Конец паролей?
Введение
В этой статье мы расскажем, как быстро устаревают пароли; во многих средах уже реализованы новые более надежные технологии, помогающие обеспечить безопасность корпоративных информационных ресурсов. В этой статье мы рассмотрим причины, по которым стоит начать использовать новые более надежные технологии аутентификации, и рассмотрим некоторые альтернативы.
Пароли существуют уже много лет; из-за этого было обнаружено много уязвимостей, связанных с технологией паролей. Пароли подвержены многочисленным уязвимостям, таким как легкость их копирования, записи, взлома с использованием грубой силы, обмена между пользователями и многих других проблем, с которыми трудно справиться.
Определенные политики могут быть структурированы вокруг паролей, чтобы лучше защитить их. К сожалению, иногда может наблюдаться противоположный эффект, когда поведение пользователя не контролируется. Чем длиннее пароль, тем надежнее пароль, чем сложнее пароль, тем больше безопасности добавляется в политику, пользователи обычно записывают эти пароли, поскольку они не могут запомнить сложные длинные пароли, что делает пароль менее безопасным.
Взлом паролей
По последним подсчетам, на большинстве корпоративных компьютеров была установлена версия Windows, в основном Windows XP. Согласно последним статистическим данным, зарегистрировано более двух миллиардов компьютеров с Windows XP. Из-за этого известные переменные атаки на пароли могут быть организованы следующими способами.
Активные атаки
Можно выполнять активные взломы и взломы, и их легче обнаружить. Активные атаки легче обнаруживаются, так как активные пароли, как правило, подбираются методом грубой силы, но выигрывают от получения результатов в реальном времени, поэтому текущие учетные данные перехватываются.
Некоторые активные атаки, такие как перехват паролей через WAN / LAN, могут происходить без обнаружения, поскольку большинство организаций плохо видят свои сети. В большинстве случаев WAN-соединения являются удаленными, а пароли проходят через общедоступные сети, которые легко отслеживать злоумышленникам.
Кейлоггеры — это технологии, которые набирают силу. Последние статистические данные показали, что ежемесячно выпускаются сотни кейлоггеров. Некоторые антивирусные компании могут обнаруживать эти ключевые технологии сохранения, но с притоком выпускаемых технологий трудно идти в ногу с угрозами.
Некоторые кейлоггеры могут отправлять злоумышленнику по электронной почте введенные нажатия клавиш. Если вы чувствуете, что ваш банк защитил ваш пин-код/пароль, представив клавиатуру, которую вы нажимаете на веб-странице, некоторые кейлоггеры делают снимки экрана областей экрана, которые вы нажимаете и отправляете их злоумышленнику по электронной почте.
Пассивные атаки
Когда машина находится в автономном режиме, это обычно означает, что компьютер выключен или что была сделана копия файла паролей (файл SAM), и выполняется взлом файла, в то время как пользователь или администратор мало или совсем не знает об этом. действие. Как правило, результат положительный для хакера, поскольку злоумышленник может не торопиться. Когда у них есть пароль, они могут логически или физически атаковать локальный компьютер либо удаленно (по сети), либо локально, физически находясь на компьютере.
Защитите свой пароль
Если вы имеете дело с конфиденциальной информацией, паролей уже недостаточно для защиты системы. Тем не менее, вот некоторые контрмеры против атак, описанных выше.
Для противодействия брутфорсу могут быть полезны одноразовые пароли OTP. Для домашних пользователей это не очень практично, поэтому другим вариантом может быть реализация некоторой формы двухфакторной аутентификации с использованием токенов, таких как токены в стиле USB или токены в стиле смарт-карт. В Европе наблюдается большой толчок к использованию смарт-карт. Вскоре смарт-карты будут использоваться для аутентификации водительских прав и аутентификации граждан. Предпринимается попытка предложить интернет- и банковскую аутентификацию на смарт-картах в той же форме.
Использование персональных брандмауэров становится все более распространенным явлением, эта технология действительно помогает, особенно если компьютер заражен трояном или кейлоггером, и персональный брандмауэр останавливает загрузку нажатий клавиш и изображений, тем самым предотвращая атаку.
IDS/IPS
Большинство поставщиков антивирусных программ выпускают программное обеспечение для обнаружения/обнаружения и предотвращения вторжений в комплекте со своим антивирусным программным обеспечением. Один бесплатный AV, протестированный в нашей лаборатории, собирал большинство программ для регистрации ключей, которые мы устанавливали в Windows, но когда мы установили относительно новый регистратор ключей с открытым исходным кодом в Windows XP, он этого не сделал, и мы смогли отправлять нажатия клавиш в реальном времени через https. …так что угроза явно существует.
Шифрование
Использование полностью зашифрованных жестких дисков может оказаться полезным, если ваш компьютер остался без присмотра или был утерян. Это означает, что загрузочные диски, такие как ERD Commander (официальная программа MS), Hiren (хакерская программа), ophtcrack (программа аудита) и многие другие, связанные с технологиями взлома паролей и атак, не будут эффективны против вашей базы данных SAM, поскольку программное обеспечение не сможет подключиться к зашифрованному жесткому диску.
Большинство программного обеспечения для шифрования предлагает аутентификацию перед загрузкой, это экран аутентификации, который отображается до того, как машина сможет загрузиться. Этот экран действует как дополнительный элемент управления доступом, управляющий доступом к операционным системам и другим областям жесткого диска. Хотя это и не обязательно, это помогает ограничить доступ неавторизованных пользователей к другим областям жесткого диска.
Системы аутентификации
Строгая аутентификация — это путь вперед; строгая аутентификация состоит из двух факторов и обычно называется двухфакторной аутентификацией. Любой из следующих трех факторов может использоваться вместе для создания строгой аутентификации. Что-то уникальное для вас (ваши глаза, отпечатки пальцев или голос). Что-то, что у вас есть (например, токен, смарт-карта, USB-токен, устройство или физический предмет). Что-то, что вы знаете (пароль, PIN-код, фразу-пароль и/или что-то, что вы введете и что вам нужно запомнить)
Биометрия
Хотя эта технология традиционно более дорогая и имеет историю проблем с надежностью, сейчас она достигла совершеннолетия и используется в ноутбуках большинства марок. В настоящее время технология более зрелая, и из-за увеличения скорости компьютеров, снижения стоимости технологии и повышения ее надежности теперь ее можно использовать в качестве механизма аутентификации.
Примерами биометрических данных могут быть: отпечатки пальцев, голос, узоры сетчатки/роговицы, узоры вен на руках, отпечатки ладоней, телеметрия лица, тепловая сигнатура тела, письменная подпись и динамика подписи, а также многие другие личные характеристики, которые сложно подделать.
Одноразовые пароли (OTP)
Одноразовые пароли занимают свое место в игре аутентификации. В основном используемые в сценариях удаленного доступа, эти токены доступны по цене и очень полезны, когда учетные данные проходят через небезопасные сети и системы. Обычно это решение аутентифицирует пользователя и отдельный сеанс, а это означает, что если учетные данные нужно будет воспроизвести, они будут недействительны, поскольку действительны только для предыдущего сеанса.
USB-токены
USB-токены обычно используются в сочетании с другими механизмами, такими как пароли, чтобы стать частью систем двухфакторной аутентификации. Эти устройства бывают разных форм, форм и размеров, но обычно подключаются к интерфейсу USB.
Будущее
Наши лаборатории работают с одними из самых передовых производителей токенов в мире. Вскоре пользователи смогут купить токен для домашнего или корпоративного компьютера, который поможет управлять безопасностью своего ноутбука, настольного компьютера или мобильного устройства. Все это будет управляться удаленно (где бы ни было устройство и не важно, какой у него пароль). Устройство будет действовать как токен и может храниться вместе с компьютером, поскольку устройство можно отозвать удаленно, независимо от того, где оно находится. Устройство будет способно выключать компьютер и удаленно блокировать текущего пользователя. Таким образом, если бы неавторизованный пользователь использовал компьютер, было бы возможно полное удаленное управление. Эта технология имеет так много функций, что правительства и военные организации в настоящее время тестируют ее.
Заметки с полей
Как консультант по безопасности, большинство моих клиентов, заботящихся о безопасности, предприняли согласованные усилия, чтобы отказаться от использования паролей. Любая организация, которая серьезно относится к защите своих ИТ-активов, за последние два года начала искать решения для двухфакторной аутентификации и либо начала внедрять двухфакторную аутентификацию и шифрование, либо заложила в бюджет эти технические средства управления, которые будут реализованы в течение следующих 18 месяцев. К сожалению, требования аудита и соответствия все еще отстают. Однако вы должны ожидать, что в ближайшие несколько месяцев эти технические средства контроля станут обязательными для бизнеса.
Резюме
Понятно, что пароли сейчас устарели и должны использоваться в сочетании с другими более надежными технологиями аутентификации или заменяться ими. С учетом того, что миллиарды систем уязвимы для слабости паролей, 2009 г. станет благоприятным годом для строгой аутентификации.