- Регистрация
- 9 Ноябрь 2009
- Сообщения
- 199
- Реакции
- 5
- Баллы
- 38
- Адрес
- Украина, г.Харьков
- Веб-сайт
- iapd.info
Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1 от обычных псевдослучайных последовательностей.
Самые плохие пароли
Компания SplashData, специализирующаяся на проблемах информационной безопасности, в ноябре 2011 года подготовила «рейтинг 25 самых слабых паролей 2011 года», составленный на основе списка миллионов реальных паролей, украденных хакерами и опубликованных в Интернете. «Топ-25» SplashData составили следующие из них:
password,
123456,
12345678,
qwerty,
abc123,
monkey,
1234567,
letmein,
trustno1,
dragon,
baseball,
11,
iloveyou,
master,
sunshine,
ashley,
bailey,
passw0rd,
shadow,
123123,
654321,
superman,
qazwsx,
michael и
football.
Чтобы ваш пароль не оказался в подобном «списке позора», в SplashData рекомендуют придумывать сильные пароли, содержащие буквы, цифры и специальные символы, а если вам их сложно запоминать, то можно пользоваться значимыми фразами, в которых пробелы заменены на знак "_”. Не рекомендуется пользоваться одним и тем же паролем на всех онлайн-сервисах. Можно также обратиться к услугам какой-либо системы управления паролями, например, LastPass, Roboform, eWallet, SplashID или бесплатной KeePass. Эти системы могут «запомнить» за пользователя множество паролей любой сложности.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
-Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов.
-Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
-Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.
Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина — восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т.д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Методы защиты от атаки
Методы защиты можно разделить на две категории: обеспечение стойкости к взлому самого пароля, и предотвращение реализации атаки. Первая цель может быть достигнута проверкой устанавливаемого пароля на соответствие критериям сложности. Для такой проверки существуют автоматизированные решения, как правило работающие совместно с утилитами для смены пароля, например, cracklib.
Вторая цель включает в себя предотвращение захвата хэша передаваемого пароля и защиту от многократных попыток аутентификации в системе. Чтобы предотвратить перехват, можно использовать защищенные (зашифрованные) каналы связи. Чтобы усложнить злоумышленнику подбор путем многократной аутентификации, обычно накладывают ограничение на число попыток в единицу времени (пример средства: fail2ban), либо разрешением доступа только с доверенных адресов.
Комплексные решения для централизованной аутентификации, такие как Red Hat Directory Server или Active Directory уже включают в себя средства для выполнения этих задач.
