Стандартный пароль

Стандартный пароль

Лично меня это словосочетание моментально выводит из себя. Если пароль «стандартный», то покажите мне стандарт, согласно которому он так называется. Тем не менее, такое понятие существует во многих организациях. Это обычно (1) какое-то слово, искаженное подстановкой цифр и знаков препинания вместо некоторых букв, или (2) правило, по которому пароль «вычисляется» из имени пользователя. Например, M1cr()softили VPupkin911. Это не намного безопаснее использования слова password или 123456, но если такой пароль будет временными и одноразовым… В общем, используется это гениальное изобретение для того, чтобы избежать передачи пароля по почте или телефону.

Знакомство со «стандартным» паролем происходит приблизительно так. В день выхода на новую работу, пользователь получает его от администратора и осуществляет первый вход. Правильно настроенная система сразу же попросить пользователя сменить существующий пароль на новый. Администраторам нужно быть очень внимательными в настройке соответствующих опций: в Active Directoryэто галочка “User must change password at next logon”. В противном случае, пользователь может использовать заведомо слабый пароль, пока не истечет его (пароля) срок жизни. Это может произойти через 30, 60, а то и 90 дней, а может (к сожалению и такое случается) и не произойти вовсе. Естественно, здесь возникает весьма ощутимый риск, так как «стандартный» пароль на длительное использование не рассчитан. Таким образом, то, что изначально задумывалось в целях безопасности и удобства, используется только для удобства. А, как известно, every time you push the ‘EASY’ button, God deploys another bot into your network© PaulDotCom .

Но на этом использование «стандартного» пароля не заканчивается. Допустим, пользователь по каким-то причинам пароль потерял/забыл/сломал. Он звонит в хелпдеск, после чего происходит (или нет…) элементарная аутентификация: по голосу пользователя – биометрическая, по отмашке босса пользователя – социальная, по ответу пользователя на секретный вопрос – когнитивная. Далее, хелпдеск изменяет пароль пользователя, и на какой бы вы думали? Совершенно верно, на «стандартный». Действительно, зачем выдумывать одноразовый пароль и заморачиваться с его безопасной доставкой пользователю? Где там наша кнопка ‘EASY’? Не беда, что Интернет пестрит генераторами безопасных одноразовых паролей, а корпоративные «трубы» для сотрудников доступны почти каждой компании. То есть побороть вековую админскую лень возможно: достаточно лишь заставить генерировать сложные пароли, высылать их через SMS и следить за тем, чтобы пользователи тут же их изменяли.

В одном из следующих постов постараюсь поделиться техниками обнаружения «стандартных» паролей, в частности в Active Directory. Кому не терпится, советую установить Quest’овые расширения к PowerShell .
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться

Vlad Styran

информационно. безопасно.*