eponim2008 (eponim2008) wrote,
eponim2008
eponim2008

Categories:

Как правильно выбирать пароль?

Пароли – это ключи от «замкόв» ворот компьютерных «зáмков», толстые «стены» которых должны защищать важную для нас информацию. Но толщина «стен» не так уж и важна если секретные замки легко взломать.

Для «простых» пользователей вопросы надежности замкόв личных кибер-зáмков важны еще и потому, что ответственность за информационную безопасность на этом уровне ложится на них, а не на дизайнеров или администраторов системы.

И вот тут-то оказывается, что многие запирают ворота, что называется, «на гвоздик», в лучшем случае, на щеколду. Пользователи упрямо любят простые пароли, но не все понимают, что простота в этом деле хуже воровства. Пароль типа 12345… взломщики пробуют первым и на удивление часто добиваются успеха.

Поэтому советы пользователям, которые раздают специалисты по компьютерной безопасности – избегать слишком простых паролей и выполнять достаточно простые правила по их возможному усложнению.

Но в самом ли деле это полезные советы? И правильны ли они? И, наконец, тем ли людям они адресуются?

Чтобы ответить на эти вопросы, следует понять разницу между атаками на пароль, которые могут происходить онлайн, и офлайн-атаками.

Онлайн-атаку производит сторонний злоумышленник, который пытается войти на сайт через стандартную страницу входа. Этот злоумышленник пытается угадать комбинацию имени пользователя и пароля. Для этого часто используются специальные программы, которые могут работать круглосуточно и не просто тупо перебирать пароли, а выбирать их, пользуясь специально составленными базами данных наиболее часто используемых паролей. Вышеуказанный пароль 12345… – один из первых в этих базах данных.

Но у онлайн-атак есть вполне понятные ограничения. Во-первых, злоумышленника-взломщика паролей легко выявить. Он слишком часто вводит пару имя пользователя – пароль. 60 раз в минуту – следует обратить внимание на этого «работягу»! А еще лучше, сразу заблокировать Интернет-адрес, с которого он пытается войти в систему. Обычно такая блокировка происходит после третьей неудачной попытки входа в систему. Такая блокировка тем более оправдана, что серия посылаемых на сайт комбинаций повышает уровень трафика на входе сайта в тысячу, а то и в десятки тысяч раз. Чем не атака, направленная на ухудшение работы сайта? Такие атаки еще называются DDOS-атаками. Системы защиты сайтов стараются бороться с такими «диверсантами» именно с помощью блокировки входных адресов «активистов».

Кроме того, каждая проба пароля в попытке взломать систему увеличивает глобальные затраты взломщика на вскрытие сайта. В какой-то момент эти затраты станут выше той выгоды, которую злоумышленник желает получить от проникновения в систему. После этого смысл атаки пропадает.

Специалисты считают, что злоумышленнику коммерчески нет выгоды взламывать обычный сайт после миллиона проб. По их мнению, алгоритм создания паролей должен обеспечивать стойкость пароля к такому количеству попыток подбора.

Оказывается, что случайно сгенерированный пароль, состоящий всего из пяти символов, цифр или латинских больших и малых букв, вполне устойчив к атаке, производимой посредством перебора. А если символов больше, стойкость пароля растет экспоненциально в зависимости от числа символов. Кроме того, блокировка попыток входа на сайт всего-навсего на 1 час драматически повышает время, необходимое для взлома сайта: вместо 4 месяцев для взлома понадобится 8 тысяч месяцев!

Кстати, теперь «простому пользователю» становится понятно, почему администраторы просят его менять пароли хотя бы раз в полгода.  Если этого не делать, у злоумышленников повышается шанс после нескольких месяцев работы все-таки взломать сайт.

Офлайн-атака предполагает предварительную кражу или покупку базы данных паролей веб-сайта, который хотят взломать.

Организация офлайн-атаки намного сложнее. Злоумышленник, для того, чтобы получить в свое распоряжение актуальную копию базы данных паролей, должен применить методы, которые очень обтекаемо называются «социальной инженерией». Эти красивые слова скрывают элементарный подкуп системных администраторов или угрозу насилия по отношению к ним. Но «социально инженерить» следует очень аккуратно, чтобы результат давления на системных администраторов остался незамеченным как можно дольше.

Кроме того, офлайн-атака должна происходить гораздо быстрее, чем атака онлайн. Времени у злоумышленника немного – до того момента, пока большинство пользователей не поменяли свои пароли или же администраторы сайта сами не сбросят все пароли.

Как известно, в системной базе данных, хранятся не сами пароли, а результаты применения к ним специальной функции, которая называется «хэш-функцией». Хэш-функция обладает одним интересным свойством, односторонностью. Если известен пароль, хэш-функция вычисляется просто и быстро. Однако, обратное действие невозможно, по значению хэш-функции определить пароль невозможно. Более того, невозможно даже подобрать пароль, сравнив две хэш-функции, им соответствующие. Изменение всего лишь одного символа приводит к абсолютно другому значению хэш-функции.

Алгоритм хэширования, обычно не является секретом, но разгадке это не помогает. Поэтому офлайн-атака на системные пароли проводится тем же самым подбором. Генерируется возможный пароль, вычисляется хэш-функция и сравнивается со значением, которое хранится в системной базе данных. И так происходит до тех пор, пока значения хранимой и вычисленной хэш-функций не совпадут. Объем работы тот же, однако теперь злоумышленник может применить более производительные компьютеры и, возможно, взлом будет успешным.

Для того, чтобы выдержать офлайн-атаку, как говорят специалисты, пароль следует усложнить так, чтобы он выдержал около 100 триллионов атак! В переводе на обычный язык это означает, что пользователю следует пользоваться случайными и длинными паролями, которые вряд ли есть возможность запомнить.

Что же делать пользователю для сохранения собственной информационной безопасности?

Во-первых, следовать правилу: никаких простых паролей. Для облегчения запоминания, конечно, можно использовать слова, но это должны быть слова абсолютно неожиданные для посторонних. Классика здесь будет нам примером.

Послушайте, — сказал вдруг великий комбинатор, — как вас звали в детстве?

А зачем вам?

Да так! Не знаю; как вас называть. Воробьяниновым звать вас надоело, а Ипполитом Матвеевичем слишком кисло. Как же вас звали? Ипа?

Киса, — ответил Ипполит Матвеевич, усмехаясь.

— Конгениально!

                                          И. Ильф. Е. Петров. 12 стульев.

Другая возможность – использовать слова другого языка. Очень хорошо, если язык этот не слишком распространен в тех краях, где придется пароль применять. В Сан-Франциско или в Осло пароль типа «KilManda2019» разгадать труднее, чем в Москве. А вот в Казани это может быть гораздо легче. Татарское слово «киль манда» там знают не только татары, но и многие русскоязычные.

И, кстати, второе правило тоже следует блюсти: перемешивать прописные и строчные буквы.

Третье правило: регулярно менять пароль. Теперь, после прочтения того, как могут взламывать пользовательские пароли, понятно, для чего это следует делать. Лучше всего менять пароль раз в квартал, или хотя бы раз в полгода.

Наконец, четвертое правило: следует разделить пароли на очень важные и менее важные.

Для чего это нужно? Менее важные пароли можно генерировать по какому-либо правилу, позволяющему облегчить запоминание. Например, составлять пароль из двух слов. Первое слово пусть будет названием столицы какой-нибудь страны. Конечно, латиницей, и конечно, подлиннее.  Скажем, KualaLumpur. А второе слово пусть будет цифрой, равной количеству букв в первом слове. Например, для упомянутой столицы Малайзии это будет 11. Итого: KualaLumpur11.

А вот пароли, которыми приходится особенно дорожить, должны быть длинными и абсолютно случайными. Лучше всего их генерировать онлайн или с помощью специальных программ. Очень важные пароли обычно связаны с различными денежными делами: например, пароли к банковским счетам или же – еще важнее – к кошелькам с криптовалютой. Пароль, состоящий из 32 случайных алфавитно-цифровых символов: HtwpJzt3qlSfOQbkZLVgdrN5DJTJdaJ9, разгадать практически невозможно.

Беда в том, что и запомнить его и воспроизвести без ошибки или опечатки весьма сложно. Но это проблема разрешаемая. Существуют специальные программы для хранения паролей, которые называются «Password manager», менеджеры паролей. Эти программы освобождают память пользователей и устраняют многие сложности. Однако в этом случае один пароль все же запомнить придется. Этот пароль менеджер будет запрашивать всякий раз, начиная работу. И он, конечно, не должен быть простым.

Статья опубликована на сайте Школа жизни

Статья опубликована на сайте Школа жизниПолезные ссылки:

  1. Do we really need strong passwords?

  2. How to pick a proper password

  3. How to choose password

Tags: компьютеры, криптология, пароль, школа жизни
Subscribe

  • Как города входят в историю? Ливермор

    Как известно, первые американские атомные бомбы разрабатывались в лаборатории, которая находилась в городке Лос-Алáмос в штате Нью-Мексико.…

  • Что такое маскот?

    В начале эпохи автомобилизма в моду вошли украшения, которые называли маскотами от французского слова «mascotte», что означает…

  • Кто такие тунеядцы?

    Когда-то я жил в Москве, и жил я в Москве на улице со странным названием Красный Казанец. Странность названия продолжалась до тех пор, пока я, вслед…

promo eponim2008 september 21, 12:37 3
Buy for 10 tokens
Женщинам дозволено кокетство. Скрывать свой возраст у прелестных дам стало общепринятой причудой. Даже если и скрывать особенно нечего. Потому я в начале моего рассказа тоже пококетничаю немного и своего возраста сразу не назову. Скажу только, что нахожусь я на том отрезке женской жизни,…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments