- •Уязвимость паролей.
- •Как придумать сложный пароль
- •Защита паролей
- •Шифрование
- •Функции хэширования
- •Взлом паролей
- •I Восстановление забытых/неизвестных паролей. Переход на новую систему.
- •Проверка сложности пароля
- •Не бывает маленьких ошибок
- •Типы атак
- •Перебор слов
- •Полный перебор вариантов
- •Комплексная атака
- •Социотехника
- •Подглядывание
ЛЕКЦИЯ 3
Уязвимость паролей.
Работа с паролями. Зачем они нужны?
Такая необходимая на первый взгляд вещь, но как много людей считают пароли надоедливой, ненужной ерундой. Очень часто спрашивают: "А зачем нам пароли, разве у нас есть враги?". На это, к сожалению, приходится отвечать: "Да, нельзя доверять кому попало".
Уж поверьте, у меня есть целый список компаний, у которых не было паролей, потому что они всем доверяли. Есть только одна проблема: большинства из них уже не существует! Доверяйте друзьям и семье, но не служащим.
В ответ можно услышать обычное возражение: "Мы каждый день доверяем служащим. потому что у них есть доступ к помещениям и оборудованию, очень редко кто-то крадет компьютеры, так почему же они будут воровать информацию?" Ответ будет очень прост, Доверять можно до определенного момента. Большинство не крадет компьютеры, потому что это сложно и опасно, пропажу сразу замечают. С другой стороны, попробуйте обнаружить, что у одного из пользователей дома есть незаконные копии документов, хоть оценить данные в денежном эквиваленте довольно тяжело.
Раз контролировать доступ к электронной информации сложно, значит нужны хорошие пароли, не только для предотвращения посягательств на конфиденциальность, то также для отслеживания возможных нарушителей. Пароли — это отличный механизм для аутентификации легитимных пользователей, которые будут иметь доступ только к действительно необходимым документам. У каждого дома есть замки и ключи, без них не обойтись и в эру всеобщей информатизации.
Правила безопасности.
Хотя строгие корпоративные правила и не заставят всех пользователей поменять пароли, без этих правил никак не обойтись. Люди всегда ищут самый легкий способ решить свои проблемы, и это понятно. Но вот для паролей такой принцип не подходит. Администраторы думают, что если существуют строгие правила, то слабых паролей больше не будет. Это очень далеко от истины. Внедряя правила безопасности, важно заранее оценить их реальное влияние на систему, чтобы понять насколько они эффективны.
Правила безопасности объясняют пользователям, что от них требуется и каким принципам следует компания в отношении использования паролей. Профессионалы, конечно, прекрасно понимают, что в пароле должны быть цифры, буквы и специальные символы, но вот что думает об этом среднестатистический пользователь? Для того и нужны правила, содержащие не только требования к паролям, но также разъясняющие их важность и необходимость в повседневной работе, а также рекомендации по выбору паролей. Если человеку отправить сообщение, содержащее сухие и строгие рекомендации, он скорее всего, растеряется, и все останется на своих местах. Но объясните, растолкуйте, да еще примеры приведите — и результат не заставит себя долго ждать.
Другая проблема состоит в принудительном стиле правил. Казалось бы, в рекомендациях надо указывать меры, которые будут использованы против нерадивого служащего. Например, в качестве наказания может быть увольнение с работы. Но, с другой стороны, при такой откровенной угрозе пользователи станут относиться к вам с опаской. И, как это ни странно, хорошего в этом тоже немного. Такое начинаешь понимать, когда в компании работает много запуганных и раздраженных этим людей, а значит приходится думать, как бы найти в бюджете на следующий месяц средства для покупки бронежилета. (Как-то раз мне пришлось такое пережить; к сожалению, денег таки не хватило.)
Правила должны быть едиными для всего персонала. Если в них говорится, что невнимательным к условиям безопасности служащим будут записывать замечания в трудовую книжку, то пусть это относится ко всем обладателям слабых паролей. Очень часто компании сотрясают воздух угрозами и предупреждениями, применяя их только против некоторых служащих. Конечно, начинаются обиды и непонимание, могущие перерасти в отрытое недовольство. Закон — для всех закон, данный принцип желательно не забывать.
Регламентированные правила нужны и с точки зрения законодательства. Если компания не может работать без жесткой системы защиты, и в качестве наказания к нерадивым служащим будут применяться юридические меры, то на руках всегда будут необходимые документы, в которых все подробно указано. Допустим, хакер взломал систему и выкрал юную информацию, потому что у одного служащего был слабый пароль. Чтобы принять соответствующие меры, компании нужен документ, за ознакомление с которым все бы расписались. Многие упускают из виду аспект личной ответственности за происходящее в фирме. Если вы не следуете принятым в компании правилам, то вы будете нести ответственность за их нарушение.
Надежный пароль
Мы постоянно говорим о разнице между надежными и плохими паролями, но что же такое нормальный, трудный для угадывания пароль? Прежде чем это обсудить, хотелось бы заметить, что данное определение находится в сильной зависимости от вида коммерции, местоположения, персонала компании и так далее. Я специально обращаю на это внимание, потому что понятие "сложного" пароля отличается в разных условиях его применения.
Все в этом мире меняется, надежные пароли пятилетней давности сейчас выглядят просто несерьезно. Современные компьютерные технологии развиваются с бешеной скоростью. А поэтому если 5 лет назад для взлома пароля понадобилось бы несколько лет, то сейчас хватит и часа. Прогресс не стоит на месте, цена на компьютеры постоянно падает, следовательно нужны все более сложные пароли.
Если все обобщить, то вот какими я вижу свойства устойчивого пароля:
I меняется каждые 45 дней;
- длина как минимум 10 символов;
• должен содержать буквы, цифры и специальные символы;
I все символы должны быть представлены в смешанном виде, т.е. abdheus#7 никуда не годится, а нужно нечто вроде fg#g3sAhs5gw;
• не словарное слово;
• не повторяются предыдущие пароли;
• минимальное время до очередного изменения пароля 10 дней;
I после пяти неудачных попыток регистрации пароль блокируется на несколько часов.
Безусловно, некоторые из предложенных способов можно оспорить, так как идеальных решений не существует. Сталкиваясь с проблемой определения нужных паролей, всегда идешь на компромисс между желаниями пользователей и компании.