В поисках правильного пароля

Олег Татарников

Одним из важных аспектов компьютерной безопасности является сохранность паролей для различных учетных записей, архивов, доступа в Интернет, электронной почты, ICQ, различных web-сервисов, требующих авторизации, для доступа к файлам (Excel, Word, Rar, Zip), а также сохранность всяческих пин-кодов сотовых телефонов, кредитных карт и электронных платежных систем.

каждого современного человека постепенно накапливается, как правило, довольно много всевозможных паролей, поэтому вполне естественно, что какие-то со временем забываются. Некоторые записывают пароли на бумажке, которую прячут в стол, другие предпочитают хранение в файлах, которые, в свою очередь, защищены паролями. От паролей никуда не деться, поэтому многие образуют их по мнемоническому принципу. Однако необходимость запоминания сложных паролей значительно усложняет пользователю жизнь, а их простая мнемоническая структура облегчает злоумышленникам угадывание паролей и получение доступа к конфиденциальной информации.

My Password Manager

Записывание паролей на бумажку тоже не является защитой от злоумышленников, тем более что многие, несмотря на все предупреждения системных администраторов, оставляют ее на видном месте, а при занесении в простой текстовый файл даже не пытаются, например, переставить буквы в обратном порядке или добавить в определенные позиции пару цифр.

Однако для облегчения работы с паролями существуют специальные программы — менеджеры паролей, такие, например, как Password Commander компании Atis (http://www.pascom.ru/) или My Password Manager (http://www.mypasswordmanager.com). Подобные менеджеры паролей предназначены для хранения, защиты и комфортного использования любой секретной информации, содержащей пароли.

My Password Manager будет хранить ваши пароли, логины, номера кредитных карт и любую другую конфиденциальную информацию в надежно зашифрованном файле. В менеджер паролей встроен генератор, который позволяет создавать новые пароли по заданным критериям. У программы имеется русскоязычный интерфейс.

Password Commander

Password Commander — это отечественная разработка. К тому же эта программа не только хранит пароли, обеспечивая к ним удобный и надежно защищенный доступ, но и автоматически заполняет нужные поля web-страниц, окна Windows-приложений, а также сохраняет любые другие персональные данные для вашей успешной аутентификации.

Кроме того, специализированный менеджер паролей экономит вам время, заполняя в считаные секунды любые формы — нужно просто схватить пароль мышкой, дотащить его до нужного поля и отпустить кнопку мышки. Причем при заполнении поддерживаются и web-формы, и окна обычных программ.

Password Commander способен и сам генерировать пароли, не поддающиеся простому угадыванию. А для лучшей защиты паролей можно использовать плагины, реализующие надежные алгоритмы шифрования.

Password Commander сам генерирует пароли

Отметим, что некоторые вирусные программы — key-логеры — видят те пароли, которые вы вводите с клавиатуры, поэтому в Password Commander предусмотрено введение паролей с виртуальной экранной клавиатуры, чтобы ни одна программа такого класса не получила доступ к вашим данным. Password Commander может экспортировать пароли и другие данные в файлы формата HTML, TXT, CSV или распечатать их. Более того, можно и импортировать данные из файла формата CSV.

Отметим, что такие менеджеры паролей, как правило, можно запускать прямо со сменного носителя, а затем пользоваться находящейся там базой конфиденциальной информации, не переписывая ее на локальный диск компьютера.

В принципе, автозаполнение паролей возможно в любом Интернет-браузере, однако тот же Internet Explorer не является специализированным средством защиты для паролей, причем он настолько распространен, что давно уже служит полигоном для отработки навыков по взлому паролей и авторизаций.

Asterisk Key

Так, существует много программ, которые прощупывают функцию автозаполнения для паролей и другой часто вводимой информации в Internet Explorer. Несмотря на то что вводимый пароль отображается в виде ряда звездочек типа «******», различные производители предлагают программы, которые могут получить пароль из этой строки звездочек. И таких бесплатно распространяемых программ для расшифровки паролей из Windows или скрытых паролей из строк ввода Internet Explorer существует довольно много. Например, весьма распространена программа Asterisk Key от компании Passware (http://www.lostpassword.com/asterisk.htm), которая анализирует скрытые звездочками пароли и сообщает их вам. Причем пользоваться ею может даже ребенок — достаточно выделить строку с паролем и нажать кнопку Recover.

Messenger Key

У той же компании есть бесплатная программа и для взлома паролей ICQ — Messenger Key (http://www.lostpassword.com/messenger.htm).

А уж коммерческие версии подобных программ и вовсе обладают широчайшим набором функций под всевозможные приложения. Так, например, программа Password Recovery Toolbox от того же производителя сканирует систему и определяет сохраненные пароли, сохраненные для автоматического заполнения данные, пароли Outlook Express, пароли для соединения с Интернетом и т.д. Естественно, вся эта информация потом представляется в удобной для пользователя форме. А Passware Kit от компании Passware имеет 25 различных модулей для чтения паролей на все наиболее распространенные продукты. Если продукт отсутствует в Passware Kit, можно воспользоваться Passware Kit Enterprise (http://www.lostpassword.com/kit.htm).

Из бесплатных утилит для просмотра паролей можно отметить еще программу AsterWin от компании NirSoft (http://www.nirsoft.net/utils/asterwin.html). Эта маленькая утилита тоже показывает массу различных паролей (за исключением, возможно, web-форм). Забыли пароль? Не беда! При запущенной AsterWin просто перейдите в окошко с паролем, нажмите Reveal Passwords — и вместо неприветливых звездочек вы увидите желанное слово. Эта простая утилита работает очень надежно и не требует инсталляции.

Rar Password Recovery Key

Но особенно популярными являются программы, помогающие вспомнить пароли к архивам. Например, для подбора паролей к наиболее популярному сегодня архиватору RAR существует более десятка таких программ, среди которых можно назвать Rar Key, точнее Rar Password Recovery Key (http://www.lostpassword.com/rar.htm) и Advanced RAR Password Recovery (http://www.elcomsoft.com/arpr.html).

Программа Rar Key позволяет получить доступ к архиву даже в случае, если пароль вам неизвестен. В своей работе она использует сразу несколько методов, что позволяет ей работать довольно эффективно, хотя и медленно. Причина этого — хорошая криптографическая защита паролей в архивах формата RAR. Впрочем, подбор пароля производится со скоростью 75  млн. попыток в минуту, так что если пароль короткий и не слишком сложный, то ждать придется недолго.

Advanced RAR Password Recovery

Advanced RAR Password Recovery (ARPR) обладает для подбора забытых паролей еще более широкими возможностями. В программе множество настроек: вы можете задавать любую длину пароля, набор символов, которые там могут встречаться, и много других признаков искомого пароля. И если вы действительно забыли пароль к своему архиву, но приблизительно помните, каким он должен быть, то можете воспользоваться возможностью задания собственного набора символов для перебора (русский набор символов тоже поддерживается — программа имеет и английский, и русский интерфейс). Так что вы сможете перебирать пароли не только по маске, но и по словарю.

К тому же в архиваторе RAR применен очень стойкий алгоритм шифрования. По этой причине пароль к архиву не может быть вычислен на основе каких-либо данных файла. Однако пароль можно подобрать прямым перебором либо атакой по словарю. Пароли к Zip-архивам подбирать еще проще (http://www.lostpassword.com/zip.htm).

Кстати, что касается электронной почты, то не советуем пользоваться бесплатными сервисами типа mail.ru, bk.ru, inbox.ru, rambler.ru, list.ru, yandex.ru, tut.by, nm.ru, ukr.net, yahoo.com, hotmail.com и др. Бесплатный сыр, как известно, бывает только в мышеловке. У таких почтовых сервисов (особенно наиболее популярных) хакеры быстро находят ошибки в web-интерфейсе сервиса — этим грешат, как правило, 80% бесплатных почтовых сайтов. Если вы внимательно поищете в Сети, то наверняка найдете массу хакеров, которые за небольшую плату предлагают услуги по определению любых логинов и паролей к почтовым ящикам на бесплатных серверах. Пароль при этом, как правило, не изменяется, так что пользователь почтового ящика и не подозревает, что его переписку отныне скрупулезно перлюстрируют.

Zip Password Recovery Key

Надеемся, что вам не придется прибегать к описанным методам ни для того, чтобы вспомнить свои пароли, ни для подглядывания чужих. Но чтобы такая необходимость не возникала, обращайтесь хотя бы к помощи менеджеров паролей. Они, кстати, помогут вам придумать пароли, которые состоят не только из обычных, легко угадываемых слов, а используют еще и символы в обоих регистрах, цифры и специальные символы. В этом случае взломать ваши пароли будет значительно труднее.

В принципе, если пользоваться специализированной программой подбора пароля, то может пройти от нескольких минут до часов, пока она найдет искомое. А вот в случае сложного пароля программе понадобится даже несколько дней, да и результат будет не всегда положительным.

Использование таких программ — это хороший способ проверки надежности своих паролей. Если вы хотите просто проверить свой пароль, то воспользуйтесь подобной программой и посмотрите, сколько времени займет его подбор.

Некоторые программы из вышеописанных вы найдете на нашем CD-диске.

КомпьютерПресс 3'2006