На днях написал статью на сайте клана "Братство Зари", но в силу различных причин (о которых я думаю догадаетесь сами), она была сильно урезана. Вот решил в курилке выложить ее полный вариант.
Не так давно на Арене разразился очередной скандал по поводу взлома персонажа – да не просто персонажа, а главы клана Angels Of Death! Эта новость быстро облетела новостные ленты многих кланов, заставив кого-то огорчиться, кого-то лишь иронично улыбнуться, мол, надо быть осторожнее. Я не хотел в очередной раз «промывать кости» данному, на мой взгляд, грустному событию (которое кстати закончилось все же разблоком), а лишь попробую немного внести ясность о том, что же такое безопасности в целом и безопасность наших игровых персонажей в частности.
Безопасность наших с вами персов определяется в первую очередь ПАРОЛЕМ. Именно пароль является тем самым «сим-сим-откройся», ключиком, который вдыхает жизнь в персонажа, заставляя его драться, блочиться и уворачиваться. Вот поэтому я хочу остановиться на безопасности пароля, но не сколько с нашей стороны, сколько со стороны взломщика – чтобы понимать и быть готовыми к потенциальным атакам и попыткам кражи персонажа. Данная статья никоим образом не является руководством по взлому – она призвана лишь помочь вам предотвратить взлом перса!
Итак, можно выделить 2 вида взлома паролей:
- метод перебора
- метод социальной инженерии.
Давайте разберем более подробно оба метода.
Метод перебора паролей.
Название этого метода говорит сам за себя: взломщику необходимо перебрать один за одним пароли до нахождения нужного (будем называть его «оригинальным»). Сразу возникает вопрос – а откуда брать эти самые пароли? Есть несколько способов их получения:
Способ 1. Автоматическая генерация.
Самый простой в реализации, но самый «дубовый» в исполнении. Задача, что называется «в лоб»: специальная программа (а может даже устройство) генерирует некую последовательность символов на основе заданных начальных условий. Что это могут быть за условия? Во-первых, размер словаря, т.е. размер (количество) того набора символов, которые могут быть использованы при создании искомого пароля. Чем меньше словарь, тем больше шансов у взломщика на успех его мероприятий. Во-вторых, это размер оригинального пароля, т.е. количество символов в пароле. Аналогично – чем меньше символов вы используете, тем больше вероятность взлома (это думаю очевидно всем). При знании взломщиком этих двух параметров процедура подбора может быть вычислена по формуле:
T = A^s * t,
где T – общее (максимальное) время подбора,
A – размер словаря,
s – размер пароля,
t – время проверки правильности ввода 1 пароля
Эта формула (вернее, ее упрощенный вариант) называется формулой Андерсона из комбинаторики.
Допустим, ваш пароль состоит только из символов английского языка и в одном регистре (верхнем или нижнем). Длина пароля – 6 символов. Таким образом, может быть сгенерировано 308915776 вариантов. Как вы думаете, 300 млн. – это много? Думаю, при нынешних достижениях вычислительной техники перебор всех этих вариантов займет считанные минуты, а то и секунды. Но увеличив размер пароля всего лишь на 1 символ, вы увеличите сложность задачи почти в 3 раза. А использовав различный регистр букв – более чем в 60 раз!
Способ 2. Выборка по словарю.
Этот метод отличается от первого тем, что список потенциальных паролей уже имеется в наличии, и необходимо лишь перебрать каждый из паролей в списке. Причем пароли идут не просто так, один за одним, а в соответствии с их релевантностью, т.е. степенью «употребимости» у пользователей. Сначала перечисляются наиболее часто употребимые, а далее все менее и менее используемые. Замыкает список совсем уж экзотические и малоиспользуемые (например, специальные технические термины). Скорость перебора в этом случае определяется размером словаря (под словарем здесь подразумевается список паролей) и их «качественностью», т.е. максимальной приближенностью к реально используемым паролям. Такие списки нетрудно составить самому, да и при наличии желания взломщик сможет их найти в интернете.
Достоинством этого метода является его «интеллектуальность», поскольку он избавлен от проверки грубых случайных комбинаций, получаемых первым способом.
Способ 3. Смешанный.
Этот метод использует достоинства обоих вышеперечисленных и освобожден от их недостатков. Как правило, в инструментарий данного метода входит тот самый список паролей (которые отсортированы по убыванию релевантности) и программа-генератор для модификации этих паролей. Таким образом, пароли подставляются не только в том виде, в котором они записаны в словаре, но и измененные согласно семантике написания, например, для слова «гений» могут быть использованы варианты «Гений», «ГЕНИЙ», «гЕНИЙ" и т.д. – все зависит от фантазии и степени упорства взломщика.
Как вы видите, метод перебора паролей подразумевает использование в той или иной мере неких технических/программных средств для взлома, а также кропотливой и монотонной работы. В противоположность ему второй метод, метод социальной инженерии, позволяет осуществлять взлом порой без использования вообще какой-либо техники. Итак, в чем же он заключается?
А основан он на такой особенности человеческой психики, как механизм запоминания, вернее, на одной его «бреши». Здесь я сделаю небольшое лирическое отступление.
В эпоху невероятного развития и распространения информации, в которую мы живем, очень остро стоит вопрос о конфедециальности данных. Так или иначе, но современному человеку в обыденной жизни очень часто приходиться запоминать какие-либо «магические» комбинации: код для входа в родной подъезд, код пластиковой карточки, пароль для входа систему на домашнем компьютере и т.д. – примеров вы и сами можете привести массу. Очень часто мы забываем их, но самое простое и очевидное решение – это связать, или проассоциировать, пароль с объектом, куда он вводиться. Почти год назад один достаточно популярный развлекательный портал в англоязычных странах был взломан и с него были похищены пароли порядка 34 тыс. его зарегистрированных пользователей. Когда администраторы сайта получили списки этих паролей обратно, их удивлению не было границ: самые распространенные пароли были «abc123», «password1» и «qwerty1»! А теперь вспомните свои пароли – так ли сложны они для посторонних людей?
Именно на подобную небрежность и легкомыслие и рассчитывают взломщики. Для своих коварных целей они начнут что назвается «копать». Их целью будет любая информация о вас и о вашей жизни: имя домашнего любимца, дата рождения, название монитора, за которым вы работаете (да-да, многие используют близ расположенные предметы для своих паролей!) – одним словом ВСЕ! Термин «социальная инженерия» подразумевает целый комплекс мероприятий, которые проводит злоумышленник с целью получения максимального количества данных о цели взлома. Как правило, подобные данные не воспринимаются вами как нечто «секретное» или личное, но они могут косвенно указать на действительно важную информацию, которую вы можете скрывать. Так что, я думаю, есть повод насторожиться, если кто-то попытается взять у вас интервью и начнет задавать достаточно личные вопросы.
Вообще, администрация Арены предоставляет дополнительные средства, которые препятствуют краже игровых персонажей – это запрет на использование слишком маленьких паролей (менее 5 символов) и запрет на частую смену пароля (не чаще 1 раза в неделю). Они позволят снизить риск взлома персонажа. Так же, если у вас имеется постоянный IP-адрес, то в настройках своего профиля вы можете выставить флажок «Привязывать сессию к IP» (появилась уже в новом движке) – таким образом злоумышленник уже скорее всего не может воспользоваться даже взломанным паролем для доступа к вашему персонажу.
Итак, подводя итоги всему вышесказанному «Братство Зари» рекомендует вам во избежание потери своего персонажа придерживаться следующих правил:
1. используйте длинные пароли;
2. в пароле используйте разные символы: английские и русские буквы, цифры, спец.символы (!@#$%^&*), используйте различный регистр букв;
3. не используйте в качестве пароля слова, которые каким-то образом явно связаны с вами и с вашей жизнью;
4. не сохраняйте пароль при запросе браузера (авто-ввод);
5. не кому не говорите и старайтесь никуда не записывать свой пароль;
6. возьмите в привычку менять пароль для входа раз в 2-3 недели.
Не забывайте – ваша безопасность находится лишь в ваших руках!
Желаем вам удачи и безопасной игры!