Как можно украсть все ваши пароли

Залочиваете ли вы компьютер всегда, когда отходите от него хотя бы на минуту? На работе и даже дома?
Если нет, то эта статья для вас.
Попробую убедить вас, что это надо обязательно делать.

Когда я начал работать в F-Secure, то первое, чему меня научили - это залочивать компьютер всегда (Ctrl+Alt+Del и Enter или просто Win+L). Даже если отходишь в туалет на минуту. Если допускаешь кого-то к своему компьютеру, то сиди рядом и не отходи. И никогда не используй учетную запись без пароля.
Почему? Потому что любой человек, который физически может получить доступ к незалоченному компьютеру, может узнать все ваши пароли и сделать много других неприятных вещей.


Для смеха рассказывали историю про одного менеджера, который пришел в компанию и всё время забывал залочивать компьютер. Тогда однажды президент компании, проходя мимо незалоченного компьютера, сел за него и написал сам себе ругательное письмо от лица этого менеджера с просьбой уволить по собственному желанию и нажал "послать". А потом пришел к себе и ответил в стиле WTF. Конечно, в итоге посмеялись и разобрались, но подумайте, что могут сделать ваши недоброжелатели в таком случае.
Гораздо печальнее ситуация с вашими сохраненными супер секретными паролями.

Уверен, что 99% людей нажимают хотя бы иногда "Сохранить пароль" в окошке браузера, когда залогиниваются куда-то - уж больно удобна эта возможность автологина. А каковы последствия такого решения?
Надо понимать, что браузеру нужно где-то хранить этот сохраненный пароль и уметь его оттуда доставать. А если что-то где-то хранится, то это можно оттуда прочитать. Про это есть хорошая статья Механизмы управления паролями в IE и Firefox - кто интересуется деталями, может узнать их там.

Вкратце: IE и Firefox хранят пароли в закодированном виде. Теоретически, алгоритм кодирования достаточно силен и раскодировать эти пароли невозможно. Практически же, человек, получивший прямой доступ к компьютеру может узнать ВСЕ ваши пароли всего за несколько секунд. Оглянитесь на работе вокруг и подумайте - уверены ли вы, что никто из присутствующих не захочет получить ваши логины и пароли ко всем сайтам, к ICQ, к почте и т.д.? Ведь это так просто сделать!
В Firefox это можно сделать прямо из меню: Tools\Options\Security\Saved passwords\Show passwords - вы увидите все логины и пароли для всех сайтов, где вы выбрали "Сохранить пароль".

В комментариях рассказали историю про одного мужа, который так узнал пароль и потом подсмотрел в личную почту жены и узнал про её любовника - кстати, своего друга. Это очень просто сделать, имея один общий домашний компьютер - не думайте, что вы защищены от этого.
Для того, чтобы достать пароли из IE нужна одна из специальных программ, но скачать и установить ее - это тоже дело нескольких секунд.

Очень важно понять и запомнить, что если злоумышленник или просто интересующийся человек получил доступ к компьютеру, куда вы залогинены и вас рядом нет - он может получить за несколько секунд все ваши логины и пароли.

А на самом деле все еще проще - обычно люди используют всего один или несколько паролей для всех сайтов, ICQ, Skype и т.д. и достаточно подсмотреть этот один или два пароля и иметь полный контроль над онлайновой жизнью этого человека. Не надо даже переписывать пароли - просто запомнить парочку первых из списка.
Кстати, всё вышесказанное относится и к другим программам, которым нужно логиниться на сервер, например почтовым клиентам (Outlook, The bat, Thunderbird). Пароли из них можно также легко получить, если есть доступ к компьютеру, куда вы залогинены.

Можно ли с этим бороться?

Можно никогда не сохранять пароли и не использовать автологин. Но это жутко неудобно, особенно для тех, кто часто проверяет почту, заходит в ЖЖ, вконтакт, одноклассников и т.д.

Самый надежный и простой способ борьбы с этим - это всегда лочить компьютер. Это предельно просто - надо всего лишь выработать автоматический рефлекс всегда нажимать Ctrl+Alt+Del и Enter, когда отходишь от компьютера. Это не поможет, если ваш админ решит подсмотреть ваши пароли, но спасет от всех остальных сотрудников. От происков админа спасет только один совет - никогда не логиниться никуда на работе, но это же невозможно.

И, естественно, никогда нельзя использовать сохранение пароля в интернет-кафе или компьютерных клубах. А лучше вообще туда не ходить. То же самое относится и к пользованию интернетом в гостях - если вы сохранили пароль на компьютере друга, то будьте уверены, что он его сможет легко узнать. Не ссорьтесь с ним после этого.

Запомните:
Или вы лочите компьютер всегда, или можете написать все свои логины и пароли на бумажке и приклеить ее на монитор - это тоже самое, что оставить компьютер незалоченным.

Оригинал и комментарии

 Понравилась статья? Подпишись на RSS!

2 комментариев к Как можно украсть все ваши пароли

  • Алексей

    Имхо достаточно использовать адекватные с точки зрения безопасности продукты, например konqueror+kwalletmanager с небольшим таймаутом перед закрытием и шифровать секретные части ключей доступа, где это возможно, например, в sftp.

  • NULL

    Лочить гораздо проще - WIN+L

Ответить

 

 

 

Вы можете использовать эти HTML тэги

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>