Как узнать зашифрованную почту
За последние несколько лет произошло большое количество действительно крупных утечек e-mail адресов и уникальных паролей. Последняя по времени масштабная утечка произошла в 2019 году и от нее пострадали сотни миллионов человек. Электронная почта – это своеобразный ключ от всех дверей, поэтому нужно как следует позаботиться о ее защите.
Что делать, если адрес электронной почты оказался в открытом доступе?
Утечка электронного адреса – это его попадание в свободный доступ. Утечки электронных адресов происходят достаточно регулярно, но некоторые из них поражают своими масштабами. Например, в 2019 году в облачное хранилище MEGA залили базу данных, в которой содержалось 773 миллиона электронных адресов и 21 миллион паролей.
В подобной базе данных нельзя посмотреть, к каким электронным адресам подходят похищенные пароли, поэтому зайти в чужой аккаунт не так просто. Пользователи могут самостоятельно проверить, электронную почту на попадание в одну из подобных утечек. Если адрес вашей электронной почты и пароль есть в подобной базе, вероятнее всего вас взломали.
Первое, что ожидает пользователей, чей электронный адрес оказался в слитой базе – волна спама на электронный почтовый ящик. На вас может обрушиться столько мусорных электронных писем, что вы попросту устанете их удалять и блокировать отправителей.
Кроме того, перейдя по безобидной с виду ссылке, пришедшей к вам в электронном письме, вы можете наткнуться на вредоносное программное обеспечение.
Как проверить электронную почту на утечку?
Эксперт в сфере кибербезопасности Трой Хант создал специальный сайт, на котором можно проверить электронную почту и пароль от нее на предмет утечки. Даже если у вас нет опасений, лучше перестраховаться:
Аналогичным образом на сайте https://haveibeenpwned.com/Passwords необходимо проверить свой пароль.
Если вашего адреса электронной почты и пароля нет в базе, значит, они не появлялись в открытом доступе и волноваться не о чем. Если же сервис показал, что утечка данных произошла, в целях безопасности необходимо сменить пароль от почтового аккаунта. Также необходимо сменить пароль во всех сервисах, на которые можно войти, указав адрес электронной почты, или пароль который совпадает с паролем от электронного почтового ящика. Обратите внимание, что пароли, используемые вами на разных сайтах должны отличаться друг от друга.
Почему нельзя использовать одну пару логина-пароля в разных сервисах или сразу нескольких почтовых аккаунтах?
Ни в коем случае нельзя использовать одинаковые логины-пароли на разных сайтах. То же самое касается почтовых аккаунтов – логин и пароль не должен быть идентичным или даже похожим. Если однажды ваши данные окажутся в открытом доступе, хакерам не составит труда добраться до других ваших аккаунтов с аналогичным логином и паролем.
Кроме того если ваш компьютер заражен трояном, мошенники могут перехватить логин и пароль. В результате этого они получат доступ к вашей электронной почте, а оттуда узнают, на каких сервисах вы зарегистрированы и первым делом попробуют войти туда, используя уже известный им логин и пароль или просто пароль.
По возможности на каждом сайте должен использоваться уникальный пароль, но если для вас это затруднительно, то придумайте сложный пароль хотя бы для электронной почты и не используйте его на других сайтах и сервисах. Чтобы не держать все пароли в голове, можно использовать менеджер паролей 1Password, который разработал Трой Хант.
О сервисе monitor.firefox.com – чем он полезен и как можно его использовать?
Firefox Monitor – это еще один сервис, позволяющий проверить электронный адрес на предмет утечки. С помощью данного сайта можно понять, оказывался ли ваш адрес электронной почты в открытом доступе, хотя бы раз, начиная с 2007 года. Информация об утечках обновляется ежедневно, поэтому все данные гарантированно актуальны.
Чтобы постоянно не искать адрес своей электронной почты в базе данных, можно подписаться на мониторинг утечек с помощью аккаунта Firefox и в случае, если ваш электронный адрес окажется в открытом доступе, вам придет соответствующее уведомление. Подобным образом можно будет отслеживать сразу несколько электронных адресов.
Чтобы проверить адрес электронной почты на наличие в свободном доступе, введите его в строку на главной странице и нажмите кнопку «Проверить на утечки». После этого данный сервис покажет, засветился ли ваш электронный почтовый ящик среди известных утечек.
Выводы и советы
В последние несколько лет случилось сразу несколько крупных утечек, и нет никакой гарантии, что в будущем этого не произойдет снова. Если ваш e-mail все-таки оказался в одной из крупных утечек, необходимо вспомнить, использовали ли вы еще где-либо такой же пароль. Если использовали, необходимо зайти на все подвергнутые риску сервисы и сменить действующий пароль на уникальный как можно скорее.
Чтобы злоумышленники не получили доступ к вашему электронному почтовому ящику, при создании своего аккаунта следуйте всем основным советам в этой области: используйте пароль с цифрами, заглавными и строчными буквами, выберите секретный вопрос и придумайте сложный ответ на него, укажите резервный адрес электронной почты, используйте менеджер паролей, и не забывайте про двухфакторную аутентификацию.
Дайте знать, что вы думаете по этой теме статьи в комментариях. За комментарии, дизлайки, лайки, подписки, отклики огромное вам спасибо!
Пожалуйста, опубликуйте свои комментарии по текущей теме статьи. За комментарии, дизлайки, подписки, отклики, лайки низкий вам поклон!
Gravatar: как расшифровать адреса электронной почты всех пользователей?
Про Gravatar многие наслышаны, а кое-кто им и пользуется. Если не слышали, то Gravatar — глобально распознаваемый аватар — изображение, которое привязывается к вашему адресу электронной почты и которое вы можете использовать на других сайтах при комментировании, заполнении профиля и т.д.
Сервис Gravatar оказался довольно популярным и востребованным публикой и с годами превратился в свою мини-социальную сеть с многомиллионной аудиторий. Впрочем, сколько всего есть Граваторов (то есть пользователей, которые привязали к своему адресу электронной почты аватар) информации я так и не нашел. Лишь на официальном сайте создатели сервиса с гордостью заявляют, что «Миллионы аватаров показываются более 8,6 млрд. раз в день».
О популярности Gravatar говорит тот факт, что он поддерживается многими популярными движками, такими как, Redmine, W-script и, конечно же, WordPress. Имеются плагины и модификации, которые позволяют интегрировать поддержку глобально распознаваемых аватаров в такие системы, как Drupal, Joomla, MODX, SMF и phpBB.
Работает Gravatar по схеме: пользователь регистрируется в сервисе Gravatar и сохраняет там свой аватар и адрес электронной почты. Отныне у него есть свой Gravatar. Теперь, когда он хочет оставить комментарий на сайте или блоге, он лишь указывает свой адрес электронной почты. Скрипт сайта шифрует этот адрес электронной почты и отправляет его на сервер Gravatar, откуда и возвращается картинка-аватар.
Если мы откроем исходную страницу с картинкой Gravatar, то увидим примерно следующий адрес аватара:
32-значное шестнадцатеричное число в этом адресе есть MD5-хэш самого адреса электронной почты и, по сути, это один единственный ключ, который и идентифицирует пользователя в системе Gravatar.
Алгоритм хэширования MD5, используемый сервисом Gravatar, предназначен в первую очередь для сокрытия адреса электронной почты пользователя (не передавать же его в открытом виде). Его особенностью является «однонаправленность», то есть функцией MD5 мы можем получить (зашифровать) хэш (отпечаток) какого-либо слова, но не можем его получить (расшифровать) обратно. То есть, разобрать, что же именно мы зашифровали в хэш «05933ec7a23f6ebd2017490abfbcd3f3» — невозможно никакой математической функцией.
Тем не менее, существуют методы «расшифровки» MD5, такие как «перебор по словарю», «радужные таблицы» и т.д. В таком случае встает вопрос сохранности адреса электронной почты пользователя Gravatar. Впрочем, сам пользователь может сделать свой адрес электронной почты публичным, а также он известен администратору сайта, на котором он оставляет комментарий. Но вернемся к эффективности использования уязвимого алгоритма хэширования (MD5) сервисом Gravatar.
Насколько он является безопасным и насколько реально расшифровать… все граватары?
Чтобы ответить на этот вопрос, я решил не «взламывать» MD5-хэши (что показалось мне затратным по времени), а проверять наличие имеющего адреса электронной почты на наличие в базе Gravatar. Принцип предельно простой: проверяем адрес электронной почты на наличие граватара, если граватар есть, заносим в базу данных MD5-хэш.
Методом проб и ошибок для таких целей был выбран оптимальный запрос к сервису Gravatar по адресу с параметром:
При обращении по такому адресу сервис Gravatar вернет ответ 200, если у пользователя есть граватар (если вообще такой пользователь существует) и ответ 404 — если пользователя нет в базе Gravatar. В таком случае, пишем скрипт на проверку ответа сервера:
Итак, проверить наличие граватара у адреса электронной почты мы научились. В качестве сырья я скачал первые попавшиеся базы адресов электронной почты из интернета (обычные спам-базы, а также адреса электронной почты попавшие в поисковую выдачу открытым текстом) в количестве свыше 10 000 000 (почистил от дублей, проверил на валидность и т.д.). Поставил на обычный компьютер обычный локальный сервер (Денвер), вышеуказанный скрипт сделал многопоточным (добился скорости проверки около 2 млн. адресов в сутки). К удивлению, не смотря на чудовищные запросы к сервису Gravatar, тот не блокировал работу скрипта и исправно отдавал данные на всем этапе эксперимента.
В течении недели были проверены все 10 млн. адресов, а результат работы записан в базу данных, имеющую следующую структуру:
Напишем скрипт, который найдет требуемую нам переменную под названием — preferredUsername
Пояснения: эксперимент и сервис не создавался в каких-либо злонамеренных целях (для спама и т.д.). Также никто не может нести ответственности за сохранность адреса электронной почты пользователя Gravatar — пользователь осведомлен, что он виден администратору сайта, на котором оставлен комментарий. Заботясь о сохранности персональных данных, я ограничил результаты поиска, закрыл данные от попадания в поисковый индекс и т.д. Сервис, получившийся экспромтом в результате эксперимента, сделан для людей в справочных и контактных целях. А также, как информация к размышлению, для держателей сервиса Gravatar.
Итоги: рядовой компьютер за неделю перебрал/проверил 10 млн адресов электронной почты (взятых из открытых источников). Лишь у 3% (около 300 000 распознанных MD5-хэшей) из них оказался свой Граватар (не густо). Но теоретически все адреса электронной почты у всех пользователей интернета могут быть собраны в единую базу для последующей проверки по описанному методу. И также теоретически все MD5-хэши сервиса Gravatar могут быть вычислены. Все — это намного больше, чем 10%, которые можно получить перебором MD5 хэшей. Алгоритм шифрования адреса электронной почты в Gravatar уязвим, пользуясь сервисом, надо это учитывать.
Как посмотреть пароль под звездочками и точками с помощью браузера и программ
У пользователей не раз возникала ситуация, когда необходимо увидеть пароль, скрытый под звездочками. Функции современных браузеров позволяют сохранять пароли для форм, то есть, после повторного захода на ресурс.
У пользователей не раз возникала ситуация, когда необходимо увидеть пароль, скрытый под звездочками. Функции современных браузеров позволяют сохранять пароли для форм, то есть, после повторного захода на ресурс вы увидите введенные данные: логин и пароль, а вводить повторно их уже не нужно, стоит только нажать кнопочку Вход.
Конечно, функция сохранения пароля очень полезная, но не безопасная, поскольку злоумышленник легко может узнать скрытый пароль под звездочками или захватить данные из браузера (cookie, пароли, истории, закладки и пр.). Не факт, что какого-то хакера заинтересуете именно вы, но лучше перестраховаться и не сохранять пароли, а записывать на листок или хранить в базе специального программного обеспечения.
Немного мы отошли от темы, ведь сейчас нам предстоит понять, как посмотреть тот самый пароль под точками, хранящийся в поле Password. Поехали!
Как посмотреть пароль под звездочками в браузере и без программ
В сети находится бесчисленное количество сайтов, позволяющих авторизоваться пользователям с помощью таких данных, как логин и пароль, это могут быть форумы, интернет-магазины и обычные блоги. Формат ввода данных в большинстве случаев не отличается. Так, как посмотреть пароль в этой форме в браузере, если он скрыт?
Используем код элемента
Готово, теперь вместо точек или звездочек будет виден именно пароль в том, виде, котором мы и хотели.
Пример рассмотрен в браузер Google Chrome. С остальными обозревателями точно также. Например, в Opera нажимаем правой кнопкой мышки и выбираем пункт «Просмотреть код элемента». В Яндекс браузере и прочих схожий принцип.
В Microsoft Edge немного по-другому:
Скрытый пароль через настройки браузера
В любом браузере есть функция сохранения паролей, там же их можно посмотреть (Читаем: Пароль в браузере, как узнать?). В Google Chrome последней версии это осуществляется следующим образом:
Скрипт для просмотра пароля под звёздочками
Существует метод, позволяющий посмотреть все доступные в формах пароли. Если с помощью кода элемента не удалось раскрыть пароль, то будет использовать этот метод.
Вот javascript код:
Теперь нажимаем Enter и видим пароль, который находится в соответствующем поле.
Чтобы каждый раз не вставлять скрипт, сделаем следующее:
Теперь, каждый раз, когда вам понадобится посмотреть скрытый пароль под точками, нажимаем на эту закладку и скрипт активируется.
Как увидеть пароль вместо точек с помощью расширения
Google Chrome
Для этого обозревателя существует расширение ShowPassword. Оно имеет открытый исходный код, а значит никаких вирусов и прочей нечистой ереси вы там не найдете. Устанавливаем расширение и пробуем его в действии.
После активации вводим данные на каком-либо сайте и просто наводим курсор мыши на поле Password. Пароль сразу отобразится.
ShowPassword предлагает 4 варианта посмотреть замаскированный пароль браузера:
Mozilla Firefox
Из магазина расширений установите Show/hide passwords. Теперь пользователь легко сможет узнать скрытый пароль в браузере. Рядом с полем появится кнопочка «Show» (Показать) и «Hide» (Скрыть).
Opera
Как увидеть пароль вместо звездочек с помощью программ
Как не странно, но для Windows есть куча софта, позволяющего открыть скрытый пароль браузера. Давайте несколько программ проверим в деле.
SterJo Browser Passwords
Скачиваем бесплатную программу версии Portable или установочную. Запускаем от имени администратора.
Софт покажет все сохраненные пароли браузеров.
Существуют и другие программы, список которых ниже:
Я их все попробовал, но извлечь скрытый пароль под звездочками не удалось. Возможно, они уже не способны это сделать, либо я работал под Windows 10, где у них нет поддержки. Хотя на сайте Asterisk Password Spy написано, что десятку программа поддерживает. В общем, пробуйте.
На этом всё. Если у вас есть свои способы посмотреть скрытый пароль под звездочками и точками, то опишите их в комментариях ниже, а также делитесь материалом в социальных сетях.
Как расшифровать адрес электронной почты пользователя Gravatar
Этот сервис получился экспромтом в результате одного эксперимента, целью которого было ответить на вопрос: насколько безопасно Gravatar хранит ваш адрес электронной почты и насколько реально расшифровать все адреса всех пользователей Gravatarа (подробности на Habrahabr)! Интересно? Вот подробности:
Как работает Gravatar
Схема не мудренная: пользователь регистрируется в сервисе Gravatar и сохраняет там свой аватар и адрес электронной почты. Теперь, когда он хочет оставить комментарий на сайте или блоге, он лишь указывает свой адрес электронной почты! Скрипт сайта шифрует этот адрес электронной почты и отправляет его на сервер Gravatar, откуда тот возвращает картинку-аватар!
Если мы откроем исходную страницу с картинкой Gravatar, то увидим примерно следующее:
MD5-хэш адреса электронной почты в адресе картинки Граватара
Как видим, картинка загружается с адреса:
и, по сути, содержит один единственный ключ, который и идентифицирует пользователя в системе Gravatar! Но что это за ключ? Это MD5-хэш от самого почтового адреса пользователя! То есть, это и есть сам адрес электронной почты, зашифрованный алгоритмом MD5.
Алгоритм шифрования MD5 есть на всех языках программирования. Вот как это работает на PHP:
В результате функции мы получим 32-значное шестнадцатеричное число, это и есть MD5-хэш!
Теперь, подставлям MD5-хэш в ссылку сервиса Gravatar, чтобы получить урл картинки:
И обрамляем урл атрибутами картинки, чтобы отобразить ее на своем сайте:
Таким вот нехитрым образом Gravatar и работает! Разумеется, есть различные параметры, которые можно передать в урле на сервер Gravatar для получения дополнительной информации: например, размер картинки, рейтинг и т.д. Но это ключевой момент, который нам и понадобится для понимания того, о чем мы будем говорить далее.
О расшифровке MD5
Вы уже наверное слышали, что на сайтах пароли не хранятся в открытом виде и их не может знать даже администратор сайта? Все верно, поскольку пароли хранятся как раз в хэшированном виде (32-значное шестнадцатеричное число). Во время регистрации на сайте, вы придумываете себе пароль, скажем «Mypass15» и в базу данных заносится MD5-хэш вашего пароля. В нашем случае так:
А как же осуществляется авторизация?
При вводе пароля во время авторизации он снова хэшируется:
и получится опять та же самая MD5-хэш сумма:
Хранение паролей пользователей в некоторых движках сайтов все еще осуществляется с помощью алгоритма MD5, хотя сам алгоритм уже заметно устарел (появился в 1991 году) и вместо него есть довольно-таки хорошие альтернативы. Но в Gravatar, при шифровании адреса электронной почты, используется (по старинке) именно этот пресловутый алгоритм!
Расшифровка Граватаров: теория
Мы уже уяснили, что адрес электронной почты пользователя Gravatar зашифрован в самой картинке. И если бы возникла необходимость узнать этот адрес электронной почты, мы бы использовали все свои силы и знания в области «взлома» MD5-хэша.
Есть ли еще варианты, более быстрые и эффективные? В поисках ответа на этот вопрос, меня вдруг посетила мысль: если адреса электронных ящиков ВСЕХ пользователей интернета рано или поздно где-то засветились (в поиске, в спам-базах, в переписке с друзьями и т.д.), то теоретически можно собрать ВСЕ адреса (ну или почти все) со всего интернета в единую базу, перевести все эти адреса в единую большую базу MD5-хэшей, а потом каждый MD5-хэш проверить на наличие в базе Gravatar!
Вскоре, взвесив некоторые доводы «за» и «против», я понял, что по скорости распознавания адресов электронной почты пользователей Gravatar, это будет самый эффективный и дешевый метод. Оставалось продумать механизмы и реализовать все это на практике.
Расшифровка Граватаров: практика
На практике создание сервиса по распознаванию адресов электронной почты пользователей Gravatar сводилось к трем пунктам:
Собрав для пробы публичные электронные адреса, приступил к созданию скрипта проверки MD5-хэша в базе Gravatar. Как узнать, зарегистрирован ли такой-то адрес электронной почты в сервисе Gravatar? Естественно, если мы зашифруем адрес электронной почты в ссылку вида:
мы увидим аватар пользователя, либо дефолтную картинку, что аватара нет. Но как заставить это определять скрипт?
Методом проб и ошибок был выбран запрос к сервису Gravatar по адресу с параметром:
Помимо адреса электронной почты и MD5-хэша, в базу данных решено было вносить и логин пользователя Gravatar, поскольку по логину можно сформировать урл на официальную страницу выбранного граватара для получения дополнительных данных. Такой урл, как уже было указано в самом начале, имеет структуру:
Получить логин можно при обращении к файлу импорта вида:
Итак, у нас есть 3 необходимых значения, для занесения в базу данных, что мы и делаем:
И это все! Осталось запустить скрипт и подсчитать КПД. Для эксперимента я взял 10 млн. адресов из открытых источников (спам-базы и адреса, попавшие в поиск Google открытым текстом) и проверил их на наличие граватаров (обычным локальным сервером Денвер в многопоточном режиме со скоростью 2 млн. адресов в сутки).
Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой.
Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро.
Как показать пароль вместо звездочек
Разработчики онлайн-сервисов, программ, игр в целях безопасности закрывают пароль звёздочками в браузере и интерфейсе ПО. По умолчанию визуальный просмотр этих данных невозможен. Однако у пользователей возникает необходимость убрать символьную маску в поле, то есть сделать видимым ключ в регистрационной или авторизационной форме. Как правило, просмотреть пароль за звёздочками нужно для того, чтобы ввести его повторно или вспомнить символьную комбинацию.
Эта статья расскажет вам, как посмотреть пароль под звездочками различными способами в браузере и программах.
Способ №1: открытие через модификацию кода
1. Чтобы узнать пароль за звёздочками в том виде, в котором он был набран, установите курсор в поле.
2. Щёлкните правую кнопку мышки. В контекстном списке опций выберите «Просмотр кода элементов».
3. В теге «INPUT» измените значение атрибута TYPE c «password» на «text».
4. После модификации HTML-разметки можно увидеть ключ под точками в первоначальном виде (незашифрованном).
Способ №2: отобразить в менеджере веб-обозревателя
1. Чтобы узнать пароль под звёздочками необходимо предварительно настроить браузер (включить в нём соответствующие опции):
клацните значок «три точки» в верхней панели;
в списке команд кликните «Настройки»;
кликните «Показать дополнительные настройки»;
в блоке «Пароли и формы» поставьте кликом мышки флажки в обеих опциях «Включить автозаполнение… », «Предлагать сохранять… ».
авторизуйтесь в сервисе, пароль за звёздочками к которому хотите периодически просматривать;
после ввода учётных данных клацните в панели запроса кнопку «Сохранить».
2. Чтобы открыть ключ (если он в звёздочках), снова зайдите в блок «Пароли и формы». В строке «Предлагать сохранять…. » клацните «Настроить».
3. В панели менеджера для того чтобы расшифровать ключ, кликните по записи левой кнопкой.
4. Нажмите опцию «Показать». После этого ключ можно прочитать и скопировать.
Способ №3: использование специальных утилит
Десктопные спецутилиты отображают скрытые поля не только в браузерах, но и в программах. Содержимое заданных строк появляется непосредственно в форме или в интерфейсе просмотрщика.
Ниже представлены наиболее популярные решения.
Password Cracker
Крохотный инструмент. Открывает данные в строках автоматически после наведения курсора (данные появляются в дополнительной панели).
Умеет снимать «маски» в Internet Explorer.
Hidden Passwords Viewer
Считывает все пароли каждые 3 секунды и отображает их в отдельном окне. Но может убирать звёздочки и в отдельных строках по наведению курсора.
Отлично зарекомендовал себя в работе с настроечными панелями FTP-соединений в файловом менеджере Total Commander.
BulletsPassView
Усовершенствованная версия некогда очень популярной программы Open Pass.
Самостоятельно отыскивает скрытые поля в формах. Поставляется в двух версиях для 32- и 64-битных архитектур. Не требует инсталляции в систему.
Успешного вам восстановления скрытых данных!