РУС |
ENG
22 июля, 2010
Теги: microsoft, пароль, безопасность
Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.
В августе два специалиста по сетевой безопасности – Стюарт Шехтер и Кормак Херли - представлят свое исследование об этой технике на конференции по безопасности в Вашингтоне.
Как правило, для защиты компьютеров или сервисов от взломов пользователям предлагают придумать сложные пароли: с 14 символами, некоторые из которых должны быть буквами, другие – цифрами, с использованием как прописных, так и заглавных букв. Такие пароли, во-первых, сложно придумать, а еще сложнее – запомнить, особенно в тех ситуациях, когда пользователи вынуждены регистрироваться в нескольких системах. Хотя, конечно, хакерам такие проблемы безусловно доставляют неудобства и вынуждают попотеть.
В ситуациях, когда система не требует от пользователей изобретения сложных комбинаций, люди используют примитивные пароли – например, большой процент пользователей социальных сетей не волнуется, используя пароль "123456". И, по-хорошему, стремление к простоте можно понять, если оно не доведено до абсурда.
Есть и такой способ защиты от взломов, как блокирование аккаунтов после того, как пользователь вводит пароль неправильно несколько раз подряд. Хакеры, конечно, научились обходить этот метод защиты, подбирая один пароль одновременно сразу к большому количеству (тысячам и миллионам) аккаунтов – попасть в цель таким способом гораздо проще.
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.
Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты. Да и в продукты Microsoft новые схемы внедряться пока не будут – их предполагается обсудить с другими специалистами по безопасности.
(Голосов: 1, Рейтинг: 3.3) |
..и не нада два раза пропускать данные через функцию hash(...)! так как функция md5 -- это и есть hash(...)
такчто твоя функция hash(hash(salt)) -- какаято идuoтская!
правильне написать: HMAC-MD5(passwd,salt)
см.: http://tools.ietf.org/html/rfc2104
Нет. Можно с хэшированием и с солью. Только не очень быстро будет, нужно будет хэш вычислять столько раз, сколько всего аккаунтов в системе.
Скоро будет пароль-сквоттинг. Самые элитные пароли будут у самых элитных людей =)))
новый вид атаки - создание нового пользователя.
получаешь сообщение - your password "qwerty_smth" is already used 10 times. уря. и ты используешь подбор по этому паролю =) удобнаааа
"Невозможно установить пароль XXX. Данный пароль уже используется следующими пользователями: user1, user2,..."
Какая большая плотность оригиналов
"Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты."
"Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей."
все остальные ситают, пучть МС пойдет со своим мнением туда куда обычно посылают. и МС с этим согласны. "Да и в продукты Microsoft новые схемы внедряться пока не будут"