Новости

Специалисты Microsoft предлагают новый способ защиты от взлома паролей

22 июля, 2010

Теги: microsoft, пароль, безопасность

Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.

Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.

В августе два специалиста по сетевой безопасности – Стюарт Шехтер  и Кормак Херли  - представлят свое исследование об этой технике на конференции по безопасности в Вашингтоне.

Как правило, для защиты компьютеров или сервисов от взломов пользователям предлагают придумать сложные пароли: с 14 символами, некоторые из которых должны быть буквами, другие – цифрами, с использованием как прописных, так и заглавных букв. Такие пароли, во-первых, сложно придумать, а еще сложнее – запомнить, особенно в тех ситуациях, когда пользователи вынуждены регистрироваться в нескольких системах. Хотя, конечно, хакерам такие проблемы безусловно доставляют неудобства и вынуждают попотеть.

В ситуациях, когда система не требует от пользователей изобретения сложных комбинаций, люди используют примитивные пароли – например, большой процент пользователей социальных сетей не волнуется, используя пароль "123456". И, по-хорошему, стремление к простоте можно понять, если оно не доведено до абсурда.

Есть и такой способ защиты от взломов, как блокирование аккаунтов после того, как пользователь вводит пароль неправильно несколько раз подряд. Хакеры, конечно, научились обходить этот метод защиты, подбирая один пароль одновременно сразу к большому количеству (тысячам и миллионам) аккаунтов – попасть в цель таким способом гораздо проще.

Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.

Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты. Да и в продукты Microsoft новые схемы внедряться пока не будут – их предполагается обсудить с другими специалистами по безопасности.

Новости по теме:

(Голосов: 1, Рейтинг: 3.3)



Комментарии:
RSS
Добавить комментарий
Страницы: 1  2  
68302
22-07-2010 09:11:29
Пройдёт ещё пару лет и шпециалисты мс догадаются запрещать(!) простые пароли.
Ответить Ссылка
virrus
22-07-2010 09:15:57
этож корпарейт сигмент рынка товарищ. грубо говоря по большей части защиту обеспечивает периметр, ну и все зависит от секьюрности внутри сети как и чего там настроено. Так что может быть пасс у юзера васи 123 совсем не критичным ИМХО.
Ответить Родитель Ссылка
alex
22-07-2010 09:17:41
Пройдет пару лет и ты не будешь говорить о том, о чем не знаешь.
Ответить Родитель Ссылка
Def
22-07-2010 10:40:50
будет(
Ответить Родитель Ссылка
2
23-07-2010 12:36:28
Между прочим, такая возможность давно есть - загляните в локальные политики безопасности.
Ответить Родитель Ссылка
ДмитрийГ
22-07-2010 09:33:29
Как я понимаю, для проверки при установке на наличие такого пароля в уже установленных, эти самые пароли должны храниться в открытом виде или в хэшированном без соли. Что само по себе небезопасно. Я, конечно, понимаю, что в МС работают не дураки, но тут не пойму в чём идея: повышать секьюрность от подбора пароля сразу у миллиона записей, при этом понижая её хранением базы паролей в виде, позволяющем медленно, но верно их брутить сразу все, так что ли?
Ответить Ссылка
Аноним
22-07-2010 12:05:32
Не обязательно хранить в открытом виде. При проверке можно сравнивать хеши.
Ответить Родитель Ссылка
Гость
22-07-2010 12:44:20
Если хэш в рассоле, то он будет разный для одних и тех же паролей
Ответить Родитель Ссылка
23-07-2010 09:20:07
Схрена ли hash(md5_pwd(salt)) будет отличаться от hash(md5_pwd(salt))? Да и как бы давно существует керберос, который наверно в итоге и прикрутят за уши.
Ответить Родитель Ссылка
43655
26-07-2010 07:31:33
потомучто solt каждый раз разный для каждого случая запоминания(!) пароля [даже если пароли одинаковые]...

..и не нада два раза пропускать данные через функцию hash(...)! так как функция md5 -- это и есть hash(...)

такчто твоя функция hash(hash(salt)) -- какаято идuoтская!

правильне написать: HMAC-MD5(passwd,salt)

см.: http://tools.ietf.org/html/rfc2104
Ответить Родитель Ссылка
анонимэ
22-07-2010 14:19:46
Тебе чел говорит что хеши без соли использовать не безопасно, а ты опять про хеши. Шк0л0та что ли?
Ответить Родитель Ссылка
Михаил
23-07-2010 22:40:26
пароль проверяется при создании
Ответить Родитель Ссылка
127.0.0.1
22-07-2010 14:22:30
Цитата
эти самые пароли должны храниться в открытом виде или в хэшированном без соли.

Нет. Можно с хэшированием и с солью. Только не очень быстро будет, нужно будет хэш вычислять столько раз, сколько всего аккаунтов в системе.
Ответить Родитель Ссылка
КО
22-07-2010 10:25:04
А потом система будет писать данныю пароль используют: (и список пользователей) smile:D
Ответить Ссылка
Абывурдаг
22-07-2010 10:28:01
Атака на распространённые пароли. Подбираем пароль так, чтобы система говорила о том что он слишком сильно распространён, и брутим с этим паролем!
Скоро будет пароль-сквоттинг. Самые элитные пароли будут у самых элитных людей =)))
Ответить Ссылка
08062
22-07-2010 10:35:33
Как там в анекдоте было, "Ошибка! Этот пароль уже использует пользователь Masha."
Ответить Ссылка
test
22-07-2010 10:55:44
представляю... пытаюсь зарегистрироваться в Facebook с паролем 123456, а мне в ответ. такой пароль нельзя использовать, т.к. его используют 1000000 человек, перечисленные ниже....
Ответить Ссылка
alex_aka_me
22-07-2010 12:37:04
просто зверье!
новый вид атаки - создание нового пользователя.
получаешь сообщение - your password "qwerty_smth" is already used 10 times. уря. и ты используешь подбор по этому паролю =) удобнаааа
Ответить Ссылка
127.0.0.1
22-07-2010 13:11:40
Так и представляю себе сообщение:

"Невозможно установить пароль XXX. Данный пароль уже используется следующими пользователями: user1, user2,..."
Ответить Ссылка
аноним
22-07-2010 14:29:12
Цитата
А потом система будет писать данныю пароль используют: (и список пользователей) smile:D

Цитата
Как там в анекдоте было, "Ошибка! Этот пароль уже использует пользователь Masha."

Цитата
пытаюсь зарегистрироваться в Facebook с паролем 123456, а мне в ответ. такой пароль нельзя использовать, т.к. его используют 1000000 человек, перечисленные ниже

Цитата
Невозможно установить пароль XXX. Данный пароль уже используется следующими пользователями: user1, user2,...

Какая большая плотность оригиналов
Ответить Ссылка
neur0tr0n
22-07-2010 14:38:32
Что, собственно, крамольного в данной статье?!
Ответить Ссылка
12866
22-07-2010 16:49:07
хулу написали...
Ответить Родитель Ссылка
-+-+-)=х=х
22-07-2010 17:00:36
"Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы."

"Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты."

"Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей."

все остальные ситают, пучть МС пойдет со своим мнением туда куда обычно посылают. и МС с этим согласны. "Да и в продукты Microsoft новые схемы внедряться пока не будут"
Ответить Родитель Ссылка
Страницы: 1  2  
Добавить комментарий

                                                                                                                                                                                                                                               

Блоги
10.02.2012
В чужой монастырь со своим поиском
Приходилось слышать, как самоуверенные иностранцы заявляли о поддержке в своём продукте русского язы ...


10.02.2012
Концептуальные взгляды на деятельность Вооруженных сил Российской Федерации в информационном пространстве
Алексей Лукацкий тут нашел очень интересный документ, который лично для меня значительно интереснее ...


10.02.2012
О сильных паролях замолвите слово: Введение
Данный пост не предполагает обсуждение техник придумывания и запоминания безопасных паролей, а напра ...


10.02.2012
Профсоюзный контроль
Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государ ...


10.02.2012
МинОбороны РФ разработало стратегию кибервойны
Мы (включая меня) все время критикуем Россию за отсутствие стратегии ведения кибервойн.Однако в конц ...


09.02.2012
Лицензирование ТЗКИ усложнит жизнь операторам персональных данных
© Коллаж РИА НовостиВышедшее недавно постановление правительства РФ о лицензировании деятельности по ...


09.02.2012
Trademark
Вот тут некоторые говорят "репутация бренда". А ещё более некоторые – даже пытаются её измерят ...


09.02.2012
Еще немного про лицензирование
Продолжаю тему, поднятую в предыдущем посте.  Думаю, что мы услышим еще немало самых разных мне ...


09.02.2012
Почему у многих чиновников почта на gmail?
На днях я давал комментарий для одного издания по поводу взлома почты Якеменко и один из вопросов зв ...


09.02.2012
Обучение. Вебинары ИБ 2
Так как было много обращений к старой темепо вебинарам, решил вести отдельную страничку с актуальным ...