- •Уязвимость паролей.
- •Как придумать сложный пароль
- •Защита паролей
- •Шифрование
- •Функции хэширования
- •Взлом паролей
- •I Восстановление забытых/неизвестных паролей. Переход на новую систему.
- •Проверка сложности пароля
- •Не бывает маленьких ошибок
- •Типы атак
- •Перебор слов
- •Полный перебор вариантов
- •Комплексная атака
- •Социотехника
- •Подглядывание
Подглядывание
Еще один интересный способ узнать пароль — это подглядеть его во время набора на клавиатуре. В обычном офисе такое можно легко сделать. Нужно тихонько подойти. встать сзади и посмотреть, как человек наберет пароль. Если вас к тому же знают, то это еще лучше. Конечно, если на человека откровенно уставился незнакомец, то можно спросить, что ему надо. Но если он хоть немного знаком служащему, то никаких эксцессов ожидать не стоит.
Когда я проводил одну из комплексных проверок безопасности и пытался достать рабочие пароли, то решил попробовать вышеописанный метод. Дело было в Нью-Йорке зимой, машину я оставил у бокового входа. Когда одна сотрудница вышла из машины, я последовал за ней, одетый в длинное пальто, в руках была большая, тяжелая на вид коробка. Когда вместе с этой девушкой я дошел до входа, то попросил ее придержать дверь, так как заняты руки, что она и сделала, не спросив, есть ли у меня пропуск. Первая часть дела была выполнена — проникновение в здание. Затем я нашел офисе одного из администраторов. Так как мне был нужен пароль администратора домена, я подошел к справочному столу, из находящихся там документов узнал имя администратора и стал его дожидаться. Когда же он появился, оставалось сказать: "Привет Джон, я надеюсь, что ты мне поможешь. Мы тут проводим тестирование, совсем недавно письмо отправили, ты его уже получил?", Джон сказал "подожди минутку, сейчас я войду в систему". Вот и вторая часть задачи готова—далее я подглядел его пароль к системе. Безусловно, названная причина не выдерживала никакой критики, но с помощью уверенного взгляда и предварительного исследования можно добиться, чтобы тебе все поверили!
Копание в мусоре
Иногда диву даешься, какую только информацию люди не выбрасывают. Распечатанные электронные письма, разные документы, планы и даже пароли — все это не разорвано и в прекрасном состоянии. У большинства компаний есть мусорные контейнеры, куда выбрасывают весь хлам. Уборщики начинают работу вечером, поэтому если заглянуть в облюбованный контейнер днем, можно раскопать что-нибудь интересное.
Для наглядного примера этого способа советую посмотреть фильм "Взломщики".
Резюме
Иногда бывает трудно решить, стоит ли проводить проверку в своей компании с помощью тестового взлома паролей. С одной стороны, правила гласят, что ни в коем случае нельзя делиться ни с кем паролем или позволить, чтобы его кто-то узнал, а с другой — программам взлома паролей все правила нипочем, и запустив такую утилиту, человек, по сути, становится нарушителем. Я рекомендую придерживаться следующих принципов при такой проверке:
• всегда получать разрешение от начальства;
• разработать правила работы с паролями и всех с ними ознакомить;
• регулярно использовать программы для взлома паролей, на основе результатов уточняя правила работы;
• взламывать только те пароли, что не подходят под установленные принципы их выбора;
• нельзя взламывать нормальные, соответствующие правилам пароли;
• не делать исключений, даже если пользователи и жалуются, убедить их поменять слабые пароли;
• список взломанных паролей нужно либо зашифровать и спрятать в надежном месте, либо сразу уничтожить
Часто возникает вопрос о принуждении пользователей не использовать слабые пароли. Требуется их или заставить, или убедить следовать правилам. Для этого жизненно важно заручиться поддержкой руководства компании и провести следующие действия.
• Первое предупреждение пользователям: электронное письмо.
• Второе предупреждение: электронное письмо с отправкой копии ведущему менеджеру; телефонный звонок.
• Третье предупреждение: электронное письмо с отправкой копий ведущему менеджеру и вице-президенту компании.
Если все вышеописанные действия не принесли желаемого результата, значит вы плохо договорились с руководством. Как бы то ни было, пользователя нужно заставить поменять плохой пароль при следующей регистрации в системе.
Необходимо, чтобы система была настроена на проверку используемых паролей; если пользователь введет неподходящий пароль, то он не будет принят системой, а значит, потребуется придумать новый. Программы для таких проверок подробно описаны в главе 9, "Взлом паролей Windows NT", и главе 10, "Взлом паролей UNIX", где речь идет об особенностях каждой из операционных систем.
Запомните, пользователи временами проявляют потрясающую изобретательность, любыми путями пытаясь сделать свой пароль проще. Только строгие правила и поддержка руководства позволит добиться изменения ситуации в лучшую сторону.
Пароли играют ключевую роль в современной компьютерной индустрии, но во многих случаях это и очень слабое звено в защите компании. Так как хакеры всегда идут по пути наименьшего сопротивления, в первую очередь будут выискиваться легкие для угадывания пароли. Если компания дорожит своим бизнесом, про такие пароли следует навсегда отменить.
В следующих главах мы рассмотрим программы взлома для конкретных операционных систем, разберемся в том, насколько они эффективны. И, как всегда, будут предложены меры для усиления сетевой безопасности компаний.