From: Бочкарев Денис <sf_at_tatneft_dot_ru>
Date: Mon, 11 Jan 2006 14:31:37 +0000 (UTC)
Subject: Ликбез по придумыванию и использованию паролей для начинающих
Shelter - школа выживания: пароли. (rev2. 21.12.2005)
Вступление
Пароли - самый распространенный метод аутентификации в различных
технологиях, включая веб. Ежедневный сетевой серфинг предполагает
использование нескольких комбинаций логин/пароль: это регистрационные
формы и средства авторизации форумов, сервисов и различных сетевых
приложений. Вдумчивый подход при выборе паролей важен как рядовому
пользователю, так и администратору, т.к. парольная защита - один из
самых надежных методов сохранения конфиденциальной информации, но только
в сочетании с дополнительными методами защиты и комплексным подходом к
вопросу безопасности данных вообще. Существует множество угроз
конфиденциальности, но у вас есть шансы свести их к минимуму.
Важно: удобство и безопасность - взаимоисключающие вещи, вы должны
найти компромисс.
Ситуация такова, что большинство людей используют в качестве паролей
простые комбинации символов: короткие слова и комбинации цифр, имена
своих детей, супругов и родственников. Во многих случаях, паролем
является дата рождения, номер телефона, название монитора или пароль
совпадает с регистрационным именем. Забывчивые пользователи записывают
пароли на стиках, которые потом приклеивают к монитору или системному
блоку, пишут карандашом на мониторе или клавиатуре. В таком случае
взломать даже самый сложный пароль не составит никакого труда. Во многих
корпоративных приложения в качестве логинов и паролей частично
используются инициалы работников, различные внутренние коды структурных
подразделений или иные символы, связанные со спецификой предприятия.
Большинство пользователей не меняют пароль, если им об этом не
напоминают или не принуждают системные администраторы.
Итог не утешительный: большинство паролей не имеют должной стойкости к
вскрытию и могут быть взломаны.
Важно: если, прочитав этот абзац, вы узнали себя или своих
пользователей, знайте, что вашу информацию могут легко украсть.
Дальше следует читать только тем, кто хочет этого избежать.
Пользователю
Изучение атак на системы авторизации и анализ различных систем
криптографии подводит нас к простым истинам, которыми я с вами и делюсь.
Прежде всего, давайте уясним, чего делать нельзя и какие пароли следует
использовать.
Избитая истина, нельзя использовать в качестве паролей свои имена и
фамилии, имена ваших родственников, номера телефонов, даты рождения и
другую информацию, которая может быть косвенно получена средствами
социальной инженерии.
Примечание: в нашем случае, под социальной инженерией следует
понимать действия, направленные на получение информации у легального
пользователя защищенной системы, которая может способствовать
прохождению защиты этой системы.
В качестве паролей нельзя использовать простые последовательности и
одинаковые повторяющиеся символы. Да, такие пароли, как qwerty, 0000,
asd, 123456 и т.д., легко запоминать, но их можно и легко подобрать.
В качестве паролей не рекомендуется использовать естественные слова,
т.е. такие, которые есть в словаре и используются в разговорной речи.
Важно: нежелательно предоставлять свои учетные записи третьему
лицу, и если вы вынуждены так поступить, всегда меняйте пароль после
этого.
Пароль не должен быть короче 8-и символов. Это важно. Оптимально - 9,10
символов. Пароль должен содержать символы нижнего и верхнего регистров,
а также один или несколько дополнительных символов. Другими словами, в
пароле должны быть и маленькие и большие буквы, плюс всякие звездочки,
решеточки и т.д. Примеры хороших паролей: Alwk@_la#, _p^ss_19_* и т.д.
Пароли следует менять время от времени. Косвенными причинами для этого
могут быть подозрения в наличии вредоносной программы на вашем
компьютере, утечка информации. В любом случае, раз в год менять пароли
обязательно.
Важно: никогда не используйте одинаковые пароли для разных
проектов.
Советы не делают нашу жизнь легче и удобней, но можно значительно
упростить запоминание сложных паролей и использовать их рационально.
Как? Читайте ниже.
Общая стратегия использования паролей
Соблюдая вышеизложенные требования, мы получим пароли, которые очень
трудно запомнить. У любого нормального пользователя сработает
рефлекс стика - пароль будет красоваться на мониторе. Давайте
подумаем, как этого избежать. Для начала можно взять за основу пароля
простоее слово, не привязанные к вашим данным и окружению. Берем для
примера system - запомнить очень легко. Дальше разобьем слово вставками
специальных символов - sys@tem_01. Этот пароль легко запомнить и он
почти полностью соответствует всем правилам задания паролей. Для
пользователя подобный уровень сложности достаточен, плюс, он очень легко
и быстро набирается: большинство соседствующих символов находятся в
разных частях клавиатуры. Если немного усложнить, то получится
sy#@tem_01.
Часто пароли приходится набирать в окружении других людей, и набор
необходимо довести до автоматизма.
Важно: пароль должен слетать с пальцев. Для информации: многие
пианисты и внимательные люди могут высмотреть пароль даже в такой
ситуации.
Хорошим решением будет использование в качестве паролей русских слов,
набранных в английской раскладке. Хорошим, но не совсем, т.к. есть
словари и методы прямого перебора (brute-force) подобных паролей.
Существуют много программ, генерирующих надежные пароли. На первый
взгляд это отличное решение, но только на первый. Да, взлом созданных
такой программой паролей очень труден при прямой атаке, но в игру
вступают другие факторы. Самые очевидные: сложность запоминания вызовет
у человека рефлекс стика, с пальцев слетать такой пароль не будет, да и
отторжение чужой комбинации имеет место.
Совет: для выбора паролей напрягайте извилины, а не генераторы
паролей.
Теперь о количестве паролей. Придумывать каждый раз новые пароли,
посещая разные ресурсы, возможно, но неудобно. Из личной практики могу
сказать, что достаточно одновременно использовать три-четырех связки
логинов-паролей разного уровня сложности и применения. Самый сложный
пароль ставится на системные ресурсы - сервера и активное сетевое
оборудование. Далее - на персональное рабочее место и непосредственно
клиентские средства доступа к серверным приложениям. Следующий уровень -
это надежные ресурсы, в которых я уверен: сюда может входить
ограниченное число сайтов, требующих регистрацию, форумов и т.п. Ну и
последний уровень - не trusted ресурсы.
Если вы поставите на форуме пароль одинаковый с корпоративной почтой, вы
должны быть уверены в честности администраторов этого форума.
Следует группировать применение одинаковых паролей по типам приложений и
уровню ожидаемой конфиденциальности. Например, не следует применять
пароль, который вы используете для доступа к корпоративному почтовому
или прокси-аккаунту, где-либо еще. Важные приложениям - уникальные
пароли.
Многие клиентские приложения сохраняют пароли в явном или зашифрованном
виде локально на вашем комьпютере. Для их сохранности необходимо быть
уверенным, что ваша система не содержит трояны, руткиты и шпионские
программы. Полной гарантии их отсутствия не будет никогда, но
обязательное наличие хорошего антивируса, антишпионской программы и
культура поведения в сети должны присутствовать. Если вы начинающий
пользователь, и плохо разбираетесь в компьютерах, то следуйте следующим
правилам: не устанавливайте самостоятельно ПО, не загружайте исполняемые
файлы с интернета, проверяйте все загружаемые файлы антивирусом,
регулярно обновляйте антивирус, не посещайте сомнительные ресурсы в
сети, внимательно читайте все сообщения на экране и действуйте из
принципа "нет, мне ничего не нужно, отмена".
Важно: знайте, что ваши пароли, могут быть использованы против
вас.
Трудно представить пользователя, который соблюдает все эти правила, но
очень плохо, если их не соблюдает администратор.
Администратору
Все, что написано выше касается и администраторов. Если пользователи
имеют небезопасные пароли, все остальные принимаемые меры защиты могут
оказаться неэффективными.
Главная задача администратора - разработать мероприятия и внедрить
технологии правильного использования и хранения паролей.
Используйте дополнительные программные средства для контроля
используемых паролей, задача - выявить слабые пароли до того, как это
сделают другие. Ограничение, налагаемое утилитой passwd на длину пароля
и сравнение по компактному словарю недостаточно эффективно. Единственной
возможностью убедиться, что пользователи не используют легко подбираемые
пароли - это попытаться взломать их самому. Сделать это можно с помощью
двух утилит: Сrack и John the Ripper.
По умолчанию, пароли в большинстве unix системах не устаревают. Одним из
обязательных правил обеспечения безопасности паролей является требование
частоты смены паролей, с заданным администратором сроком действия.
Обязательно изучите login.conf своей системы, и настройте работу
соответствующим образом.
Важно: будьте бдительны, не полагайте, что пользователи
благоразумны, и сами сделают все правильно. Они всегда будут доставлять
хлопоты, и создавать угрозы безопасности. Ваша задача сделать их работу
приемлемо комфортной, но безопасной.
Администратору современного веб ресурса следует использовать более
изощренную технику. Особенно это касается, если ваш проект хостится на
сервере, рядом со множеством других проектов. Следует применять практику
перекрестных паролей, т.е. защищать административные директории как
средствами аутентификации самого веб приложения (форум, CMS и т.д.), так
и средствами аутинтефикации apache. Пароли должны быть разными, в таком
случае, если злоумышленник воспользуется дырой в софте, то его,
возможно, сможет остановить apache. В конфигурационных файлах приложений
php/asp/perl используйте уникальные имена-пароли для доступа к базам
данных.
Администратору популярного веб ресурса следует проявлять осторожность
при посещении сомнительных сайтов. Высока вероятность направленной атаки
путем подмены содержания части посещаемого ресурса с целью проникновения
на ваш компьютер. Необходимо более тщательно отнестись к выбору браузера
и его настройкам.
Вас не должна волновать проблема удаленного подбора ваших паролей на
сервисах, т.к. если вы следовали советам и выбрали стойкий к вскрытию
пароль, то на его удаленный подбор потребуются годы и десятилетия. Более
того, грамотный администратор настроит работу ключевых сервисов так, что
логиниться будет возможно только с доверенных хостов и доменов, а все
пароли будут передаваться по сети в зашифрованном виде.
Существует еще несколько различных важных аспектов темы использования
паролей, но раскрытие всех сторон может вылиться в длинное
повествование.
Ссылки по теме
http://passcracking.com - MD5 Online Cracking. This project is
dedicated to crack md5 hashes online through web interface. At the
moment we can crack md5 hashes in this character range: a-z;0-9 [8]
which means we can break almost all hashes (99.56%) which are created
from lowercase plaintext with letters and/or digits up to length of 8
characters.
http://www.securitylab.ru - разделы: Софт, Подбор паролей,
Кодирование и Шифрование, Идентификация.
http://packetstormsecurity.org - раздел Assessment, Program and
Password Cracking.
679 Прочтений • [Ликбез по придумыванию и использованию паролей для начинающих (password)] [08.05.2012] [Комментариев: 0]