- •Уязвимость паролей.
- •Как придумать сложный пароль
- •Защита паролей
- •Шифрование
- •Функции хэширования
- •Взлом паролей
- •I Восстановление забытых/неизвестных паролей. Переход на новую систему.
- •Проверка сложности пароля
- •Не бывает маленьких ошибок
- •Типы атак
- •Перебор слов
- •Полный перебор вариантов
- •Комплексная атака
- •Социотехника
- •Подглядывание
I Восстановление забытых/неизвестных паролей. Переход на новую систему.
• Проверка устойчивости системы.
Безусловно, с помощью тестового взлома можно определить сложность используемых паролей. Администратор может создать определенные программные механизмы, чтобы заставить пользователей применять сложные пароли, но люди всегда ищут способы облегчить себе жизнь и обойти даже самые строгие правила.
Например, в одной компании требовали, чтобы пароли были длиной в 8 символов, не использовались 5 последних вариантов и менялись они каждые 60 дней. Потом администратор случайно услышал, что люди последние 6 месяцев работают с теми же паролями. Проведя небольшое расследование, он понял, что когда приходило время придумывать новый пароль, пользователи 5 раз подряд производили замену, обходя таким образом запрет, и опять ставили старый пароль. По сути, служащие нашли способ обмана защиты. Чтобы решить проблему, администратору пришлось установить минимальный срок действия паролей в 10 дней. Раз люди постоянно выбирают слабые пароли, проверить их надежность можно только путем взлома.
Этот же метод позволит выявить нерадивых служащих. Если в течение 6 месяцев некоторые учетные записи можно было взломать каждый раз за 5 минут, то придется потратить время на разговор с этими нарушителями правил безопасности. Проверка методом взлома, однако, имеет серьезный недостаток, потому что в системе появляется файл, в котором находятся незашифрованные пароли всех пользователей. Кроме того, главный системный администратор тоже знает все пароли, поэтому многие опасаются проводить такие проверки.
Я думаю, что всегда нужно взвешивать позитивные и негативные стороны вопроса. Знание всех паролей может, конечно, плохо закончиться. Но раз сетевой администратор все знает, имеет доступ ко всем системам, то в узнавании паролей нет ничего страшного. Ведь если не доверять администратору, то кому же тогда?
Проверка сложности пароля
Есть разные способы провести такую проверку и при этом не узнать сами пароли пользователей. Для этого придется немного схитрить. Допустим, что по правилам компании в каждом пароле должны быть буквы, цифры и специальные символы. Если запустить взломщик паролей с предложенными ниже параметрами полного перебора вариантов (методом "грубой силы"), то определить, насколько следуют пользователи правилам, можно будет и без угадывания самого пароля:
• взламывать пароли, содержащие только буквы;
• взламывать пароли, содержащие только цифры;
• взламывать пароли, содержащие только специальные символы;
• взламывать пароли, содержащие только буквы и цифры;
• взламывать пароли, содержащие только буквы и специальные символы;
• взламывать пароли, содержащие только специальные символы и цифры.
Метод перебора будет описан несколько позднее в этой главе. Если с помощью таких правил пароль пользователя будет взломан, то значит, его следует немедленно изменить. Люди, которые будут придерживаться правил создания паролей, помогут компании построить настоящую защиту от хакеров.
Еще один способ узнать пароли состоит в получении прав администратора. Полученный любым методом взлома файл никогда нельзя оставлять на сервере незашифрованным. Желательно закодировать его и спрятать в надежном месте, например на дискете или Zip-диске и запереть в сейфе.
Взлом позволит провести анализ безопасности сети компании, найти уязвимые звенья в цепи. Поэтому не надо бояться такого способа проверки.
Восстановить забытые/неизвестные пароли
Я часто получаю просьбы помочь людям, которым нужно зарегистрироваться в системе в то время, когда системный администратор в отпуске или просто отсутствует. Как вы уже поняли, даже пароль администратора можно получить за довольно короткий промежуток времени. Для этого надо всего лишь достать хэшированные пароли и взломать их.
Дабы избежать таких неприятных моментов, желательно держать в очень надежном месте список паролей администраторов на всякий экстренный случай. Хоть это и можно посчитать риском для безопасности, в случае кризиса резервные копии паролей чрезвычайно пригодятся.
Переход на новую систему
Взламывать пароли для перехода на новую операционную систему — не самая хорошая идея, и я такого не посоветую. Но многие компании используют именно это метод, не имея другого выхода.
Иногда компании меняют операционные системы или структуру сети, после чего надо перевести пользователей на новую платформу. Это можно сделать, переместив учетные записи, дать всем пользователям одинаковые начальные пароли и предложить поменять их после первой регистрации в новой системе. Многие администраторы очень это не любят, и вот почему. Раз у всех пользователей даже временно будет один пароль, люди смогут работать с другими учетными записями, и наверняка появятся разные проблемы. И потом, если большому количеству пользователей придется менять пароли, у некоторых пользователей это может не получиться или привести к ошибкам.
Поэтому при переносе учетных записей администраторы хотят, чтобы у людей оставались те же пароли. Для этого можно самим их взломать, создать новые учетные записи и ввести в них эти пароли.
Тем не менее такой способ я тоже не стал бы рекомендовать. Одно дело тестировать пароли "на прочность" и совсем другое — создавать таким образом новые учетные записи. В данном случае риск создания файла с незашифрованными паролями превышает удобства использования тех же паролей. Я видел много компаний, которые пострадали от такого способа перевода пользователей на новую систему.