все пароли были распределены равномерно, не должно быть значительной разницы между частотой появления, , например, , 1972, и любым другим PIN-кодом, заканчивающимся на семьдесят два ?? 72.Однако, как мы увидим, это совсем не так.

1972 находится в порядковой позиции №76 (с частотой 0,099363%). Вот гистограмма появления всех 72 вероятностей.

Отчетливо виден всплеск 1972 года (с меньшими всплесками на 7272 и 1472)

Если вы вычислите отношение пика 1972 года к среднему значению всех остальных 72 PINS, вы получите соотношение 22: 1

PINS начиная с 19 ?? гораздо более вероятны.Конечно, это не только 1972 год. Вот график отношения 19 к отличному от 19 для всех сотен комбинаций. Вдоль оси x показаны все комбинации последних двух цифр XX, и для каждой из них было вычислено отношение 19XX к среднему значению всех остальных вхождений ?? XX. Вот диаграмма:

Это довольно хорошее приближение для демографической диаграммы! (предложено красной пунктирной линией тренда), что, вероятно, позволит справедливо оценить возраст (годы рождения) людей, использующих различные веб-сайты.(Конечно, хакеры меняют эту стратегию и используют возраст цели, чтобы попытаться дать информацию для угадывания PIN-кода пользователя. Глядя на этот график, это может дать им преимущество до 40x !)

Практически все коэффициенты выше 1.0. Примечательными исключениями являются ?? 34 и ?? 00 (которые легко объяснить, поскольку массовая популярность 1234 и 0000 карликовых 1934 и 1900 годов соответственно). Точно так же 33 44 55 66… ниже, чем ожидалось, поскольку квадраты, такие как 3333, маскируют даже повышение 1933 года.

На графике также есть всплески, соответствующие популярным PINS 1919 1984 и 1999 годов

На этот сюжет можно было смотреть весь день!

Яркой линией на ведущей диагонали показаны повторяющиеся пары, которые люди любят использовать для своих ПИН-кодов 0000 0101 0202…
5454 5555 5656
…
9898
9999.

Каждая одиннадцатая точка на ведущей диагонали ярче, что соответствует четверным числам.
например 4444 5555. Вот версия в увеличенном масштабе:

Интересные вещи

Из этой тепловой карты можно узнать так много интересного. Вот всего парочка:

Целью этой публикации было исследование закономерностей и частоты использования четырехзначных ПИН-кодов.Однако в собранной мной базе данных также есть полностью числовых паролей разной длины. На них тоже стоит взглянуть.

Я нашел около 7 миллионов паролей, состоящих только из цифр. Примерно половина из них были четырехзначными кодами, которые мы только что исследовали.

Шестизначные коды являются следующей по популярности длиной, после восьми.

Я надеюсь, надеюсь, что люди, у которых есть пароли из девяти цифр, будут , а не , используя свои номера социального страхования!

Ниже приведены 20 основных паролей разной длины, а также их доля в пространстве имен одинакового размера.