סיסמאות (ואיך גונבים אותן) – חלק 1
סיסמאות, בעיקר בצורה שמשתמשים בהן היום, כאמצעי זיהוי יחיד – קורצות מאוד לפורצים. השגה של הסיסמא המתאימה הופכת אותך ברגע מחסר אמצעים ואפשרויות לשליט של אתר או חשבון משתמש מסוים (בניגוד למקומות אחרים, שבהם יש בד"כ שני אמצעי זיהוי, בכל האתרים בארץ כמעט מסתמכים על סיסמא).
בפוסט אני אציג מספר נקודות שרלוונטיות לכולם, משתמשי קצה, בוני אתרים ואנשים שמתעסקים באבטחת מידע. בשל אורכו של הפוסט חילקתי אותו למספר פוסטים. בזה אני אדבר על הבסיס ובהבאים על דרכים ונושאים יותר מתקדמים.
איך לבחור את הסיסמא (או איך להמנע מ Brute Force)
אחת הדרכים שקיימות מבראשית בערך, היא לנחש את הסיסמא. למרות שהשיטה ידועה ואתרים מנסים להתגונן מפניה בדרכים מרובות (כולל מנגנוני Captcha, הגבלת מספר הנסיונות, ונעילה של חשבונות) זה עדיין עובד.
מפעם לפעם מתפרסמות ברשת רשימות של סיסמאות שמתמשים בהן הרבה (כמו כאן) והאקרים פשוט מנחשים בצורה סיסטמטית את הסיסמאות הפופולריות על החשבונות שהם מכירים. מבין מיליוני החשבונות שהם מכירים, הצלחה גם בחלק קטן מאוד תביא להם את מה שהם חיפשו.
השימוש בסיסמא דיפולטית
גם הנושא הזה מוכר, אבל עדיין בהרבה מוצרים שאנחנו משתמשים אנחנו משאירים את הסיסמא שבאה עם המכשיר או התוכנה ולא משנים אותה. מה שמאפשר לגורמים לא מורשים להתחבר בצורה מוצלחת. גם במקרה הזה רצות ברשת הרבה רשימות של סיסמאות מקוריות של תוכנות ומוצרים. עכשיו חשבו אתם, האם שיניתם את כל הסיסמאות? הסיסמא של הראוטר בבית? של הוינדוס?
שחזורי סיסמא
נושא שעלה לכותרות בזמן האחרון, אחרי שככה פרצו את חשבות ה Gmail של עובדי twitter וגנבו מידע מסווג מהחברה. שחזור סיסמא הוא בדרך כלל פרט שאנחנו לא מתייחסים אליו, ונותנים תשובה טיפשית לשאלה ששואלים אותנו את את כתובת המייל שאנחנו לא משתמשים בה תחת ההנחה שאף פעם לא נשכח את הסיסמא ונשתמש במידע הזה שנתנו. מה שקורה באמת הוא שעל ידי כך ניתן לפרוץ את החשבונות שלנו ושירותי הדואר שלנו.
גניבת המסמכים של טוויטר
המקרה שקרה בטוויטר הוא שכל מסמכי החברה היו שמורים ב google docs ורק העובדים היו מורשים לגשת למסמכים. נוהג שקיים בהרבה חברות שרוצות לשמור את המידע שלהן באינטרנט. אחד העובדים שם כתובת hotmail שלו בתור הכתובת לשחזור סיסמא. צעד שגם כן הוא רגיל והרבה מאיתנו היו עושים זאת. הפורץ שרצה לפרוץ לחשבונות המייל של עובדי טוויטר התחיל לעבור עליהם ולנסות לשחזר את הסיסמא של כל אחד מהם. לבסוף הגיע לאותו עובד ששחזור הסיסמא שלו הפנה לכתובת המייל הוט מייל. כשניסה הפורץ לבדוק את החשבון בהוט מייל גילה שאותו חשבון לא קיים (בגלל המדיניות של הוט מייל לסגור חשבונות שלא פעילים) ופשוט פתח אותו. מכאן ההמשך כבר ברור. אותו פורץ פתח את החשבון בהוט מייל וביצע שחזור סיסמא ב Gmail. מה שאיפשר לו לגשת לחשבון ה Google Docs של עובד ה Twitter ולקבל גישה לכל מסמכי החברה שאותו עובד יכל לראות.
התקיפה הזאת היא דוגמא מצוינת לכך שפרט קטן באבטחה (כמו לשים כתובת מייל שלא באמת משתמשים בה) גורם לחשיפה של מידע מסווג של חברה גדולה.
דבר ראשון, אני רוצה לציין שאני ממש נהנה לקרוא כאן.
בעיניין הסיסמאות – הוטמייל ידוע ככשל באבטחה, והשיטה של לפתוח מחדש חשבונות שנסגרו הייתה מאוד נפוצה פעם (ככה הצלחתי להשיג מספרי icq קצרים לפני עידן המסנג'ר). מי שמשתמש היום בשירות הזה פשוט עושה שטות.
אגב, בוואלה הייתה עד לא מזמן אפשרות ל brute force על שאלת איפוס הסיסמה, כך שלא היה צורך ביותר מתאריך הלידה של בעל החשבון כדי לאפס את הסיסמה (כמה ניחושים צריך כדי לענות על השאלה "מה צבע העיניים שלי?").
דבר ראשון, תודה
. פידבק, בעיקר אם הוא חיובי זה תמיד טוב.
בכל שירות דואר, וגם בשירותים אחרים קיימים מנגנונים שמאפשרים לקבל גישה שלא ברשות
בפוסט הזה ובפוסטים הבאים בנושא סיסמאות המטרה היא להראות שבסוף הכל פשוט. השיטות לפריצת חשבונות הם פשוטים ואלה לא אגדות אורבניות שמצליחים לפרוץ ככה.
לכן חשוב גם להכיר את כל השיטות – גם למי שרוצה להשתמש, ובעיקר למי שרוצה להתגונן ולהיות בטוח. אומנם כתבתי כאן על הסיפור עם כתובות נסגרות, אבל ישנם אנשים שכשהם נרשמים בכתובת שחזור סיסמא ישימו some.lie.12345@gmail.com, רק בשביל שזה לא יציק להם. מה שחשוב שכל אחד יבין, הוא שכזה דבר חושף אותו לזה שיוכלו לאפס לו את הסיסמא ולהיכנס לו לחשבון.
בוריס
אתה כותב פוסטים בקצב מהיר, תמשיך כך
בשורה האחרונה בפוסט, תחליף את "גורם לחשיבה" ב-"גורם לחשיפה".
ושוב תודה רבה על הפוסטים, אחלה בלוג!
אכן המדיניות של מיקרוסופט עם הוטמייל היא חור אבטחה ענקי.
מתי פוסט אורח, מתי?
אתה יותר ממוזמן לכתוב פוסט אורח
[...] מהבלוג "פורסים את הרשת" כותב על סיסמאות ואיך פורצים אותן ומתחיל סדרה של פוסטים בנושא. לדעתו, סיסמאות, בעיקר [...]