Неправильный пароль

Много лет Microsoft вычищает секьюрити-баги из своей настольной операционной системы. Теперь компания вознамерилась закрыть другую дыру: слабые пароли.

Люди обычно выбирают пароли, которые легко запомнить — а значит и взломать. Сложный пароль тоже можно украсть. Вместо меры безопасности они получают риск безопасности, сказал председатель правления Microsoft Билл Гейтс, который в прошлом году публично призывал заказчиков перестать полагаться на пароли.

В прошлом месяце софтверный гигант подал пример этим заказчикам, начав большую программу по принятию второй меры безопасности в своих внутренних сетях: смарткарт для каждого сотрудника. К концу 2005 года десятки тысяч работников Microsoft начнут пользоваться картами, без которых нельзя будет войти в сети компании. «Будущее за биометрическими параметрами и смарткартами, и мы видим, что наши главные заказчики движутся в этом направлении, — сказал Гейтс в ноябре участникам конференции IT Forum в Дании. — Со временем мы совсем откажемся от паролей».

Microsoft не впервые выдвигает смарткарты в качестве второй линии обороны для предприятий. Однако на этот раз компании уже осознали важность мер безопасности. Они лучше осведомлены о ненадежности паролей после терактов 11 сентября и введения инспирированных делом Enron правил, которые требуют от организации отчетности по принимаемым мерам информационной безопасности.

Чтобы запереть свои сети на замок, многие фирмы переходят на централизованные серверы управления авторизацией пользователей, пытающихся войти в сеть — будь то сотрудники, регистрирующиеся в корпоративной системе, или покупатели, посещающие сайт электронной коммерции. Эти системы управления идентификацией упрощают управление сетями, но при этом собирают наиболее ценные данные о сети в одном месте — защищенном паролем.

Простая система доступа по имени и паролю, каким бы он ни был сложным, не может гарантировать от несанкционированного доступа к критически важным системам. Пароли, выбираемые самими пользователями, обычно очень легко угадать при помощи специальных программ. Как правило, это слово и число, комбинация из двух слов или слово, в котором буквы заменены числами. Все это взламывается за считанные минуты. «Любой пароль, который человеку легко запомнить, может быть взломан с применением грубой силы», — говорит главный технолог Counterpane Internet Security и автор нескольких книг по безопасности Брюс Шнайер.

Индивидуальные пользователи тоже взбудоражены. По некоторым оценкам, фишинг-атаки — попытки при помощи сообщений e-mail заманить жертву на фальшивый веб-сайт и выудить персональную информацию — обойдутся им в $150 млн - $500 млн. Исследования показали также, что 80% домашних ПК заражены spyware — программами, которые тайно собирают сведения о привычках пользователей и данные.

Обе тенденции подчеркивают главную проблему паролей: даже лучшие из них можно украсть. Цифровой вор, вооруженный паролем, выглядит в системе как легитимный пользователь. Решение секьюрити-эксперты видят в использовании для защиты сетей двух ключей — так называемой двухфакторной аутентификации. Это сочетание защитного устройства, которое нужно иметь при себе, и пароля, или PIN-кода. Такая защита традиционно используется военными и государственными агентствами.

Министерство обороны США выдает большинству своих сотрудников «универсальную карту доступа», а Администрация по обеспечению режима на транспорте начала использовать идентификационные карты, планируя к июню 2005 года обеспечить смарткартами 200 тыс. работников системы грузового и пассажирского транспорта

Microsoft надеется преодолеть слабость защиты, оснастив более чем 60 тыс. штатных и внештатных сотрудников, входящих в сети компании через 175 разных узлов удаленного доступа во всем мире. Подобные меры могут стоить компаниям десятки долларов на каждого сотрудника. Централизованные системы управления электронными персонами позволяют сократить расходы и повысить безопасность. В большинстве случаев двухфакторные системы аутентификации только увеличивают расходы, говорит генеральный менеджер Microsoft по стратегии платформ Чарльз Фицжеральд. «Предпринимаемый нами шаг вызван исключительно соображениями безопасности, а не экономии», — сказал он.

В своем внутреннем проекте Microsoft испытывает собственную технологию: смарткарты с поддержкой .Net, изготовленные компанией Axalto (бывшая Schlumberger). Это делает софтверную платформу Microsoft .Net универсальной, так что она сможет конкурировать с ПО для смарткарт JavaCard от Sun Microsystems.

Перед этим Microsoft постиг ряд неудач в сфере управления идентификационными данными. Миниатюрная операционная система Windows CE for Smart Cards не приглянулась пользователям. А служба Passport, попытка заняться управлением электронными персонами онлайновых покупателей, не обрела достаточной поддержки со стороны поставщиков услуг, чтобы стать полезной.

Страх перед мошенничеством с электронной коммерцией придал импульс движению в направлении смарткарт. Проблема паролей — это надвигающийся айсберг, и сайты электронной коммерции, финансовые учреждения и другие крупные компании видят только его вершину, — говорит Перакаш Рамамурти, вице-президент по продуктам и технологии производителя систем управления электронными персонами Oblix. Потребители и сотрудники заводят множество учетных записей, где содержится персональная информация, и злоумышленнику достаточно найти одну из них, с самой слабой защитой. «Идентификационную информацию часто дублируют. А когда эта информация хранится хотя бы в двух разных местах, это уже пробел в защите».

Сейчас Microsoft занята устранением этого пробела в своих внутренних системах и пока не собирается предлагать технологию потребителям. Им придется подождать и посмотреть, перенесет ли компания что-нибудь из этих идей в свое ПО. «Предприятия всё чаще готовы вкладывать средства в решение этих проблем, — сказал Фицжеральд. — Что касается индивидуальных пользователей, то я не говорю, что мы ничего не делаем в этом плане, но то, чем мы заняты последние несколько недель, имеет мало отношения к широкому потребителю». //ZDNet.ru