4 Июля, 2013

Вредные советы про пароли

Артем Агеев

В любой компании и у любого специалиста по ИБ есть свой набор правил в отношении паролей. Пароль должен быть уникальным, длинной не менее 6/8 символов, включать строчные и заглавные буквы/цифры/спецсимволы и меняться каждые 30/60/90 дней.

Редко где эти правила соблюдаются, однако приказ есть приказ, и служба ИБ начинает активно "пилить" нерадивых пользователей...

Дам ка и я пару советов...

name='more'> 1. Пароль Windows может быть любой длинны и из любых символов. Всё равно его взломают.

Сегодня механизмы хэширования паролей в Windows настолько хорошо изучены, что не составляет никакой сложности подобрать даже длинный и комплексный пароль. Есть радужные таблицы, есть подбор на GPU, есть облачные сервисы , во многих случаях пароль можно просто обойти ,  получить в открытом виде , или в подборе нет никакой необходимости .

В других системах все обычно тоже плохо. Например вот такие пароли сайта linkedin были взломаны за несколько часов: P4ss10n, 0ldfr1ends, Pa33w8rd, jiujitsu13!@, spac3gh0st..
Такой домашний системник с 4 x Radeon 7970 будет щелкать хэши как орешки.

2. Можно использовать один и тот же пароль много раз.

Запомнить 40 разных постоянно меняющихся паролей может только.. киборг! Придумайте любимый пароль для работы, для личной почты и для банка. В остальных случаях используйте "1234567890".
Для стойкой системы аутентификации стандартом стало использование аппаратных идентификаторов, отпечатков пальцев, двухфакторной аутентификации, паролей по смс и т.д. Пароль в таких системах обычно самый ненадежный фактор.

3. Хороший пароль НЕ получается из русского слова, набираемого в английской раскладке.

Да, это будет хороший пароль, пока  в один прекрасный день вам не предложат его набрать с телефона (планшета)... Да и все нормальные программы подбора паролей уже давно знают этот трюк.

4. Пароль НЕНУЖНО постоянно менять.

А домашний замок вы часто меняете? Помните, задача службы ИБ не мешать людям работать, а помогать!

Стойкость паролей складывается из многих факторов, таких как:

  • выбранный криптографический алгоритм хэширования и его реализация;
  • надежность хранения и передачи хэшей;
  • надежность хранения пароля на стороне пользователя в течении сессии;
  • проверка подлинности ресурса на стороне клиента (защита от фишинга);
  • и др.

Поэтому грамотная парольная политика должна быть всегда комплексной ("клиент-серверной") и обязательно находить компромисс между безопасностью и комфортом работы с системой, о котором постоянно забывают.

Что еще почитать?

PS Картинка в заголовке поста - скрипт Naked Password ( github ). Чем сложнее пароль - тем меньше одежды на девушке ;).