Как предотвратить похищение моего Интернет пароля?
Ничто так не отбивает желание поохотиться за чужими Интернет - паролями, как проверка провайдером номера звонящего абонента и сравнение его с номером телефона, "закрепленным" за обладателем данного пароля.
Провайдеры, реально отслеживающие своих клиентов аппаратурой АОН, многократно снижают актуальность похищения пароля – ведь в этом случае злоумышленнику потребуется не только похитить пароль, но и подключиться к чужой телефонной линии, что довольно проблематично (разумеется, если "злоумышленником" не является никто из домашних).
Определение номера звонившего не то чтобы очень хлопотная забота (многие модемы имеют встроенную систему АОН), но провайдеры в своей массе под предлогом нежелания ограничивать свободу клиентов
позволяют входить в сеть с любого телефонного номера! Истинная же причина в том, что провайдеры не хотят наживать себе лишнюю головную боль. Только представьте себе толпу разъяренных клиентов, у которых из-за старости АТС или помех на линии не определяется номер и АОН провайдера дает от ворот поворот, не пуская в сеть, да и лишняя возня с поддержкой телефонной базы пользователей провайдерам ни к чему.
Попадаются и такие провайдеры (к числу которых принадлежит и krintel), которые в договоре оговаривают возможность входа в сеть только с заранее оговоренного телефонного номера, но на практике никак его не проверяют – выходи откуда хочешь!
Определить, как обстоят дела в таком-то конкретном случае, можно лишь экспериментально – попыткой захода в Интернет со своим логином с чужого телефона (но только не с чужого компьютера – этим вы раскрываете свой пароль его владельцу!).
Если провайдер не контролирует номер звонившего (как часто и происходит) злоумышленник сможет бесплатно войти в сеть угадав
или похитив
чужой пароль.
угадывание: если пароль представляет собой осмысленное слово наподобие "McLaren" или "Disney", упорядоченную последовательность типа "QWERTY" или полностью состоит из цифр – он может быть легко угадан! Лексикон большинства людей ограничен несколькими десятками тысяч слов, а самые полные русские и английские словари насчитывают сотни тысяч, ну пускай, миллионы слов. При скорости подбора в десять-двадцать тысяч паролей в секунду (средняя скорость младших моделей Pentium) – перебрать все словарные слова, пускай даже слегка видоизмененные (типа "Арбуз" à
"Арбусис"), удастся менее чем за час, в крайнем случае, за сутки-другие. В то же время, бессмысленных сочетаний даже из пяти букв латинского алфавита (включая цифры и знаки препинания) – свыше миллиарда, а из восьми символов и того больше– порядка миллиарда миллиардов! На бытовых компьютерах их перебор займет все оставшееся до конца света время! (Если, конечно, забыть о неуклонном увеличении производительности компьютеров).
похищение: отчаявшись подобрать пароль "в лоб", злоумышленники начинают прибегать ко всевозможным ухищрениям. Например, связываются с намеченной (или выбранной наугад) жертвой и от имени службы технической поддержки (варианты - администратора, фининспектора, президента, господа бога) требуют назвать пароль. Это рискованный ход, т.к. звонившего можно отследить (с помощью АОН, например) и на суде (если до него дойдет) опознать по голосу (одни лишь показания АОН для суда не аргумент). Продвинутые злоумышленники поступают хитрее, предлагая всем желающим зарегистрироваться на своем сайте, указав собственное имя и пароль (например, для доступа к редактированию собственной анкеты или возможности подписки на почтовую рассылку). Разумеется, никем не требуется введение именно Интернет – пароля, но многие люди склонны выбирать одинаковые (или похожие) пароли на все случаи жизни.
Никогда, нигде и ни при каких обстоятельствах никому не сообщайте свой Интернет – пароль! Так же не записывайте его ни на бумажке, приклеенной к монитору (столу, клавиатуре), ни в записной книжке, ни где-либо еще. Эти "тайники" легко доступны вашим гостям и знакомым, а можно ли быть уверенным, что все они добропорядочные граждане? По обыкновению пароль записывается в договоре, заключенном с провайдером, а сам договор хранится (точнее, должен храниться) среди других ценных бумаг и документов – вне пределов досягаемости знакомых и друзей. (см. "Как узнать, что моим паролем пользуется кто-то еще? И что потом делать?").
Пароль может похитить и программа-шпион, засланная с диверсионной целью на чужой компьютер. Техника засылки диверсантов весьма разнообразна:
а) замаскировав такую программу под нечто полезное, злоумышленник может отослать ее намеченной жертве по электронной почте ("Какие почтовые вложения безопасны?"), выложить на общедоступный "софтверный" сервер, наподобие download.ru, "закинуть" в телеконференцию и т.д. Антивирусы обнаружат такую программу лишь при условии, что она уже была ранее кем-то использована и успела попасть в руки вирусологов. Но шпиона, написанного самим злоумышленником специально для этой атаки антивирусы распознать не в силах! Нить надежды дает эвристический анализатор – грубо говоря "искусственный интеллект" антивируса – в некоторых случаях распознающий неизвестные ему зловредные программы по их "запаху", т.е. характерным последовательностям машинных команд, но в силу своего несовершенства эвристические анализаторы зачастую не срабатывают и хитрый злоумышленник может без труда обойти их. Антивирусы – антивирусами, а запускать полученные из Интернета файлы сомнительного происхождения (см. "Какие ресурсы Интернет наиболее безопасны") не стоит, даже если антивирусы – какими бы они свежими ни были – не нашли в них ничего подозрительного (см. "Как защитится от вирусов").
???? Рисунок "карикатура" собака в повязке с красным крестом нюхает дискету, по которой ползают вирусы
б) файлы документов могут содержать вредоносные макросы, автоматически запускающиеся при открытии документа и похищающие сохраненный пароль (или устанавливающие шпиона, отслеживающего нажатие клавиш) - см. "Как защитится от вирусов";
с) "дырки" в операционных системах и приложениях приводят к возможности хищения пароля без каких-либо активных действий со стороны жертвы – достаточно ей войти в Интернет (см. "Как гарантированно защититься от атак из Интернет").
Родственные вопросы:
Как защитится от вирусов
Какие почтовые вложения безопасны?
Какие ресурсы Интернет наиболее безопасны
Какие почтовые вложения безопасны? (следующий)
Как гарантированно защититься от атак из Интернет
Как узнать, что моим паролем пользуется кто-то еще? И что потом делать?
