А самое интересное, это то, что происходит с нашими данными, после того как они вышли из нашей "мегазащищённой системы©" через сетевую карту (или модем) во внешний мир, то бишь к вэб- либо почтовому серверу (или какому-либо ещё). 1. Сеть нашего провайдера (или корпоративная сеть), где для выхода в Интернет мы проходим через ряд сетевых устройств, в том числе различные роутеры, прокси-серверы и т.д. При этом мы почему-то очень доверяем нашим провайдерам, а точнее администраторам, которые следят за работоспособностью всей этой системы и устройств, обеспечивающим нам Интренет, а им - зарплату А ведь существует большое кол-во ПО, позволяющее собирать пересылаемые нами данные через указанные устройства и прокси-сервера, и показывать админам в том виде, как это выглядит у нас на компе или на сервере. В том числе видеть все наши пароли в большинстве случаев передаваемые в открытом (то есть незашифрованном) виде, даже ломать и перебирать ничего не надо. 2. Более того, мы забываем также о наших соседях по сети провайдера и/или корпоративной сети, которые в силу специфики работы самих сетевых технологий с помощью специального ПО могут видеть, что мы передаём и принимаем в сети, в том числе наши пароли. Конечно делается это не так просто, как админам провайдера, но возможно, если есть знания и прямые руки. 3. По ряду причин нам временами приходится пользоваться так называемыми анонимными прокси-серверами, то есть специализированными компьютерами в Интернете, которые позволяют скрывать наш реальный IP-адрес и присваивать другой, полезно когда нас на каком-то ресурсе/сайте заблокировали, но мы с этим несогласны, когда нужно скрыть то, что мы из России или СНГ, буржуи очень настороженно относяться к нам, потому частенько блокируют диапазоны российских адресов, часто приходиться пользоваться такими анонимными серверами для различных покупок через электронные магазины, где тоже любят общаться исключительно с амерами или западноевропейцами, я уже молчу о различной противозаконной, нелегальной деятельности в Интернете. Список таких анонимных проксей в интернете раздобыть довольно просто, но! вы не думали о том, кто эти сервера содержит и главное какая польза владельцам этих ресурсов? Правильно, польза - это ваши конфиденциальные данные, ваши пароли, ваши денежные платежи через различные электронные платёжные системы. За видимую халяву приходится чем-то жертвовать 4. А теперь собственно сами сайты, ресурсы, для захода на которые нам нужны эти самые пароли. Вы думаете их пишут профессиональные программисты? Вы думаете их невозможно взломать? Вы ошибаетесь Взламываются все сайты, важно лишь желание и стимулы взломать. А на взломанных сайтах информация о вашей учётной записи и паролях хранится в базе данных, а также ваши мыла, личная инф-ция, если при регистрации вы её вводили и т.д. Базу данных сливают с взломанного сайта и используют в своих корыстных целях.
Вот так-то, и вы почти ничем и никак не можете этому помешать.
На этом теория заканчивается и дальше будет немного математики и практика.

Добавлено (12.01.2009, 12:33)
---------------------------------------------
Ну собственно в ВУЗе учился я давно и уже всё позабыл, но нам нужно немногое, знание что такое степень числа a с натуральным показателем n и основы комбинаторики. Освежили в памяти? Тогда переходим к паролям.
"Сложность" пароля определяется его человечностью (то есть осмысленностью используемых в качестве пароля слов), длиной и разнородностью используемых в пароле цифр, букв, символов. Чем меньше первого, больше второго и третьего, тем сложнее пароль. Почему первого должно быть меньше, независимо от длины? Потому что все словарные или околословарные комбинации (например слово password и 1password1) уже давно придуманы и добавлены в специальные парольные словари, которые представляют из себя обычные текстовые файлы (нет, не с разрешением DOC, а в формате TXT ) размером от нескольких сотен килобайт (в которых пару тысяч слов) до десятков, а то и сотен мегабайт (в которых сотни тысяч слов) и используются в различных программах с элементами атаки типа "подбор пароля по словарю". Это самый простой вид подбора пароля. Простой - потому что быстрый и надёжный, ибо 95% паролей именно осмысленные, а значит есть в словарях той или иной степени подробности, причём такие словари есть как для английского, так и русского языков (ну и остальных, если это надо и если хорошо покопаться в Инете ). В общем не рекомендую использовать в качестве пароля любые слова, независимо от их длины (в разумных пределах длины, а то можете вызвать и переполнение буфера в системе через форму ввода пароля, но это уже совсем другая история ).
А вот далее нам и понадобится комбинаторика. Второй тип атак на пароли - это "брутфорс" (обычный перебор всех возможных комбинаций). Используется когда не помог перебор по словарям. Суть его в следующем. Скажем у нас пароль - 0, соответственно у нас всего 10 комбинаций, а именно 10 в степени 1, где 10 - кол-во цифр и 1 - длина пароля. Усложним пароль, введём строчную англ. букву "a", и пароль будет 0a, теперь у нас уже 1296 комбинаций, а именно 10 (цифр) + 26 (букв в англ. словаре) = 36 в степени 2. Добавим заглавную букву "A" и увеличим длину до трёх, получим 0aA, при переборе нужно уже подставить 62 в степени 3 = 238328 комбинаций. Вроде цифра большая, вручную можно всю жизнь пытаться "угадать" пароль, но! Но современные персональные компьютеры могут перебирать до нескольких миллионов комбинаций паролей в секунду(!!!). Вообще в сфере информ. безопасности считается надёжным пароль не менее 7 символов (цифры+буквы+спец. символы (типа #, @, * и т.д.)). Соот-но кол-во комбинаций у таких паролей при попытке перебора десятки триллионов (1 с 12 нулями). Если наши аппаратные и программные средства позволяют нам подбирать пароли, допустим со скоростью 1 млн. комбинаций в секунду, то понадобится около года непрерывной работы. 90% информации за это время теряет свою актульность и возможную стоимостную выгоду от её получения. Итак, пароль вида g1K&3f# будет ломаться около года. Например, в любимом нами ВиВе используется случайным образом генерируемый пароль, использующий только заглавные и прописные буквы латинского алфавита и длиной 8 символов, таким образом кол-во возможных комбинаций составляет 52^8>50x10^12, то есть более 50 триллионов (если бы разработчики ВиВа добавили цифры и спец. символы, при прежней длине пароля, то было бы уже 1,5 квадриллиона комбинаций). Указанные примеры показывают, что сложность пароля можно увеличивать, либо используя больше различных символов при длине не менее 7, либо только строчные и заглавные буквы алфавита, но увеличивая длину пароля. При этом можно помимо латиницы использовать и кириллицу, соот-но будет уже 66 в основании степени, но не все ресурсы с ней работают нормально и не всегда может быть возможность их печати (например не установлен русский язык в операционной системе). Можно и сочетать латиницу с кириллицей, но скорее вы сами запутаетесь и "забудете" пароль. Это уже избыточное усложнение.
Это всё хорошо, но есть один важнейший нюанс, 99% людей не могут запомнить такие случайно генерируемые пароли с длиной более 4-5 символов, и вся мощнейшая парольная защита предприятия оказывает в глубокой и тёмной Ж, когда пользователи начинают писать свои пароли на мониторах/клавиатурах/липких бумажках/в текстовых файлах и т.д. Собственно потому и появились альтернативные аппаратные, в том числе биометрические системы, заменяющие или дополняющие пароли.

Добавлено (12.01.2009, 13:35)
---------------------------------------------
Если к подбору пароля подходить серьёзно, то для ускорения брутфорса применяются различные дополнительные методики, например так называемая "случайная генерация пароля" в большинстве случаев, операционных системах, защитных механизмах на самом деле является псевдослучайной, и за основу генерации берутся системные часы, или там серийный номер процессора, МАК-адрес сетевой платы и т.д., соот-но при должном анализе таких механизмов генерации брутфорс проходит в сотни, а то и тысячи раз быстрее. Далее, есть такое понятие как "распределённые вычислительные системы", когда выполнение одной задачи с помощью специализированного ПО выполняется многими процессорами/компьютерами. При таком подходе скорость перебора паролей так же увеличивается многократно. Кстати, так называемые "зомби-сети" или ботнеты (персональные компьютеры и сервера, имеющие выход в Интернет, заражённые специальными троянами, предоставляющими удалённый контроль над заражённой системой владельцам трояна) являются разновидностью распределённых систем. Я думаю не нужно продолжать, зачем пишут вирусы и заражают компы
А теперь мои советы. Во-первых, сложные пароли нужны не везде. Если мы говорим об Интернете, то нужно разделять ресурсы по критерию "полезности" для себя. А именно, как сильно скажется утрата доступа к каком-либо ресурсу, в случае если пароль станет известен не только нам. Это могут быть и финансовые потери (например, утрата доступа к различным Интернет-кошелькам или платным ресурсам, например тот же ВиВ с ВВГ-счётом), репутационные потери (например, от нашей учётной записи на каком-нибудь важном для нас форуме начнут писать всякие гадости), потери конфиденциальной для нас информации (утрата доступа к почтовым ящикам, где была переписка с любимой девушкой/парнем/партнёрами/коллегами/клиентами и т.д. (а учитывая, что во многих ресурсах для восстановления пароля используется почтовый ящик, указанный при регистрации, а таких ресурсов огромное кол-во, та же аська, тот же ВиВ, то потеря такого ящика грозит потерей всех ресурсов, на него зарегестрированных , утрата доступа к социальным сетям, типа вКонтакте или Одноклассников) ну и т.д. Соот-но в зависимости от критичности ресурса и делаются пароли, там, где регистрация проста, и утрата мало что значит, делается простой пароль, от цифровой комбинации, до осмысленного слова, например имя любимой девушки, или там кличка обожаемой собачки . И так по нарастающей. Добавляем цифры к словам, спец. символы... Для малозначимых ресурсов можно единый пароль использоваться, для более важных разные пароли средней сложности, для критичных ресурсов сложные пароли.
Как можно сделать сложный пароль и при этом нигде его не записывая помнить? Вот пример:
За основу возьмём, допустим, слово
wizard - кол-во комбинаций 300 млн., подбор брутфорсом за несколько минут, по словарю менее минуты. Усложним заглавными:
WizarD - кол-во комбинаций 20 млрд., подбор брутфорсом за несколько часов, по словарю менее минуты. Добавим цифры:
1WizarD1 - кол-во комбинаций 200 трлн., подбор брутфорсом за несколько лет, по хорошему словарю, менее часа. Добавим спец. символы:
1Wiz@rD1 - кол-во комбинаций 1,5 квдр., подбор брутфорсом за десятки лет, по очень хорошему и огромному словарю дни, но чуть усложнив ещё - словарь не найдём.
А можно комбинировать слова, например 20Wiz@rD$WorlD09. Подбор брутфорсом при нынешнем уровне технологий невозможен, словари до такого не "додумаются", но при этом запомнив алгоритм, запоминаем и пароль.
Но техника не стоит на месте, скоро нашим кремниевым друзьям на смену придут квантовые, биологические и оптические компьютеры, вычислительная мощь которых на порядки больше современных (порядок, это в 10 раз больше, на 2 порядка - в 100, это для тех, кто в танке ). Кстати опытные образцы квантовых компьютеров уже созданы, прототипы биологических и оптических тоже существуют, но это уже совсем другая история.
На этом про пароли всё, если есть вопросы, спрашивайте.

Добавлено (12.01.2009, 13:50)
---------------------------------------------
PS: 20Wiz@rD$WorlD09 - это 3 нониллиона комбинаций, кому интересно, или 100 квадриллионов лет взлома (при этом нашей Вселенной всего-то чуть более 5 миллиардов лет) Вот такая у нас интересная парольная математика
PPS: Цифры довольно условные, я брал за основу со спец. символами число 80, оно не точное, но порядок возможных комбинаций и временные затраты отражены довольно верно.

Добавлено (12.01.2009, 14:03)
---------------------------------------------
Да, но никакой сложный пароль к ресурсу не исправит незащищённость глобальных сетей (многочисленные ошибки в первоначальном проектировании и построении IP-сетей, а также при текущей настройке сетевого оборудования), пофигизм пользователей (тут вы и сами всё знаете ), лень и безграмотность многих администраторов (при настройке и сопровождении сетевых ресурсов, баз данных и т.д.) и криворукость программистов (написание программного кода различных приложений, служб, операционных систем) от перехвата при передаче наших данных, в том числе авторизационных, от клиента (пользовательского компьютера) на сервер (например, сервер баз данных + вэб-сервер, на котором находится этот форум). Хотя всё же значительно усложнит и спасёт от хаЦкеров-пионЭров.

А если по делу, то защищать нужно комп на работе и дома. Вариант "на работе" не рассматриваем, т.к. это не наше дело. Врят ли кто-то еще (кроме тебя) профессионально этим занимается, для этого должны быть соответствующие админы. Да и теряем мы тут не свою инфу, а инфу предприятия , что не есть одно и то же.

Теперь вариант "дома". Слудует учитывать, что если вы не главный конструктор супер секретной техники, то спецом вами заниматься не будут. Поэтому:
1 Полностью согласен с Паладином по выбору пароля.
2 Пароль можно хранить и в специальном блокноте, что бы не забыть. Если вы, конечно, не страдаете шизофренией по отношению к своим родным.

И еще. Правильный пароль - это хорошо, НО кроме этого
- на компе обязан стоять антивирус, постоянно работающий на проверку приходящих файлов (типа спайдера у DrWeb),
- ОБЯЗАТЕЛЬНО проверять ВСЕ электронные носители инфы, включая CD из журналов, которые вы тыкаете в свой комп
- не забывать обновлять антивирусную базу
- хотя бы 1 раз в месяц полность проверять систему на наличее вирусов. При этом хорошо бы использовать антивирусы разных производителей. Только не запускайте их одновременно :))))))
- должна стоять система, которая контролирует выход в инет всех прог на вашем компе. Какой нибудь Firewall, только не форточный (виндусовый).

И последнее. Нужно понимать, что защищенность компа обратно пропорциональна удобству работы на нём

А про антивирусы и файерволы надеюсь Паладин нам еще раскажет в разделе про безопасность