- Registrado
- 9 Nov 2009
- Mensajes
- 199
- Puntuación de reacción
- 5
- Puntos
- 38
- Ubicación
- Украина, г.Харьков
- Sitio web
- iapd.info
Los estudios demuestran que aproximadamente el 40% de todos los usuarios eligen contraseñas que son fáciles de adivinar automáticamente. Las contraseñas fácilmente adivinadas (123, admin) se consideran débiles y vulnerables.
Las contraseñas que son muy difíciles o imposibles de adivinar se consideran más persistentes. Algunas fuentes recomiendan usar contraseñas generadas en hashes persistentes como MD5, SHA-1 de secuencias pseudoaleatorias ordinarias.
Las peores contraseñas
SplashData, una compañía de información de seguridad, produjo en noviembre de 2011 una "calificación de las 25 contraseñas más débiles de 2011", basada en una lista de millones de contraseñas reales robadas por piratas informáticos y publicadas en Internet. El "Top 25" SplashData estaba compuesto de lo siguiente:
contraseña
123456,
12345678,
QWERTY
abc123,
mono
1234567,
Déjame entrar,
trustno1,
continuar
béisbol
once,
Te quiero,
Maestro
Brillo Solar
ashley
muralla exterior,
passw0rd,
sombra
123123,
654321,
superhombre
qazwsx,
michael y
fútbol americano.
Para evitar que su contraseña aparezca en una "lista de vergüenza", SplashData recomienda inventar contraseñas seguras que contengan letras, números y caracteres especiales, y si le resulta difícil recordarlas, puede usar frases significativas en las que los espacios se reemplacen con el signo "_". No se recomienda usar la misma contraseña en todos los servicios en línea. También puede usar los servicios de un sistema de administración de contraseñas, por ejemplo, LastPass, Roboform, eWallet, SplashID o KeePass gratuito. Estos sistemas pueden "recordar" muchas contraseñas para cualquier usuario dificultades.
Hackear contraseñas de computadora
La piratería de contraseñas es uno de los tipos de ataques más comunes en los sistemas de información que usan autenticación de contraseña o nombre de usuario-contraseña. La esencia del ataque es tomar la contraseña del atacante de un usuario que tiene derecho a iniciar sesión en el sistema.
El atractivo del ataque para un atacante es que al recibir con éxito la contraseña, se garantiza que recibirá todos los derechos del usuario cuya cuenta se ha visto comprometida y, además, iniciar sesión con una cuenta existente generalmente causa menos sospechas entre los administradores del sistema.
Técnicamente, un ataque se puede implementar de dos maneras: mediante intentos repetidos de autenticación directa en el sistema, o mediante el análisis de hashes de contraseñas obtenidos de una manera diferente, por ejemplo, interceptando el tráfico.
En este caso, se pueden utilizar los siguientes enfoques:
-Extracción directa. Itera sobre todas las combinaciones posibles de caracteres permitidos en una contraseña.
- Selección de diccionario. El método se basa en el supuesto de que la contraseña utiliza palabras existentes de un idioma o su combinación.
-Método de ingeniería social. Basado en el supuesto de que el usuario usó información personal como contraseña, como su nombre o apellido, fecha de nacimiento, etc.
Criterios de seguridad de contraseña
Basado en los enfoques para llevar a cabo un ataque, uno puede formular criterios para la seguridad de la contraseña.
La contraseña no debe ser demasiado corta, ya que esto hace que sea fácil descifrarla por completo. La longitud mínima más común es de ocho caracteres. Por la misma razón, no debe consistir solo en números.
La contraseña no tiene que ser una palabra del diccionario o una combinación simple de ellas, sino que simplifica su selección en el diccionario.
La contraseña no debe consistir solo en información pública sobre el usuario.
Como recomendación para compilar una contraseña, puede llamar el uso de una combinación de palabras con números y caracteres especiales (#, $, *, etc.), el uso de palabras dispersas o inexistentes, la observancia de la longitud mínima.
Técnicas de defensa de ataque
Los métodos de seguridad se pueden dividir en dos categorías: proporcionar resistencia para descifrar la contraseña en sí misma y evitar la implementación de un ataque. El primer objetivo se puede lograr verificando que la contraseña establecida cumpla con los criterios de complejidad. Para dicha verificación, existen soluciones automatizadas, que generalmente funcionan junto con las utilidades de cambio de contraseña, por ejemplo, cracklib.
El segundo objetivo incluye evitar el hash de la contraseña transmitida y proteger contra intentos repetidos de autenticación en el sistema. Para evitar la intercepción, puede usar canales de comunicación seguros (encriptados). Para complicar la selección de un atacante mediante la autenticación repetida, generalmente imponen un límite en el número de intentos por unidad de tiempo (ejemplo de una herramienta: fail2ban), o solo permiten el acceso desde direcciones confiables.
Las soluciones de autenticación central de extremo a extremo como Red Hat Directory Server o Active Directory ya incluyen herramientas para completar estas tareas.
Las contraseñas que son muy difíciles o imposibles de adivinar se consideran más persistentes. Algunas fuentes recomiendan usar contraseñas generadas en hashes persistentes como MD5, SHA-1 de secuencias pseudoaleatorias ordinarias.
Las peores contraseñas
SplashData, una compañía de información de seguridad, produjo en noviembre de 2011 una "calificación de las 25 contraseñas más débiles de 2011", basada en una lista de millones de contraseñas reales robadas por piratas informáticos y publicadas en Internet. El "Top 25" SplashData estaba compuesto de lo siguiente:
contraseña
123456,
12345678,
QWERTY
abc123,
mono
1234567,
Déjame entrar,
trustno1,
continuar
béisbol
once,
Te quiero,
Maestro
Brillo Solar
ashley
muralla exterior,
passw0rd,
sombra
123123,
654321,
superhombre
qazwsx,
michael y
fútbol americano.
Para evitar que su contraseña aparezca en una "lista de vergüenza", SplashData recomienda inventar contraseñas seguras que contengan letras, números y caracteres especiales, y si le resulta difícil recordarlas, puede usar frases significativas en las que los espacios se reemplacen con el signo "_". No se recomienda usar la misma contraseña en todos los servicios en línea. También puede usar los servicios de un sistema de administración de contraseñas, por ejemplo, LastPass, Roboform, eWallet, SplashID o KeePass gratuito. Estos sistemas pueden "recordar" muchas contraseñas para cualquier usuario dificultades.
Hackear contraseñas de computadora
La piratería de contraseñas es uno de los tipos de ataques más comunes en los sistemas de información que usan autenticación de contraseña o nombre de usuario-contraseña. La esencia del ataque es tomar la contraseña del atacante de un usuario que tiene derecho a iniciar sesión en el sistema.
El atractivo del ataque para un atacante es que al recibir con éxito la contraseña, se garantiza que recibirá todos los derechos del usuario cuya cuenta se ha visto comprometida y, además, iniciar sesión con una cuenta existente generalmente causa menos sospechas entre los administradores del sistema.
Técnicamente, un ataque se puede implementar de dos maneras: mediante intentos repetidos de autenticación directa en el sistema, o mediante el análisis de hashes de contraseñas obtenidos de una manera diferente, por ejemplo, interceptando el tráfico.
En este caso, se pueden utilizar los siguientes enfoques:
-Extracción directa. Itera sobre todas las combinaciones posibles de caracteres permitidos en una contraseña.
- Selección de diccionario. El método se basa en el supuesto de que la contraseña utiliza palabras existentes de un idioma o su combinación.
-Método de ingeniería social. Basado en el supuesto de que el usuario usó información personal como contraseña, como su nombre o apellido, fecha de nacimiento, etc.
Criterios de seguridad de contraseña
Basado en los enfoques para llevar a cabo un ataque, uno puede formular criterios para la seguridad de la contraseña.
La contraseña no debe ser demasiado corta, ya que esto hace que sea fácil descifrarla por completo. La longitud mínima más común es de ocho caracteres. Por la misma razón, no debe consistir solo en números.
La contraseña no tiene que ser una palabra del diccionario o una combinación simple de ellas, sino que simplifica su selección en el diccionario.
La contraseña no debe consistir solo en información pública sobre el usuario.
Como recomendación para compilar una contraseña, puede llamar el uso de una combinación de palabras con números y caracteres especiales (#, $, *, etc.), el uso de palabras dispersas o inexistentes, la observancia de la longitud mínima.
Técnicas de defensa de ataque
Los métodos de seguridad se pueden dividir en dos categorías: proporcionar resistencia para descifrar la contraseña en sí misma y evitar la implementación de un ataque. El primer objetivo se puede lograr verificando que la contraseña establecida cumpla con los criterios de complejidad. Para dicha verificación, existen soluciones automatizadas, que generalmente funcionan junto con las utilidades de cambio de contraseña, por ejemplo, cracklib.
El segundo objetivo incluye evitar el hash de la contraseña transmitida y proteger contra intentos repetidos de autenticación en el sistema. Para evitar la intercepción, puede usar canales de comunicación seguros (encriptados). Para complicar la selección de un atacante mediante la autenticación repetida, generalmente imponen un límite en el número de intentos por unidad de tiempo (ejemplo de una herramienta: fail2ban), o solo permiten el acceso desde direcciones confiables.
Las soluciones de autenticación central de extremo a extremo como Red Hat Directory Server o Active Directory ya incluyen herramientas para completar estas tareas.
Original message
Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
