Представим, что злоумышленник получил доступ к вашей электронной почте.  Это может произойти из-за фишинга, уязвимости на сайте или утечки данных.  Он использует  простую, но эффективную технику – подбор пароля с помощью словаря и брутфорса.

Злоумышленник знает, что вы используете один и тот же пароль для нескольких сервисов.  Он ищет информацию о вас в социальных сетях, на форумах.  Цель – найти подсказки к вашему паролю:  дата рождения, имя домашнего питомца, имя любимого писателя.

Он использует специализированный софт, который генерирует комбинации, используя найденную информацию.  Например,  "Petrov1985", "Zenit2023", "Masha123".  Если пароль простой, он будет найден за секунды.

_Хеширование – это одностороннее преобразование пароля в длинную строку нечитаемых  симв_олов (хеш). 

При входе в систему, введенный пароль хешируется, и полученный хеш сравнивается с хранящимся в базе данных.  Это предотвращает хранение паролей в открытом виде.  Даже при утечке базы данных, злоумышленник не сможет получить доступ к паролям. 

Радужные таблицы – это предварительно вычисленные хеши для миллионов распространенных паролей.  Злоумышленник сравнивает хеш из базы данных с хешами в таблице, чтобы найти соответствующий пароль.  Современные алгоритмы хеширования  делают создание эффективных радужных таблиц практически невозможным из-за высокой вычислительной сложности и использования соли (случайной строки, добавляемой к паролю перед хешированием)

Многие системы блокируют учетную запись после нескольких неудачных попыток входа.  Злоумышленники используют различные методы обхода:

Используют программы, которые перебирают распространенные пароли и комбинации.  Если пароль простой, он будет найден быстро, даже при блокировке.

Перебирают все возможные комбинации символов.  Это медленный процесс, но эффективен против сложных паролей.  Однако,  блокировка учетной записи существенно замедляет этот процесс.

Анализируют время ответа системы на попытки входа.  По времени ответа можно определить, правильный ли символ введен.  Что позволяет постепенно подобрать пароль, избегая блокировки.

Используют сеть компьютеров для одновременного перебора паролей.  Что значительно ускоряет процесс.

Получают пароль от пользователя обманным путем (фишинга, мошенничества). Например, поддельные страницы авторизации (введите пароль) или скаченные из интернета программы. Многие рекламные ссылки (которые отображаются сверху) в поисковиках ведут на сайты злоумышленников.

Включите 2FA везде, где это возможно.  Это добавит дополнительный уровень защиты, даже если пароль будет скомпрометирован.  Google Authenticator, Authy – популярные приложения для 2FA.

Используйте для каждого сервиса уникальный и сложный пароль.  Пароль должен содержать не менее 12 символов, включать заглавные и строчные буквы, цифры и специальные символы.  Парольный менеджер (LastPass, 1Password, KeePass) поможет управлять паролями.

Храните пароли в надежном менеджере паролей.  Не записывайте их на бумаге или в текстовом файле.

Меняйте пароли каждые 3-6 месяцев, особенно для важных аккаунтов. Чем проще и чем чаще вы используете пароль, тем чаще его нужно менять.

Установите и регулярно обновляйте антивирусное ПО и файрвол.

Не переходите по подозрительным ссылкам, не открывайте письма от неизвестных отправителей.  Будьте внимательны к фишинговым атакам.

Проверьте свои пароли на надежность с помощью онлайн-сервиса проверки паролей. Что не исключает, попадание его в еще одну базу данных.