КРОК – Антикризисные решения
Публикация читателя iBusiness.ru

Как заставить пароли действительно защищать данные

13 августа, в 04:07

Специалист службы безопасности компании Microsoft Роберт Хенсинг получил известность благодаря своему посту в блоге, в котором он утверждал, что традиционные пароли не должны использоваться.

На самом деле, это действительно отличная идея ‑ использовать кодовые фразы вместо паролей. Вы спросите, а что собой представляет кодовая фраза? Давайте рассмотрим некоторые из моих последних кодовых фраз, которые использовались в Microsoft в качестве «пароля»:

• «Если бы мы не спятили, то сошли бы с ума»

• «Обрушь на меня боль!»

• « Подлые люди — это плохо!»

Так чем же хороши эти кодовые фразы?

1. Они отвечают всем требованиям сложности пароля из-за использования заглавных / строчных букв и знаков препинания (вы не обязаны использовать цифры в вашем пароле, чтобы он соответствовал требованиям сложности пароля)

2. Даже не смешно, что все запоминают их с такой легкостью. Уверен, вам и вашим сотрудникам тоже намного проще запомнить фразу из любимой песни или цитаты, нежели пароль «xYaQxrz!» (который, между прочим, является достаточно сложным и длинным, чтобы соответствовать нашим требованиям сложности пароля, и ненадежным, чтобы выдержать любые серьезные атаки программы LC5 (программа для аудита паролей), не говоря уже о радужных таблицах (используются для вскрытия паролей)). Такой пароль не выдержит атаки LC5, поэтому, на мой взгляд, бессмысленно использовать такого рода пароли, ведь это равносильно тому, что вы вообще не используете пароль.

3. Я осмелюсь сказать, что даже с самым продвинутым оборудованием у вас нет гарантий, что ваш пароль не взломают (помните, вам нужен пароль, который сможет противостоять атакам).

Операционная система Windows 2000 и другие улучшенные системы поддерживают пароли до 127 символов Юникода. Таким образом, данная поддержка паролей работает практически в любой существующей системе Windows. Однако у Реджи Бернетта есть некоторые сомнения.

Но кодовая фраза, скорее всего, содержит читаемые слова (иначе это не кодовая фраза) и, следовательно, она может быть подвержена атаке не на уровне букв, но на уровне слов. Согласно различным подсчетам, среднестатистический носитель языка (не суть важно, какого) знает около 20 000 слов, но использует только около 2 000. Так как пользователь использует слова, которые вошли в его активный словарный запас, мы можем с уверенностью сказать, что большинство кодовых фраз будут содержать одно из 5000 слов. И если ключевая фраза состоит из четырех слов, то наши возможности равняются 50004. Я не буду утруждать вас математическими подсчетами, и вы сами поймете, что у взломщика намного меньше возможностей взломать кодовую фразу, чем обычный пароль. Конечно, наличие нескольких слов повысит надежность пароля, но мы должны также отметить, поскольку атака происходит на уровне слова, то длина слов не имеет значения. Пароль «Подлые люди — это плохо!» будет настолько надежным, как и «Чрезвычайно важный пароль», так как все используемые слова являются простыми.

Рассматривая точку зрения Роберта, стоит отметить, что он полностью игнорирует прописные буквы и пунктуацию в выражении «Подлые люди — это плохо!». Я согласен, чтобы достигнуть максимальной надежности, фраза должна включать прописные буквы, знаки препинания и, возможно, даже цифры, если вы можете скомбинировать и запомнить все эти символы. Энди Джонс дополняет:

«Как я уже говорил, чего я только не повидал, будучи консультантом. До сих пор меня больше всего раздражают заблуждения относительно пароля. Чем безумнее сетевые администраторы (совет безопасности, руководство или те, кто устанавливают пароли), тем непонятнее пароли, и чаще всего их приходится изменять. Такие люди никак не поймут, что обычный сотрудник хочет просто делать свою работу и не может запомнить пароль Syz8 # K3!. Так что же делают сотрудники в такой ситуации? Они клеят самоклеющийся стикер на стол, полку, под клавиатуру или создают файл на рабочем столе под названием «passwords.txt». Некоторые сотрудники стараются быть креативными и пишут пароль на стикере в обратном порядке, но все же, если ваш пароль так трудно запомнить, что вы должны его выписывать, то разве он надежен? Большая часть сотрудников вынуждена тратить время на то, чтобы сбросить старый и установить новый пароль».

Кодовую фразу «это мой пароль, и он только для меня» гораздо легче запомнить, чем «Syz8 # К3!», а также она гораздо надежнее, и занимает почти одинаковое количество времени для ввода. Если вы хотите увеличить надежность пароля, то добавьте несколько цифр: «Мой адрес 1234 Гагаринская улица» или «номер Жанны — 867−5309». Да, я нарушил правила о неиспользовании личной информации в пароле, но помните, что 1) это просто примеры и 2) кодовая фраза выглядит по-другому. Пароль «Матвей», потому что это имя вашего сына, является не самым удачным, а вот пароль: «Имя моего старшего сына Матвей, и ему 10 лет» ‑ это хороший пароль.

Гораздо удобнее использовать кодовую фразу «Гагаринская улица», чем традиционные «надежные» пароли. Даже самые наивные ключевые фразы «это мой пароль» не так легко взломать, по крайней мере, сравнивая ее с эквивалентами, например, словом «пароль».

Очевидно, чем легче пароль для пользователя, тем сложнее он для хакеров. Я установил кодовые фразы во всех используемых мной системах, и думаю, вам и вашей компании пора сделать то же самое.