- Inscrit
- 9 Nov. 2009
- messages
- 199
- Score de réaction
- 5
- Points
- 38
- Localisation
- Украина, г.Харьков
- Site web
- iapd.info
Des études montrent qu'environ 40% de tous les utilisateurs choisissent des mots de passe faciles à deviner automatiquement. Les mots de passe facilement devinés (123, admin) sont considérés comme faibles et vulnérables.
Les mots de passe très difficiles ou impossibles à deviner sont considérés comme plus persistants. Certaines sources recommandent d'utiliser des mots de passe générés sur des hachages persistants comme MD5, SHA-1 à partir de séquences pseudo-aléatoires ordinaires.
Les pires mots de passe
SplashData, une société d'informations sur la sécurité, a produit en novembre 2011 une "note des 25 mots de passe les plus faibles de 2011", sur la base d'une liste de millions de mots de passe réels volés par des pirates et publiés sur Internet. Le SplashData "Top 25" était composé des éléments suivants:
mot de passe
123456,
12345678,
qwerty
abc123,
singe
1234567,
laisse moi entrer,
trustno1,
dragon
base-ball
Onze,
Je t'aime,
Maître
ensoleillement
ashley
bailey,
passw0rd,
ombre
123123,
654321,
Superman
qazwsx,
michael et
Football.
Pour éviter que votre mot de passe n'apparaisse dans une telle "liste de honte", SplashData recommande d'inventer des mots de passe forts contenant des lettres, des chiffres et des caractères spéciaux, et si vous avez du mal à vous en souvenir, vous pouvez utiliser des phrases importantes dans lesquelles les espaces sont remplacés par le signe "_". Il n'est pas recommandé d'utiliser le même mot de passe sur tous les services en ligne, vous pouvez également utiliser les services d'un système de gestion de mot de passe, par exemple LastPass, Roboform, eWallet, SplashID ou KeePass gratuit. des difficultés.
Piratage de mots de passe informatiques
Le piratage de mot de passe est l'un des types d'attaques les plus courants contre les systèmes d'information qui utilisent l'authentification par mot de passe ou nom d'utilisateur-mot de passe. L'essence de l'attaque est de saisir le mot de passe de l'attaquant d'un utilisateur qui a le droit de se connecter au système.
L'attrait de l'attaque pour un attaquant est que lors de la réception réussie du mot de passe, il est garanti de recevoir tous les droits de l'utilisateur dont le compte a été compromis, et en outre, la connexion avec un compte existant provoque généralement moins de suspicion chez les administrateurs système.
Techniquement, une attaque peut être mise en œuvre de deux manières: par des tentatives répétées d'authentification directe dans le système, ou par l'analyse de hachages de mots de passe obtenus de manière différente, par exemple, en interceptant du trafic.
Dans ce cas, les approches suivantes peuvent être utilisées:
- Busting direct. Itère toutes les combinaisons possibles de caractères autorisées dans un mot de passe.
- Sélection du dictionnaire. La méthode est basée sur l'hypothèse que le mot de passe utilise des mots existants d'une langue ou leur combinaison.
-Méthode d'ingénierie sociale. En supposant que l'utilisateur a utilisé des informations personnelles comme mot de passe, telles que son nom ou prénom, sa date de naissance, etc.
Critères de force du mot de passe
Sur la base des approches pour mener une attaque, on peut formuler des critères de force de mot de passe pour celle-ci.
Le mot de passe ne doit pas être trop court, car cela le rend facile à déchiffrer complètement. La longueur minimale la plus courante est de huit caractères. Pour la même raison, il ne doit pas être composé uniquement de chiffres.
Le mot de passe ne doit pas nécessairement être un mot du dictionnaire ou une simple combinaison de ceux-ci, il simplifie sa sélection dans le dictionnaire.
Le mot de passe ne doit pas être composé uniquement d'informations publiques sur l'utilisateur.
Comme recommandation pour un mot de passe, vous pouvez appeler l'utilisation d'une combinaison de mots avec des chiffres et des caractères spéciaux (#, $, *, etc.), l'utilisation de mots qui ne sont pas répandus ou inexistants, et que la longueur minimale est conservée.
Techniques de défense contre les attaques
Les méthodes de sécurité peuvent être divisées en deux catégories: fournir une résistance à la fissuration du mot de passe lui-même et empêcher la mise en œuvre d'une attaque. Le premier objectif peut être atteint en vérifiant la conformité du mot de passe défini avec les critères de complexité. Pour une telle vérification, il existe des solutions automatisées, fonctionnant généralement en conjonction avec des utilitaires de changement de mot de passe, par exemple, cracklib.
Le deuxième objectif comprend la prévention du hachage du mot de passe transmis et la protection contre les tentatives d'authentification répétées dans le système. Pour empêcher l'interception, vous pouvez utiliser des canaux de communication sécurisés (cryptés). Pour compliquer la sélection d'un attaquant par une authentification répétée, ils imposent généralement une limite au nombre de tentatives par unité de temps (exemple d'un outil: fail2ban), ou en autorisant l'accès uniquement à partir d'adresses de confiance.
Les solutions d'authentification centrale de bout en bout telles que Red Hat Directory Server ou Active Directory incluent déjà des outils pour effectuer ces tâches.
Les mots de passe très difficiles ou impossibles à deviner sont considérés comme plus persistants. Certaines sources recommandent d'utiliser des mots de passe générés sur des hachages persistants comme MD5, SHA-1 à partir de séquences pseudo-aléatoires ordinaires.
Les pires mots de passe
SplashData, une société d'informations sur la sécurité, a produit en novembre 2011 une "note des 25 mots de passe les plus faibles de 2011", sur la base d'une liste de millions de mots de passe réels volés par des pirates et publiés sur Internet. Le SplashData "Top 25" était composé des éléments suivants:
mot de passe
123456,
12345678,
qwerty
abc123,
singe
1234567,
laisse moi entrer,
trustno1,
dragon
base-ball
Onze,
Je t'aime,
Maître
ensoleillement
ashley
bailey,
passw0rd,
ombre
123123,
654321,
Superman
qazwsx,
michael et
Football.
Pour éviter que votre mot de passe n'apparaisse dans une telle "liste de honte", SplashData recommande d'inventer des mots de passe forts contenant des lettres, des chiffres et des caractères spéciaux, et si vous avez du mal à vous en souvenir, vous pouvez utiliser des phrases importantes dans lesquelles les espaces sont remplacés par le signe "_". Il n'est pas recommandé d'utiliser le même mot de passe sur tous les services en ligne, vous pouvez également utiliser les services d'un système de gestion de mot de passe, par exemple LastPass, Roboform, eWallet, SplashID ou KeePass gratuit. des difficultés.
Piratage de mots de passe informatiques
Le piratage de mot de passe est l'un des types d'attaques les plus courants contre les systèmes d'information qui utilisent l'authentification par mot de passe ou nom d'utilisateur-mot de passe. L'essence de l'attaque est de saisir le mot de passe de l'attaquant d'un utilisateur qui a le droit de se connecter au système.
L'attrait de l'attaque pour un attaquant est que lors de la réception réussie du mot de passe, il est garanti de recevoir tous les droits de l'utilisateur dont le compte a été compromis, et en outre, la connexion avec un compte existant provoque généralement moins de suspicion chez les administrateurs système.
Techniquement, une attaque peut être mise en œuvre de deux manières: par des tentatives répétées d'authentification directe dans le système, ou par l'analyse de hachages de mots de passe obtenus de manière différente, par exemple, en interceptant du trafic.
Dans ce cas, les approches suivantes peuvent être utilisées:
- Busting direct. Itère toutes les combinaisons possibles de caractères autorisées dans un mot de passe.
- Sélection du dictionnaire. La méthode est basée sur l'hypothèse que le mot de passe utilise des mots existants d'une langue ou leur combinaison.
-Méthode d'ingénierie sociale. En supposant que l'utilisateur a utilisé des informations personnelles comme mot de passe, telles que son nom ou prénom, sa date de naissance, etc.
Critères de force du mot de passe
Sur la base des approches pour mener une attaque, on peut formuler des critères de force de mot de passe pour celle-ci.
Le mot de passe ne doit pas être trop court, car cela le rend facile à déchiffrer complètement. La longueur minimale la plus courante est de huit caractères. Pour la même raison, il ne doit pas être composé uniquement de chiffres.
Le mot de passe ne doit pas nécessairement être un mot du dictionnaire ou une simple combinaison de ceux-ci, il simplifie sa sélection dans le dictionnaire.
Le mot de passe ne doit pas être composé uniquement d'informations publiques sur l'utilisateur.
Comme recommandation pour un mot de passe, vous pouvez appeler l'utilisation d'une combinaison de mots avec des chiffres et des caractères spéciaux (#, $, *, etc.), l'utilisation de mots qui ne sont pas répandus ou inexistants, et que la longueur minimale est conservée.
Techniques de défense contre les attaques
Les méthodes de sécurité peuvent être divisées en deux catégories: fournir une résistance à la fissuration du mot de passe lui-même et empêcher la mise en œuvre d'une attaque. Le premier objectif peut être atteint en vérifiant la conformité du mot de passe défini avec les critères de complexité. Pour une telle vérification, il existe des solutions automatisées, fonctionnant généralement en conjonction avec des utilitaires de changement de mot de passe, par exemple, cracklib.
Le deuxième objectif comprend la prévention du hachage du mot de passe transmis et la protection contre les tentatives d'authentification répétées dans le système. Pour empêcher l'interception, vous pouvez utiliser des canaux de communication sécurisés (cryptés). Pour compliquer la sélection d'un attaquant par une authentification répétée, ils imposent généralement une limite au nombre de tentatives par unité de temps (exemple d'un outil: fail2ban), ou en autorisant l'accès uniquement à partir d'adresses de confiance.
Les solutions d'authentification centrale de bout en bout telles que Red Hat Directory Server ou Active Directory incluent déjà des outils pour effectuer ces tâches.
Original message
Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
