- Joined
- Nov 9, 2009
- Messages
- 199
- Reaction score
- 5
- Points
- 38
- Location
- Украина, г.Харьков
- Website
- iapd.info
Studies show that about 40% of all users choose passwords that are easy to guess automatically. Easily guessed passwords (123, admin) are considered weak and vulnerable.
Passwords that are very difficult or impossible to guess are considered more durable. Some sources recommend using passwords generated on persistent hashes like MD5, SHA-1 from ordinary pseudorandom sequences.
The worst passwords
SplashData, a security information company, produced in November 2011 a "rating of the 25 weakest passwords of 2011," based on a list of millions of real passwords stolen by hackers and published on the Internet. The "Top 25" SplashData was composed of the following:
password
123456,
12345678,
qwerty
abc123,
monkey
1234567,
letmein,
trustno1,
dragon
baseball
eleven,
I love you,
master
sunshine
ashley
bailey,
passw0rd,
shadow
123123,
654321,
superman
qazwsx,
michael and
football.
To prevent your password from appearing in such a “shame list”, SplashData recommends inventing strong passwords containing letters, numbers and special characters, and if you find it difficult to remember, you can use significant phrases in which spaces are replaced by the “_” sign. It is not recommended to use the same password on all online services.You can also use the services of any password management system, for example, LastPass, Roboform, eWallet, SplashID or free KeePass. These systems can "remember" a lot of passwords for any user difficulties.
Hacking computer passwords
Password hacking is one of the most common types of attacks on information systems that use password or username-password authentication. The essence of the attack is to seize the attacker password of a user who has the right to log into the system.
The attractiveness of the attack for an attacker is that upon successful receipt of the password, it is guaranteed to receive all the rights of the user whose account has been compromised, and besides, logging into an existing account usually causes less suspicion among system administrators.
Technically, an attack can be implemented in two ways: by repeated attempts of direct authentication in the system, or by analyzing password hashes obtained in a different way, for example, by intercepting traffic.
In this case, the following approaches can be used:
-Direct busting. Iterates over all possible combinations of characters allowed in a password.
- Dictionary selection. The method is based on the assumption that the password uses existing words of a language or their combination.
-Method of social engineering. Based on the assumption that the user used personal information as a password, such as his name or surname, date of birth, etc.
Password strength criteria
Based on the approaches to carrying out an attack, one can formulate criteria for password strength to it.
The password should not be too short, as this makes it easy to crack it completely. The most common minimum length is eight characters. For the same reason, it should not consist of numbers alone.
The password does not have to be a dictionary word or a simple combination of them, it simplifies its selection in the dictionary.
The password should not consist only of public information about the user.
As a recommendation for compiling a password, you can call the use of a combination of words with numbers and special characters (#, $, *, etc.), the use of sparsely or non-existent words, the observance of the minimum length.
Attack Defense Techniques
Security methods can be divided into two categories: providing resistance to cracking the password itself, and preventing the implementation of an attack. The first goal can be achieved by checking the set password for compliance with the complexity criteria. For such verification, there are automated solutions, usually working in conjunction with password changing utilities, for example, cracklib.
The second goal includes preventing the hash of the transmitted password and protecting against repeated authentication attempts in the system. To prevent interception, you can use secure (encrypted) communication channels. To complicate an attacker’s selection by repeated authentication, they usually impose a limit on the number of attempts per time unit (example of a tool: fail2ban), or only allow access from trusted addresses.
End-to-end central authentication solutions such as Red Hat Directory Server or Active Directory already include tools to complete these tasks.
Passwords that are very difficult or impossible to guess are considered more durable. Some sources recommend using passwords generated on persistent hashes like MD5, SHA-1 from ordinary pseudorandom sequences.
The worst passwords
SplashData, a security information company, produced in November 2011 a "rating of the 25 weakest passwords of 2011," based on a list of millions of real passwords stolen by hackers and published on the Internet. The "Top 25" SplashData was composed of the following:
password
123456,
12345678,
qwerty
abc123,
monkey
1234567,
letmein,
trustno1,
dragon
baseball
eleven,
I love you,
master
sunshine
ashley
bailey,
passw0rd,
shadow
123123,
654321,
superman
qazwsx,
michael and
football.
To prevent your password from appearing in such a “shame list”, SplashData recommends inventing strong passwords containing letters, numbers and special characters, and if you find it difficult to remember, you can use significant phrases in which spaces are replaced by the “_” sign. It is not recommended to use the same password on all online services.You can also use the services of any password management system, for example, LastPass, Roboform, eWallet, SplashID or free KeePass. These systems can "remember" a lot of passwords for any user difficulties.
Hacking computer passwords
Password hacking is one of the most common types of attacks on information systems that use password or username-password authentication. The essence of the attack is to seize the attacker password of a user who has the right to log into the system.
The attractiveness of the attack for an attacker is that upon successful receipt of the password, it is guaranteed to receive all the rights of the user whose account has been compromised, and besides, logging into an existing account usually causes less suspicion among system administrators.
Technically, an attack can be implemented in two ways: by repeated attempts of direct authentication in the system, or by analyzing password hashes obtained in a different way, for example, by intercepting traffic.
In this case, the following approaches can be used:
-Direct busting. Iterates over all possible combinations of characters allowed in a password.
- Dictionary selection. The method is based on the assumption that the password uses existing words of a language or their combination.
-Method of social engineering. Based on the assumption that the user used personal information as a password, such as his name or surname, date of birth, etc.
Password strength criteria
Based on the approaches to carrying out an attack, one can formulate criteria for password strength to it.
The password should not be too short, as this makes it easy to crack it completely. The most common minimum length is eight characters. For the same reason, it should not consist of numbers alone.
The password does not have to be a dictionary word or a simple combination of them, it simplifies its selection in the dictionary.
The password should not consist only of public information about the user.
As a recommendation for compiling a password, you can call the use of a combination of words with numbers and special characters (#, $, *, etc.), the use of sparsely or non-existent words, the observance of the minimum length.
Attack Defense Techniques
Security methods can be divided into two categories: providing resistance to cracking the password itself, and preventing the implementation of an attack. The first goal can be achieved by checking the set password for compliance with the complexity criteria. For such verification, there are automated solutions, usually working in conjunction with password changing utilities, for example, cracklib.
The second goal includes preventing the hash of the transmitted password and protecting against repeated authentication attempts in the system. To prevent interception, you can use secure (encrypted) communication channels. To complicate an attacker’s selection by repeated authentication, they usually impose a limit on the number of attempts per time unit (example of a tool: fail2ban), or only allow access from trusted addresses.
End-to-end central authentication solutions such as Red Hat Directory Server or Active Directory already include tools to complete these tasks.
Original message
Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
