Результаты мозгового штурма "Логины и пароли для группы пользователей".
Пароль — условное слово или набор знаков, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.
Сила пароля— мера оценки времени, которое необходимо затратить на угадывание пароля или его подбор каким-либо методом, например, методом полного перебора. Оценка того, как много попыток (времени) в среднем потребуется взломщику для угадывания пароля. Другое определение термина — функция от длины пароля, его запутанности и непредсказуемости.
Слабый пароль — пароль, который может быть легко угадан или подобран методом полного перебора. Сильный пароль — пароль, который трудно угадать и долго подбирать методом полного перебора.
Существуют два фактора, определяющих сложность пароля:
- лёгкость, с которой атакующий может проверить истинность угадываемого пароля;
- среднее количество попыток, которые атакующий должен предпринять, чтобы найти правильный пароль.
Первый фактор определяется тем, как пароль хранится, и тем, для чего он используется. Второй фактор определяется длиной пароля, набором используемых символов и тем, как пароль был создан.
Как измерить сложность пароля?
Сложность пароля в компьютерной индустрии обычно оценивают в терминах информационной энтропии, измеряемой в битах. Вместо количества попыток, которые необходимо предпринять для угадывания пароля, вычисляется логарифм по основанию 2 от этого числа, и полученное число называется количеством «битов энтропии» в пароле.
Пароль со, скажем, 42-битной сложностью, посчитанной таким способом, будет соответствовать случайно сгенерированному паролю длиной в 42 бита. Другими словами, чтобы методом полного перебора найти пароль с 42-битной сложностью, необходимо создать 242 паролей и попытаться использовать их; один из 242 паролей окажется правильным. Согласно формуле при увеличении длины пароля на один бит количество возможных паролей удвоится, что сделает задачу атакующего в два раза сложнее. В среднем атакующий должен будет проверить половину из всех возможных паролей до того, как найдет правильный
Сложность случайного пароля, измеренная в терминах информационной энтропии, будет равна
где N — это количество возможных символов, а L — количество символов в пароле. H измеряется в битах.
В частности, энтропия самого легкого для взлома пароля 123456 находится следующим образом:
В то время как энтропия пароля trustno1, относительно сложного пароля из топ-25 самых популярных паролей, равна 41,4 битам. Вполне очевидно, что чем меньше сложность пароля, измеренная в битах, тем легче его взломать методом полного перебора.
 |
| Среднее время взлома пароля методом перебора в зависимости от его длины в знаках |
Примеры слабых паролей
- Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
- Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
- Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
- Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
- Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
- Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
- Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
- Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.
У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.
Взлом паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.
Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.
Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом паролей, полученных иным способом, например перехватом трафика.
При этом могут быть использованы следующие подходы:
- Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.
- Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
- Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т. п. Например. Вася Пупкин, 31.12.1999 года рождения, нередко имеет пароль типа «vp31121999» или «vp991231».
Для проведения атаки разработано множество инструментов, например,
John the Ripper.
 |
| Логотип программы взлома паролей John the Ripper |
Полезные ресурсы:
