Passacalia — всё о парольной защите
Парольная защита
Обратная связь
Пароль:

Про «хорошие» и «плохие» пароли

Введение

Система парольной защиты часто является основным защитным рубежом против компьютерных атак. Обычно перед началом работы с системой (информационным ресурсом) пользователь обязан зарегистрироваться, сообщив системе свое имя и пароль. Имя требуется для идентификации пользователя, а пароль служит подтверждением правильности этой идентификации. Информация, введенная пользователем, сравнивается с той, что имеется в распоряжении системы. Если проверка дает положительный результат, то пользователю становятся доступны информационные ресурсы, связанные с его именем.

Очень часто те требования, которые предъявляются к паролям и порядку обращения с ними остаются лишь на бумаге. Сложно представить себе, что пользователи будут использовать настолько сложный пароль и менять его с периодичностью раз в месяц, использовать 14-тисимвольные пароли 3-х групп символов, являющиемя абсолютно случайным набором символов, или использовать 20 штук разных паролей для доступа к разным ресурсам.

В своей работе хакеры, вовсю практикуют методы «социальной инженерии», т.е. знание психологии для поиска слабых мест, так называемую «обработку открытых источников» для установления реквизитов организации или пользователя, которые подвергается атаке.

Так атаки знаменитого хакера Кевина Митника (Kevin Mitnick), основывались больше на манипулировании людьми, чем программным обеспечением. Ему же приписывают фразу: «Для человеческой глупости нет патча».

Часто хакеру даже не приходится угадывать пароль — пользователи наклеивают бумажки с ними на монитор, либо сами их сообщают в ответ на подложные письма якобы от провайдера, администратора и пр… Тот же Кевин Митник не гнушался в поисках чужих паролей и секретов копаться в мусорном ведре — и вполне успешно. Также в ход идёт использование уязвимостей программ, использование программных или аппаратных «кейлогеров» для отслеживания нажатий пользователем клавиш, или использование недостатков алгоритмов защиты.

Аппаратный кейлогер Размером с 1\2 мизинчиковой батарейки. Вставляется в порт PS\2 и уже в него включается клавиатура. Запоминает 30.000 нажатий Не виден антивирусам и файлворлам. 3000р

fishing и crack кода как вариант обхода пароля. Сброс, установка начального пароля, мастер пароль от всех дверей (как код пожарников от домофона) возможность установки заводского пароля, возмжность сброса пароля, загрузившись с дискеты или консольно

Следует также внимательно относится к возможности восстановления пароля, которую предлагают многие системы. Например, наивно полагать надёжным контрольный вопрос для восстановления пароля, «Ваш номер паспорта», при том, что достаточно просто получить доступ к базе данных отдела кадров, либо какой-либо другой, в которой он фигурирует. Доступ к ящику на который высылается пароль при восстановлении, возможность перехватить сообщение электронной почты в рамках ЛВС. Кстати, эту же самую стихотворную фразу вполне реально использовать при регистрации на почтовом сервере, когда вам предложат дать контрольный вопрос, который (вместе с ответом) понадобится для восстановления пароля, если вы его все же забудете. Неважно, что ответ будет выглядеть весьма странно. Например, вопрос: «Любите ли вы свою жену?» Ответ: «Уж сколько раз твердили миру…» Главное, что ответить подобным образом на поставленный вопрос можете только вы. А значит, вероятность взлома вашего пароля уменьшилась.

Как работают злобные хакеры или не будьте лохами.

Давайте посмотрим, как уводят пароли и как этому противодействовать. Увод паролей сводится к двум основным разделам: социальная инженерия и техническими методами. Есть еще и третий, когда пользователь сам лопухнется, провоцирует, так сказать. Итак, соц. инженерия это:

  1. Просьба прислать пароль. Не один суппорт, админ (честный) никогда не попросит у вас пароль, могут, в некоторых случаях, попросить логин, что бы удостовериться, что вы – это вы. Письмо злоумышлиника может выглядеть так: «Здравствуйте! Вас беспокоит служба поддержки тыр-пыр-сервис. Мы проводим профилактические работы и закрываем не действующих пользователей. Что бы подтвердить, что вы все еще являетесь нашим клиентом, вышлите ваш логин и пароль на <почтовый адрес>».
  2. Ответ на секретный вопрос. Некоторые системы имеют возможность восстановление забытого пароля через секретный вопрос, например, «Как зовут Вашу собаку?». Так вот, НИКОМУ не интересно, как зовут вашу собаку, вводите что-нибудь такое «kozlik be-be», или стишок или еще чего-нибудь. Злобный хакер, может подбирать имена по словарю, я уверен на 95%, что кличка вашей собаки там присутствует.
  3. Куки и публичные места. Куки – это система, которая позволяет запоминать вас на определенных сайтах. Если ваши куки попали в руки злоумышлиника, то считайте, что вы дали ключик от сайта, который вас запомнил. Это может быть форум, почтовая система и так далее. Если вы играете или работаете в публичных местах, например в компьютерном клубе или интернет-кафе, то НИКОГДА не забывайте прибирать за собой, удалять куки, временные файлы, истории посещения страниц, очищать корзину. В Internet Exploer идем в главном меню в Сервис – Свойства обозревателя – Общие и здесь удаляем Куки, Временные файлы, Очищаем хистори. В публичных местах не бросайте комп без присмотра.

Технический взлом делится на три основные типа: перебор пароля, подбор по словарю и могут «подсмотреть» пароль. Подбор пароль отдыхает, если длина пароля более 9 символов, то есть если вы выбрали пароль более 9-10 символов, то такой метод потерять пароль вам не грозит. Подбор по словарю очень серьезный метод, потому что 20 юзеров из 100 считают, что имя (брата/свата/сестры/жены) уникально и никто не догадается его применить. Я могу разочаровать таких пользователей, в сети летают списки с именами под любые языки, кроме этого словари на любые темы. Последний метод – это когда вы на свою машину посадите Трояна, он сделает из вашей машины одно большое решето. Метод решения один, устанавливайте самые последние обновления системы и браузера, а так же пользуйтесь антивирусами. Кроме тояна могут перехватить ваш пароль с помощью снифера. Сниферы – это такие программы, которые перехватывает пакеты, предназначенные другому адресату. Есть специфические сниферы, например ориентированные на ICQ или FTP, такие сниферы показывают в читабельном виде тексты ICQ-сообщений или пароль к FTP. Поэтому в публичных местах следим не только за своим лексиконом, но и за своими руками

Перехват данных беспроводных клавиатур в радиусе ... метров

Вы ведете посредством Интернета свои финансовые операции, пользуетесь услугами онлайн-магазинов и аукционов? Значит, электронная почта от одной из этих организаций с просьбой связаться с ней через ее интернет-сайт может и не вызвать у вас подозрений. Вы переходите на этот сайт, пользуясь линком (URL), содержащимся в послании.

С виду сайт вам хорошо знаком, вы неоднократно его посещали, и поэтому спокойно вводите ваши доверительные данные: номер кредитной карточки, пароль доступа, TAN (Transaktionsnummer), PIN – всё, что от вас потребуют. А требуют, кстати, настойчиво и безотлагательно, мотивируя соображениями безопасности или угрожая прервать ваше членство. Итак, вы ввели свои данные, нажали на Enter, и всё, вы уже на крючке, ибо сайт, которому вы доверились – искусная фальшивка.

способ взлома проги (crack) без пароля заменой 2-х байт

практика выдачи паролей администратором

Когда такие способы не срабатывают — приходится немного потрудиться.

Про «плохие» пароли

Для подбора пароля используется факт, что пользователь не желает утруждать себя излишним изобретательством при генерации пароля и не желает сильно напрягать память для его запоминания. У Эдисона на столе стояла надпись: «Человек прибегает к любым уловкам, только бы не работать головой».

Часто хакеру достаточно просто угадать требуемую комбинацию символов. Ведь от выбора плохих паролей не застрахован никто. Даже Билл Клинтон, в бытность свою президентом США, когда подписывал закон о цифровой подписи, подал миру весьма негативный пример, выбрав в качестве пароля кличку своей любимой собаки Buddy.

Результаты проведенного компанией Visa исследования пользовательских паролей показали, что 67% комбинаций символов, выбранных для защиты систем, легко угадываются.

Очень часто пользователи в качестве пароля вводит:

  • cвоё имя или имена родных (любимых) Подавляющее большинство людей в качестве пароля выбирает свое собственное имя или прозвище. Так поступает примерно пятая часть всех пользователей. На втором месте в списке наиболее часто используемых паролей идет имя или прозвище жены (мужа).;
  • дублирует символы своей учетной записи (другими словами имени пользователя при входе в систему);
  • название своей организации;
  • свои инициалы;
  • дата рождения (примерно каждый десятый пользователь);
  • номер служебного или домашнего телефона;
  • номер своей автомашины;
  • славянское имя латинскими буквами;
  • слова из интересующей их области/хобби (названия вокальных групп, спортивных команд, фамилии ведущих игроков, названия пород или кличек собак, географические названия, гастрономические блюда);
  • бранные слова.

Не являются уникальными и такие ходы, как:

  • написание одного и то же слова дважды;
  • слова, записанные справа-налево;
  • слова, усеченные до заданного количества символов;
  • слова без гласных (за исключением заглавной);
  • прибавление года;
  • слова, записанные транслитом по заданной таблице транслитерации;
  • русские слова, набранные на латинском регистре и наоборот, равно как поПеРемеНное изменение буквенного регистра, в котором набрано слово;
  • использование нескольких рядом расположенных клавиш на клавиатуре;
  • в начало и в конец каждого слова приписывается цифра 1;
  • некоторые буквы заменяются на близкие по начертанию цифры (например pa55w0rd).

Разумеется, подобная практика известна не только компании «Visa», но и хакерам. Поэтому современные программы по подбору паролей позволяют проводить атаку по словарю, с заданием для неё соответствующих режимов. И если атака «прямым перебором» может потребовать несколько лет, то для атаки по словарю может быть достаточно и нескольких часов. Красноречивый факт, что вирус «Мориса» использовал чуть меньше 400 слов в качестве пароля и поразил около 6000 компьютерных систем.

Кроме того, многие используют одинаковые пароли сразу для нескольких систем. Не следует забывать, что система безопасности в целом надёжна ровно настолько, насколько надёжна её самая слабая часть. И если на каком-либо малоизвестном сайте в Интернете Вы не задумываясь вводите пароль, который у Вас же используется в платёжной системе (или в ICQ да где угодно) — вероятность потерять то, что вам дорого, резко возрастает.

Простейшее решение в таком случае — завести несколько паролей и использовать их в зависимости от степени критичности для вас и защищённости ресурсов. Можно также использовать различные менеджеры паролей.

Нет абсолютно надежных паролей. Есть пароли, которые взламываются слишком долго — например, если пароль даёт стойкость 100 лет, то для сохранности большинства коммерческих и банковских секретов этого вполне достаточно. В периодически проводимых состязаниях по взлому паролей защищённых систем массовость и упорство неизменно берёт верх, правда для этого необходимы действительно массовые усилия. Но вычислительные мощности и скорости передачи данных растут с каждым днём, и с ними вместе растёт скорость подбора паролей.

Про «хорошие» пароли

«Хороший» пароль — надёжный пароль:

Он должен быть несмысловой, то есть не содержать слова из языка, тем более не включать в себя сведения из личной жизни. Один из самых лучших способов создания хорошего пароля - это набрать несколько случайных символов на клавиатуре набранных в верхнем и нижнем регистре, включающих буквы, цифры и специальные знаки. При этом пароль не должен быть коротким. Его длина должна быть как минимум 7-8 знаков, но каждый лишний символ увеличивает стойкость пароля на порядок.

Насколько сложным должен быть пароль зависит от критичности ресурса и частоты смены пароля.

Но как его запомнить? Можно использовать так называемые мнемонические правила для запоминания паролей. Например. Сначала придумайте предложение, которое не имеет никакого смысла и является легким для запоминания. Затем возьмите первые буквы слов этого предложения и добавьте несколько цифр. Достаточно хороший пароль вида “Мс6бсвё1” составлен из первых букв каждого слова следующего бессмысленного предложения: “Мерседес серии 600 был сбит виртуальной ёлкой”.

Заключение

И напоследок, хочу заметить, что система парольной защиты является надёжной и оправданной лишь в комплексе с другими мерами защиты, которые включают как организационные меры — практику периодической смены паролей, и внеочередной смены при компрометации пароля, либо увольнении (переводе в другое подразделение) сотрудника имевшему доступ к паролю. Задание числа паролей, которые пользователь должен сменить, прежде чем сможет повторить ранее использовавшийся и задание периода между возможностью смены пароля — чтоб он не поменял его тут же на старый. А также ряда мер «непарольных»:

  • не помешает использование вместе с паролем альтернативных средства аутентификации: по смарт-картам, touch memory, «токинам», биометрической аутентификации (по отпечатку пальца) и пр. Это так называемая двухфакторная защита, при которой надёжность всей системы резко увеличивается.;
  • разграничение прав доступа к ресурсам — если к ресурсам можно получить доступ в обход пароля — защита теряет смысл;
  • антивирусная политика;
  • своевременное обновление компонентов безопасности системы;
  • физическая защита информационных ресурсов, может быть даже прикрепление учётных записей пользователей к машинам, блокировка доступа учётной записи к системе на время отпуска, болезни или командировки владельца, блокировка при 3-х неверных попытках ввода пароля — глупо защищать систему программно, когда каждый желающий может снять жёсткий диск и получить с него любую интересующую его информацию;

Не следует, конечно, доходить до абсурда, подобного тому, как некоторое время назад в СМИ было сообщение о том, что директор норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом, и умершему несколько лет тому назад.

И конечно же человеческий фактор — грамотные, обученные, честные и ответственные специалисты — краеугольный камень безопасности, впрочем, как и любой другой области человеческой деятельности.

За основу текста взяты статья «”Слабые” пароли» авторства Black Prince (Werewolf) и статья Тодурова А. — «Пароль — иллюзия или защита»
Правки и дополнения — мои, 2006.

интересные мысли об организации парольной защиты можно найти здесь мой вариант инструкции по организации парольной защиты здесь

Часто пароли приходится набирать на глазах, и необходимо довести до автоматизма набор нового пароля. Важно: пароль должен слетать с пальцев. Для информации: многие пианисты могут высмотреть даже такие пароли. картиночные цифры как защита от подбора паролей роботами фон монитора, снятие инфы с электроники, звук нажатия клавиш, видеонаблюдение Сквозная аутентификация: -Account Authentication -Microsoft Passport -OpenID примеры писем fishing (сколько народу попалось) ICQ, FTP в открытом виде
автор пока неизвестен

Все картинки



Приколы и факты:
А пароль свой я даже маме не показываю!
Все приколы и факты
 
Web href.katka.ru
сайт создан Михаилом Носковым в 2006—2009 годах Сборник документов и материалов в помощь системному администратору