Компьютерная безопасность. Часть 5: Правильный пароль

Оглавление

Мифы о паролях

Как придумывать пароли

Как придумывать Хорошие пароли

Компьютерная безопасность. Часть 1

Компьютерная безопасность. Часть 3: Вирусы и Антивирусы

Компьютерная безопасность. Часть 5: Правильный пароль

Компьютерная безопасность. Часть 6: Сеть

Мифы о паролях

Мифы о паролях Миф №1: Dj#wP3M$c — наилучший пароль

Общепринят миф, что полностью случайные пароли, полученные с помощью генератора паролей — наилучшие. Это не совсем так. Хотя они и могут быть действительно устойчивыми, такие пароли обычно сложны для запоминания, медленно набираются и иногда уязвимы к атакам на алгоритм генерации паролей. Легко создать пароли, которые будут устойчивы к взлому, но труднее сделать такие пароли запоминаемыми. Для этого существует несколько простых приемов. Например, рассмотрим пароль Makeit20@password.com. Этот пароль использует буквы в верхнем и нижнем регистрах, две цифры и два символа. Длина пароля 20 символов, но он может быть запомнен с минимумом усилий — возможно, вы его уже непроизвольно запомнили. Более того, этот пароль очень быстро набирается. В части Makeit20 чередуются на клавиатуре клавиши левой и правой руки, что увеличивает скорость набора, сокращает количество опечаток и уменьшает шанс того, что кто-либо сможет подсмотреть ваш пароль, наблюдая за движениями ваших пальцев (давно созданы списки английских слов, чередующих клавиши под правую и левую руку, которые удобно использовать как часть своего пароля; к примеру, список из восьми тысяч таких слов можно найти ЗДЕСЬ ).

Лучшая техника для создания сложных, но легко запоминаемых паролей — использование структур, которые мы привыкли запоминать. Такие структуры также упрощают включение знаков препинания в пароль, как в примере адреса e-mail, использованном выше. Другие структуры, которые легки для запоминания — это телефонные номера, адреса, имена, пути к файлам и т.д. Обратите внимание на некоторые элементы, которые позволяют нам упростить запоминание. Например, включение шаблонов, повторений, рифм, юмора и даже грубых (в том числе и матерных) слов создает пароли, которые мы никогда не забудем.

Миф №2. 14 символов — оптимальная длина пароля

В LM (LanManager) хэши паролей разделены на два 7-символьных хэша. Это фактически делает пароли более уязвимыми, поскольку атака грубой силы (brute-force) может быть применена к каждой половине пароля одновременно. То есть, пароли длиной 9 символов разделены на один 7-символьный хэш и один 2-символьный. Очевидно, что взлом 2-символьного хэша не займет много времени, а 7-символьная часть обычно взламывается за несколько часов. Часто короткая часть может существенно облегчить взлом длинного фрагмента. Из-за этого многие профессионалы безопасности определили оптимальную длину пароля в 7 или 14 символов, соответствующую двум 7-символьным хэшам.

NTLM несколько улучшил ситуацию за счет использования всех 14 символов для сохранения хэшей паролей. Хотя это действительно и облегчает жизнь, но диалоговое окно NT ограничивает пароль максимумом в 14 символов; таким образом определяя пароли длиной ровно в 14 символов оптимальными для безопасности.

Но все иначе в более новых версиях Windows. Пароли в Windows 2000 и XP могут иметь длину до 127 символов, таким образом, 14 символов уже не будет ограничением. Более того, есть одно маленькое обстоятельство, открытое Urity на SecurityFriday.com: если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan-хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM-хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.

Принимая это во внимание, можно было бы посоветовать использовать пароли длиной более 14 символов. Но если вы захотите сделать обязательным использование таких длинных паролей при установлении политики групп или шаблонов безопасности, то столкнетесь с затруднением — установить минимальную длину пароля более 14 символов невозможно.

Миф №3. J0hn99 — Хороший пароль

Хотя пароль «J0hn99» проходит по требованиям сложности Windows 2000, он не столь сложен, как кажется на первый взгляд. Многие программы-взламыватели паролей перебирают миллионы вариантов слов в секунду. Замена буквы «o» на цифру «0» и добавление пары цифр — сущая ерунда для таких программ. Некоторые программы-взламыватели даже проверяют наборы методов, которые обычно используют пользователи, что позволяет им подбирать даже довольно длинные и, на первый взгляд, удачные пароли.

Лучший подход — быть менее предсказуемым. Вместо того чтобы заменять «o» на «0», попробуйте заменить «o» на два символа «()», как в «j()hn». И конечно, удлиняя пароль, вы увеличиваете его устойчивость.

Миф №4. Любой пароль рано или поздно может быть взломан

Хотя любой пароль может быть вскрыт несколькими способами (например, через «клавиатурного шпиона» или с помощью социотехники), тем не менее, существуют способы создания паролей, не поддающихся взлому за приемлемое время. Если пароль достаточно длинный, процедура взлома займет так много времени или потребует так много вычислительной мощности, что по существу ее можно будет считать бесполезной (по крайней мере для большинства хакеров). Конечно, в конце концов любой пароль может быть взломан, но на наш век его вполне может хватить. Таким образом — если, конечно, ваш пароль не попытаются вычислить государственные структуры, — его шансы могут быть очень даже высоки. Хотя, возможно, достижения компьютерной технологии смогут однажды сделать этот миф реальностью.

Миф №5. Пароли нужно менять каждые 30 дней

Хороший совет для некоторых паролей с высокой степенью риска, но средним пользователям этот рецепт не подходит. Требование частой смены пароля зачастую вынуждает пользователей создавать предсказуемые модели в своих паролях или использовать другие способы, которые реально значительно снижают их эффективность. Обывателю не нравится постоянно придумывать и запоминать новые пароли каждые 30 дней. Вместо того чтобы ограничивать возраст пароля, лучше сосредоточиться на более устойчивых паролях и большей компетентности пользователей. Приемлемое время для среднего пользователя — от 90 до 120 дней. Если вы дадите пользователям больше времени, вам будет проще убедить их использовать более сложные пароли.

Миф №6. Никогда не следует записывать свой пароль

Хотя это и хороший совет, иногда просто необходимо записывать свои пароли. Пользователи чувствуют себя гораздо комфортнее при создании сложных паролей, если они уверены, что смогут его прочитать в надежном месте, если вдруг забудут. Однако важно обучить пользователей, как правильно записывать пароли. Наклейка на мониторе — это, бесспорно, глупо, лучше хранить пароль в сейфе или даже запирающемся ящике. И не пренебрегайте безопасностью, когда приходит время выбрасывать бумагу со старым паролем: помните, многие крупные взломы произошли именно из-за того, что хакеры не поленились просматривать мусор организации в поисках записанных паролей.

Может возникнуть идея позволить пользователям хранить свои пароли в программных утилитах для хранения паролей. Эти утилиты позволяют пользователю сохранять множество паролей в одном месте, закрытом главным мастер-паролем. Но если кто-то узнает мастер-пароль, то получит доступ к полному списку всех паролей. Поэтому прежде чем позволить пользователям сохранять пароли в таком месте, рассмотрите следующие опасности: во-первых, этот метод программный и, следовательно, уязвим для атаки; во-вторых, поскольку тут все держится на одном мастер-пароле, он может стать единственной причиной для глобального провала всех паролей всех пользователей. Лучшая методика — совместить технологию, физическую безопасность и политику компании.

Кроме того, пароли бывает просто необходимо документировать. Нет ничего необычного в ситуации, когда системный администратор заболел или уволился. А в ряде организаций это единственный человек, который знает все пароли, в том числе и пароль сервера. Так что иногда приходится даже поощрять записывание паролей, но только в случае, когда это действительно необходимо и продумано.

Миф №7. Пароль не может содержать пробелов

Несмотря на то, что большинство пользователей этим пренебрегают, Windows 2000 и Windows XP предусматривают наличие пробелов в паролях. Фактически, если вы можете видеть такой символ в Windows, вы можете использовать его и в пароле. Следовательно, пробел — совершенно правомерный символ для пароля. Однако поскольку некоторые приложения обрезают пробелы, лучше не начинать и не заканчивать пароль пробелом.

Пробелы облегчают пользователям создание более сложных паролей. Поскольку пробел может вставляться между словами, это может дать реальную возможность использовать длинные пароли из нескольких слов.

Вообще, с пробелом очень интересная ситуация: он не попадает ни под одну категорию требований сложности пароля Windows. Это и не цифра, и не буква, и даже не считается символом. Таким образом, если вы желаете сделать ваш пароль более сложным, то пробел ничем не хуже любого символа и в большинстве случаев не снижает сложность паролей.

Но хотелось бы сказать про один существенный недостаток, связанный с использованием пробела — его клавиша издает при нажатии уникальный звук, который ни с чем не спутать. В общем, используйте пробелы, но не злоупотребляйте ими.

Также можно обучить пользователей тому, как можно усложнить пароли и подсказать им несколько идей для этого.

Миф №8. Используйте ALT+255 для наиболее устойчивого пароля

Рассмотрим использование символов с большим ASCII-кодом для окончательного усложнения пароля. Эти символы не могут быть естественным образом набраны на клавиатуре, но вводятся удержанием кнопки ALT и набором ASCII-кода на цифровой клавиатуре. Например, последовательность ALT+0255 создает символ «я».

Несмотря на то, что в некоторых ситуациях это полезно, следует также рассмотреть недостатки. Во-первых, удержание кнопки ALT и набор на цифровой клавиатуре могут быть легко замечены посторонними. Во-вторых, создание такого символа требует пять нажатий клавиш, которые нужно запомнить и впоследствии вводить каждый раз при наборе пароля. Возможно, имело бы смысл создавать пароль на пять символов длиннее, что сделало бы ваш пароль гораздо устойчивее при том же самом количестве нажатий клавиш.

Например, 5-символьный пароль, созданный из символов с большим ASCII-кодом, потребует 25 нажатий клавиш. Учитывая 255 возможных кодов для каждого символа и всего пять символов, получаем общее количество комбинаций 255^5 (или 1.078.203.909.375). Однако 25-символьный пароль, созданный только из букв нижнего регистра, имеет 26^25 (или 236.773.830.007.968.000.000.000.000.000.000.000) возможных комбинаций. Очевидно, лучше создавать более длинные пароли.

Другой момент, о котором стоит подумать — клавиатуры некоторых портативных компьютеров затрудняют ввод с цифровой клавиатуры, к тому же некоторые утилиты командной строки не поддерживают символы с большим ASCII-кодом. Например, вы можете использовать символ ALT+0127 в Windows, но не сможете набрать его в командной строке. И наоборот, коды некоторых символов, таких как Tabs (ALT+0009), LineFeeds (ALT+0010), и ESC (ALT+0027) могут быть использованы при наборе из командной строки, но не могут быть использованы в диалоговых окнах Windows (что может оказаться желательным побочным эффектом в некоторых редких случаях).

Тем не менее, есть несколько случаев, когда полезно использование расширенных символьных кодов. Если у вас есть аккаунты сервиса или локального администратора, которые редко используются, иногда ввод расширенных символов требует несколько лишних нажатий клавиш. Поскольку немногие взломщики паролей настроены на обработку расширенных символов, этого может быть вполне достаточно, чтобы сделать пароль почти неуязвимым. Но в этом случае не останавливайтесь на большом ASCII-коде: существует малоизвестный факт, состоящий в том, что в действительности вы можете воспользоваться полным набором Unicode-символов, состоящим из 65 535 возможных символов. Тем не менее пароль, состоящий из символа ALT+65206, не столь устойчив, как эквивалентное количество нажатий клавиш с использованием обычных символов.

И наконец, обратим внимание на использование неразрывного пробела (ALT+0160) в наборе расширенных символов. Этот символ отображается как обычный пробел и зачастую может обмануть тех, кто каким-то образом увидел ваш пароль. К примеру, взломщик смог установить логгер клавиатуры в вашу систему. Если вы используете неразрывный пробел в пароле, в лог-файле он будет выглядеть как обычный пробел. И если взломщик не знает о неразрывном пробеле и не увидит действительный ASCII-код, то его пароль, на который он так надеялся, не даст ему ничего. А ведь многие люди просто не знают о существовании этого символа — хотя, похоже, после прочтения этой статьи уже будут знать.

Заключение

Кто-то может не согласиться с некоторыми представленными моментами, но они и не претендуют на роль конечной неоспоримой истины. Не в этом была цель написания этой статьи. Миф — это наполовину правда. Многие мифы, которые здесь критикуются, когда-то были прекрасными советами или даже все еще являются таковыми в специфических случаях. Но для многих они стали набором жестких, непреложных правил, которые необходимо применять всегда. Но любые советы, включая и приводимые в этой статье — не более чем просто советы. Вы сами должны решить, какие правила вам подходят, а какие нет. Пожалуй, наибольший и самый ошибочный миф из всех и состоит в том, что существуют единые жесткие правила в отношении паролей.

Иногда «John99» — это хороший пароль, а иногда пароли приходится менять гораздо чаще, чем один раз в месяц. Некоторые пароли, к примеру, администраторские, нуждаются в гораздо большей защите, чем другие — пользовательские. Чтобы создать политику паролей, которая защитит вас наилучшим образом, следует собрать все свои знания и добавить к ним то, что вы нашли полезным из здесь написанного.

Хороший пароль — это больше, чем просто сложный пароль. Хороший пароль — это тот, который крайне трудно угадать или подобрать, но очень легко запомнить. Он должен быть длинным и состоять из букв, цифр и символов, но в то же время должен легко и безошибочно набираться. Он должен содержать случайные элементы, которые может предоставить только компьютер, и в то же время оставаться близким человеку.

К оглавлению

Как придумывать пароли

Полушутливая статья о том, как придумывать хорошие пароли. =))

Мне кажется, что этот анекдот лучше всего подходит в качестве эпиграфа. Сейчас пароли много где приходиться использовать, а использовать один и тот же пароль – “плохой тон” в смысле безопасности (узнав пароль на ваш файл на форуме, могут стянуть и аську (icq), и мыло (e-mail), и много что еще). Вот поэтому и надо придумывать да запоминать всякие комбинации, вроде @&glA{Zn,!#, которые и запомнить подчас просто нереально для человека, который не спал несколько суток.

Опять же есть программы-хранилища паролей, достаточно ввести один пароль – и тут же все ваши пароли можно копировать, экспортировать, и вытворять с ними прочие фокусы. Чем они (программы) удобны – у некоторых можно перетащить пароль на форму, он появится в поле. У некоторых можно открыть страницу (URL), страница открывается с заполненными полями логин/пароль. Как пример – программа SCARABAY под win32 (на момент написания статьи – версии 2.7), которая позволяет хранить связки логин/пароль/URL, имеет генератор этих самых паролей, да еще и является бесплатной. Софтина неплохая, но речь не о программах пойдет…

Я, конечно, за автоматизацию, но для хранения паролей использую свою чайник (котелок, репу, главный соображающий девайс – нужное подчеркнуть =) ), ибо знаю массу случаев, когда нужно пароль, а его нет. Например – человек не на своем компьютере (в интернет-кафе, у друга) сидит, а доступ к мылу или аське или форуму нужен, хоть головой об стенку бейся. А пароли дома "забыл". Или еще пример – реальная ситуация, произошла с моим другом. Убил свой винт апстену (точнее аппол, но это “та же апстена, только нижняя =)”, цитируя его). Все пароли хранились в вышеназванной проге SCARABAY, бэкапы он на дискетку/CD почему-то не додумался сделать (ламер, что с него взять =)). В итоге – долго и упорно пришлось восстанавливать все пароли банальным ретривом себе на мыло (форумы, сайты, и прочее). Лишился красивой шестизначной аськи, WebMoney кошелька, исходников, ну и еще по мелочи, все только потому, что пароли хранились в проге. С ним долго спорили, обсуждали это событие, в конце концов он сказал примерно: "KCEOH, отвали ".:) Вот поэтому я и решил написать небольшую статейку о паролях.

Теперь я хочу подойти непосредственно к теме статьи – идеальному паролю. В наше время редко где они хранятся в открытом виде (разве что конфиги какие-либо), чаще они шифруются. Например – путем получения MD5-хеша (отсылаю на http://ru.wikipedia.org/wiki/MD5 и http://ru.wikipedia.org/wiki/Хэш-функция ), этот способ используется на большинстве известных мне форумах. Имея немалый опыт восстановления паролей из этих хешей (ну… скажем так - юзеры моего форума забыли пароль, попросили восстановить =)) могу утверждать, что достаточной стойкостью к перебору обладают пароли:

a-z/а-я – 11 символов

0-9 – 14 символов

Достаточной стойкостью – это значит чтобы их подобрать – нужен хороший компьютер, и пара суток его работы. Ясно, что речь не идет о популярных словах/номерах, которые имеются в словарях, вроде darkness, computer, mazafaka, 00000000, 123456, 666666 и т.д.

К оглавлению

Как придумывать хорошие пароли

Администратор БД в своей работе сталкивается с необходимостью использовать множество паролей. Пароль на личной машине, пароли для пользователя oracle на разных unix-машинах, пароли для пользователей sys/system/perfstat/etc на различных базах... Как избежать соблазна использования одного простого пароля для всех account'ов? Надо просто использовать правильную технику придумывания пароля.

Что такое правильная техника?

Рассмотрим сначала пару неправильных техник.

Когда в качестве пароля используется абракадабра из смеси больших и маленьких букв, цифр и спецсимволов. Такие пароли очень трудно запоминаются, легко забываются по истечение короткого периода "неактивности". Запомнив один раз такой пароль, пользователь будет стремиться не менять его как можно дольше, чтобы не утруждать себя тяжелым запоминанием. Когда надо запомнить около десятка таких паролей (и периодически их менять!), то без знания мнемотехники (которая вовсе не распространена среди пользователей) здесь не обойтись. Вероятность, что пользователь тайком или явно запишет такой пароль на листке, очень высока. Удивительно, как при этом такой пароль может считаться удовлетворительным среди специалистов по информационной безопасности.

Когда в качестве пароля используется русское слово, набранное на английской клавиатуре. Запоминается такой пароль легко, но и ломается очень просто. Для взлома не надо использовать brute-force поиск, достаточно только использовать dictionary attack. Любая нормальная программа для взлома паролей может использовать словарь русских слов, набранных в английском регистре. Более того, дополнительно проверяются варианты (как не требующие слишком больших усилий) с заменой одного-двух символов в слове. Также, к примеру, проверяются слова с замененными O на 0, а S на 5.

Частным случаем является использование в качестве пароля ненормативной лексики. Почему-то считается, что взломщик постесняется добавить такие слова в словарь для проверки.

А вот, наоборот, пара приемлимых техник:

Используйте генератор паролей, который создает бессмысленные, но произносимые пароли. Такая вещь, например, встречалась в SCO Unix. Вот примеры паролей оттуда: ovyetigi (ov-yet-ig-i), upsogaga (ups-og-ag-a). Добавьте к ним одну-две цифры и у Вас уже получился удовлетворительный пароль, который можно запомнить без сверхусилий.

Если же у Вас нет под рукой генератора произносимых паролей или Вам просто надо подсказать пользователю, как он может сгенерить хороший пароль, то используйте следующий прием: возьмите какую-нибудь известную фразу или составьте её сами. К примеру это может быть "И вновь продолжается бой, и сердцу тревожно в груди!" или "мы с Михаилом поженились летом 1996 года" или "Люся, родная, дались тебе эти макароны..." или "в этом году моя дочь будет поступать в университет." Такие фразы обычно запоминаются мгновенно, особенно если Вы выстроите минимальную ассоциативную цепочку. К примеру из первой фразы получается пароль для рабочего места, а из второй фразы получается пароль для домашнего компьютера.

Теперь возьмите первые буквы фразы (включая цифры и пунктуацию) и составьте пароль. Т.е. из первой фразы получается "Ивпб,иствг!", из второй -- "мсМпл96г" и т.д. Только печатайте, конечно же, в английском регистре. Окончательные варианты будут такими: Bdg,bcndu! vcVgk96u K?h?ln'v/// d'uvl,gde/

Совершенная бессмыслица, которая легко запоминается и очень тяжело взламывается.

Также можно взять за правило ежемесячно менять пароли, используя следующий прием: подумайте пару минут и вспомните самое значительное событие прошедшего месяца. Например: "16 числа муж наконец-то купил мне шубу" или "моя собака подралась с соседской овчаркой Рексом." Составляйте фразу так, чтобы в итоге получилось не менее восьми символов. И в этом месяце используйте соответствующий пароль. Правда, такой прием годится скорее для тех, кому необходимо запоминать не более одного-двух паролей.

К оглавлению