Пароли — распространенные атаки и возможные решения

Опасности, связанные с паролями

В то время как большинство организаций и почти 99% домашних пользователей по-прежнему в значительной степени полагаются на пароли как на основную форму аутентификации конфиденциальных и личных ресурсов, небезопасное обслуживание, создание и передача по сети могут открыть входную дверь любой организации или личного актива. злонамеренному злоумышленнику.

Управленческий персонал с устаревшим образом мышления по-прежнему считает, что пароли являются наиболее важным и удобным способом идентификации пользователя в их сети или базе данных, в то время как факт заключается в том, что пользователи разочарованы тем фактом, что им нужно изменить свой пароль, что им необходимо создать «безопасный» пароль или следовать инструкциям о том, как сохранить его в максимально возможной тайне. Результатом является большое количество паролей, которые можно взломать, одни и те же пароли в нескольких системах и заметки «опубликовать» с паролями, даже с именами для входа.

В любой данной системе у определенных пользователей есть привилегии, которых у других нет и даже не должно быть. Идентифицируя себя на своем компьютере или любом конкретном веб-сайте, вы получаете доступ к своей рабочей среде и личным данным, данным, которые вы определяете как конфиденциальные, и данным, которые вы не хотели бы публиковать, как не хочет компания. Например, чтобы предоставить конкуренту доступ к своей внутренней сети. Сценарии злоупотреблений, возникающие при разглашении данных бухгалтерского учета:

• Кража личных данных

Кража личных данных может произойти, когда ваши учетные данные каким-то образом станут известны другому лицу, использующему их, чтобы выдать себя за вас, чтобы получить вашу цифровую личность. Это может привести как к материальному, так и к личному ущербу.

• Разоблачение конфиденциальных данных

Содержимое вашей переписки по электронной почте, личные проекты, документы и фотографии могут стать доступными для злоумышленника или кого-либо, нацеленного на вас как на личность.

• Воздействие данных компании

Неэтичная разведка путем получения конфиденциальной конфиденциальной внутренней информации через плохо поддерживаемые и хранящиеся бухгалтерские данные окажет огромное влияние на компанию, в которой вы работаете. Сомневаюсь, что вы хотели бы быть тем, кто раскрывает маркетинговые и рекламные планы на следующие 6 месяцев конкуренту.

• Участие в преступной деятельности

Использование вашей учетной записи может быть использовано в различных преступных целях, если она не поддерживается должным образом и не хранится в секрете. Помните, что трассировка ведет обратно к вашей учетной записи.

Наиболее распространенные сценарии раскрытия пароля

• Нарушение физической безопасности

Физический взлом вашего компьютера позволит полностью обойти даже самые изощренные методы аутентификации, даже самые безопасные методы шифрования. Может быть установлен кейлоггер, как программный, так и аппаратный, ваш секретный ключ PGP также может быть раскрыт, таким образом, все ваши учетные и зашифрованные данные будут скомпрометированы. Неважно, насколько длинным или безопасным является ваш пароль, так как нарушения физической безопасности являются одними из самых важных.

• Непреднамеренно поделился

Пользователь может поделиться своими учетными данными, даже не подозревая об этом, подвергая их риску потенциального взлома. Пароль обычно сообщается друзьям, начальству, семье при различных обстоятельствах. «Преимуществом», по мнению некоторых пользователей, является удобство для двух и более лиц знать определенные учетные данные, чтобы получить доступ к определенному ресурсу. Пароли также могут быть переданы в неформальной беседе с коллегами, обсуждающими последнюю политику компании в отношении паролей или то, как они выбирают свои пароли, как они их поддерживают и, в некоторых случаях, как руководство никогда не узнает о том, что они считают секретными способами. хранения учетных данных. Один из наиболее важных и простых способов получения конфиденциальных данных — просто запросить их, как прямым, так и косвенным образом, в чем и заключается социальная инженерия.

• треснувший

Иногда в случае частичного взлома зашифрованный файл паролей компании может быть раскрыт злоумышленнику. Если это произойдет, злоумышленник начнет взламывать пароль к файлу, а именно перебирать все возможные комбинации с целью найти самые слабые пароли и в дальнейшем получить привилегии. В случае, если компания узнает, что ее файл паролей был скомпрометирован, она должна немедленно уведомить всех сотрудников о необходимости сменить свои пароли, чтобы даже в случае обнаружения слабых паролей они больше не были действительными. Однако, если компания не знает о раскрытии своего файла паролей, она должна постоянно пытаться взломать свой файл паролей, как это сделал бы злоумышленник, и отфильтровать самые слабые пароли.

• Понюхал

Знаете ли вы, сколько сотрудников получают доступ к конфиденциальным данным через свой уже взломанный компьютер или компьютер своего друга? Наличие надежного пароля не гарантирует его целостность, если он не передается безопасным образом через Интернет. Не давайте своим сотрудникам возможности выбирать между простой текстовой аутентификацией или SSL-аутентификацией; вместо этого задействуйте все сетевые соединения в зашифрованном режиме. Другим настоятельно рекомендуемым вариантом было бы предоставить всем функцию «последний вход из…», чтобы в случае, если они заметят несанкционированный вход, они сразу же сообщили об этом.

• Угадал

Большое количество пользователей обманывает установленную политику паролей, каким-то образом создавая надежный, но слабый пароль или пароль здравого смысла. Хотя в настоящее время этот метод используется редко по сравнению с теми, которые мы уже обсуждали выше, следует иметь в виду, что некоторые пользователи все еще выбирают пароли на основе предметов или брендов на своем рабочем столе.

Наиболее распространенные ошибки обслуживания паролей

• Функция автозаполнения

Большинство приложений позволяют запоминать ваши пароли и учетные данные, но если вы не уверены, что компьютер достаточно защищен от возможных нарушений физической безопасности, вам настоятельно не рекомендуется запоминать пароли таким образом. Убедитесь, что эта опция не используется в общедоступных местах, таких как интернет-кафе и т. д.

• Заметки «Опубликовать»

Пароли часто записывают и, что еще хуже, развешивают рядом с монитором или на столе. Это могут легко заметить злоумышленники или инсайдеры, поэтому избегайте этого.

• “Секретное место”

Многие люди считают, что нашли секретное место под клавиатурой или где-нибудь вокруг стола, что очень неприемлемо, учитывая тот факт, что при достаточном наблюдении они обнаружат свое предполагаемое секретное место, отвлекутся и у них произойдет утечка учетных данных. вне. Тем не менее, большое количество людей хранит определенные учетные данные на бумаге, КПК и т. д., поэтому возможная стратегия до тех пор, пока они не вспомнят свои учетные данные и не избавятся от заметок, которые они постоянно носят с собой, будет следующей: иметь по крайней мере 6/7 разных и поддельных паролей рядом с настоящим паролем, вы можете даже скрестить пару из них, даже настоящий. Это было бы очень полезно, учитывая, что два/три ложных входа в систему могут заблокировать учетную запись, и в случае, если ваша заметка будет раскрыта, для злоумышленника все еще будет вопросом удачи использовать правильный. Хотя этот метод не дает никаких гарантий и вообще не рекомендуется, это очень короткий способ запомнить пароль и сразу же избавиться от заметки!

Как выбрать безопасный пароль

Выбор безопасных паролей заключается в знании их ненадежности, способов взлома паролей и того, что стоит за требованием «длина не менее 8 символов, состоящая из строчных и заглавных букв, специальных символов и цифр». По сути, чем короче пароль, тем больше возможностей для наблюдения, угадывания и взлома. Взломщик паролей будет пытаться угадать все возможные комбинации букв, цифр и символов, пока не найдет правильную. Учитывая количество букв в алфавите и количество цифр (0/9), второй, а именно пароль на основе цифр, даст злоумышленнику меньше возможностей для взлома. Другим часто используемым методом является использование файла словаря в базе данных зашифрованных паролей, так что самые слабые и наиболее очевидные пароли с точки зрения слов, перечисленных в словаре, будут раскрыты; вот почему более длинный пароль, состоящий из букв, цифр и символов, потребует немного времени для злоумышленника, пытающегося взломать файл с украденными паролями. Всякий раз, когда вы создаете пароль, учитывайте следующее:

• сделайте его длиной не менее 7 символов, комбинацию строчных и заглавных букв, по крайней мере одну цифру и специальный символ, например [email protected]#$%^*()_+
  
• не используйте просто словарное слово или логическую последовательность символов, например, aaa555ccc, 1234567890 и т. д.
  
• старайтесь не использовать пароль, который вы уже использовали в другой системе, игнорируйте тот же пароль на всех ресурсах, к которым у вас есть доступ любой ценой

Вы можете использовать комбинацию следующих надежных, но легко запоминающихся методов паролей:

• выберите словарное слово, такое как успех, затем переверните его sseccus
  
• добавьте цифры перед или в конце 146sseccus или sseccus953
  
• рассмотрите возможность добавления хотя бы одного специального символа, такого как [email protected]#$%^&*()_+ в любом месте
  
• использование хотя бы одной заглавной буквы еще больше увеличило бы возможности взлома
  
• замените определенные символы числами, которые вы с ними ассоциируете, безопасностью будет s3cur1ty, где e означает 3, а i означает 1
  
• отделяйте каждую букву цифрой, безопасность будет s1c3u2r4i6t5y

Как запоминать пароли

Запоминание нескольких паролей к разным активам — огромная проблема для большинства пользователей. Поэтому они либо игнорируют запоминание, записывая их, либо создают слабые, но легко запоминающиеся пароли. В то время как запоминание паролей может оказаться не такой уж сложной задачей, если большинство пользователей перестанут думать о них как о комбинации объемных символов, а как о способе идентифицировать себя, как это делают, когда берут деньги из банкомата. В этом случае они должны попытаться защитить все свои корпоративные и личные данные.

• Свяжите их

Ассоциация играет важную роль в процессе запоминания. Через определенный промежуток времени кто-то может научить вас японскому языку, если узнает, как вы запоминаете и, самое главное, связываете вещи. Визуализация пароля — еще один важный аспект его запоминания, и через короткий промежуток времени вы будете вводить его, даже не задумываясь, что вводите — временная привычка, учитывая тот факт, что в большинстве организаций требуется постоянная смена пароля.

• Объясните их себе

Например, пароль Y13#tiruceC в основном представляет собой слово «безопасность» в обратном порядке, где первая и последняя буквы заглавные, а за первой заглавной буквой следует дата рождения вашего лучшего друга, а также специальный символ. Вместо того, чтобы представлять множество символов, как это было раньше, теперь ваш пароль — это ваш собственный зашифрованный язык.

Возможные решения

При применении методов аутентификации как на уровне сети, так и на уровне политики безопасности большинство пользователей оказались ненадежными в хранении и создании надежных паролей. Служба поддержки часто слишком занята, чтобы обрабатывать запросы о «забытых паролях», и если компания не предпримет инициативу по повышению осведомленности о паролях, проблема будет продолжать расти.

Парольные фразы

Парольные фразы были задуманы так, чтобы их было легче запомнить, но практически невозможно было взломать. Большинство программ для шифрования требуют, чтобы вы использовали кодовую фразу для своего закрытого ключа вместо пароля. Парольные фразы обычно представляют собой то, что вы всегда помните, будь то цитата, любимое предложение или комбинация цифр и специальных символов. Хотя практически невозможно взломать из-за их длины, как пароли, так и парольные фразы могут быть зарегистрированы с помощью кейлоггера или перехвачены при передаче по каналу связи с открытым текстом.

Биометрия

Биометрия — это следующее поколение методов аутентификации. Несмотря на то, что из-за связанных с этим затрат, а иногда и количества ложных результатов биометрия все еще находится на ранней стадии внедрения, биометрия изменит способ нашей аутентификации, надеюсь, с точностью 99%. Просто биометрические данные нельзя ни украсть, ни забыть, ни передать другому человеку. Биометрические системы могут включать системы отпечатков пальцев, системы распознавания голоса, системы сканирования глаз/сетчатки, системы геометрии руки и системы рукописного ввода.

Инфраструктура открытых ключей (PKI)

Функции инфраструктуры открытых ключей (PKI) дают объектам, а именно сотрудникам или серверам, возможность общаться, аутентифицировать, подписывать и проверять удостоверения путем создания цифровых сертификатов, каждый из которых содержит закрытый и открытый ключи. Открытый ключ доступен любому, кто хочет обмениваться данными с объектом, а закрытый ключ — это единственный способ для объекта расшифровать или правильно идентифицировать себя. PKI очень полезна при обмене данными по небезопасным сетям, таким как Интернет, а также на внутренних серверах.

Хотя пароли еще долгое время будут оставаться наиболее распространенным методом аутентификации, компании и пользователи, которые уже осознали свои слабости, постепенно переключаются на другие возможные альтернативы. Шифрование станет следующим важным шагом для большинства малых и средних компаний, а также внедрение различных методов биометрии.

Первоначально опубликовано в информационном бюллетене Astalavista Security Newsletter — выпуск 10
http://astalavista.com/index.php?section=информационный бюллетень