Восстановление пароля – хакеры, welcome! / Positive Technologies corporate blog / Habr
Каждый из нас хотя бы раз в жизни сталкивался с ситуацией, когда пароль от почты забыт, а посмотреть письма нужно. Тут нам на помощь приходит процедура восстановления пароля, которую заботливые сервисы разработали специально для подобных случаев. Именно эта процедура вызывает больше всего вопросов с точки зрения безопасности. Как выяснилось, не зря.
Наш исследовательский центр Positive Research посмотрел, насколько легко можно получить несанкционированный доступ к аккаунтам пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекс. Причем не путем технических атак, а только с помощью социальной инженерии.
Википедия описывает социальную инженерию как метод управления людьми без использования технических средств. В нашем случае это способ получения несанкционированного доступа к личной информации человека, опять же, без использования каких-либо специальных знаний или инструментов.
Безусловно, всегда можно отправить фишинговое письмо и заставить пользователя перейти на сайт, где он засветит свои логин и пароль, или подкинуть трояна и ждать. Способов существует много. Но нам было интересно другое. Мы хотели проверить, насколько реально получить доступ к аккаунту пользователя, используя только общедоступную информацию, которую можно найти в интернете. Без взаимодействия с пользователем. Без технических изысков. Без уязвимостей «нулевого дня».
Назад в будущее. «Вконтакте», Google, Mail.Ru
Нам удалось получить доступ к аккаунтам всех этих сервисов.
В случае с «Вконтакте» и Google выяснилось, что, обладая определенной информацией о пользователе (контакты, фотография, секретный вопрос), можно без труда получить доступ к его аккаунту.
«Вконтакте» уделяют достаточно большое внимание обеспечению безопасности пользователей и придумали свой метод восстановления пароля. Вам даже предложат сфотографироваться на фоне страницы процедуры восстановления пароля с предварительной загрузкой скана документа, удостоверяющего личность. Все бы ничего, но «Вконтакте» используют самое слабое звено для проверки – человека. За что и поплатились – в результате ряда манипуляций с формой восстановления пароля и контактными данными и переписки со службой поддержки доступ к странице пользователя был получен менее чем за сутки.
Google – примерно та же ситуация. Пароль восстановили довольно легко. Причем после получения доступа к аккаунту Gmail.com в нашем распоряжении оказываются все сервисы, с которыми работает пользователь – от Youtube до Picasa. Например, процедура восстановления пароля была запущена в тот момент, когда владелец учетной записи продолжал работать с сервисами Google: общался через GoogleTalk, загружал файлы с Android Market. Сервисы перестали работать внезапно, без каких-либо предупреждений со стороны Google. Причем подобную атаку не смогла остановить даже двухфакторная авторизация с привязкой к мобильному телефону.
С Mail.Ru ситуация сложнее. Этот сервис также доброжелательно относится к своим пользователям и идет навстречу им во многих вопросах. С одной стороны, это не может не радовать, с другой – предоставляет отличные возможности хакерам. Здесь общедоступной информации оказалось недостаточно. Тем не менее, после виртуального общения непосредственно с жертвой, которая любезно предоставила нам все нужные данные, доступ к аккаунту был получен без особых проблем.
Вперед в будущее. Facebook
Социальная сеть Facebook продемонстрировала наиболее взвешенный подход, который сочетает заботу об удобстве и безопасности пользователя. Схема защиты не совсем стандартная – привязка к e-mail, привязка к телефону и возможность пользоваться друзьями для восстановления доступа к странице. Причем друзьями должны быть люди, которых вы знаете не 1 и не 2 дня – мы не смогли попасть в список доверенных лиц пользователя даже за две недели активности. В том же случае, если у вас больше нет доступа к почте и секретному вопросу, Facebook сообщает, что ничего поделать не может. И советует зарегистрироваться заново.
Отдельно хотелось бы выделить Яндекс. Это замечательный пример того, как не стоит закручивать гайки. Нам не удалось получить доступ к аккаунту пользователя из-за слишком суровых требований к процедуре восстановления пароля. Например, увели у вас почтовый ящик с Яндекс.Деньгами. Телефон вы не привязали. Секретный пароль не вспомнили. Служба поддержки требует паспорт. Все пропало. И Яндекс.Деньги, и Яндекс.Почта.
Итак, какие можно сделать выводы:
• функция восстановления пароля – слабое место в системе защиты пользователя массовых онлайн-сервисов;
• на первый план для интернет-ресурсов выходит необходимость соблюсти баланс между удобством сервиса для пользователей и его безопасностью;
• пользователи довольно легкомысленно относятся к правилам безопасности и собственным данным, тем самым поневоле оказывая помощь злоумышленникам.
Таким образом:
| ВКонтакте | Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки |
| Получен доступ | Доступ к данным получить несложно, лояльная служба технической поддержки | |
| Mail.Ru | Получен доступ | Доступ к данным получить можно, но только после общения с пользователем |
| Доступ не получен | Доступ к данным получить нельзя, Facebook – молодцы! | |
| Яндекс | Доступ не получен | Доступ к данным получить нельзя, но очень жесткие требования к процедуре восстановления пароля |
Действия по восстановлению паролей касались реальных аккаунтов пользователей «ВКонтакте», Facebook, Google, Mail.Ru и Яндекса. Мы проинформировали владельцев этих учетных записей о целях исследования и получили от них согласие на совершение действий с их аккаунтами. После завершения проекта реквизиты доступа были возвращены владельцам, никаких дополнительных действий с использованием этих данных не осуществлялось. Все интернет-ресурсы, с которыми мы работали, также получили уведомления о найденных уязвимостях и предприняли меры по устранению обнаруженных недочетов.
На этом наши исследования не заканчиваются – Positive Technologies продолжает анализировать безопасность социальных сетей и других популярных интернет-сервисов. Результаты новых исследований мы представим на международном форуме по практической безопасности Positive Hack Days, который пройдет 30-31 мая 2012 года в Москве.
Новости – в нашем блоге!
Восстановление паролей от сайтов в браузере
Многие люди, чтобы каждый раз не вводить пароли для входа в свою электронную почту или на страничку в какой-либо социальной сети, сохраняют их в своём браузере. Это позволяет быстро выполнять вход в различные аккаунты на всевозможных сайтах.
Бывает так, что, со временем, пользователь напрочь забывает свои пароли за ненадобностью. И вот тут-то кроется проблема, поскольку наши пароли закрыты коварными звёздочками. Когда появляется необходимость вспоминать свои пароли, например для просмотра электронной почты с компьютера на работе, мы начинаем судорожно искать заветную бумажку, где записали когда-то свой пароль при регистрации. Или когда собираемся в отпуск в другой город и точно знаем что домашнего компьютера под рукой не будет. Ах, как не хочется терять связь с друзьями в «Фейсбуке» и «Одноклассниках» во время отдыха! Конечно, можно войти практически в любой аккаунт и в нужный момент сменить пароль, используя привязку к номеру мобильно. Однако, не всегда у нас активен мобильный (вернее сим-карта), с которого мы регистрировались. Не всегда этот метод удобен и не всегда возможен. Да и не нужен, поскольку есть способ гораздо быстрее и проще восстановить в памяти пароли, сохранённые в браузере.
И в этом нам поможет чудесная программка под названием WebBrowserPassView. Она умеет извлекать сохранённые Вами пароли из «памяти» всех самых популярных браузеров (Internet Explorer, Mozilla Firefox, Google Chrome и Opera). Яндекс.Браузер — под вопросом, однако, думается, что это также возможно.
ПОПУЛЯРНОЕ: Просмотр паролей, сохранённых в Яндекс.Браузере
Пара слов о том, чего программа НЕ может:
- WebBrowserPssview восстанавливает только те пароли, которые сохранены в браузере (которые обычно уже введены и закрыты звездочками или точками), вводимые пароли, но не сохранённые Вами в памяти компьютера, восстановить этой программой невозможно
- WebBrowserPssview не умеет восстанавливать пароли из других приложений для интернет-общения, например Skype или ICQ;
- пароли для входа в некоторые защищенные сети не сохраняются и восстановить их не возможно. Это относится также к сайтам, доступ к которым осуществляется через https-протокол, например, при входе в «Сбербанк-Онлайн» или учётные записи других банков
Большим плюсом данной утилиты является то, что она бесплатна, не требует установки и максимально проста в использовании. Небольшой минус — WebBrowserPssview имеет англоязычный интерфейс, однако в приведённой ниже инструкции вы увидите, что язык в данном случае особой роли не играет.
Итак, простая инструкция по восстановлению паролей в браузере:
- Скачиваем файл архива с программой по ссылке
- Распаковываем архив на любой носитель. Лучше это сделать в отдельную папку на диске С:\Ваша Папка\
- Открываем папку с программой и запускаем файл WebBrowserPssview.ехе
В окне программы Вы сразу же видите список всех Ваших паролей, которые сохранены в браузере, в виде таблицы:
Таблица содержит следующие сведения:
- значок браузера
- адрес сайта, пароль от которого сохранён
- название браузера
- имя пользователя на сайте (логин)
- пароль для входа
Далее следуют иные сведения, которые также могут быть полезными: надёжность пароля, дата его создания и изменения, имя папки, в которой он хранится.
Вы можете найти нужный Вам пароль от соответствующей страницы и запомнить или записать его. Однако, в программе есть возможность сохранения отдельных строк с паролями или всей таблицы в текстовый файл. Затем этот файл можно распечатать или сохранить себе на флешку. (Сохранять такие сведения на компьютере не рекомендуется в целях безопасности, подробнее об этом здесь).
Чтобы выделить нужные Вам строки с паролями, выберите их левой клавишей мышки, удерживая при этом клавишу Ctrl. Для выделения всего списка воспользуйтесь комбинацией клавиш «Ctrl»+»A».
ЧИТАЙТЕ ТАКЖЕ: полный список горячих клавиш Windows
Для сохранения выделенных записей в текстовый файл нажмите значок дискеты в панели инструментов программы WebBrowserPssview.
В открывшемся окне придумайте и введите название файла и путь к нему.
| Укажите тип вашей проблемы* | |
| Являетесь ли вы создателем аккаунта?* | Укажите ваш ник в игре* |
Да, я являюсь создателем аккаунта. Нет, я не являюсь создателем аккаунта. | Ник введён правильно Ник введён неверно |
| Укажите способы оплаты и платёжные системы* | Перечислите названия населённых пунктов и интернет-провайдеров* |
1. Укажите все способы оплаты, которые вы использовали для покупки кристаллов/премиума. 2. Укажите все номера телефонов, с которых производилась оплата с помощью SMS. 3. Прикрепите скриншоты истории платежей с сайта платёжных систем WebMoney, Яндекс.Деньги и т.д. 4. Прикрепите сканированные чеки платежей, произведённых через терминалы, к подробному описанию в конце заявки. | Опишите все населённые пункты (страна, город и т.д.), из которых вы играли с момента регистрации аккаунта. Перечислите названия интернет-провайдеров, услугами которых вы пользовались с момента регистрации. |
| Укажите ник игрока, который пригласил вас в игру | Укажите регистрационный email |
Вы регистрировались по приглашению другого игрока через баннер или ссылку? Если да, укажите ник пригласившего вас. | Напишите электронную почту, которая была привязана к вашему аккаунту после регистрации. |
| Укажите баны и блокировки аккаунта | |
Если ваш аккаунт был забанен или заблокирован, укажите даты и причины. | |
| Укажите точную дату, когда вы последний раз заходили в игру | Укажите дату регистрации аккаунта* |
Если не помните точную дату входа, введите примерный промежуток в поле ниже. | Если не помните точную дату регистрации, введите примерный промежуток в поле ниже. |
| Укажите ссылку на социальную сеть | Укажите почту для связи* |
Укажите ссылку на профиль ВКонтакте или Фейсбук. | Важно! Проследите, чтобы почтовый адрес был указан правильно. |
| Опишите проблему подробнее* | |
Важно! Чем точнее вы опишете всю информацию, тем быстрее будет рассмотрена ваша заявка. | |
| Подтвердите, что вы не робот* | Приложите скриншоты |
Можно загружать jpg, png и gif-файлы. | |
Если вы забыли мастер-пароль или не можете разблокировать 1Password
Что делать, если возникли трудности с разблокировкой 1Password, утерян Мастер-пароль или пароль не подходит.Пароль, который используется для разблокировки 1Password называется мастер-паролем. Мастер-пароль также используется для входа на сайт 1Password.com, если у вас есть аккаунт 1Password.
Если вы забыли мастер-пароль, попробуйте восстановить его с помощью шагов, указанных ниже. Как только приложение 1Password будет разблокировано, вы сможете изменить свой мастер-пароль.
Если вы думаете, что помните свой мастер-пароль
Если вы уверены, что знаете мастер-пароль, но он не принимается приложением 1Password, попробуйте выполнить следующие простые шаги:
- Убедитесь, что вы правильно набираете символы в верхнем и нижнем регистрах. При включенном Caps Lock, поле для ввода мастер-пароля показывает символ Caps Lock ⇪.
- Попробуйте ввести мастер-пароль несколько раз. После трёх неудачных попыток вы увидите подсказку, если она была задана ранее.
- Попробуйте использовать старые пароли. Если вам удастся разблокировать приложение при помощи старого пароля, вы можете затем изменить мастер-пароль.
- Попробуйте ввести свой пароль в другом приложении, например, в любом текстовом редакторе, и убедитесь, что вы всё вводите верно. Затем скопируйте и вставьте его в 1Password.
- Если у вас несколько сейфов или аккаунтов 1Password, то попробуйте остальные пароли.
- Если мастер-пароль содержит пробелы, попробуйте набрать его с пробелами и без них.
- Если мастер-пароль содержит акцентированные или специальные символы, попробуйте набрать его с ними и без них.
Если у вас в системе используется несколько языков, убедитесь, что во время набора мастер-пароля включена верная раскладка клавиатуры.
Если вы не знаете мастер-пароль или он не принимается
Для вашей безопасности мастер-пароль:
- никогда не передается через интернет;
- никогда не записывается локально;
- никогда не доступен нам в компании AgileBits;
- известен только вам;
- это единственный способ расшифровать ваши данные.
Это гарантирует, что ваши данные надёжно защищены от злоумышленников. Но это также означает, что мы не можем сбросить ваш мастер-пароль. Тем не менее, вы можете попробовать восстановить его самостоятельно.
Восстановить, используя другое устройство
Если 1Password используется на нескольких устройствах, проверьте, работает ли мастер-пароль на них. (Если у вас есть аккаунт 1Password, не забудьте попробовать зайти в него на сайте 1Password.com.)
Если ваш мастер-пароль работает везде, кроме одного устройства, то вы можете начать заново на устройстве, где пароль не подходит, и затем синхронизировать данные с другими устройствами.
Восстановить, используя ваш семейный или командный аккаунт
Если вы являетесь частью семейной или командной подписки, другой член аккаунта может восстановить ваш аккаунт. Это позволит вам выбрать новый мастер-пароль.
Восстановить, используя Touch ID
Если 1Password используется на iPhone, попробуйте использовать Touch ID для разблокировки. Если при открытии 1Password вам не предлагается использовать Touch ID, нажмите на кнопку отпечатка пальца ниже поля мастер-пароля.
Восстановить из резервной копии
На Mac или Windows ПК 1Password создает резервные копии каждый день. Попробуйте восстановить резервную копию с того дня, когда мастер-пароль работал. Всё, что было добавлено после создания этой резервной копии будет потеряно.
Если вы всё еще не можете разблокировать 1Password
Если вы попробовали все вышеописанные шаги или уверены, что не сможете вспомнить свой мастер-пароль, вам будет необходимо удалить свои данные в 1Password и начать заново.