- •Уязвимость паролей.
- •Как придумать сложный пароль
- •Защита паролей
- •Шифрование
- •Функции хэширования
- •Взлом паролей
- •I Восстановление забытых/неизвестных паролей. Переход на новую систему.
- •Проверка сложности пароля
- •Не бывает маленьких ошибок
- •Типы атак
- •Перебор слов
- •Полный перебор вариантов
- •Комплексная атака
- •Социотехника
- •Подглядывание
Полный перебор вариантов
Большинство пользователей считают, что если они применяют длинный пароль или сложный алгоритм кодировки, то все будет просто великолепно. В первую очередь надо запомнить на всю жизнь, что нет безупречных паролей; все дело лишь во времени, которое понадобится для их взлома. Например, чтобы взломать мощный криптографический механизм, понадобится 200 лет, но взлом все же возможен, а с каждым днем это время будет уменьшаться пропорционально увеличению вычислительной мощности компьютеров. Пароль, на взлом которого 10 лет назад понадобилось бы лет 100, сейчас можно осилить за неделю. Если у хакера достаточно мощный компьютер для перебора цифр, букв и специальных символов, то паролю в конце концов не устоять. Такой вид атаки иногда называется "метод грубой силы".
При этой атаке берется буква а и пробуются комбинации аа, ab, ас и так далее; затем ааа, aab, аас и так до тех пор, пока программа не подберет слово. Думаю, принцип понятен.
Стоит отметить, что иногда администраторы сами облегчают задачу взлома. Например, определяя минимум символов в пароле. Если хакер знает, что 6 символов — это минимум, то начальной комбинацией будет аааааа. Зачем пробовать все одно-, двух-, трех-, четырех-, пятисимвольные слова, если они запрещены в системе?
С другой стороны, администратору придется сделать нелегкий выбор — установить допустимый минимум длины слова и помочь тем самым злоумышленнику, или ничего не ограничивать — и пусть пользователи сами выбирают любую длину. Если взять слово из четырех букв, то его можно разгадать очень быстро. Думаю, что лучше все же ограничивать минимальную длину паролей, потому что иначе пользователи возьмут небольшие слова, что будет гораздо хуже.
На главной арене битвы с хакерами сейчас находятся скорость ЦПУ и время, необходимое для взлома. Современные домашние компьютеры обладают вычислительной мощностью центральных серверов, которые использовались 10 лет назад. Память постоянно дешевеет, скорость процессоров растет, и с каждым днем все пароли во всех компаниях становятся все более легкими для взлома.
Не стоит забывать и про такой важный аспект как распределенные атаки. Если хакеру нужно быстро взломать пароль, ему вовсе не обязательно покупать несколько быстрых, оттого и дорогих, компьютеров. Он может взломать несколько Web-узлов с мощными системами и воспользоваться их преимуществами в быстродействии.
Если внимательно проанализировать тенденции развития, то можно сделать вывод, что в ближайшие несколько лет компании перейдут на работу с операционными системами, в которые будут встроены мощные механизмы шифрования и регистрации, получат распространение одноразовые пароли для аутентификации или альтернативные методы регистрации вроде тех, что предлагает биометрия.
Я еще раз повторю один из своих любимых девизов: "Интервал между сменой паролей должен быть меньше, чем время, необходимое для их взлома". Таким образом, даже если кто-то методом полного перебора и узнает пароль, то он уже не сможет им воспользоваться. Если пароль можно взломать за 60 дней, значит менять его надо каждые 45 дней. К сожалению, в большинстве компаний все обстоит с точностью до наоборот. Их пароли можно взломать меньше чем за 5 дней, а интервал замены около девяти месяцев. Т.е. даже если настырному злоумышленнику и понадобится 3 месяца, чтобы взломать пароль, у него в запасе останется полгода. Учитывая современное состояние сетевой безопасности, интервал в 90 дней совершенно неприемлем.
Безусловно, плюсы и минусы есть у каждого решения. Допустим, если уменьшить интервал смены паролей с 12 месяцев до 60 дней, появится множество проблем и затруднений, пользователи будут крайне недовольны, и служба поддержки будет перегружена борьбой с пользователями, которые записывают где угодно свои пароли. Лучше всего все делать постепенно, шаг за шагом меняя условия использования паролей. Поменяйте интервал с 12 месяцев до 11, затем до 10 и так далее, до тех пор, пока не будет достигнут нормальный показатель.
Важно подробно объяснять служащим суть всех производимых изменений. Самый главный недостаток уменьшения времени смены паролей в том, что люди начнут их забывать, путаться, и в конечном итоге записывать. Вот здесь поможет предусмотрительность и внимательность к своим коллегам по работе.