Studien zeigen, dass etwa 40% aller Benutzer Passwörter wählen, die leicht automatisch zu erraten sind. Leicht zu erratende Passwörter (123, admin) gelten als schwach und anfällig.
Passwörter, die sehr schwer oder unmöglich zu erraten sind, gelten als beständiger. Einige Quellen empfehlen die Verwendung von Passwörtern, die in persistenten Hashes wie MD5, SHA-1 aus gewöhnlichen Pseudozufallssequenzen generiert wurden.
Die schlechtesten Passwörter
SplashData, ein Sicherheitsinformationsunternehmen, hat im November 2011 eine "Bewertung der 25 schwächsten Passwörter des Jahres 2011" erstellt, die auf einer Liste von Millionen von echten Passwörtern basiert, die von Hackern gestohlen und im Internet veröffentlicht wurden. Die "Top 25" SplashData bestanden aus folgenden Elementen:
Passwort
123456,
12345678,
QWERTY
abc123,
Affe
1234567,
Lass mich rein,
trustno1,
Drachen
Baseball
elf,
Ich liebe dich,
Meister
Sonnenschein
Ashley
Bailey,
passw0rd,
Schatten
123123,
654321,
Übermensch
qazwsx,
Michael und
Fußball.
Um zu verhindern, dass Ihr Passwort in einer solchen „Schamliste“ erscheint, empfiehlt SplashData, sichere Passwörter zu erfinden, die Buchstaben, Zahlen und Sonderzeichen enthalten. Wenn Sie sich schwer daran erinnern können, können Sie wichtige Ausdrücke verwenden, in denen Leerzeichen durch das Zeichen „_“ ersetzt werden. Es wird nicht empfohlen, für alle Onlinedienste dasselbe Kennwort zu verwenden. Sie können auch die Dienste eines Kennwortverwaltungssystems verwenden, z. B. LastPass, Roboform, eWallet, SplashID oder kostenloses KeePass. Diese Systeme können sich viele Kennwörter für jeden Benutzer "merken" Schwierigkeiten.
Hacking von Computer-Passwörtern
Passwort-Hacking ist eine der häufigsten Arten von Angriffen auf Informationssysteme, die eine Passwort- oder Benutzername-Passwort-Authentifizierung verwenden. Der Kern des Angriffs besteht darin, das Angreifer-Passwort eines Benutzers zu erfassen, der das Recht hat, sich beim System anzumelden.
Die Attraktivität des Angriffs für einen Angreifer besteht darin, dass nach erfolgreichem Erhalt des Kennworts garantiert wird, dass alle Rechte des Benutzers erhalten werden, dessen Konto kompromittiert wurde. Außerdem führt die Anmeldung bei einem vorhandenen Konto bei Systemadministratoren in der Regel zu weniger Verdacht.
Technisch gesehen kann ein Angriff auf zwei Arten implementiert werden: durch wiederholte Versuche der direkten Authentifizierung im System oder durch Analysieren von Kennwort-Hashes, die auf andere Weise erhalten wurden, beispielsweise durch Abfangen von Datenverkehr.
In diesem Fall können die folgenden Ansätze verwendet werden:
-Direktes Busting. Durchläuft alle möglichen Zeichenkombinationen, die in einem Passwort zulässig sind.
- Wörterbuchauswahl. Die Methode basiert auf der Annahme, dass das Passwort vorhandene Wörter einer Sprache oder deren Kombination verwendet.
-Methode des Social Engineering. Basierend auf der Annahme, dass der Benutzer persönliche Informationen als Passwort verwendet hat, wie z. B. seinen Vor- oder Nachnamen, sein Geburtsdatum usw.
Kriterien für die Kennwortstärke
Basierend auf den Ansätzen zur Durchführung eines Angriffs kann man Kriterien für die Kennwortstärke formulieren.
Das Passwort sollte nicht zu kurz sein, da dies das vollständige Knacken erleichtert. Die häufigste Mindestlänge beträgt acht Zeichen. Aus dem gleichen Grund sollte es nicht nur aus Zahlen bestehen.
Das Passwort muss kein Wörterbuchwort oder eine einfache Kombination davon sein, es vereinfacht die Auswahl im Wörterbuch.
Das Passwort sollte nicht nur aus öffentlichen Informationen über den Benutzer bestehen.
Als Empfehlung für die Erstellung eines Passworts können Sie die Verwendung einer Kombination von Wörtern mit Zahlen und Sonderzeichen (#, $, * usw.), die Verwendung von spärlichen oder nicht vorhandenen Wörtern und die Einhaltung der Mindestlänge nennen.
Angriffsabwehrtechniken
Sicherheitsmethoden können in zwei Kategorien unterteilt werden: Schutz gegen das Knacken des Kennworts selbst und Verhinderung der Implementierung eines Angriffs. Das erste Ziel kann erreicht werden, indem das festgelegte Passwort auf Übereinstimmung mit den Komplexitätskriterien überprüft wird. Für eine solche Überprüfung gibt es automatisierte Lösungen, die normalerweise in Verbindung mit Dienstprogrammen zum Ändern von Kennwörtern arbeiten, z. B. cracklib.
Das zweite Ziel besteht darin, den Hash des übertragenen Kennworts zu verhindern und vor wiederholten Authentifizierungsversuchen im System zu schützen. Um ein Abfangen zu verhindern, können Sie sichere (verschlüsselte) Kommunikationskanäle verwenden. Um die Auswahl eines Angreifers durch wiederholte Authentifizierung zu erschweren, wird normalerweise die Anzahl der Versuche pro Zeiteinheit begrenzt (Beispiel für ein Tool: fail2ban) oder der Zugriff nur von vertrauenswürdigen Adressen aus zugelassen.
End-to-End-Lösungen für die zentrale Authentifizierung wie Red Hat Directory Server oder Active Directory enthalten bereits Tools zur Ausführung dieser Aufgaben.
Passwörter, die sehr schwer oder unmöglich zu erraten sind, gelten als beständiger. Einige Quellen empfehlen die Verwendung von Passwörtern, die in persistenten Hashes wie MD5, SHA-1 aus gewöhnlichen Pseudozufallssequenzen generiert wurden.
Die schlechtesten Passwörter
SplashData, ein Sicherheitsinformationsunternehmen, hat im November 2011 eine "Bewertung der 25 schwächsten Passwörter des Jahres 2011" erstellt, die auf einer Liste von Millionen von echten Passwörtern basiert, die von Hackern gestohlen und im Internet veröffentlicht wurden. Die "Top 25" SplashData bestanden aus folgenden Elementen:
Passwort
123456,
12345678,
QWERTY
abc123,
Affe
1234567,
Lass mich rein,
trustno1,
Drachen
Baseball
elf,
Ich liebe dich,
Meister
Sonnenschein
Ashley
Bailey,
passw0rd,
Schatten
123123,
654321,
Übermensch
qazwsx,
Michael und
Fußball.
Um zu verhindern, dass Ihr Passwort in einer solchen „Schamliste“ erscheint, empfiehlt SplashData, sichere Passwörter zu erfinden, die Buchstaben, Zahlen und Sonderzeichen enthalten. Wenn Sie sich schwer daran erinnern können, können Sie wichtige Ausdrücke verwenden, in denen Leerzeichen durch das Zeichen „_“ ersetzt werden. Es wird nicht empfohlen, für alle Onlinedienste dasselbe Kennwort zu verwenden. Sie können auch die Dienste eines Kennwortverwaltungssystems verwenden, z. B. LastPass, Roboform, eWallet, SplashID oder kostenloses KeePass. Diese Systeme können sich viele Kennwörter für jeden Benutzer "merken" Schwierigkeiten.
Hacking von Computer-Passwörtern
Passwort-Hacking ist eine der häufigsten Arten von Angriffen auf Informationssysteme, die eine Passwort- oder Benutzername-Passwort-Authentifizierung verwenden. Der Kern des Angriffs besteht darin, das Angreifer-Passwort eines Benutzers zu erfassen, der das Recht hat, sich beim System anzumelden.
Die Attraktivität des Angriffs für einen Angreifer besteht darin, dass nach erfolgreichem Erhalt des Kennworts garantiert wird, dass alle Rechte des Benutzers erhalten werden, dessen Konto kompromittiert wurde. Außerdem führt die Anmeldung bei einem vorhandenen Konto bei Systemadministratoren in der Regel zu weniger Verdacht.
Technisch gesehen kann ein Angriff auf zwei Arten implementiert werden: durch wiederholte Versuche der direkten Authentifizierung im System oder durch Analysieren von Kennwort-Hashes, die auf andere Weise erhalten wurden, beispielsweise durch Abfangen von Datenverkehr.
In diesem Fall können die folgenden Ansätze verwendet werden:
-Direktes Busting. Durchläuft alle möglichen Zeichenkombinationen, die in einem Passwort zulässig sind.
- Wörterbuchauswahl. Die Methode basiert auf der Annahme, dass das Passwort vorhandene Wörter einer Sprache oder deren Kombination verwendet.
-Methode des Social Engineering. Basierend auf der Annahme, dass der Benutzer persönliche Informationen als Passwort verwendet hat, wie z. B. seinen Vor- oder Nachnamen, sein Geburtsdatum usw.
Kriterien für die Kennwortstärke
Basierend auf den Ansätzen zur Durchführung eines Angriffs kann man Kriterien für die Kennwortstärke formulieren.
Das Passwort sollte nicht zu kurz sein, da dies das vollständige Knacken erleichtert. Die häufigste Mindestlänge beträgt acht Zeichen. Aus dem gleichen Grund sollte es nicht nur aus Zahlen bestehen.
Das Passwort muss kein Wörterbuchwort oder eine einfache Kombination davon sein, es vereinfacht die Auswahl im Wörterbuch.
Das Passwort sollte nicht nur aus öffentlichen Informationen über den Benutzer bestehen.
Als Empfehlung für die Erstellung eines Passworts können Sie die Verwendung einer Kombination von Wörtern mit Zahlen und Sonderzeichen (#, $, * usw.), die Verwendung von spärlichen oder nicht vorhandenen Wörtern und die Einhaltung der Mindestlänge nennen.
Angriffsabwehrtechniken
Sicherheitsmethoden können in zwei Kategorien unterteilt werden: Schutz gegen das Knacken des Kennworts selbst und Verhinderung der Implementierung eines Angriffs. Das erste Ziel kann erreicht werden, indem das festgelegte Passwort auf Übereinstimmung mit den Komplexitätskriterien überprüft wird. Für eine solche Überprüfung gibt es automatisierte Lösungen, die normalerweise in Verbindung mit Dienstprogrammen zum Ändern von Kennwörtern arbeiten, z. B. cracklib.
Das zweite Ziel besteht darin, den Hash des übertragenen Kennworts zu verhindern und vor wiederholten Authentifizierungsversuchen im System zu schützen. Um ein Abfangen zu verhindern, können Sie sichere (verschlüsselte) Kommunikationskanäle verwenden. Um die Auswahl eines Angreifers durch wiederholte Authentifizierung zu erschweren, wird normalerweise die Anzahl der Versuche pro Zeiteinheit begrenzt (Beispiel für ein Tool: fail2ban) oder der Zugriff nur von vertrauenswürdigen Adressen aus zugelassen.
End-to-End-Lösungen für die zentrale Authentifizierung wie Red Hat Directory Server oder Active Directory enthalten bereits Tools zur Ausführung dieser Aufgaben.
Original message
Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
