Одноразовые коды - это пароли, которые срабатывают только один раз. К
ним иногда прибегают, создавая временную копию для гостей, чтобы проде-
монстрировать потенциальным клиентам возможности системы. Они также по-
рой применяются при первом вхождении пользователя в систему. Во время
первого сеанса пользователь вводит свой собственный пароль и в дальней-
шем входит в систему лишь через него. Одноразовые коды могут также при-
меняться в системе, когда действительный пользователь входит в нее в
первый раз; затем пользователю следует поменять свой пароль на более
секретный персональный код. В случаях, когда системой пользуется группа
людей, но при этом нельзя нарушать секретность, прибегают к списку одно-
разовых кодов. Тот или иной пользователь вводит код, соотвествуюший вре-
мени, дате или дню недели. Может быть, вам повезет и вы найдете такой
список в одном из своих походов за мусором. Коды, конечно, вам уже не
пригодятся, но зато вы уразумеете принцип зашиты данной системы.
пороли, устанавливаемые пользователем
Большинство паролей относятся к типу "выбери сам". Большинство совре-
менных программ запрашивают не слишком короткий пароль, чтобы систему
было "труднее взломать". Обычно пароль содержит не менее четырех-пяти
букв. Существуют также и другие меры, призванные не позволить пользова-
телю создать неудачный пароль. Например, система может настаивать на
том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с
цифрами; заведомо очевидные пароли, например, "компьютер", ею отвергают-
ся. В разных операционных системах существует немало программ, которые
просматривают файлы, содержащие пароли, анализируют пароли пользователей
и определяют, насколько они секретны. Неподходящие пароли заменяются.
Вам необходимо досконально познакомиться с такими программами. Тогда вы
будете иметь представление о том, какая из этих программ используется в
избранной вами системе, и какие пароли данная программа не пропускает.
Не считая гениев и безнадежных тупиц, все люди, когда надо принимать
быстрые решения, мыслят и действуют примерно одинаково. Людям требуется
время, чтобы начать мыслить творчески. Начальные предположения и первые
умозаключения в определенных группах людей оказываются одинаковыми. Ког-
да человек впервые загружает компьютер, и тот запрашивает у него пароль,
этот пароль окажется вариантом одной из общих и актуальных для всех тем
- особенно если у пользователя не хватает времени или он находится в
незнакомом месте. Представьте себе состояние человека, когда его просят
придумать собственный секретный пароль. Возможно, каждая минута промед-
ления оборачивается все новыми центами и долларами, либо его окружает
группа технических работников, которые обучают этого человека работе с
системой. Как бы то ни было, стоит запросу появиться на экране, и чело-
века посещает мысль о том, что надо немедленно что-то предпринимать. Лю-
ди выдают первое, что приходит им в голову. А в голову приходит то, что
они видят или слышат в данный момент, либо то, что собираются сделать
сразу же после загрузки. Пароли создаются впопыхах, а последующая замена
такого пароля на более надежный происходит достаточно редко. Таким обра-
зом, многие пароли извлекаются из мыслей, которые плавают на поверхности
сознания - мыслей о работе, семье, возможных событиях, имуществе, обору-
довании, увлечениях и интересах. Если вам удастся угадать или узнать од-
ну из подобных характеристик полноправного системного пользователя, ве-
роятность того, что вы угадаете верный пароль, значительно возрастет.
Возьмите каталоги компаний, занимающихся изготовлением наклеек-посте-
ров, юмористических фотографий и прочей ерунды, которой пестрят стены
офисов. Сколько раз вам уже приходилось видеть растиражированную фразу
"Вам необязательно быть кретином, чтобы работать здесь... Но стать им не
помешает!". Могу дать гарантию, что словечко "кретин" с этого плаката
используется в качестве пароля ежедневно.
Не забывайте также о возрасте и образе жизни среднестатистического
пользователя, под которого вы собираетесь маскироваться, чтобы войти и
совершить взлом. В офисе какой-либо солидной корпорации, скорее всего,
не приклеят постер с обнаженной натурой, но вот в студенческом городке
это вполне возможно - там стоит опробовать пароли типа "playmate",
"victoria", "body" или "month".
Самый простой способ раздобыть пароль - самому войти в систему в ка-
честве пользователя, или подсказать пароль пользователю, входящему в
систему впервые. Можно разыграть перед новичком роль компьютерного гуру
- рассказать ему об основах этого дела, обойдя молчанием аспект секрет-
ности, и постараться узнать их пароль при вводе. Новичок либо громко
скажет вслух только что придуманный пароль, или же вы увидите, как заго-
рятся его глаза при виде настенного календаря с заголовком: "surfboard".
(Порой они говорят: "Господи, какой бы пароль посекретнее придумать? О,
знаю...", и вслух сообщают вам свой пароль, набирая его на клавиатуре.)
Вышесказанное - приятная случайность. Обычно, особенно если к вашему
появлению пароль уже введен, приходится изрядно повозиться, прибегая к
методам тупого перебора, наблюдениям, социальному либо техническому ме-
тодам узнавания пароля.
Пароли в большинстве своем являются литературными словами типа
"subway", "chocolate" и т. п. В самом деле, можете ли вы представить се-
бе новичка, сидящего за компьютером и старательно вводящего в качестве
пароля нечто вроде "fMm6Pe"? Ну, конечно же, нет! Правила правописания
для паролей не применяются: при создании паролей разрешается использо-
вать имена собственные, равно как и слова с орфографическими ошибками,
аббревиатуры, бессмыслицы и иностранные термины. Так, любитель посмот-
реть по телевизору Star Trek может создать пароль "enterprize" вместо
корректного "Enterprise". Возможно, он (или она) не знаком с правописа-
нием, а может, ему так просто больше нравится, - неважно. Важно, чтобы
вы знали: слова с ошибками - полноправные обитатели мира паролей. Можно
найти букву "k" на месте "с" - "koka kola", "х" вместо "ks" в "thanx" и
другие фонетические заменители.
Некоторые хакеры просматривают каждое слово в английском языке, пока
не найдут что-нибудь, работающее в качестве пароля. Если пароль, который
они ищут, действительно обычное слово, но неправильно написанное, можно
потерять кучу времени. Поиск паролей с помощью одной лишь тупого перебо-
ра слов, со словарем, нередко превращается в безрадостное и бесполезное
занятие. Многие слова часто встречаются среди паролей. В то же время
иные слова почти никогда не используются в качестве паролей. Разве най-
дется человек, способный ввести в качестве пароля наречие? Такие слова
следует опробовать в последнюю очередь. Пароли, как правило, относятся
либо к существительным, либо к глаголам (обычно общеупотребительным), а
иногда - к прилагательным. Среди паролей популярны имена и прозвища дру-
зей и подружек; вы узнаете их, проведя предварительные исследования.
Кроме литературных слов попадаются также имена родственников, домаш-
них животных, названия улиц, спортивных команд и продуктов питания; важ-
ные даты и номера, такие, как номера страховок, дни рождения и другие
памятные даты и т. д.
Встречаются также бессмысленные наборы знаков клавиатуры,
("jkjkjkjk", "7u7u7u", "QWER", "ccccccc", "0987654321", "asdfgh" или
"AZSXDC".) Такие пароли обычно представляют собой простые наборы повто-
ряющихся или расположенных рядом символов клавиатуры и т. п. Иногда ка-
жется, что клавиатурные пароли совершенно невозможно разгадать, и в то
же время в них присутствует своя логика - если знаешь, что происходит на
другом конце телефонной линии. Например, сочетание "05AF" может пока-
заться странным для выдуманного второпях пароля, но если вам известно,
что данный компьютер снабжен специальной шестнадцатеричной малой клавиа-
турой, все сразу становится ясно.
Малая шестнадцатеричная клавиатура используется некоторыми програм-
мистами для ускорения ввода символов в шестнадцатеричном коде. Эта кла-
виатура - хорошая иллюстрация к принципу, которым пользуются находчивые
хакеры: то, что вы видите на вашей стороне линии, может отличаться от
того, что происходит на той.
Вот несколько реальных системных паролей, с которыми я сталкивался:
"abcdf", "qwerty", "12345", "хххххх", "ороророрр".Если минимальная длина
пароля должна составлять шесть символов, не думайте, что клавиатурные
пароли намного превысят эту длину. С другой стороны, нельзя же опробо-
вать все сочетания клавиш: их бесконечно много. Но в любом случае отга-
дывание клавиатурных паролей скрасит вам часы отдыха.
ПОИСК ВОЗМОЖНОГО ПАРОЛЯ
Одним из пособий, которыми я пользовался при написании этой книги,
являлось неофициальное руководство по популярному платному информацион-
ному сервису. На протяжении всей книги автор постоянно упоминала о своей
любимой кошечке, о своей любви к мягким филадельфийским "pretzels", о
своей любимой футбольной команде, о своем муже, детях и недавно проснув-
шемся интересе к компьютерам. Подобные ссылки на ее личные пристрастия
появлялись не только в тексте книги, они присутствовали даже в иллюстра-
циях к действию команды "Find", в примерах сообщений и писем.
Имя автора, разумеется, я знал. Я знал также, что она входит в число
пользователей одной системы, и знал, каков ее образ жизни. Вычислить ее
системный код оказалось невероятно просто, а перебрав десятка два паро-
лей я смог войти в систему, маскируясь под нее. После этого она, по мое-
му совету, изменила свой пароль.
И этот пример вовсе не исключение! Мы с вами ежедневно читаем газет-
ные статьи, журналы и книги, в которых авторы сообщают читателям свои
компьютерные адреса, чтобы читатели могли им написать.
Вчера я слушал радиопередачу, в которой ведущий выдал свой адрес в
CompuServe всем радиослушателям, которым не удалось дозвониться ему на
радио! Мы имеем достаточно информации о многих из этих авторов, чтобы
наши догадки насчет их паролей были обоснованы. Даже в случаях, когда
автор книги не распространяется насчет своей личной жизни, об этом обыч-
но можно узнать, прочитав статью "Об авторе".
Большую часть компьютерных книг пишут профессора колледжей; нетрудно
узнать, в каком колледже они преподают, и у вас появится ниточка, веду-
щая к паролю.
Если в приведенных примерах программ попадается бейсбольный жаргон,
это также может послужить вам подсказкой.
Я хочу, чтобы вы имели в виду - все вышесказанное приведено здесь
исключительно в информативных целях. Эти заметки сделаны лишь для того,
чтобы указать на некоторые очевидные недостатки существующей компьютер-
ной безопасности. И выбросите из головы любые глупые идеи насчет взлома
моих паролей!
Еще одна хитрость - просмотр выпусков "Кто есть кто". Чуть ли не все
промышленные отрасли ежегодно издают альманахи "Кто есть кто".
Большинство этих изданий выпускаются просто в угоду тщеславию:
люди тратят свои деньги, чтобы о них что-то напечатали. Эти альманахи
содержат немало полезных данных. Если этого вам недостаточно, напечатай-
те свой собственный псевдоофиииальный образец анкеты "Кто есть кто" и
пошлите по электронной почте нужным вам сотрудникам компании. Проверьте,
соответствует ли форма анкеты той, что принята у них в компании; пообе-
щайте, что данные сотрудники будут включены в книгу бесплатно и также
бесплатно получат по одной копии книги. Это повысит вероятность того,
что их анкеты будут заполнены, а вы получите ценную информацию, которая
поможет вам вычислить их пароли.
Вот еще одна уловка - обзавестись друзьями из числа сотрудников ком-
пании. Позвоните в их офис и потолкуйте с секретаршей или с каким-либо
