-ѕоиск по дневнику

ѕоиск сообщений в tester001

 -ѕодписка по e-mail

 

 -—татистика

—татистика LiveInternet.ru: показано количество хитов и посетителей
—оздан: 30.07.2010
«аписей:
 омментариев:
Ќаписано: 23

Ѕезопасность вашего парол€

ƒневник

ѕонедельник, 11 ќкт€бр€ 2010 г. 13:04 + в цитатник
ѕароль системы как составной части подсистемы управлени€ доступом системы защиты информации (√»—) €вл€етс€ частью переднего кра€ обороны "всей системы безопасности. “аким образом, системный пароль стал одним из первых объектов атаки во врем€ вторжени€ злоумышленника защищенной системе.

”правление доступом ѕодсистема √»— затрагивает следующие пон€ти€:

ƒоступ идентификатор - уникальна€ особенность субъекта или объекта доступа.

»дентификаци€ - присвоение субъектам и объектам доступа идентификатора и (или) сравнение представлены ID со списком установленных идентификаторов.

ѕароль - идентификатор субъекта доступа, который €вл€етс€ его (субъекта) секретом.

јутентификаци€ - проверка принадлежности к теме, выдвинутых против них доступа идентификатора; аутентификации.

ћожно встретить и толкование таких терминов, ID пользовател€ и пароль [1]:

»дентификатор - уникальный объем информации, что позвол€ет различать отдельные пароль пользовател€ системы (дл€ выполнени€ их личность). „асто идентификатор называетс€ также им€ пользовател€ или им€ учетной записи пользовател€.

ѕароль - секретное количество информации, известно только системы пользовател€ и пароль, требовани€ дл€ прохождени€ процедуры аутентификации.

—чет - множество ID пользовател€ и пароль.

ќдним из наиболее важных компонентов системы €вл€етс€ пароль учетной записи базы данных (базы данных системы защиты). ≈сть несколько вариантов дл€ хранени€ паролей в системе:

в открытом виде;

как хэш-значение (хэш (английский) - смесь мешанина);

зашифрованные в некотором роде.

Ќаибольший интерес представл€ют второй и третий способы, которые имеют р€д особенностей.

’эширование не обеспечивает защиту от подбора парол€ по словарю в случае базы данных злоумышленником. ѕри выборе алгоритма хешировани€, который будет использоватьс€ дл€ вычислени€ хэш-значение парол€, вы должны убедитьс€, что несоответствие хэш-значени€, полученные с использованием различных паролей.  роме того, не должно быть механизм, обеспечивающий уникальность хэш-значени€, если два пользовател€ выбрать одинаковые пароли. ƒл€ этого расчета каждого хеш-значени€, как правило, используетс€ дл€ числа "случайных" информацию, такую как выданные генератором псевдослучайных.

 огда пароль шифровани€ особенно важно способ генерации и хранени€ ключа шифровани€ базы данных счетов. —ледующие параметры:

ключ генерируетс€ программно и хранитс€ в системе, что позвол€ет его автоматический перезапуск;

ключ генерируетс€ программно и хранитс€ на внешнем носителе, с которого считываетс€ каждый раз;

ключ генерируетс€ на основе выбранного администратора паролем, который вводитс€ в систему при каждом запуске.

Ќаиболее безопасное хранение паролей при условии их хешировани€ и шифровани€, то полученный хеш-значени€, т. е. путем объединени€ второго и третьего способов хранени€ паролей в системе.

¬ качестве парол€ могут попасть в чужие руки? Ќаиболее реалистичный взгл€д следующих случа€х:

записали свой пароль найден злоумышленником;

пароль podsmotren злоумышленник ввода законного пользовател€;

злоумышленник получил доступ к системе безопасности базы данных.

ћеры в отношении первых двух опасностей очевидны.

¬ последнем случае, злоумышленнику необходимо специальное программное обеспечение, так как записи в этом файле редко сохран€ютс€ в текстовом формате. —охранение парол€ системы определ€етс€ ее способностью противосто€ть атаке овладели счет базы данных, и пытаетс€ восстановить пароли, и зависит от скорости "быстрой" реализаци€ алгоритма хэшировани€ используетс€. ¬осстановление паролей заключаетс€ в вычислении хеш-значени€ возможных паролей и сравнить их с существующими значение хэш парол€ с последующей их производительность в €вном регистр.

»з базы данных учетных записей пароли могут быть восстановлены различными способами: атакой по словарю, последовательным (полного) поиск и гибридной атаки по словарю и грубой силой.

јтака по словар€м, последовательно вычисл€ютс€ значени€ хэш дл€ каждого слова или модификаций слов словар€ и сравниваютс€ с хеш-значени€ паролей каждого пользовател€. ≈сли матч хеш-значени€ пароль найден. ѕреимущество метода - его скорость. Ќедостатком €вл€етс€ то, что таким образом могут быть найдены только очень простые пароли, которые имеютс€ в словаре или €вл€ютс€ модификаци€ми слов словар€. ƒл€ успешной реализации этой атаки зависит от качества и масштабов лексику (легко найти таких готовых словарей на веб-сайте).

ѕоследовательный перебор всех возможных комбинаций (груба€ сила (английский) - груба€ сила, решение "в лоб") использует набор символов и вычисл€ет хэш-значение дл€ каждого возможного парол€ из этих символов. »спользу€ этот метод, пароль всегда будет определен, если составл€ющие символы присутствуют в выбранном наборе. ≈динственный недостаток этого метода - много времени, какие могут потребоватьс€, чтобы определить пароль. „ем больше количество символов (букв различных букв, цифр, специальных символов) содержитс€ в выбранном наборе, тем больше времени это может зан€ть до перечислени€ сочетаний еще не закончена.

ѕри восстановлении паролей гибридной атаки по словарю и грубой силой к каждому слову или модификации слова словар€ добавл€ютс€ символы справа и / или влево (123parol).  роме того, испытани€ могут быть выполнены с использованием: имена пользователей, пароли, повторение слов (dogdog); обратный пор€док слов символов (elpoep); транслитерации букв (устное); заменить кириллицу Ћатинской макет (gfhjkm).

ƒл€ каждой комбинации и вычислить хеш-значение сравниваетс€ с хеш-значени€ паролей каждого пользовател€.

„то пароль можно однозначно назвать слабым во всех отношени€х (за исключением запоминани€)? “ипичный пример: пароль небольшое количество (5) символов / цифр. ѕо некоторым данным, из 967 паролей, одним из взломанных серверов электронной почты в »нтернете 335 (почти треть) состо€ли только из цифр.  оличество паролей содержать буквы и цифры оказались 20. ƒругие пароли состо€т из букв в основном в нижнем регистре с некоторыми исключени€ми (в размере 2 пароли), в том числе специальные символы ("*", "_"). —имвол "_", однако, часто встречаетс€ в именах пользователей. ¬ 33 случа€х, им€ пользовател€ и пароль матча. —амый попул€рный пароль 123 (встречались 35 раз, почти каждые 27 пароль). Ќа втором месте пароль QWERTY (20 паролей).  ак удобно оно введено, не так ли? ѕреемник: 666 (18 раз), 12 (17 раз), ’акер (14 раз) и 1, 11111111, 9128 (10 раз). 16 ѕароль состо€л из одного символа / цифры.

¬ повседневной жизни современного человека иметь в виду значительный объем информации: PIN-коды банковских карт и мобильных телефонов комбинации замков, пароль дл€ доступа к »нтернету, ресурсам любого рода, по электронной почте. ¬се пароли должны хранитьс€ в пам€ти? ¬се зависит от оценки уровн€ потерь из-за воздействи€ пароль в чужие руки. ѕароли дл€ доступа к интернет и сетевым ресурсам никто не вмешиваетс€ в закладки, если вы не боитесь, что кто-то войдет в сеть без вашего ведома и ознакомитьс€ с содержимым почтового €щика. Ётот вывод, однако, не распростран€етс€ на пароли, используемые в производстве. ѕолучение доступа к сети от вашего имени может, по некоторым причинам, стала заманчивым выбором. ѕ»Ќ-код кредитной карты €вл€етс€ также не запрещено фиксировать на бумаге, главное условие в этом случае отдельные карты пам€ти и хран€тс€ в по€снени€х кодовой комбинации.

”величение расходов на пароль из-за степени его важности. ѕример "важно пароль" €вл€етс€ пароль, используемый дл€ работы в автоматизированных системах, обрабатывающих информацию ограниченного доступа (государственной тайны, конфиденциальной информации). –усской √остехкомиссии руковод€щие документы не дают конкретные рекомендации по выбору парол€, или расчет ее упорство, за исключением длины, котора€ колеблетс€ от 6 (класс 3Ѕ, 3ј, 2Ѕ, 2ј) до 8 (1Ѕ класса, 1ј), алфавитно-цифровые символы и необходимость периодически мен€ть пароль.

—уществуют методы количественной устойчивости пароль систем [2]:
http://cryptosemantica.lomasm.ru/?link=pass&lang=rus
(‘ормула јндерсона), где

K - количество попыток подбора парол€ в минуту;
ћ - врем€ действи€ парол€ в мес€цах;
P - веро€тность угадывани€ парол€;

A1 - пароли космической державой (- пароли мощность алфавита, L - длина парол€).

“аким образом, наибольшее вли€ние на веро€тность раскрыти€ парол€ имеет значение л ƒругие компоненты формулы очень редко оказывают вли€ние на значение P, больше чем на пор€док. ”величение длины парол€, только один символ значительно увеличивает необходимое врем€ дл€ атакующего его раскрыти€.

ѕараметры –, V, T и ј1 св€заны соотношением [1]:

√де

P - веро€тность угадывани€ парол€ в течение его срока (отбор проводитс€ непрерывно в течение срока действи€ парол€);
V - скорость подбора парол€ (скорость обработки одного пытатьс€ зарегистрировать верификатор партии или скорости вычислени€ хеш-значени€ одного судебного разбирательства пароль);
T - срок действи€ парол€ (указанного периода времени, после которого пароль должен быть изменен);
A1 - пароли космической державой (- пароли мощность алфавита, L - длина парол€).

¬ случае, когда неизвестна точна€ длина желаемый пароль, максимум подбора парол€ (Tmax) будет рассчитыватьс€ в соответствии со следующей формулой [3]:

Tmax
√лубокое знание способов хранени€ учетных записей пользователей в базу данных безопасности дл€ оптимизации программы восстановлени€ (открытие) паролей. ѕодробные знани€ о системе организации пароль, работающих на Windows NT/2000/XP, позвол€ют авторам этих программ говор€т скорость грубой силы с 3,9 миллионов паролей в секунду. до 5,4 миллионов паролей в секунду. на ѕ  с Athlon XP 1700 или говорить о возможности нахождени€ всех буквенно-цифровые пароли в течение трех дней на ѕ  с процессором Pentium II/450.

ѕо Kompyulenty () Ўвейцарские исследователи могут взломать ‘илипп Ekslinu алфавитно-цифровых паролей Windows в среднем на 13,6 секунды. »спользуетс€ дл€ взлома компьютера с процессором Athlon XP 2500 с 1,5 √б оперативной пам€ти. “аблица, в которой хран€тс€ версии пароли, оккупированных 1,4 √Ѕ и полностью в оперативной пам€ти на компьютере, что позвол€ет увеличить скорость взлома.  огда таблица размера 20 √б в пароле букв, цифр и 16 специальных символов парол€ трещины, в среднем, на 30 секунд.

»так, что пароль может оказать достойное сопротивление попыткам его выбор? ƒлинный, состо€щее из букв различных букв, цифр и специальных символов. ¬ этом случае, она должна быть случайной, т.е. выбор символов осуществл€етс€ случайным образом (без какой-либо) и больше никогда не использовал, только место дл€ креплени€ пароль должен быть глава одного человека. ќднако, мы должны принимать во внимание практическому использованию пароль. ќчень длинный пароль трудно запомнить, особенно если учесть тот факт, что пользователь должен иметь более одного парол€. ƒл€ осуществлени€ быстрого ввода длинных паролей, также не представл€етс€ возможным. ѕроизвольно выбранные символы будут помнить, если говорить вслух, надо иметь в виду звуковой форме (благозвучие) или они имеют характерные места на клавиатуре, в противном случае, без кроватки не может сделать.

ѕомочь пользователю создать пароль на конкретные критерии программа может генерировать пароли.

ќдной из таких программ –асширенный Password Generator может создавать пароли с генератором случайных чисел, или определ€емые пользователем ключевым словам, но и содержит алгоритм создани€ слов, которые наиболее близки к естественному €зыку (английский или русский). ¬ рамках этого специального режима получаетс€ "пам€тных", но нет смысла этого слова. “ермин "помнит" следует понимать blagozvuchnost получили комбинацию. ¬ этом режиме, использовать цифры, специальные символы и смешанные буквы будут автоматически отключены.

¬от некоторые созданные программы "помнит" паролей: ELASWOWA, DEDRYTON, BENEROMO, SARMANED. ѕрограмма позвол€ет создавать пароль длиной от 4 до 32 символов. "ѕомнит" пароль из 32 символов выгл€дит следующим образом: NONEERESSPYOVENAPARDERETOURVENFF.

ѕо мнению автора, пароль, DV24 * KK4 также можно отнести к "запомнить", несмотр€ на цифры и специальные символы.

”никальность таких программ сгенерированный пароль зависит от степени "случайности" дл€ этой цели используетс€ генератор.

—овременный комплекс защиты информации ограничивает возможную длину парол€ использовали 12 - 16 символов. „аще всего это буквы, цифры и специальные символы.

Ѕольшинство √»— следующие особенности дл€ повышени€ эффективности системы паролей:

установление минимальной длины парол€;

установление максимальных пароль;

ѕлатные паролей (предотвращает замены парол€ после истечени€ срока его действи€ на одном использовали ранее);

ограничение числа попыток ввода парол€ (замки пользователю после превышени€ определенного количества раз € провел в строке;

не действует на учетную запись администратора).

„тобы усложнить задачу злоумышленнику получить системы защиты баз данных, много магазинов √»— его в энергонезависимой пам€ти своего аппаратного обеспечени€.

Ќекоторые комплексы защиты информации от несанкционированного доступа включают встроенные механизмы генерации паролей и довести их до пользователей. ќчевидным недостатком и основным фактором дл€ увеличени€ пользователей писать пароль неспособность вспомнить абракадабру, например, 8 буквенно-цифровых символов, не св€занные друг с другом.

¬ случае, если пользователь должен создать свой собственный пароль, в качестве критериев дл€ выбора парол€ можно выделить следующие:

использование букв разных регистров;

»спользуйте цифры и специальные символы вместе с буквами.

 огда пароль не рекомендуетс€ использовать:

ваше им€ ¬ойти в любом бы то ни было форме (как есть, обратна€, заглавными буквами, двух-, и т.д.);

¬аше им€ или фамилию, в которой любой форме;

имена близких родственников;

информацию о себе, которые могут быть легко получены. ќна включает в себ€ номера телефонов, лицевых счетов, номер вашего автомобил€, название улицы, где вы живете, и т.д.;

пароль из одной цифры или одна буква;

слово, которое можно найти в словар€х.

Ќеобходимо помнить (попробуйте, чтобы не сжечь) свой пароль. ≈сли вы помните пароль качество было непростой задачей дл€ вас, не записывайте пароль полностью, разделите его на две части и писать в разных местах. “олько не оборудовать эти записи комментариев, как:. "Ёто перва€ часть моего пароль дл€ доступа в »нтернет, втора€ часть на следующую страницу, если вы пароль дл€ фраза, то, например, выражение вида: ¬се * любовь () свободы, напоминание, что ваш пароль. E * V (E) E (принимать каждое третье письмо с добавлением специальных символов) более скрытный образ включает в себ€ помимо зарегистрированных пользователей определенный принцип в этом. случае, найденный элемент: ƒерево не позвол€ют автоматически обнаруживать правильный пароль: * DterReeeV * ќ.

» все же, пароль, используемый дл€ работы с информацией ограниченного доступа, вы должны помнить и никогда не записано.

ƒолжны быть обучены, чтобы ввести пароль, чтобы процедура занимает как можно меньше времени. Ќесмотр€ на то, что желательно, чтобы иметь возможность ввести пароль не гл€д€ на клавиатуру при первом подключении зрительной пам€ти. √лавное правило: никто, кроме, вы должны знать пароль.

¬от несколько вариантов дл€ выбора элементов, которые составл€ют пароль:

выберите строку или две строки из песни или стихотворени€ и использовать первые буквы каждого слова, добавить номера (специальные символы);

¬ыберите известный афоризм (говор€т, слоган и т.д.) и прин€ть все четвертое письмо, добавить номера (специальные символы);

«аменить слова одного согласного и одного или двух гласных, добавить номера (специальные символы);

¬ыберите два коротких слова и соедините их вместе со знаками препинани€ между ними, добавл€ть номера (специальные символы).

¬ заключение, следует отметить существование "парадокс человеческого фактора". ќна состоит в том, что пользователь часто стремитс€ действовать быстро, противник пароль системы, как, впрочем, люба€ система безопасности, котора€ негативно вли€ет на функционирование его рабочих услови€х, а не союзником система защиты, тем самым ослабив ее. ƒействительно, необходимо ввести пароль при каждом входе в систему, не говор€ уже о необходимости запоминать сложной символической последовательности, удобства это не так. “олько счетчик мере, это обсто€тельство €вл€етс€ формирование компетентного подхода пользователей к информационной безопасности.

ћетки:  

 —траницы: [1]