Восстановление пароля

Рейтинг брокеров бинарных опционов за 2020 год:
  • Binarium
    Binarium

    1 место — лучший брокер этого года! Лучший выбор для новичка и средне-опытного трейдера. Куча бонусов и бесплатное обучение торговле!

  • FinMax
    FinMax

    2 место в рейтинге за разнообразие торговых инструментов! Только для опытных трейдеров.

Восстановление пароля – хакеры, welcome!

Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.

Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.

Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.

Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».

Назад в будущее. «Вконтакте», Google, Mail.Ru

Нам удалось получить доступ к аккаунтам всех этих сервисов.
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту.

«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека. За что и поплатились – в результате ряда манипуляций с формой восстановления пароля и контактными данными и переписки со службой поддержки доступ к странице пользователя был получен менее чем за сутки.

Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.

С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам. Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем.

Вперед в будущее. Facebook

Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново.

Рейтинг брокеров бинарных опционов с русским языком платформы:
  • Binarium
    Binarium

    1 место — лучший брокер этого года! Лучший выбор для новичка и средне-опытного трейдера. Куча бонусов и бесплатное обучение торговле!

  • FinMax
    FinMax

    2 место в рейтинге за разнообразие торговых инструментов! Только для опытных трейдеров.

Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки. Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.

Итак, какие можно сделать выводы:

• функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
• на первый план для интернет-ресурсов выходит необходимость соблюсти баланс между удобством сервиса для пользователей и его безопасностью;
• пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.

Таким образом:

ВКонтакте Получен доступ Доступ к данным получить несложно, лояльная служба технической поддержки
Google Получен доступ Доступ к данным получить несложно, лояльная служба технической поддержки
Mail.Ru Получен доступ Доступ к данным получить можно, но только после общения с пользователем
Facebook Доступ не получен Доступ к данным получить нельзя, Facebook – молодцы!
Яндекс Доступ не получен Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля

Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.

На этом наши исследования не заканчиваются – Positive Technologies продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности Positive Hack Days, который пройдет 30-31 мая 2020 года в Москве.

Забытый пароль идентификатора Apple ID

Выполните действия, описанные ниже, чтобы сбросить пароль и восстановить доступ к своей учетной записи Apple ID.

Сброс пароля

Сначала выполните следующие действия.

  1. Откройте страницу Мой Apple ID и перейдите по ссылке «Сбросить пароль».
  2. Введите свой идентификатор Apple ID и нажмите кнопку «Далее». Если вы не помните его, перейдите по ссылке «Забыли Apple ID?».
  3. После ввода пароля идентификатора Apple ID можно использовать один из трех способов сброса пароля. Выберите один из приведенных ниже.
    • Ответ на контрольные вопросы. Если вы знаете ответы на контрольные вопросы, следуйте этим инструкциям.
    • Аутентификация по e-mail. Вы получите сообщение для сброса пароля по электронной почте.
    • Использование двухэтапной проверки. Если у вас настроена двухэтапная проверка, ее можно использовать для сброса пароля. Вам понадобится ключ восстановления и доверенное устройство.

Ответ на контрольные вопросы

  1. Выберите вариант «Ответ на контрольные вопросы» и нажмите кнопку «Далее».
  2. Укажите свою дату рождения, затем нажмите кнопку «Далее».
  3. Ответьте на контрольные вопросы.
  4. Укажите новый пароль и нажмите кнопку «Сбросить пароль».

Аутентификация по e-mail

  1. Выберите вариант «Аутентификация по e-mail» и нажмите кнопку «Далее». Вы получите сообщение от Apple на дополнительный или основной адрес электронной почты.
  2. Откройте сообщение и перейдите по ссылке, чтобы сбросить пароль.
  3. На открывшейся странице «Мой Apple ID» введите свой новый пароль, а затем нажмите кнопку «Сбросить пароль».

Двухэтапная проверка

  1. Введите ключ восстановления.
  2. Выберите доверенное устройство. На ваше устройство будет отправлен код подтверждения.
  3. Введите код подтверждения.
  4. Укажите новый пароль и нажмите кнопку «Сбросить пароль».

Справка

Если с помощью перечисленных выше действий не удалось сбросить пароль, обратитесь в службу поддержки Apple.

Как восстановить доступ к устройству или аккаунту, если потерял пароль

Введение следует отметить, что рекомендации, приведенные в следующем материале, служат не для отслеживания и перехвата паролей. Мы хотим только подсказать, как восстановить доступ к своей информации, хранящейся на зашифрованном устройстве или аккаунте интернет-сервиса, если вдруг забудете пароль.

Как оказывается, это не так уж и маловероятно. Не один пользователь испытывал проблемы с входом в систему Windows после возвращения из двухнедельного отпуска. Не говоря о распаковке зашифрованных много лет назад архивов ZIP или входе на аккаунт, которым не пользовался много лет.

Неудивительно, что пользователи, которые не используют один и тот же пароль для всех случаев (вполне благоразумно), время от времени вынуждены восстанавливать или сбрасывать пароли.

Пароль – степень защиты, риск взлома и щепотка теории

Безопасность, которую обеспечивают надежные пароли, и связанный с ними риск взлома – это невероятно сложные вопросы. Теория теорией, а большой технический прогресс в последние годы очень существенно повлиял на вероятность захвата конфиденциальных данных, учетных записей в интернет-магазинах или цифровых идентификационных данных пользователей. Длинный и сложный пароль обеспечивает только поверхностную безопасность – в следующей части материала мы расскажем о том, почему.

С одной стороны, вычислительная мощность относительно небольшого компьютерного кластера (группы взаимосвязанных компьютеров для получения высокой производительности), который располагает лишь двумя дюжинами видеокарт, настолько велика, что он может в течение нескольких часов «взломать» пароль, состоящий из восьми символов, через обычный перебор всех возможных комбинаций символов.

Конечно, можно представить контраргумент, что увеличение длины пароля приведёт к росту времени, необходимого для подбора пароля. Хотя это правильное предположение, оно работает только в теории. Злоумышленники некоторое время назад перешли на другие методы взлома паролей. Даже базы ярлыков, известные как массивы символьных вычислений, которые собирают значения хеширования для сокращения времени определения пароля, уходят медленно в прошлое.

Пароль – список кодов доступа

Прежде всего, из-за многочисленных случаев массового взлома аккаунтов в сервисах интернета, которые имели место в последние годы, в настоящее время в открытом доступе имеется огромное количество широко используемых паролей. В результате этих вторжений были украдены данные миллионов клиентов. Некоторые коды доступа хранились в явном виде и были опубликованы в интернете, другие стали предметом финансовых сделок.

Располагая такой базой паролей, достаточно соединить её с многоязычными словарями, чтобы проводить эффективные атаки. Обработку нескольких миллионов слов можно осуществить гораздо быстрее, чем последовательный перебор биллиарда возможных комбинаций символов.

Однако, на этом не конец, потому что список паролей, похищенных злоумышленниками, даёт информацию об используемых шаблонах для создания пароля. Хотя простые решения, такие как password, 1234. или имена детей больше не используются так часто, как раньше, но включение обычных слов и использование шаблонов по-прежнему на повестке дня.

Большой популярностью пользуется, например, метод замены букв по образцу, используемого в сленге Leet speak. Так, например, слово kalkulator превращается в немного более сложное k4lkul470r. Некоторые пользователи дополняют созданные таким образом пароли названием портала или сервиса. Однако, такие пароли не обеспечивают должного уровня безопасности, потому что давно фигурируют в файлах словарей, циркулирующих в интернете.

С другой стороны есть много аппаратных решений, для которых безопасность оставляет желать лучшего. Например, более ранние версии Android блокируют экран только после пяти неудачных попыток ввода кода. Повторить ввод можно уже по истечении 30 секунд. Если автоматизировать этот процесс, то угадывание четырехзначной последовательности цифр займет не больше 17 часов.

По цене 35 евро можно приобрести специальное устройство – USB Rubber Ducky, которое выполнит это задание. Защита исправлена только в последней версии Android (Зефир). Гораздо безопаснее в этом вопросе оказывается iOS и Windows Phone.

Пароль к учетным записям в сервисах онлайн

Выше мы представили некоторое «закулисье» паролей и методов атак на системы безопасности. Методы создания и запоминания надежных паролей мы описывали в отдельной статье. Остается вопрос сброса паролей. Эта операция часто необходима в случае учетных записей в социальных сетях.

В принципе, любой сервис, такой как интернет-магазин, портал, социальная сеть или тематический форум, предоставляет возможность восстановления доступа к учетной записи по адресу электронной почты. Система автоматически отправляет сообщение владельцу счета, которое содержит специальную ссылку. Нажав её, пользователь может задать новый пароль доступа к сервису.

Это показывает, какое огромное значение имеет защита почтового ящика. Если злоумышленнику удастся получить пароль для электронной почты своей жертвы, он сможет использовать функцию сброса пароля, чтобы добраться до всех сайтов, зарегистрированных с данного адреса электронной почты. Поэтому необходимо в определенной степени заботиться о безопасности почтового ящика.

Кроме функции сброса паролей, существует ещё несколько решений для забывчивых. К ним относятся, в частности, генерация кода с помощью приложения или получение пароля в СМС-сообщении. Google и другие крупные порталы позволяют даже использовать такие методы защиты, как двухэтапная аутентификация. Также существует система сброса паролей через правильный ответ на «секретный» вопрос. На такая защита мало чего стоит, так как злоумышленники могут получить ответ путём социальной инженерии (social engineering).

Доступ к компьютеру Windows

Не впадайте в панику, если вдруг забудете пароль к учетной записи в Windows. Получить доступ к системе можно без использования инструментов для взлома паролей. Вся операция несколько рискованная, но занимает всего от несколько десятков минут. Работает даже в Windows 10.

Восстановление доступа к Windows без установочного диска

Когда появится экран входа в систему, выключите компьютер, нажав выключатель на задней панели корпуса или вытащив вилку из розетки.

Внимание! Редакция не несет ответственности за возможные повреждения компьютера. Хотя такое случается редко.

Вместо кнопки Запуск Windows в обычном режиме выберите пункт Запуск средства восстановления при загрузке (рекомендуется). Подождите, пока система разберется с загрузкой данных. Windows спросит, хотите ли вы восстановить систему с помощью функции восстановления. Нажмите кнопку Отмена . Система начнет действия по их устранению. Через несколько минут в нижней части экрана появится поле списка Показать подробности проблемы. Разверните его и прокрутите до самого низа.

Нажмите на ссылку X:/windows/system32/ru-RU/erofflps.txt, чтобы открыть текстовый редактор. В окне редактора выберите меню ФайлОткрыть и перейти в каталог /windows/system32 на системном разделе C:

В правом нижнем углу есть выпадающий список с выбранным по умолчанию вариантом Текстовые документы (*.txt). Выберите в нём пункт Все файлы (*.*). Выберите файл Utilman.exe, щелкните его правой кнопкой мыши и выберите пункт переименовать. Временно измените имя файла, например, на Utilman1.exe. Аналогичным образом замените имя файла Cmd.exe на Utilman.exe. Нажмите кнопку Отмена , после чего закройте окно редактора и инструменты восстановления системы.

После того как вы подтвердите действия кнопкой Закрыть , произойдет перезапуск системы. На экране появится экран входа в систему. Нажмите тогда значок Специальные возможности в правом нижнем углу. Появится окно командной строки. Введите net user [name_user] *, заменив переменную [name_user] собственным именем.

Система попросит вас ввести и повторить новый пароль. Нажмите клавишу Enter . Закройте окно текстовой консоли. Теперь вы можете войти в систему без ввода пароля. Помните, однако, что для учетной записи надо присвоить новый пароль.

Пароль – доступ для мобильных устройств

Когда вы потеряете доступ к учетной записи в мобильном устройстве, совсем не обязательно его сбрасывать, теряя все данные. Имея доступ к учетной записи Google, вы можете воспользоваться приложением для разблокировки экрана блокировки – так, как это возможно в случае других приложений.

Бесплатное приложение для смартфонов с Android это [Free] Screen UnLock/Lock. Кроме того, доступно коммерческое приложение Screen Lock Bypass Pro. Оба приложения очень просты в использовании. Чуть больше усилий требуется для удаления блокировки посредством Android Debug Bridge.

Пользователи заблокированного iPhone имеют в своём распоряжении только методы, предложенные производителем. Кроме них, не существует никаких трюков, которые помогли бы снять блокировку экрана. Но, по крайней мере, Вы можете восстановить устройство из ранее созданной резервной копии на iTunes, так что вам не придется настраивать всё заново, как это имеет место при использовании безопасного режима.

Смартфоны с Windows Phone можно сбрасывать удалено и и даже удалять их содержимое. Кроме того, вы можете получить подобный эффект, нажимая определенную последовательность клавиш. Так или иначе, вам придётся смириться с потерей всех данных в памяти смартфона.

Платформы бинарных опционов, дающие бонусы за регистрацию:
  • Binarium
    Binarium

    1 место — лучший брокер этого года! Лучший выбор для новичка и средне-опытного трейдера. Куча бонусов и бесплатное обучение торговле!

  • FinMax
    FinMax

    2 место в рейтинге за разнообразие торговых инструментов! Только для опытных трейдеров.

Добавить комментарий