Компания Positive Technologies опубликовала обзор (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf) (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем.
Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Indust...URL: http://www.ptsecurity.ru/analytics.asp
Новость: http://www.opennet.me/opennews/art.shtml?num=22371
Помню как у товарища с ADSL модемом пропали настройки, полезли разбираться, дождались первого MAC-а в ARP таблице, залезли на тот IP браузером через admin/admin и поняли - что-то тут не то. Оказалось, что ADSL модем был настроен в режиме бриджа и мы зашли на коммутатор провайдера :-)
Я на DSLAM прова был. Тоже Admin/Admin
америку они открыли. Как буд-то профессионального взломщика остаровит сложный пароль если у того будет локальный доступ к системе. Удаленно задача уже ложиться на экраны и пароли тут не причем. И еще интересно кто те 180 тысяч что назвали какой-то левой компании свой пароль
Интересно? Почитай статью прежде чем... Всё написано.
> Как буд-то профессионального взломщика остаровит сложный пароль если
> у того будет локальный доступ к системе.А если будет локальный доступ к владельцу, то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы шифрования с безупречными паролями...
> то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы
> шифрования с безупречными паролями...Нет.
Существуют специальные методы обойти ректотермальный криптоанализ.
>И еще интересно кто те
>180 тысяч что назвали какой-то левой компании свой парольВ документе написано - получено в ходе пентестов и аудитов. Т.е. ребята фактически их "взломали".
И контора далеко не "левая". Positive Technologies - разработчики XSpider (http://www.ptsecurity.ru/xs7.asp) и MaxPatrol (http://www.ptsecurity.ru/mp_eval.asp) - весьма и весьма достойных продуктов.
Одна из простых, но действенных систем выбора сложного пароля который просто запоминать это использовать какой-нить любимый стишок или песню и брать первые буквы из слов куплетов или первые буквы куплетов.Типа:
Я узнал, что у меня
Есть огpомная семья -
И тpопинка, и лесок,
В поле каждый колосок!Речка, небо голубое -
Это все мое, pодное!
Это Родина моя!
Всех люблю на свете я!Для первого куплета получаем:
jucumeosITILVPKKдобавляем что-нить из спец символов и мега пароль готов.
#jucumeosITILVPKK#В следующий раз при выборе пароля используем второй куплет и т.д.
Вот так :)
Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып "шокирующего абсурда", описанный в "Руководстве администратора Linux".
>Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып
>"шокирующего абсурда", описанный в "Руководстве администратора Linux".В «UNIX SA Handbook» его описали раньше, хотя да, авторы те же :)
А можно поподробнее?
http://dkulikovsky.ya.ru/replies.xml?item_no=90&for_reply=text
спасибо
>Одна из простых, но действенных систем выбора сложного пароляПосле этого он уже не такой сложный.После афиширования принципа генерации - довольно просто сгенерить и специализированные словари под него.Стишков и песенок в мире не так уж и много(по сравнению например с всем возможным количеством паролей такой длины).И множество перебора сииииииильно сократится.До, может быть, каких-то миллионов или миллиардов вместо астрономических величин.
Ещё один интересный способ, читал его в книге Флёнова...
Придумывается какое либо слово, но печатается на ряд вверх, т.е. если в слове есть буква "ф" то при вводе будет использоваться клавиша "й". Например абрикос выглядит как rkyg4ud, при этом можно ещё и шифт понажимать...
>Ещё один интересный способ, читал его в книге Флёнова...И чем он популярнее - тем хуже для вас.Поскольку построить добавочные словари с учетом этого метода как-то не особо сложная наука, а шансы что какой-то лузер попадется при словарной атаке - возрастают.И слом по словарю - это лучше чем полный и честный брутфорс длинного пароля на хренадцать символов.Перебрать миллион слов или два (с учетом ваших методов будет еще 1 словарь - с словами сконвертированными в такое представление) не столь уж велика разница.Это сильно лучше чем честно перебирать брутфорсом что-то порядка 2^128 вариантов например, вообще ничего не зная о хренадцатисимвольном пароле.
Я не спорю с вами, что там где нужна безопасность нужно использовать сгенерированые пароли (буквы, цифры, регистр, символы), но для обычных пользователей это врятли подойдёт. Они и так используют простые слова и даты рождения, что согласитесь, ломается намного проще и при этом не надо делать добавочные словари. А если давать юзеру нормальный пароль (хотя бы 8 символов, буквы, цифры, регистр), то очень весело смотрится бумажка с таким паролем на мониторе =)
Помоему если руководство вменяемое и задумывается на тему безопасных паролей (и даёт соответствующие указания), то только тогда можно дрессировать остальных сотрудников, иначе полное отсутствия взаимопонимания...
читай по ссылке
в основном голая статистика, правда ограниченная
После прочтения этого анализа чувствую себя параноиком :D
Более другой вариант: берём префикс (обычный запоминаемый пароль, например, по начальным буквам стиха), добавляем символы, "генерируемые" по имени ресурса, к которому этот пароль "собираем", например - имя сайта, можно со сдвигом, затемдобавляем суффикс, например, пакет спецсимволов для антибрутфорса, если их поддерживает ресурс (многие сайты не позволяют). В результате получаем комплексный взломоустойчивый пароль, различный для различных серверов, но легко запоминаемый (точнее, восстанавливаемый по памяти). Опционально - добавить "соль" ещё и от логина (актуально при входе на один и тот же ресурс под разными логинами). Перемешать, но не взбалтывать (с) ;)
как всегда,
безопасность = 1 поделить на удобство использования.
Можно делать так.
Вслепую набирать на клавиатуре случайные символы, попеременно нажимая на shift.
Например:
Jj_F6*bF-vЗаодно и память развивает)
Что мешает заюзать apg (есть в дистре практически любого дистра)? При чем генерит не тупо рандом, а может на основе какогонибудь слова, да и пароли получаются относительно легко запоминающиеся.
http://www.adel.nursat.kz/apg/
Исследование доказывает уникальность каждого среднестатистического работника, обладающего узкоспециализированными профессиональными навыками.
Фантазируйте, господа. А насчет ректотермального криптоанализа - один мой товарисч разрабатывает метод борьбы, основанный на лужении прямой кишки с внедрением системы активного охлаждения на жидком азоте.