Десять міфів про паролі в windows
Незважаючи на всі досягнення в технологіях безпеки, один аспект залишається незмінним: паролі все ще грають центральну роль в безпеці системи. Проблема полягає в тому, що вони занадто часто можуть служити простим механізмом для злому. Незважаючи на те, що існують технології і політики для того, щоб зробити паролі більш стійкими, до сих пір доводиться боротися з людським фактором. Ні для кого не є секретом, що користувачі часто як паролі використовують імена друзів, клички тварин і т.д.
Незважаючи на всі досягнення в технологіях безпеки, один аспект залишається незмінним: паролі все ще грають центральну роль в безпеці системи. Проблема полягає в тому, що вони занадто часто можуть служити простим механізмом для злому. Незважаючи на те, що існують технології і політики для того, щоб зробити паролі більш стійкими, до сих пір доводиться боротися з людським фактором. Ні для кого не є секретом, що користувачі часто як паролі використовують імена друзів, клички тварин і т.д.
Міф №1: хеші паролів досить надійні при використанні NTLMv2
Міф №2. Dj # wP3M $ c - найкращий пароль
Міф №3. 14 символів - оптимальна довжина пароля
Міф №4. J0hn99 - Хороший пароль
Міф №5. Будь-пароль рано чи пізно може бути зламаний.
Хоча будь-який пароль може бути розкритий декількома способами (наприклад, через «клавіатурний шпигун» або за допомогою соціотехніки), тим не менше, існують способи створення паролів, які не можуть бути зламані за прийнятний час. Якщо пароль досить довгий, його злом займе так багато часу, або зажадає так багато обчислювальної потужності, що це, по суті, те ж саме, що якби він був невзламиваемим (по крайней мере, для більшості хакерів). Звичайно, в кінці кінців, будь-який пароль може бути зламаний, але ця подія може відбутися і не протягом нашого життя, і навіть не під час життя наших правнуків. Таким чином, якщо, звичайно не державні структури намагаються обчислити ваш пароль, то його шанси можуть бути дуже навіть високі. Хоча, можливо, досягнення комп'ютерної технології можуть одного разу зробити цей міф реальністю.
Міф №6. Паролі потрібно міняти кожні 30 днів.
Незважаючи на те, що це - хороший рада для деяких паролів з високим ступенем ризику, він не підходить середнім користувачам. Вимога частої зміни пароля часто змушує користувачів створювати передбачувані моделі в своїх паролі або використовувати інші способи, які реально значно знижують їх ефективність. Обивателю не подобається постійно придумувати і запам'ятовувати нові паролі кожні 30 днів. Замість того, щоб обмежувати вік пароля, краще зосередитися на більш стійких паролі і більшої компетентності користувачів. Прийнятний час для середнього користувача - від 90 до 120 днів. Якщо ви дасте користувачам більше часу, вам буде простіше переконати їх використовувати більш складні паролі.
Міф №7. Ніколи не слід записувати свій пароль
Хоча це і хороший рада, іноді просто необхідно записувати свої паролі. Користувачі відчувають себе набагато комфортніше при створенні складних паролів, якщо вони впевнені, що зможуть його прочитати в надійному місці, якщо раптом забудуть. Однак важливо навчити користувачів, як правильно записувати паролі. Наклейка на моніторі - це, безперечно, нерозумно, але зберігання пароля в сейфі або навіть ящику, який замикається може бути достатнім. І не нехтуйте безпекою, коли приходить час викидати папір зі старим паролем: пам'ятайте, багато великих зломи відбулися саме через те, що хакери не полінувалися переглядати сміття організації в пошуках записаних паролів.
Може виникнути ідея дозволити користувачам зберігати свої паролі в програмних утиліти для зберігання паролів. Ці утиліти дозволяють користувачеві зберігати безліч паролів в одному місці, закритому головним майстер-паролем. Але якщо хтось дізнається майстер-пароль, то отримає доступ до повного списку всіх паролів. Тому, перш ніж дозволити користувачам зберігати паролі в такому місці, розгляньте наступні небезпеки: по-перше, цей метод програмний, і, отже, вразливий для атаки, по-друге, оскільки тут все тримається на одному майстер-пароль, він може стати тим єдиним пунктом для глобального провалу всіх паролів всіх користувачів. Краща методика - поєднати технологію, фізичну безпеку і політику компанії.
Крім того, паролі буває просто необхідно документувати. Немає нічого незвичайного в ситуації, коли системний адміністратор захворів або звільнився. А в ряді організацій - це єдина людина, яка знала все паролі, в тому числі і пароль сервера. Так що іноді доводиться навіть схвалювати записування паролів, але тільки в разі, коли це дійсно необхідно і продумано.
Міф №8. Пароль не може містити пробілів
Міф №9. Завжди використовуйте Passfilt.dll
Міф №10. Використовуйте ALT + 255 для найбільш стійкого пароля
Розглянемо використання символів з великим ASCII-кодом для остаточного ускладнення пароля. Ці символи не можуть бути природним чином набрані на клавіатурі, але вводяться утриманням кнопки ALT і набором ASCII-коду на цифровій клавіатурі. Наприклад, послідовність ALT-0255 створює символ.
Незважаючи на те, що в деяких ситуаціях це корисно, слід також розглянути недоліки. По-перше, утримання кнопки ALT і набір на цифровій клавіатурі можуть бути легко помічені сторонніми. По-друге, створення такого символу вимагає п'ять натискань клавіш, що потрібно запам'ятати і згодом вводити кожен раз при наборі пароля. Можливо, мало б сенс створення пароля на п'ять символів довше, що зробило б ваш пароль набагато стійкіше при тій же самій кількості натискань клавіш.
Наприклад, 5-символьний пароль, створений із символів з великим ASCII-кодом зажадає 25 натискань клавіш. З огляду на 255 можливих кодів для кожного символу і всього п'ять символів, отримуємо загальну кількість комбінацій 255 ^ 5 (або 1,078,203,909,375). Однак, 25-символьний пароль, створений тільки з букв нижнього регістру має 26 ^ 25 (або 236,773,830,007,968,000,000,000,000,000,000,000) можливих комбінацій. Очевидно, краще створювати довші паролі.
Інший момент, про який варто подумати - клавіатури деяких портативних комп'ютерів ускладнюють введення з цифрової клавіатури і деякі утиліти командного рядка не підтримують символи з великим ASCII-кодом. Наприклад, ви можете використовувати символ ALT + 0127 в Windows, але не зможете набрати його в командному рядку. І навпаки, коди деяких символів, таких як Tabs (ALT + 0009), LineFeeds (ALT + 0010), і ESC (ALT + 0027) можуть бути використані при наборі з командного рядка, але не можуть бути використані в діалогових вікнах Windows (що може виявитися бажаним побічним ефектом в деяких рідкісних випадках).
Тим не менш, є кілька випадків, коли корисно використання розширених символьних кодів. Якщо у вас є еккаунт сервісу або локального адміністратора, які рідко використовуються, іноді використання розширених символів заслуговує кілька зайвих натискань клавіш. Оскільки мало взламивателей паролів налаштовані на обробку розширених символів, цього може бути цілком достатньо, щоб зробити пароль вкрай складним для злому. Але в цьому випадку не зупиняйтеся на великому ASCII-коді: існує маловідомий факт, що складається в тому, що в дійсності ви можете скористатися повним набором Unicode символів, який становить 65,535 можливих символів. Проте, такий символ, як ALT + 65206 не настільки стійкий, як еквівалентну кількість натискання клавіш з використанням звичайних символів.
І, нарешті, звернемо увагу на використання нерозривного пробілу (ALT + 0160) в наборі розширених символів. Цей символ відображається як звичайний пробіл і часто може обдурити тих, хто якимось чином побачив ваш пароль. Наприклад, скажімо, що зломщик зміг встановити логгер клавіатури в вашу систему. Якщо ви використовуєте нерозривний пробіл в паролі, в лог-файлі він буде виглядати, як звичайний пробіл. І якщо зломщик не знає про нерозривну прогалині і не побачить дійсний ASCII-код, то його пароль, на який він так сподівався, не дасть йому нічого. А адже багато людей просто не знають про існування цього символу, хоча, схоже, після прочитання цієї статті вже будуть знати.
висновок
Хтось може не погодитися з деякими представленими моментами, але вони і не претендують на роль кінцевої незаперечною істини. Чи не в цьому була мета написання цієї статті. Міф - це наполовину правда. Багато міфів, які тут критикуються, колись були прекрасними порадами, або навіть все ще є такими в специфічних випадках. Але для багатьох ці поради стали набором жорстких, непорушних правил, які необхідно застосовувати завжди. Але будь-які поради про паролі, включаючи і приводяться в цій статті - не більше, ніж просто поради. Ви самі повинні вирішити, які правила вам підходять, а які ні. Мабуть, найбільший і самий помилковий міф з усіх і полягає в тому, що існують єдині жорсткі правила щодо паролів.
Іноді John99 - це хороший пароль, а іноді паролі доводиться міняти набагато частіше, ніж один раз на місяць. Деякі паролі, наприклад, адміністраторські, потребують набагато більшого захисту, ніж інші - призначені для користувача. Щоб створити політику паролів, яка захистить вас найкращим чином, слід взяти всі свої знання і додати до них те, що ви знайшли корисним з тут написаного.
Хороший пароль - це більше, ніж просто складний пароль. Хороший пароль - це той, який вкрай важко вгадати або підібрати, але дуже легко запам'ятати. Він повинен бути довгим і складатися з букв, цифр і символів, але в той же час повинен легко і безпомилково набиратися. Він повинен містити випадкові елементи, які може надати тільки комп'ютер, і в той же час залишатися родинним того, що може створити людина.
Але найкращий з усіх паролів - той, який користувач вибирає, грунтуючись на науковому розумінні системи створення паролів. І найкраща політика паролів - та, що допомагає користувачам у створенні таких паролів.