Рекомендации по парольной защите

[Trotil]

Доступ с помощью логина и пароля - популярный способ аутентификации в системе. Его положительными сторонами являются

• относительная простота реализации
• традиционность метода

Существенный минус - стойкие пароли мало пригодны для использования человеком.

Кратко перечислим угрозы безопасности парольных систем:

• получение за счет человеческого фактора (подглядывание, шантаж, вымогательство)
• получение учетной информации
• пароли могут быть записаны в пределах рабочего места
• подбор пароля
  1. полный перебор (слишком долго)
  2. подбор паролей по словарю
  3. с учетом информации о пользователе
• за счет недостатков реализации парольных систем
  1. недокументированные возможности (пароли по умолчанию - есть почти везде)
  2. использование уязвимостей (переполнение буфера)

На основании этого можно выделить следующие рекомендации по выбору паролей:

• не делитесь своим паролем ни с кем
• выбирайте пароль трудно угадываемым
• используйте возможности мощности алфавита паролей: используйте спецсимволы вперемешку с прописными и строчными буквами, если это возможно
• не используйте пароль, который является вашим адресом, псевдонимом, именем жены или родителей, телефонным номером или чем-либо очевидным. Было бы совсем замечательно, если бы пароль не был наделен смысловым значением.
• Меняйте пароли:
  1. через некоторые промежутки времени (скажем, через полгода)
  2. в обязательном порядке после обнаружения угрозы возможной утечки информации (на компьютере обнаружили троян, к вашему компьютеру имели доступ посторонние лица)
• используйте длинные пароли, так как они более безопасны, лучше всего от 8 символов
• обеспечьте неотображаемость пароля на экране компьютера при его вводе
• обеспечьте отсутствие паролей в распечатках
• не записывайте пароли на столе, стене или терминале. Держите его в памяти
• для разных программ/сайтов используйте разные пароли
• не используйте автозапоминание паролей для браузеров, почтовиков, клиентов ICQ и т.д., так как они хранят пароли в открытом, незашифрованном виде

(рекомендации составлены на основе собственных лекций по теор. основам информационной безопасности, тема: "Построение систем защиты информации от угроз нарушения конфеденциальности": идентификация и аутентификация: парольные системы)

 

[Ms Happiness]

Trotil, отличные рекомендации! Я так и делаю обычно. Пароли менять нужно и трудноугадываемые делать.

не записывайте пароли на столе, стене или терминале. Держите его в памяти

А вот с этим пунктом не совсем согласна. Записывать нужно обязательно, если сложный пароль, только где-то в таком месте, чтобы никто не нашел. Желательно спрятать дома на листике или в блокнотике.

Потому что было такое один раз, поменяла пароль на документе в Exel, придумала его заранее, помнила, а потом забыла и всё! Никакие программы по взлому не помогли. Пароль сложный был.
Тот документ до сих пор, уже 2 года на дискете лежит и ожидает открытия и взлома...

 

[Trotil]

Интересный факт: 20% паролей составляют всего 300(!) английских слов и их модификафии.
(естественно, эта статистика действительна среди англоязычных пользователей)

 

[Ms Happiness]

Интересный факт: 20% паролей составляют всего 300(!) английских слов и их модификафии.

Теперь понятно о каком словаре я читала когда-то. Который состоит из распостранённых слов для паролей. Так, при попытке взломать что-либо, сначала проверяються методом подбора слова... и тесли не получиться, хакер переходит к другим методам взлома, более сложным.

 

[Trotil]

_Anna_
Так я выше написал - смотри угрозы безопасности парольных систем. А это всего лишь статистика.

Могу даже поделиться опытом. Я лично знаю 3 чужих пароля.
Первый - это 2 раза повторенные первые три цифры доашнего телефона.
Второй - год рождения
Третий - одно из главных увлечений этого человека и его самая распространенная тема для разговора.

Могу привести опыт преподователя. Он напрямую связан с вопросами безопасности, прошенл сертификацию CISSP - специалиста по информационной безопасности (В России таких на данный момент - 66 человек, в мире - около 30 000). Ему по роду деятельности приходилось заниматься такими вопросами. Из его практики
1) Человек уехал в командировку, оставив компьютер запароленным. Причем известный пароль сменил прямо перед отъездом. Все попытки подобрать пародь были безуспешными. Позвали его помочь. За час пробует все известные пароли. которые обычновыбирают пользователи (дата рождения, номер кабинета и прочая личная информация). Не помогает. И тут он спрашивает: собственно, а куда он уехал и почему. Ему отвечают: мол, женился и отправился в свадебное путешествие. Мой преподователь машинально набирает имя его жены - и пароль оказался верным! Логично, перед отъездом самое важное для него была свадьба и жена, неудивительно, что пароль он выбрал именно таким.
2) Случай N2: классика. Пароль работающего пенсионера (или предпенсионера) - то, что он видит в момент ввода пароля. Фирма монитора, часть фразы на экране в момент ввода пароля, марка телефона на рабочем столе и подобное. Чтобы не забыть.
3) Тоже классика. Особой популярности у людей средних лет пользуются пароли, составленные из имени ребенка+год рождения в разных вариациях.

 

[ALIENёнок]

всё это конечно верно... но не записывая пароль, легко его забыть (что я и делал постоянно), особенно если он длинный и бессмысленный

одно время у меня были пароли, как-то ассоциирующиеся с логином (так легче запомнить)

а теперь у меня все пароли состоят из одной буквы (если возможно конечно). Если требуется минимум 3, то 3 одинаковые буквы и так далее так и запомнить легче

а взламывать мой пароль никто не будет... кому это надо...

 

[Trotil]

Так, все дружно запомнили, какие у ALIENёнка пароли.

но не записывая пароль, легко его забыть

Есть хорошая методика в твоем случае: включение спецсимволов.
Например:
Mi><ei
sob@ka и прочее. Легко запомнить и трудно подобрать.
(так, снова все снова дружно запомнили: с этого момента частота использования комбинацией Mi><ei и sob@ka в качестве паролей резко возрастет )

 

[clynch]

Я от знакомого подхватил хорошую парольную заразу --- паролями в UNIX системах являются отрывки из произведний Шекспира(на англицком конечно).
В Windows системах пароли хорошо обнуляются.Соответственно здесь упоминалась хорошая рекомендация --- мочить автозапоминание паролей.
Очень интересен метод "графической парольной аутентификации" -- пример The Graphical Passwords Project.Кто интересуется прошу сюда --http://citeseer.ist.psu.edu/jermyn99design.html(очень хороший репозиторий), для простых усеров ---- http://clam.rutgers.edu/~lsobrado/graphicalpassword/

 

[heli]

См. психотронное оружие: http://www.mixei.ru/showthread.php?t=54050

Повторяю относящиеся к теме выдержки:
"А общий подход прост (описан даже в детских сказках): достаточно не предьявлять сам пароль, а лишь его физический носитель, сообщать не сам пин-код, а лишь доказать, что ты в здравом уме и знаешь его... А ларчик откроется лишь в той части, что была продиктована пин-кодом (уведение от цели поиска) и вообще, еще неизвестно, тот ли ларчик (затраты на поиски ключа не соспоставимы по размерам с объявленной ценности содержимого)... Тогда смысл подсматривать пароль, вводить хранителя пин-кода в гипноз или воздействовать на него иными способами (физическим и т.п.) не имеет смысла: ларчик будет открыт в любом случае, но вот только зачем такой ларчик вообще открывать?"
"Немного дьявольская тематика."

Так что парольная защита - лишь мелкая часть комплекса организации защиты. "Идеальная защита - та, что выполняет свои функции, однако не заметна. В создании идеальной защиты главное - не создать идеальную западню".

Более менее полноценных систем защиты всречается мало. Технические творения - лишь чушь, первые попытки сопоставит себя с Творцом. Зато такие прикольные! Нужно уметь видеть защиту и пароли вокруг. Вся жизнь - сплошной ребус. Для каждого откроется в своей части. Потому, трудясь над очередной защитой, нужно относится к ней с долей юмора. И все получится. По крайней мере, по началу будет так казаться. Конкретные рекомендации - см. выдержки.

 

[Ekseithne]

Я никогда не придумывала пароли специально. Хлопнешь пятерней по клавиатуре - вот тебе и пароль. Главное, конечно, запомнить получившуюся цепочку цифр и букв разного размера. Вот только действенен ли этот способ?.. Наверное, для тех программ, которые высчитывают комбинации, это оказывается проще простого.

 

[heli]

Требования к сложности пароля:
1. Длина пароля должна быть не менее восьми символов.
2. В числе символов пароля обязательно должны присутствовать большие и малые буквы, цифры и специальные символы (!,@, #, $, &,%, :, ?, *, =, +, <, >, и т.п., включая пробел). Примечание: некоторые специализированные программно-технические системы имеют собственные ограничения на применимость тех или иных символов в составе пароля, а так же русских букв. В случае использования пароля для программно-технических систем следует руководствоваться инструкцией по их эксплуатации.
3 В пароле не должны встречаться одинаковые символы более двух раз, независимо от позиции в пароле (например, не допускается пароль «h0Y-0k02» т.к. в нем три раза использована цифра 0).
4 В пароле не должно располагаться подряд более трех символов в одном регистре (не должно быть подряд четыре или более малых букв, четыре или более больших букв), более трех цифр (не должно быть подряд четыре или более цифр), более трех специальных символов (не должно быть подряд четыре или более специальных символа).
5 Пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ, общеизвестные слова и т.д.), общепринятые сокращения (например, ЭВМ, ЛВС, АРМ и т.п.), а так же известные слова на иностранном языке (например, yes, one, two) или набранные с использованием неправильной раскладки клавиатуры (например, «ytn» - русское слово «нет», набранное на английской раскладке клавиатуры, аналогично «ker» - слово «лук» и т.д.), комбинации из трех и более рядом расположенных символов в алфавите или на клавиатуре (например: «qwe», «321» - т.к. расположены на клавиатуре рядом; «abc», «zyx» т.к. используются рядом расположенные символы алфавита).
6 Пароль должен отличаться от предыдущих паролей, а от сменяемого пароля не менее чем в пяти позициях.
7 Запрещается непосредственное копирование паролей других пользователей или паролей других автоматизированных систем, а так же паролей изготовителя «по умолчанию», если такие существуют.

Возможно хранение пароля высокой сложности на электронном ключе (или карте) в защищенном виде.

Для электронных ключей (или карт) без организации двухфакторной защиты (т.е. без применения в системе пин-кода, биометрических данных и т.п.):
- запрещается вынос электронных ключей (или карт) за пределы предприятия, а так же их нахождение во время отсутствия пользователя или ответственных лиц вне запираемого сейфа;
- запрещается нанесение на электронные ключи (или карты) информации или знаков, непосредственно указывающих на АС, режим использования ключей (или карт), логин – вместо указанной информации использовать учетные номера (условные обозначения) или обеспечить сокрытие иными способами перечисленной информации во время эксплуатации программно-технических средств;
- запрещается передача электронных ключей (или карт) посторонним лицам, а так же оставление в легкодоступном месте ключей (или карт) при утрате контроля над ними со стороны пользователя или ответственных лиц.

Для электронных ключей (или карт) с организацией двухфакторной защиты (т.е. с применением в системе пин-кода, биометрических данных и т.п.):
- требования к сложности и правила формирования пин-кода, правила предъявления биометрических данных и др. правила организации двухфакторной защиты определяются инструкцией по эксплуатации программно-технических средств;
- правила обращения с паролями пункта 3 настоящей инструкции распространяются на пин-код и правила обращения с ним, если иное не указано явно в инструкции по эксплуатации программно-технических средств.

Примечание: запись пароля на бумажке - это классический вариант ключа с однофакторной защитой.

 

[Trotil]

Самые популярные пароли MySpace

В ходе проведенного недавно исследования выяснилось, что наиболее популярным паролем пользователей MySpace является «password1». Приверженность участников социальной сети таким примитивным паролям не может не беспокоить экспертов по информационной безопасности, пишет wired.com.

В ходе анализа была составлена двадцатка наиболее распространённых паролей (в порядке убывания): password1 (0,22%), abc123 (0,11%), myspace1 (0,11%), password, blink182, qwerty1, fuсkyou, 123abc, baseball1, football1, 123456, soccer (0,04%), monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 и monkey (0,02%).

Длина паролей в среднем оказалась равна 8 символам. 65% паролей — не длиннее 8 символов, а 17% — не длиннее 6. От 1 до 4 символов — 0,82%; 5 символов — 1,1%; 6 символов — 15%; 7 символов — 23%; 8 символов — 25%; 9 — 17%; 10 — 13%; 11 — 2,7%; 12 — 0,93%; от 13 до 32 — 0,93%. 32-символьным оказался пароль «1ancheste23nite41ancheste23nite4». Среди прочих длинных паролей можно отметить «fool2thinkfool2thinkol2think» и «dokitty17darling7g7darling7.»

81% паролей содержали и цифры, и буквы, однако 28% — слова, написанные маленькими буквами с одной цифрой в конце, в двух третях случаев — 1. Только 3,8% представляют собой обычное слово из словаря, а еще 12% — слово плюс цифра, в двух третях случаев — 1. Только цифровые пароли используют 1,3% пользователей, только буквенные — 9,6%, другие символы (чёрточки, подчерки) — 8,3%. Лишь 0,34% использовали в пароле часть адреса электронной почты или имени.

Исследование проводилось путем перехвата информации с фишерского сайта, на котором хранились 34 тыс. похищенных имён и паролей к учётным записям MySpace. Атаке подверглись в общей сложности более 100 тыс. пользователей, сообщили в MySpace. Фишеры создали поддельную страницу MySpace, на которую заманивали их для ввода имени и пароля. Данные затем перенаправлялись на другой сервер, чтобы впоследствии быть использованными.