Пароль из 8 букв. О сложности сложных паролей

Не секрет, что большинство людей используют пароли, которые не отличаются высокой стойкостью ко взлому. Это словарные пароли, которые состоят из общеупотребительных слов или словосочетаний. Это легендарные клавиатурные комбинации qwerty, 12345, asdfg и другие. Это общеупотребительные русские слова, набранные в другой раскладке (например, пароль = gfhjkm и т.д.).

В большей степени взломостойкость пароля зависит не от его сложности, а от системы авторизации. Другими словами, пароль zaika88 более надёжен чем Z@!kABB, если во втором случае мы имеем возможность свободного перебора паролей, а в первом получаем задержку между попытками ввода, пропорциональную количеству неудачных попыток. Но пароль zaika88 значительно проще подобрать, чем Z@!kABB при равных скоростях подбора.

Apple ID требует (требовал несколько лет назад точно) создать пароль с обязательным использованием спецсимволов, наличием цифр и заглавных букв. Я начал размышлять над сложностью паролей, которые используются в AppleID.

— Вероятнее всего заглавная буква будет использована в самом начале пароля. Маловероятно, что она будет использована где-либо ещё (за исключением 8 = B). Мы привыкли писать новые предложения с большой буквы, поэтому если нам предложат создать пароль хотя бы с одной большой буквой, мы разместим её в самом начале.

— Спецсимвол, в отсутствие альтернатив, скорее всего будет добавлен в самом конце пароля. Но обычно спецсимволами заменяют некоторые буквы: i = !, a = @, s = $. Знаки теперь используются разные, но сами буквы визуально похожи. Да и алгоритм замены вполне понятен, так что это не сильно затягивает процесс взлома.

— Обязательные цифры в большинстве случаев будут заменять похожие буквы: o = 0, b = 8, t = 7, 1 = i, 9 = g. Снова та самая визуальная «похожесть» знаков. Цифры можно добавить в конце слова, но это совсем уж детский сад.

— Скорее всего такие требования к паролю (а Apple постоянно говорит, что ещё нужно добавить в пароль), приведут к тому, что пользователь будет шифровать подобными методами самые очевидные слова.

Какая собственно разница между Barcelona и Barcel0n@. Разница в том, что второй пароль принимается яблочным сервисом, так как отвечает всем «требованиям» о сложности пароля. Но, тем не менее, это всё то же словарное слово. И таких «подтасовок» лучше избегать.


Подпись к картинке гласит: «Сложные пароли должны состоять не менее чем из восьми символов и включать в себя заглавные и строчные буквы, цифры, специальные символы». Причём из всех повторяющихся строк самая нижняя не очень-то отличается от оригинала. Шифровать слова таким методом сегодня точно не стоит.

Это стоило делать в эпоху BBS, когда компьютеры были большими, а скорости передачи данных - маленькими. К слову, вот эта самая «замена» называется «leet», на Википедии есть подробная статья, но можно просто ознакомиться со списком слов . Сегодня, когда мощь компьютеров и скорость передачи данных выросли в сотни раз (и я не шучу), такие «сложные пароли» вскрываются на раз-два. гарантируют это!

Привет, друзья! Сегодня мы обсудим такую архиважную тему, как логины и пароли. В век тотальной информатизации у каждого из нас имеется множество учетных записей, начиная от входа в компьютер/ноутбук/планшет/телефон, заканчивая банковскими учетными записями.

Большинство авторитетных интернет-компаний и сервисов имеют на своих ресурсах краткие рекомендации по выбору пароля. Но, как правило, они слишком поверхностные, к тому же, найти их можно только в разделах типа "FAQ", "Помощь" и т.п. То есть не непосредственно в момент регистрации. Так что, я изложу свое видение того, как придумать надежный пароль .

Во-первых, давайте сразу определимся, какие пароли использовать НЕЛЬЗЯ (это уже прописные истины):

  • пароли, с минимальным количеством знаков, и тем более, без использования спецсимволов. Примеры: 1234, fhj, 8855, 451326, kdjkdsj – эти и подобные пароли взламываются очень быстро, особенно те, которые состоят исключительно из цифр, даже если их много, типа 265489418758. Все это очень ненадежные пароли. После прочтения этой статьи, вы поймете почему.
  • пароли, состоящие из словарных слов, любых словарных слов, будь-то "апельсин", или "leukocyte" – особой разницы нет. Это касается не только русскоязычных и англоязычных слов, но и любых слов на любом языке;
  • самые известные и примитивные пароли, например, 123456, qwerty, йцукен, 123456qwerty, admin, pass, password и т.д. Как ни странно, но периодические исследования в этой области показывают, что очень много людей используют именно такие пароли;
  • пароли, в которых буквы заменены на похожие цифры или символы: O на 0, B на 8, S на 5 (или на знак доллара $) и другие. Самый яркий пример - pa$$w0rd
  • пароли, содержащие хоть какую информацию, относящуюся к вашей личности: дата рождения, телефон, последние цифры кредитной карты, любимые фильмы, логины, прозвища, фамилии или имена (в т.ч. и дальних родственников) и все в таком духе.

Это первостепенные запреты. Теперь рассмотрим основные методы завладения чужими паролями. Заодно поймем, почему нельзя использовать пароли, сформированные вышеназванными способами.


Преобладающие методы кражи паролей и учетных данных можно разделить на несколько категорий:

  • простой перебор (он же брутфорс) . Посредством специальных программ перебираются все возможные знаки (прописные и строчные буквы, цифры, спецсимволы) в связке "логин – пароль".

В этих программах (брутфорсерах) указываются необходимые условия для перебора: параметры логина (если он известен, то задача многократно облегчается), т.е., обозначается, какие знаки использовать при его переборе, использовать ли цифры, специальные символы (!@#$%^()_+?, и др.), использовать только строчные, только заглавные, или те и другие буквы. Также, можно указать максимальное число знаков (и минимальное). Аналогично условия брута вводятся и для пароля.

Исходя из всего этого, становится понятным, почему нельзя использовать пароли из первого пункта "запретного" списка. А что касается чисто цифрового пароля, без букв и символов, тут объяснение простое. Просто задайте себе вопрос: сколько может существовать вероятных комбинаций пароля из 8 знаков, состоящего исключительно из цифр, и комбинаций пароля из такого же количества знаков, но включающего в себя хотя бы пару букв? Ответ очевиден. Современные машины, с мощными вычислительными возможностями, способны подобрать цифровой пароль, состоящий только из цифр за считанные минуты.

Кроме того, огромное значение имеет и длина пароля! На современных компьютерах проще подобрать совершенно незапоминаемый 10-значный пароль, использующий весь диапазон символов, чем 20-символьный пароль состоящий из одних букв, но который более легок для запоминания. Это может быть, например, комбинация каких-то несвязных между собой слов с намеренным каверканьем/ошибками/транслитерацией или вообще не словарных слов. Согласитесь, пароль verblud_usaet_153_avtomata_za_noch! ("верблюд юзает 153 автомата за ночь!") достаточно легко запомнить, и тем не менее он очень устойчив: в нем 35 символов, включая цифры и спецсимволы. Можно еще добавить и заглавных букв =) Такой пароль гораздо более стойкий, чем незапоминаемая абракадабра из 8-10 символов. И использовать его рекомендуется, например, в качестве мастер-пароля к менеджеру паролей.

  • перебор по словарям . В брутфорсер загружаются словари того или иного языка. В России, это, как правило, английский и русский язык. Причем, в подавляющей массе паролей используются именно английские буквы и слова (если быть точнее, латинские). Кириллица используется реже, в том числе и потому, что некоторые сервисы позволяют употреблять в качестве пароля только латиницу, цифры и символы. Или, что бывает чаще - это специальные словари, состоящие из украденных откуда-то паролей (в таких базах может быть несколько миллионов паролей, и даже десятков и )

Взлом по этой методе реализуется примерно так: загружается словарь (или словари), сначала прогоняется в брутфорсере так сказать "на чистую". Если результатов нет, то используется "маска" – т.е. кроме прямых указаний программе использовать загруженные словари, обозначаются также такие критерии, как количество использованных цифр, символов, и в каком месте вставить (в конце слова, в начале). Например, пароль типа architect2013 будет подобран за минимальное кол-во времени. Аналогично и 2013architect. А вот если пароль будет ar2ch0it1ec3t, то его "по словарю" будет нереально забрутить. Взломщику придется прибегнуть к первому способу (прямой перебор).

  • социально-инженерный метод . Социальная инженерия (в рамках этой статьи буду называть ее СИ) в последние годы безумно популярна в среде хакеров, кардеров, интернет-мошенников, и конечно же, в среде наших доблестных спецслужб =) А двигателем СИ являются соцсети и массовая интернетизация.

Одним из методов противодействия СИ в контексте данной темы, как раз является последний пункт "запретного" списка. Но СИ, как наука (а я реально считаю ее наукой и искусством) нацелена далеко не на поиск паролей. Вернее, конечной целью является, как правило, именно связка "логин – пароль", но добываются такие сведения очень тонко, изящно, и не заметно на первых порах для "жертвы". А окончательным итогом всех этих манипуляций являются либо кража ваших средств с банковских счетов или интернет-кошельков, либо компрометация и последующий шантаж, с целью материальной наживы (выкуп) или же с целью заставить вас выполнить определенные, и, как правило, незаконные действия. Т.е. цель - "посадить на крючок".

Можно провести некую аналогию с так называемыми "цыганами", экстрасенсами, сектантами – вас вводят в заблуждение и выбивают необходимую информацию (или добиваются определенных действий от вас), причем главным оружием для таких личностей, как в оффлайне, так и в онлайне является что? Попробуйте угадать! =) А ответ прост, вспомните великие пословицы и поговорки "Язык мой – враг мой" или "Болтун – находка для шпиона". Уловили суть? И еще часто бывает, что вы можете еще не скоро понять, откуда же была утечка, откуда идет это влияние, а можете и вообще не понять.

Если вас заинтересовало искусство СИ, погуглите этот вопрос и узнаете массу интересного.

  • программный метод . Тут с одной стороны все просто для понимания – это трояны, кейлогеры, скрипты, шпионы, руткиты и прочие вредоносные объекты (для простоты понимания обозначим их образно "вирусы"). А с другой стороны сложно - в плане практической реализации защиты от всех этих зараз.

Большинство среднестатистических пользователей считают, что установив хороший антивирус (пусть даже самый лучший по различным независимым тестам), они абсолютно защищены от любых угроз. Как ни странно, но это ложное представление. В данной статье мы этот вопрос разбирать не будем, потому что к нему мы будем вновь и вновь обращаться на страницах этого блога – это, как-никак, одна из основных целей и направлений блога.

  • аппаратный метод . Этот способ реализуется только при непосредственном контакте с "жертвой", и как ни странно, агрессором, скорее всего, выступит близкий или знакомый вам человек. Метод актуален, в первую очередь, для настольных компьютеров.

Основан он на том, чтобы "установить" на компьютер, некое техническое приспособление – аппаратный кейлогер. Как правило, это небольшой "девайс", который засовывается в гнездо для клавиатуры системного блока, а в само это приспособление засовывается провод от "клавы". Получается что-то вроде переходника. И этот "переходник" записывает в себя (по типу обычной флешки) все нажатия по клавишам клавиатуры, и никакой, абсолютно никакой, антивирус этого чисто физически заметить не сможет, ведь "перехватчик" аппаратный, а не программный.

К аппаратным методам можно отнести и более изощренные варианты, но это уже ближе к шпиономании и спецслужбам. Несмотря на это, статьи по таким методикам, возможно, будут опубликованы в дальнейшем. Так сказать, для параноиков. Я вот даже сейчас подумал, что может быть такую рубрику создам "Special for Paranoics" =)

Теперь, когда мы знаем с какой стороны может быть осуществлена атака и знаем о том, какие пароли считаются ненадежными, самое время перейти к рекомендациям по выбору пароля и по способам их хранения и к общим правилам безопасности.

Для начала, разбейте все свои пароли на условные группы, по их важности. Например, самыми важными можно назвать пароли от интернет-банкинга, электронных кошельков, основных e-mail, серверов, домашних маршрутизаторов (роутеров, точек доступа), аккаунтов, ну, и, конечно же, от ваших сайтов и блогов.

К средней важности можно отнести пароли к аккаунтам в соцсетях, электронной почте, но только не к той, на которую вы регистрировались в сервисах, о которых написано в группе самых важных паролей. Т.е. если к важным мы относим пароль от клиент-банка, то и пароль для e-mail, который вы указывали при регистрации в этом сервисе, также должен быть очень сложным. Также к этой группе я отношу пароль администратора компьютера.

Ну и третья группа – наименее важные сервисы. Как пример: электронная почта, которую вы используете для различных подписок, аккаунты на сайтах, не представляющие собой ничего ценного (где вы регистрируетесь, скажем, только для того, чтобы оставить комментарий) и т.п.

После того, как пароли разбиты на группы, поговорим о том, каким должен быть пароль для каждой из них.

Первая группа

  • рекомендуемое количество символов – от 20 до 50. Длиннее - особого смысла нет, но если сервис позволяет любую длину пароля и вы – параноик, то дерзайте =);
  • используемые символы – прописные и строчные буквы, цифры, спецсимволы; желательно при генерации такого пароля использовать как кириллический алфавит, так и латиницу, если использование кириллицы допускается тем сервисом, в котором вы регистрируетесь. Многие генераторы паролей используют только латиницу, так что, после того, как вы сгенерируете пассворд, добавьте вручную несколько кириллических символов.
  • для каждой учетной записи из этой группы у вас должен быть отдельный и самый надежный пароль .

Вторая группа

  • кол-во символов ~ от 15 до 20;
  • используемые символы – аналогично предыдущей группе;
  • для каждой "учётки" пароль также должен быть отдельным.

Третья группа

  • допускаются пароли от 8 символов;
  • знаки препинания и спецсимволы можно не применять;
  • пароль можно делать читаемым и простым для запоминания;
  • допускается использование одного пароля для разных сайтов, чтобы не париться с их запоминанием, ведь такие аккаунты, как мы уже рассмотрели, не несут никакой ценности для вас.

Для третьей группы можете сделать примерно такой пароль: UsymBada23* - такой пароль легко запомнить, но не так просто взломать, да и вряд ли его кто-то будет пытаться взламывать. А запоминается он так: первая часть – это понятно, просто читается и запоминается (типа "у симбада"), первая буква заглавная, вторая часть (или слог) тоже начинается с заглавной. А вот в конце просто ставите, например, какое-то число и один спецсимвол (в данном примере получается: "У Симбада 23 звезды"). Таких различных вариантов можно придумать великое множество.

И в завершающей части статьи обсудим общие рекомендации:

  • не используйте одну и ту же связку "логин-пароль" для разных сервисов; как логин, так и пасс должны быть уникальными;
  • при наборе пароля в особо важных сервисах (интернет-банк), старайтесь использовать виртуальную клавиатуру;
  • никогда не храните пароли в обычном текстовом файле на компьютере, или в файле Word, даже если он запаролен;
  • используйте специализированный софт – менеджеры паролей. Я рекомендую, и . , по моему мнению, лучший менеджер паролей ;
  • не используйте в браузерах функцию "Сохранить пароль" или "Запомнить меня";
  • после того, как вы поработаете с каким-либо сервисом ( , вконтакте и т.д.) прежде чем закрыть браузер, воспользуйтесь функцией "Выйти".

Про совсем уж общепринятые правила, такие как, использование свежих версий программного обеспечения, использование антивирусов и с регулярными обновлениями баз, упоминать, я надеюсь, не стоит =)

В завершение статьи, предлагаю вам небольшой приятный бонус – хороший онлайн генератор паролей. Основным его преимуществом можно считать возможность использования энтропии при генерации пароля. Это значит, что пароль будет генерироваться не просто случайным подбором символов, а будет зависеть от ваших действий – нажатий на клавиатуру и движений мышкой. Ну и все функции хорошего генератора присутствуют, конечно же: можно исключить похожие символы (S и 5, O и 0 и т.д.), указать диапазон символов и проч.

Пишите комментарии о том, что вы думаете по поводу этой статьи. Может быть, у вас есть какие-то свои тонкости и хитрости в этом вопросе? Может быть я что-то забыл добавить? Пишите.

МЕТКИ

33 Комментариев → Как выбрать пароль. Ликбез по парольной защите

  1. Web-Кошка

    Александр, привет! Утащила статью целиком в свой эверноут, буду читать внимательно и тут же использовать, поскольку в вопросе безопасности я полный ноль, а лучшим считаю пароль "12345" - его-то точно не забуду.
    Вообще, думаю, если не скатишься в попсовый псевдосеошный блог, то успех гарантирован! Во всяком случае, более подробной и структурированной статьи на эту тему не встречала, хотя и периодически делала попытки разгрести свой бардак с паролями.
    Подписываюсь однозначно, и не в качестве ответного жеста, а потому что чувствую, что получу немало полезной информации у тебя на блоге! (Ничего, что я так неожиданно на "ты" перешла?)
    Кстати, не знала бы, какой шаблон у тебя установлен - ни за что бы не догадалась. Очень красиво вышло!
    В общем, успехов тебе! Обязательно буду заглядывать на огонек!

  2. Web-Кошка

    А нет, коммент прошел, просто нужно было страницу перезагрузить!

  3. Александр Майер

    Привет, Лариса! Рад видеть тебя. Первый каммент был помечен как спам, почему-то. Спасибо за приятные слова и наставления. Я тоже так считаю, что скатываться в тематику "как заработать мильён" это гиблое дело:) Я буду стараться ориентироваться на техническую сторону вопроса, как и WP-тематики, так и безопасности в целом. Материала в голове масса, нужно только все по полочкам расставить и публиковать по мере сил (на эту статью у меня больше суток ушло, не чистого времени, конечно, а с момента когда принялся ее писать и до публикации). А насчет тематики паролей, я планирую в ближайшее время парочку статей еще написать, с обзорами тех менеджеров-паролей, про которые в статье упоминал, и еще по некоторым моментам. Думаю будет интересно:) И бардака с паролями впредь не будет =) Так что, как говорится, вэлкам!

    Если какие-то вопросы появятся - можешь смело на почту писать. Ну, или тут на блоге, если в рамках той или иной статьи.

  4. Ogri

    Приветствую, Александр! Спасибо за инфу, давно хотел разобраться в подобном, да все руки не доходили. Все считал, что мои пять пятерок в качестве пароля к админке еще на некоторое время можно оставить - кому я интересен, пока не раскрутился? Проведя полный рабочий день за поднятием сразу двух хакнутых сайтов, понял - интересен. Перешел от полного пофигизма сразу к паранойе: теперь авминки закрыты 30-символьными паролями, сгенерированными на упомянутом вами сайте. Не поленился и энтропию создать по-полной. В общем, провел день весело - то переписывался со службой поддержки хостинга, то мотылял и кликал мышью и спонтанно давил баттоны, обеспечивая генерацию максимально стохастического пароля. Сделал заодно кучу других вещей для обеспечения максимальной секьюрности; кстати, через день-два планирую статью на эту тему, пока в памяти свежо. А все свои пароли теперь буду генерить через тот сайт. Поскольку запоминать их нереально, храниться они будут в KeePass, который я перевел в основной менеджер паролей благодаря вашим трем статьям о нем. За них - отдельное спасибо.
    А теперь пойду вас потроллю, как и обещал. Встретимся у Натальи.

  5. Ogri

    Катализаторами выступили злобные хацкеры, не льстите себе. Вы как раз наоборот - смогли помочь. Давно интересовался этой темой, буду вас читать.

  6. Татьяна

    Спасибо. Очень полезная информация. Бросаю жить по принципу: пока гром не грянет - мужик не перекрестится, меняю свои пароли на более надежные.)))

  7. Марфа

    Не припомню, чтоб получала удовлетворение сразу по многим пунктам, относящимся к теме шпиономании, до момента, когда наткнулась на ваши статьи. По-мастерски доходчиво, интересно, ненавязчиво.
    Низкий вам поклон! Спасибо, что печетесь о нас - веб-параноиках:)

  8. Eugene

    Хороший пост. Но не полный. Забыли про графические пароли.

    1. Александр Майер

Каждому пользователю, который общается на форумах и социальных сетях, делает покупки в Сети, со временем приходится сталкиваться с проблемой запоминания паролей, так как в одни момент учетных записей накапливается столько, что без ручки и блокнота не обойтись.

Пароли бывают длинные и короткие, простые и сложные. Каждый волен выбирать что по душе, однако от набора символов или незамысловатого слова может зависеть сохранность личных и рабочих данных (которые могут стоить очень дорого). Ведь чем проще и короче пароль, тем быстрее злоумышленники могут завладеть той или иной учетной записью.

Недавно компания Errata Security провела интересное аналитическое исследование, в ходе которого анализировался подход пользователей к выбору паролей. Сбор данных проводился на территории США. Как оказалось, 16% пользователей предпочитают вписывать в строку введения пароля свое собственное имя или имена близких людей. 14% владельцев учетных записей в Сети решают проблему выбора пароля с помощью цифрового блока клавиатуры («1234», «12345678»), в то время как некоторые вместо цифр используют буквы ("QWERTY").

Интересно отметить, что 5% из всех украденных паролей – имена звезд шоу-бизнеса, телешоу и киногероев. К примеру, это "Pokemon", "Matrix" (Матрица), "Ironman" (Железный человек). В свою очередь, некоторые пользователи предпочитают вводить в строку пароля само слово «Пароль» ("password1", "password").

Несмотря на богатство родного языка и наличие собственной фантазии, многие выражают посредством паролей свои чувства: "I don"t care" (Мне все равно), "Yes" (Да), "No" (Нет), "Iloveyou" (Я тебя люблю) "Ihateyou" (Я тебя ненавижу).

Арсений Герасименко

ПРАВИЛА ГЕНЕРАЦИИ ПАРОЛЯ

Моя личная практика показывает, что да, действительно, очень многие пользователи предпочитают несложные пароли - наподобие "12345". Столь виртуозной сложности пароль, как "1й2ц3у" сразу вызвает у меня подозрение в том, что пользователь сам себя относит себя к разряду "продвинутых" :) Однако, следует помнить о том, что действительно безопасным паролем является комбинация из букв разного регистра, цифер и специальных знаков, причём длина пароля не должна быть менее 8 символов. Например, пароль "r34?a@123" - будет безопасным, "IvanPetrovich69!" - тоже, но "lisa1111" будет подобрать значительно проще.

Правила "хорошего пароля":

  1. длинный (8-12-15 символов)
  2. содержит как заглавные так и прописные латинские буКвЫ
  3. содержит цифры
  4. не найдется в словаре, это не имя и не русское слово(ckjdj) набранное в латинской раскладке
  5. никак не связан с владельцем
  6. меняется периодически или по мере надобности
  7. не является любимым - разные пароли для разных входов
  8. его возможно запомнить
Правила "плохого пароля":
  1. короткий (меньше 8 символов)
  2. все в одном регистре (все БОЛЬШИЕ плохо как и все маленькие)
  3. не содержит цифр
  4. найдется в словаре или это имя или русское слово(ckjdj) набранное в латинской раскладке
  5. как-либо связан с владельцем
  6. не меняется годами ни при каких обстоятельствах
  7. может быть любимым - один пароль на все
  8. его невозможно забыть

ПРАВИЛА ХРАНЕНИЯ ПАРОЛЯ
Идеальное место для хранения пароля - ваша голова. У вас могут украсть портфель, сотовый телефон, записную книжку, бумажку/дискету/флешку с паролем, но вашу память украсть намного сложнее. Так что по возможности пароли должны быть запоминаемыми и храниться в вашей памяти.

При подозрении, что ваш пароль узнали - НЕМЕДЛЕННО меняйте его.
НЕБОЛЬШАЯ СТАТИСТИЧЕСКАЯ ИНФОРМАЦИЯ

алфавит 6 символов 8 символов 10 символов 12 символов
26 (латиница все маленькие или все большие) 31 сек 5 часов 50 мин 163.5 суток 303 года
52 (латиница с переменным регистром) 33 мин 62 суток 458 лет 1,239,463 года
62 (латиница разного регистра плюс цифры) 95 мин 252 суток 17 часов 2,661 год 10,230,425 лет
68 (латиница разного регистра плюс цифры плюс знаки препинания.,;:!?) 2 часа 45 мин 529 суток 6703 года 30,995,621 лет
Время полного перебора всех возможных паролей заданного алфавита при скорости перебора 10,000,000 паролей в секунду



и в заключение (чайникам и nix-админам можно не читать):
10 мифов о паролях Windows

Несмотря на все достижения в технологиях безопасности, один аспект остается неизменным: пароли все еще играют центральную роль в безопасности системы.Проблема заключается в том, что они слишком часто могут служить простейшим механизмом для взлома. Несмотря на то, что существуют технологии и политики для того, чтобы сделать пароли более устойчивыми, до сих пор приходиться бороться с человеческим фактором. Ни для кого не является секретом, что пользователи часто в качестве паролей используют имена друзей, клички животных и т.д.

Главная задача заключается в том, чтобы пользователи составляли надежные пароли. Однако, не всегда ясно, как достичь этого. Проблема состоит в том, что наши действия слишком предсказуемы. Например, в списке совершенно случайных слов, придуманных обычным человеком, непременно проявится некоторая общая закономерность. Выбор надежных паролей требует соответствующего обучения. Эти знания системные администраторы и должны распространить на конечных пользователей. Возможно, данная статья поможет вам разобраться в использовании паролей в Windows 2000 и XP

Миф №1 : хэши паролей достаточно надежны при использовании NTLMv2

Многие читатели хорошо знакомы со слабостью хэшей паролей LanManager (LM), что сделало столь популярным L0phtcrack. NTLM делает хэши несколько устойчивее, так как используется более длинный хэш и различаются символы в верхнем и нижнем регистрах. NTLMv2 является более совершенным, при этом вычисляется 128-битный ключ, и используются отдельные ключи для целостности и конфиденциальности. Кроме того, он использует алгоритм HMAC-MD5 для более высокой целостности. Однако Windows 2000 по-прежнему часто пересылает LM и NTLM хэши по сети, а NTLMv2 уязвим к атакам при передаче (также известным как replay). И, поскольку хэши паролей LM и NTLM по-прежнему хранятся в реестре, вы уязвимы и к атакам на SAM.

Должно еще пройти какое-то время до тех пор, когда мы, наконец, освободимся от ограничений LanManager. А до тех пор не стоит надеяться, что хэши ваших паролей надежны.

Миф №2 . Dj#wP3M$c - наилучший пароль

Общепринят миф, что полностью случайные пароли, полученные с помощью генератора паролей - наилучшие. Это не совсем так. Хотя они и могут быть действительно устойчивыми, такие пароли обычно сложны для запоминания, медленно набираемы и иногда уязвимы к атакам на алгоритм генерации паролей. Легко создать пароли, которые будут устойчивы к взлому, но труднее создать такие пароли запоминаемыми. Для этого существует несколько простых приемов. Например, рассмотрим пароль " [email protected]Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script ". Этот пароль использует буквы в верхнем и нижнем регистрах, две цифры и два символа. Длина пароля 20 символов, но он может быть запомнен с минимумом усилий, возможно, вы его уже непроизвольно запомнили. Более того, этот пароль очень быстро набирается. В части "Makeit20" чередуются на клавиатуре клавиши левой и правой руки, что увеличивает скорость набора, сокращает количество опечаток и уменьшает шанс того, что кто-либо сможет подсмотреть ваш пароль, наблюдая за движениями ваших пальцев (давно созданы списки английских слов, чередующих клавиши под правую и левую руку, которые удобно использовать, как часть своего пароля.

Лучшая техника для создания сложных, но легко запоминаемых паролей - использование структур, которые мы привыкли запоминать. Такие структуры также делают простым включение знаков препинания в пароль, как в примере адреса e-mail, использованном выше. Другие структуры, которые легки для запоминания - это телефонные номера, адреса, имена, пути к файлам, и т.д. Обратите внимание на некоторые элементы, которые позволяют нам упростить запоминание. Например, включение шаблонов, повторений, рифм, юмора и даже грубых (в том числе и матерных) слов создает пароли, которые мы никогда не забудем.

Миф №3 . 14 символов - оптимальная длина пароля

В LM хэши паролей разделены на два 7-символьных хэша. Это фактически делает пароли более уязвимыми, поскольку атака грубой силы (brute-force) может быть применена к каждой половине пароля одновременно. То есть, пароли длиной 9 символов разделены на один 7-символьный хэш и один 2-символьный. Очевидно, что взлом 2-символьного хэша не займет много времени, а 7-символьная часть обычно взламывается за несколько часов. Часто короткая часть может существенно облегчить взлом длинного фрагмента. Из-за этого, многие профессионалы безопасности определили оптимальную длину пароля в 7 или 14 символов, соответствующую двум 7-символьным хэшам. NTLM несколько улучшил ситуацию за счет использования всех 14 символов для сохранения хэшей паролей. Хотя это действительно и облегчает жизнь, но диалоговое окно NT ограничивает пароль максимумом в 14 символов; таким образом, определяя пароли длиной ровно в 14 символов оптимальными для безопасности.

Но все иначе в более новых версиях Windows. Пароли в Windows 2000 и XP могут иметь длину до 127 символов, таким образом, 14 символов уже не будет ограничением. Более того, одно маленькое обстоятельство, открытое Urity на SecurityFriday.com, состоит в том, что если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.

Принимая это во внимание, использование паролей более 14 символов могло бы быть хорошим советом. Но если вы захотите сделать обязательным использование таких длинных паролей, используя политику групп или шаблоны безопасности, то столкнетесь с затруднением - ничто не даст вам возможность установить минимальную длину пароля более 14 символов.


Миф №4 . J0hn99 - Хороший пароль

Хотя пароль "J0hn99" проходит по требованиям сложности Windows 2000, он не столь сложен, как кажется на первый взгляд. Многие программы-взламыватели паролей перебирают миллионы вариантов слов в секунду. Замена буквы "o" на цифру "0" и добавление пары цифр - ерунда для таких программ. Некоторые программы-взламыватели даже проверяют наборы методов, которые обычно используют пользователи, что позволяет им подбирать даже довольно длинные и, на первый взгляд, удачные пароли.

Лучший подход - быть менее предсказуемым. Вместо того чтобы заменять "o" на "0", попробуйте заменить "o" на два символа "()", как в "j()hn". И, конечно, удлиняя пароль, вы увеличиваете его устойчивость.

Миф №5 . Любой пароль рано или поздно может быть взломан.

Хотя любой пароль может быть вскрыт несколькими способами (например, через "клавиатурный шпион" или с помощью социотехники), тем не менее, существуют способы создания паролей, которые не могут быть взломаны за приемлемое время. Если пароль достаточно длинный, его взлом займет так много времени, или потребует так много вычислительной мощности, что это, по существу, то же самое, что если бы он был невзламываемым (по крайней мере, для большинства хакеров). Конечно, в конце концов, любой пароль может быть взломан, но это событие может произойти и не в течение нашей жизни, и даже не во время жизни наших правнуков. Таким образом, если, конечно не государственные структуры пытаются вычислить ваш пароль, то его шансы могут быть очень даже высоки. Хотя, возможно, достижения компьютерной технологии могут однажды сделать этот миф реальностью.


Миф №6 . Пароли нужно менять каждые 30 дней.

Несмотря на то, что это - хороший совет для некоторых паролей с высокой степенью риска, он не подходит средним пользователям. Требование частой смены пароля зачастую заставляет пользователей создавать предсказуемые модели в своих паролях или использовать другие способы, которые реально значительно снижают их эффективность. Обывателю не нравится постоянно придумывать и запоминать новые пароли каждые 30 дней. Вместо того, чтобы ограничивать возраст пароля, лучше сосредоточиться на более устойчивых паролях и большей компетентности пользователей. Приемлемое время для среднего пользователя - от 90 до 120 дней. Если вы дадите пользователям больше времени, вам будет проще убедить их использовать более сложные пароли.

Миф №7 . Никогда не следует записывать свой пароль

Хотя это и хороший совет, иногда просто необходимо записывать свои пароли. Пользователи чувствуют себя гораздо комфортнее при создании сложных паролей, если они уверены, что смогут его прочитать в надежном месте, если вдруг забудут. Однако важно обучить пользователей, как правильно записывать пароли. Наклейка на мониторе - это, бесспорно, глупо, но хранение пароля в сейфе или даже запирающемся ящике может быть достаточным. И не пренебрегайте безопасностью, когда приходит время выбрасывать бумагу со старым паролем: помните, многие крупные взломы произошли именно из-за того, что хакеры не поленились просматривать мусор организации в поисках записанных паролей. Может возникнуть идея позволить пользователям хранить свои пароли в программных утилитах для хранения паролей. Эти утилиты позволяют пользователю сохранять множество паролей в одном месте, закрытом главным мастер-паролем. Но если кто-то узнает мастер-пароль, то получит доступ к полному списку всех паролей. Поэтому, прежде чем позволить пользователям сохранять пароли в таком месте, рассмотрите следующие опасности: во-первых, этот метод программный, и, следовательно, уязвим для атаки, во-вторых, поскольку тут все держится на одном мастер-пароле, он может стать тем единственным пунктом для глобального провала всех паролей всех пользователей. Лучшая методика - совместить технологию, физическую безопасность и политику компании.

Кроме того, пароли бывает просто необходимо документировать. Нет ничего необычного в ситуации, когда системный администратор заболел или уволился. А в ряде организаций - это единственный человек, который знал все пароли, в том числе и пароль сервера. Так что иногда приходится даже одобрять записывание паролей, но только в случае, когда это действительно необходимо и продумано.


Миф №8 . Пароль не может содержать пробелов

Несмотря на то, что большинство пользователей этим не пользуется, Windows 2000 и Windows XP позволяют использование пробелов в паролях. Фактически, если вы можете видеть такой символ в Windows, то вы можете использовать его и в пароле. Следовательно, пробел - совершенно правомерный символ для пароля. Однако, поскольку некоторые приложения обрезают пробелы, лучше не начинать и не заканчивать пароль пробелом.

Пробелы облегчают пользователям создание более сложных паролей. Поскольку пробел может использоваться между словами, то его использование может дать пользователям реальную возможность использовать длинные пароли из нескольких слов.

Вообще, с пробелом очень интересная ситуация, он не попадает ни под одну категорию требований сложности пароля Windows. Это и не цифра, и не буква, и даже не считается символом. Таким образом, если вы желаете сделать ваш пароль более сложным, то пробел ничем не хуже любого символа и в большинстве случаев не снижает сложность паролей.

Но хотелось бы сказать про один существенный недостаток, связанный с использованием пробела - его клавиша издает при нажатии уникальный звук, который ни с чем не спутать. Совсем несложно услышать, если кто-то использует пробел в своем пароле. В общем, используйте пробелы, но не злоупотребляйте ими.

Миф №9 . Всегда используйте Passfilt.dll

Passfilt.dll - библиотека, вынуждающая пользователей использовать устойчивые пароли. В Windows 2000 и XP это осуществляется с помощью политики "Пароль должен удовлетворять требованиям сложности". Хотя зачастую это хорошая политика, некоторые пользователи могут огорчиться, когда их пароли отвергаются как недостаточно сложные. Даже опытным администраторам иногда приходится вводить несколько паролей, пока один из них не пройдет требования сложности. Огорченные пользователи, безусловно, не станут выражать поддержку в адрес вашей политики паролей.

Если вы видите, что пользователям не нравятся требования сложности, пожалуй, лучшим выходом будет требование длинных паролей вместо этой политики. Если вы подсчитаете, вы увидите, что 9-символьный пароль, состоящий из букв в нижнем регистре, приблизительно такой же по сложности, как 7-символьный пароль, в котором используются буквы как нижнего, так и верхнего регистра и цифры. Единственная разница в том, как программы для взламывания паролей обрабатывает различные подмножества символов; некоторые взламыватели грубой силы перебирают все комбинации букв в нижнем регистре перед тем, как использовать цифры и другие символы.

Другой вариант - взять Platform SDK sample в директории \samples\winbase\Security\WinNT\PwdFilt\ и изменить его так, чтобы он был более снисходителен в выборе пароля.

Также можно обучить пользователей тому, как можно усложнить пароли и подсказать им несколько идей для этого.

Миф №10 . Используйте ALT+255 для наиболее устойчивого пароля

Рассмотрим использование символов с большим ASCII-кодом для окончательного усложнения пароля. Эти символы не могут быть естественным образом набраны на клавиатуре, но вводятся удержанием кнопки ALT и набором ASCII-кода на цифровой клавиатуре. Например, последовательность ALT-0255 создает символ.

Несмотря на то, что в некоторых ситуациях это полезно, следует также рассмотреть недостатки. Во-первых, удержание кнопки ALT и набор на цифровой клавиатуре могут быть легко замечены посторонними. Во-вторых, создание такого символа требует пять нажатий клавиш, что нужно запомнить и впоследствии вводить каждый раз при наборе пароля. Возможно, имело бы смысл создание пароля на пять символов длиннее, что сделало бы ваш пароль гораздо устойчивее при том же самом количестве нажатий клавиш.

Например, 5-символьный пароль, созданный из символов с большим ASCII-кодом потребует 25 нажатий клавиш. Учитывая 255 возможных кодов для каждого символа и всего пять символов, получаем общее количество комбинаций 255^5 (или 1,078,203,909,375). Однако, 25-символьный пароль, созданный только из букв нижнего регистра имеет 26^25 (или 236,773,830,007,968,000,000,000,000,000,000,000) возможных комбинаций. Очевидно, лучше создавать более длинные пароли.

Другой момент, о котором стоит подумать - клавиатуры некоторых портативных компьютеров затрудняют ввод с цифровой клавиатуры и некоторые утилиты командной строки не поддерживают символы с большим ASCII-кодом. Например, вы можете использовать символ ALT+0127 в Windows, но не сможете набрать его в командной строке. И наоборот, коды некоторых символов, таких как Tabs (ALT+0009), LineFeeds (ALT+0010), и ESC (ALT+0027) могут быть использованы при наборе из командной строки, но не могут быть использованы в диалоговых окнах Windows (что может оказаться желательным побочным эффектом в некоторых редких случаях).

Тем не менее, есть несколько случаев, когда полезно использование расширенных символьных кодов. Если у вас есть эккаунты сервиса или локального администратора, которые редко используются, иногда использование расширенных символов заслуживает несколько лишних нажатий клавиш. Поскольку мало взламывателей паролей настроены на обработку расширенных символов, этого может быть вполне достаточно, чтобы сделать пароль крайне сложным для взлома. Но в этом случае не останавливайтесь на большом ASCII-коде: существует малоизвестный факт, состоящий в том, что в действительности вы можете воспользоваться полным набором Unicode символов, который составляет 65,535 возможных символов. Тем не менее, такой символ, как ALT+65206 не столь устойчив, как эквивалентное количество нажатие клавиш с использованием обычных символов.

И, наконец, обратим внимание на использование неразрывного пробела (ALT+0160) в наборе расширенных символов. Этот символ отображается как обычный пробел и зачастую может обмануть тех, кто каким-то образом увидел ваш пароль. К примеру, скажем, что взломщик смог установить логгер клавиатуры в вашу систему. Если вы используете неразрывный пробел в пароле, в лог-файле он будет выглядеть, как обычный пробел. И если взломщик не знает о неразрывном пробеле и не увидит действительный ASCII-код, то его пароль, на который он так надеялся, не даст ему ничего. А ведь многие люди просто не знают о существовании этого символа, хотя, похоже, после прочтения этой статьи уже будут знать.

Заключение

Кто-то может не согласиться с некоторыми представленными моментами, но они и не претендуют на роль конечной неоспоримой истины. Не в этом была цель написания этой статьи. Миф - это наполовину правда. Многие мифы, которые здесь критикуются, когда-то были прекрасными советами, или даже все еще являются таковыми в специфических случаях. Но для многих эти советы стали набором жестких, непреложных правил, которые необходимо применять всегда. Но любые советы про пароли, включая и приводимые в этой статье - не более, чем просто советы. Вы сами должны решить, какие правила вам подходят, а какие нет. Пожалуй, наибольший и самый ошибочный миф из всех и состоит в том, что существуют единые жесткие правила в отношении паролей.

Иногда John99 - это хороший пароль, а иногда пароли приходится менять гораздо чаще, чем один раз в месяц. Некоторые пароли, к примеру, администраторские, нуждаются в гораздо большей защите, чем другие - пользовательские. Чтобы создать политику паролей, которая защитит вас наилучшим образом, следует взять все свои знания и добавить к ним то, что вы нашли полезным из здесь написанного.

Хороший пароль - это больше, чем просто сложный пароль. Хороший пароль - это тот, который крайне трудно угадать или подобрать, но очень легко запомнить. Он должен быть длинным и состоять из букв, цифр и символов, но в то же время должен легко и безошибочно набираться. Он должен содержать случайные элементы, которые может предоставить только компьютер, и в тоже время оставаться родственным тому, что может создать человек.

Но наилучший из всех паролей - тот, который пользователь выбирает, основываясь на научном понимании системы создания паролей. И наилучшая политика паролей - та, что помогает пользователям в создании таких паролей.