Страницы

Вредные советы про пароли


В любой компании и у любого специалиста по ИБ есть свой набор правил в отношении паролей. Пароль должен быть уникальным, длинной не менее 6/8 символов, включать строчные и заглавные буквы/цифры/спецсимволы и меняться каждые 30/60/90 дней.

Редко где эти правила соблюдаются, однако приказ есть приказ, и служба ИБ начинает активно "пилить" нерадивых пользователей...

Дам ка и я пару советов...

1. Пароль Windows может быть любой длинны и из любых символов. Всё равно его взломают.

Сегодня механизмы хэширования паролей в Windows настолько хорошо изучены, что не составляет никакой сложности подобрать даже длинный и комплексный пароль. Есть радужные таблицы, есть подбор на GPU, есть облачные сервисы, во многих случаях пароль можно просто обойти,  получить в открытом виде, или в подборе нет никакой необходимости.

В других системах все обычно тоже плохо. Например вот такие пароли сайта linkedin были взломаны за несколько часов: P4ss10n, 0ldfr1ends, Pa33w8rd, jiujitsu13!@, spac3gh0st..
Такой домашний системник с 4 x Radeon 7970 будет щелкать хэши как орешки.

2. Можно использовать один и тот же пароль много раз.

Запомнить 40 разных постоянно меняющихся паролей может только.. киборг! Придумайте любимый пароль для работы, для личной почты и для банка. В остальных случаях используйте "1234567890".
Для стойкой системы аутентификации стандартом стало использование аппаратных идентификаторов, отпечатков пальцев, двухфакторной аутентификации, паролей по смс и т.д. Пароль в таких системах обычно самый ненадежный фактор.

3. Хороший пароль НЕ получается из русского слова, набираемого в английской раскладке.

Да, это будет хороший пароль, пока  в один прекрасный день вам не предложат его набрать с телефона (планшета)... Да и все нормальные программы подбора паролей уже давно знают этот трюк.

4. Пароль НЕНУЖНО постоянно менять.

А домашний замок вы часто меняете? Помните, задача службы ИБ не мешать людям работать, а помогать!

Стойкость паролей складывается из многих факторов, таких как:

  • выбранный криптографический алгоритм хэширования и его реализация;
  • надежность хранения и передачи хэшей;
  • надежность хранения пароля на стороне пользователя в течении сессии;
  • проверка подлинности ресурса на стороне клиента (защита от фишинга);
  • и др.

Поэтому грамотная парольная политика должна быть всегда комплексной ("клиент-серверной") и обязательно находить компромисс между безопасностью и комфортом работы с системой, о котором постоянно забывают.

Что еще почитать?

PS Картинка в заголовке поста - скрипт Naked Password (github). Чем сложнее пароль - тем меньше одежды на девушке ;).

4 комментария:

  1. Часто задаюсь вопросом: "почему разработчики Windows до сих пор не сделали аналог капчи?"

    ОтветитьУдалить
    Ответы
    1. зачем? есть же просто блокировка по количеству неудачных попыток ввода пароля.

      Удалить
  2. Недавно прочёл об очень удобном способе запоминания пароля. Достаточно выучить предложение из книги и пароль составить из первых букв каждого слова, включая большие буквы, знаки препинения, точки и прочее. Или просто придумать предложение. Такой пароль легко заполнить, он не подбирается по словарю, и его можно набрать на любой клаве

    ОтветитьУдалить
    Ответы
    1. Нормально. Можно вообще все предложение записать в качестве пароля. Будет еще лучше!

      Удалить