Специалисты Microsoft предлагают новый способ защиты от взлома паролей

image

Теги: microsoft, пароль, безопасность

Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.

Специалисты Microsoft считают, что эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.

В августе два специалиста по сетевой безопасности – Стюарт Шехтер  и Кормак Херли  - представлят свое исследование об этой технике на конференции по безопасности в Вашингтоне.

Как правило, для защиты компьютеров или сервисов от взломов пользователям предлагают придумать сложные пароли: с 14 символами, некоторые из которых должны быть буквами, другие – цифрами, с использованием как прописных, так и заглавных букв. Такие пароли, во-первых, сложно придумать, а еще сложнее – запомнить, особенно в тех ситуациях, когда пользователи вынуждены регистрироваться в нескольких системах. Хотя, конечно, хакерам такие проблемы безусловно доставляют неудобства и вынуждают попотеть.

В ситуациях, когда система не требует от пользователей изобретения сложных комбинаций, люди используют примитивные пароли – например, большой процент пользователей социальных сетей не волнуется, используя пароль "123456". И, по-хорошему, стремление к простоте можно понять, если оно не доведено до абсурда.

Есть и такой способ защиты от взломов, как блокирование аккаунтов после того, как пользователь вводит пароль неправильно несколько раз подряд. Хакеры, конечно, научились обходить этот метод защиты, подбирая один пароль одновременно сразу к большому количеству (тысячам и миллионам) аккаунтов – попасть в цель таким способом гораздо проще.

Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.

Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты. Да и в продукты Microsoft новые схемы внедряться пока не будут – их предполагается обсудить с другими специалистами по безопасности.


или введите имя

CAPTCHA
Страницы: 1  2  3  
68302
22-07-2010 09:11:29
Пройдёт ещё пару лет и шпециалисты мс догадаются запрещать(!) простые пароли.
0 |
22-07-2010 09:15:57
этож корпарейт сигмент рынка товарищ. грубо говоря по большей части защиту обеспечивает периметр, ну и все зависит от секьюрности внутри сети как и чего там настроено. Так что может быть пасс у юзера васи 123 совсем не критичным ИМХО.
0 |
alex
22-07-2010 09:17:41
Пройдет пару лет и ты не будешь говорить о том, о чем не знаешь.
0 |
Def
22-07-2010 10:40:50
будет(
0 |
2
23-07-2010 12:36:28
Между прочим, такая возможность давно есть - загляните в локальные политики безопасности.
0 |
ДмитрийГ
22-07-2010 09:33:29
Как я понимаю, для проверки при установке на наличие такого пароля в уже установленных, эти самые пароли должны храниться в открытом виде или в хэшированном без соли. Что само по себе небезопасно. Я, конечно, понимаю, что в МС работают не дураки, но тут не пойму в чём идея: повышать секьюрность от подбора пароля сразу у миллиона записей, при этом понижая её хранением базы паролей в виде, позволяющем медленно, но верно их брутить сразу все, так что ли?
0 |
Аноним
22-07-2010 12:05:32
Не обязательно хранить в открытом виде. При проверке можно сравнивать хеши.
0 |
Гость
22-07-2010 12:44:20
Если хэш в рассоле, то он будет разный для одних и тех же паролей
0 |
23-07-2010 09:20:07
Схрена ли hash(md5_pwd(salt)) будет отличаться от hash(md5_pwd(salt))? Да и как бы давно существует керберос, который наверно в итоге и прикрутят за уши.
0 |
43655
26-07-2010 07:31:33
потомучто solt каждый раз разный для каждого случая запоминания(!) пароля [даже если пароли одинаковые]... ..и не нада два раза пропускать данные через функцию hash(...)! так как функция md5 -- это и есть hash(...) такчто твоя функция hash(hash(salt)) -- какаято идuoтская! правильне написать: HMAC-MD5(passwd,salt) см.: http://tools.ietf.org/html/rfc2104
0 |
анонимэ
22-07-2010 14:19:46
Тебе чел говорит что хеши без соли использовать не безопасно, а ты опять про хеши. Шк0л0та что ли?
0 |
Михаил
23-07-2010 22:40:26
пароль проверяется при создании
0 |
22-07-2010 14:22:30
эти самые пароли должны храниться в открытом виде или в хэшированном без соли. Нет. Можно с хэшированием и с солью. Только не очень быстро будет, нужно будет хэш вычислять столько раз, сколько всего аккаунтов в системе.
0 |
КО
22-07-2010 10:25:04
А потом система будет писать данныю пароль используют: (и список пользователей)
0 |
Абывурдаг
22-07-2010 10:28:01
Атака на распространённые пароли. Подбираем пароль так, чтобы система говорила о том что он слишком сильно распространён, и брутим с этим паролем! Скоро будет пароль-сквоттинг. Самые элитные пароли будут у самых элитных людей =)))
0 |
08062
22-07-2010 10:35:33
Как там в анекдоте было, "Ошибка! Этот пароль уже использует пользователь Masha."
0 |
Страницы: 1  2  3