13:05 Надежность Пароля | |
| Надежность пароля - это мера эффективности пароля против угадывания или взлома . В своей обычной форме он оценивает, сколько попыток злоумышленнику, не имеющему прямого доступа к паролю, в среднем потребуется, чтобы правильно его угадать. Надежность пароля зависит от длины, сложности и непредсказуемости. Использование надежных паролей снижает общий риск взлома безопасности, но надежные пароли не заменяют необходимость других эффективных мер безопасности . Эффективность пароля определенной силы в значительной степени определяется дизайном и реализацией факторов (знания, владение, наследственность). Первый фактор - основное внимание в этой статье. Скорость, с которой злоумышленник может отправлять угаданные пароли в систему, является ключевым фактором при определении безопасности системы. Некоторые системы устанавливают время ожидания в несколько секунд после небольшого числа (например, трех) неудачных попыток ввода пароля. В отсутствие других уязвимостей такие системы могут быть эффективно защищены с помощью относительно простых паролей. Однако система должна хранить информацию о паролях пользователей в некоторой форме, и если эта информация будет украдена, скажем, из-за нарушения безопасности системы, пароли пользователей могут оказаться под угрозой. Пароли создаются либо автоматически (с использованием рандомизирующего оборудования), либо человеком; последний случай более распространен. Несмотря на то, что сила произвольно выбранных паролей против атаки методом перебора может быть точно рассчитана, определение надежности паролей, созданных человеком, является сложной задачей. Обычно людей просят выбрать пароль, иногда руководствуясь предложениями или ограничиваясь набором правил, при создании новой учетной записи для компьютерной системы или веб-сайта в Интернете. Возможны только приблизительные оценки силы, так как люди склонны следовать шаблонам в таких задачах, и эти шаблоны обычно могут помочь атакующему. [3]Кроме того, списки часто выбираемых паролей широко доступны для использования программами угадывания паролей. Такие списки включают многочисленные онлайн-словари для различных человеческих языков, взломанные базы данных открытого текста и хэшированные пароли от различных онлайн-аккаунтов для бизнеса и социальных сетей, а также другие распространенные пароли. Все элементы в таких списках считаются слабыми, равно как и пароли, которые являются их простой модификацией. В течение нескольких десятилетий исследования паролей в многопользовательских компьютерных системах показали, что 40% или болеелегко угадывается с использованием только компьютерных программ, и больше можно найти, если во время атаки учитывается информация об определенном пользователе. Системы, которые используют пароли для аутентификации, должны иметь возможность проверить любой введенный пароль для получения доступа. Если действительные пароли просто хранятся в системном файле или базе данных, злоумышленник, получивший достаточный доступ к системе, получит все пароли пользователей, предоставив злоумышленнику доступ ко всем учетным записям в атакуемой системе и, возможно, в других системах, где пользователи используют те же или похожие пароли. Один из способов уменьшить этот риск - хранить только криптографический хеш каждого пароля вместо самого пароля. Стандартные криптографические хеши, такие как алгоритм Secure Hash(SHA) очень трудно перевернуть, поэтому злоумышленник, получивший хеш-значение, не может восстановить пароль напрямую. Однако знание значения хеш-функции позволяет злоумышленнику быстро проверить догадки в автономном режиме. Широко доступны программы для взлома паролей , которые будут проверять большое количество пробных паролей на предмет вымышленного криптографического хэша. Усовершенствования в вычислительной технике продолжают увеличивать скорость, с которой могут быть проверены угаданные пароли. Например, в 2010 году Институт технических исследований штата Джорджия разработал метод использования GPGPU для гораздо более быстрого взлома паролей. Elcomsoft изобрел использование общих графических карт для более быстрого восстановления пароля в августе 2007 года и вскоре подал соответствующий патент в США. К 2011 году стали доступны коммерческие продукты, которые заявили о своей способности тестировать до 112 000 паролей в секунду на стандартном настольном компьютере, используя для этого высококлассный графический процессор. Такое устройство взломает 6-значный пароль в одном регистре за один день. Обратите внимание, что работа может быть распределена по многим компьютерам для дополнительного ускорения, пропорционального количеству доступных компьютеров с сопоставимыми графическими процессорами. Доступны специальные хеши растяжения ключей, которые вычисляются относительно долго, что снижает скорость, с которой можно угадывать. Хотя считается, что рекомендуется использовать растягивание клавиш, многие распространенные системы этого не делают. Другая ситуация, когда возможно быстрое угадывание, - это когда пароль используется для формирования криптографического ключа . В таких случаях злоумышленник может быстро проверить, успешно ли угаданный пароль декодирует зашифрованные данные. Например, один коммерческий продукт утверждает, что тестирует 103 000 паролей WPA PSK в секунду. Если система паролей хранит только хэш пароля, злоумышленник может предварительно вычислить значения хэша для вариантов общих паролей и для всех паролей короче определенной длины, что позволяет очень быстро восстановить пароль после получения его хэша. Очень длинные списки предварительно вычисленных хэшей паролей могут быть эффективно сохранены с использованием радужных таблиц . Этот метод атаки может быть сорван путем хранения случайного значения, называемого криптографической сольювместе с хешем. Соль объединяется с паролем при вычислении хэша, поэтому злоумышленник, предварительно вычисляющий радужную таблицу, должен будет хранить для каждого пароля свой хеш со всеми возможными значениями соли. Это становится невозможным, если соль имеет достаточно большой диапазон, скажем, 32-битное число. К сожалению, многие широко используемые системы аутентификации не используют соли и радужные таблицы доступны в Интернете для нескольких таких систем. В компьютерной индустрии обычно определяют надежность пароля в терминах информационной энтропии, которая измеряется в битах и является понятием из теории информации . Вместо числа предположений, необходимых для уверенного поиска пароля, дается логарифм base-2 для этого числа, который обычно называют количеством «энтропийных битов» в пароле, хотя это не совсем то же самое количество. как информационная энтропия. Пароль с вычисленной таким образом энтропией в 42 бита будет столь же надежным, как и строка из 42 битов, выбранная случайным образом, например, при правильном подбрасывании монеты . Иными словами, пароль с энтропией в 42 бита потребует 2 42(4,398,046,511,104) пытается исчерпать все возможности во время поиска грубой силы . Таким образом, при увеличении энтропии пароля на один бит количество предполагаемых ответов удваивается, что усложняет задачу атакующего вдвое. В среднем злоумышленнику придется попробовать половину возможного количества паролей, прежде чем найти правильный Случайные пароли состоят из строки символов определенной длины, взятой из некоторого набора символов с использованием процесса случайного выбора, в котором каждый символ с равной вероятностью будет выбран. Символами могут быть отдельные символы из набора символов (например, набор символов ASCII ), слоги, предназначенные для формирования произносимых паролей, или даже слова из списка слов (таким образом, образуя фразу-пароль ). Надежность случайных паролей зависит от фактической энтропии основного генератора чисел; однако, они часто не совсем случайные, а псевдослучайные. Многие общедоступные генераторы паролей используют генераторы случайных чисел, найденные в библиотеках программирования, которые предлагают ограниченную энтропию. Однако большинство современных операционных систем предлагают криптографически надежные генераторы случайных чисел, которые подходят для генерации пароля. Также можно использовать обычные кости для генерации случайных паролей. Смотрите более сильные методы . Программы с произвольным паролем часто имеют возможность гарантировать, что полученный пароль соответствует локальной политике паролей ; например, всегда создавая смесь букв, цифр и специальных символов. Для получения паролей , генерируемых с помощью процесса , который случайным образом выбирает строку символов длины, L , из набора N возможных символов, число возможных паролей может быть найдено путем увеличения числа символов к мощности L , т.е. N L . Увеличение L или N усилит сгенерированный пароль. Надежность случайного пароля, измеряемая информационной энтропией, составляет всего лишь логарифм base-2 или log 2 от числа возможных паролей, при условии, что каждый символ в пароле создается независимо. Таким образом, информационная энтропия случайного пароля, H, дается формулой {\ displaystyle H = \ log _ {2} N ^ {L} = L \ log _ {2} N = L {\ log N \ over \ log 2}} где N - количество возможных символов, а L - количество символов в пароле. H измеряется в битах . В последнем выражении, журнал может быть любым основанием . Люди, как известно, не способны достичь достаточной энтропии для создания удовлетворительных паролей. Согласно одному исследованию, в котором участвовало полмиллиона пользователей, средняя энтропия пароля оценивалась в 40,54 бита. Некоторые сценические фокусники используют эту неспособность для развлечения незначительным образом, предсказывая предполагаемые случайные выборы (скажем, чисел), сделанные членами аудитории. Таким образом, в одном анализе более 3 миллионов восьмисимвольных паролей буква «е» использовалась более 1,5 миллиона раз, а буква «f» использовалась только 250 000 раз. Равномерное распределение имело бы каждый символ , который используется около 900000 раз. Наиболее часто используемое число - «1», тогда как наиболее распространенными являются буквы a, e, o и r Рекомендации по выбору хороших паролей, как правило, предназначены для того, чтобы сделать пароли труднее обнаружить с помощью интеллектуальных предположений. Общие руководящие принципы, отстаиваемые сторонниками безопасности программных систем, включают: Используйте минимальную длину пароля 8 или более символов, если это разрешено. Включите строчные и прописные буквенные символы, цифры и символы, если это разрешено. Генерация паролей случайным образом, где это возможно. Избегайте использования одного и того же пароля дважды (например, для нескольких учетных записей пользователей и / или программных систем). Избегайте повторения символов, раскладок клавиатуры, словарных слов, буквенных или числовых последовательностей, имен пользователей, имен родственников или домашних животных, романтических ссылок (текущих или прошлых) и биографических данных (например, идентификационных номеров, имен или дат предков). Избегайте использования информации, которая является или может стать публично связанной с пользователем или учетной записью. Избегайте использования информации, которую коллеги и / или знакомые пользователя могут знать о том, что они связаны с пользователем. Не используйте пароли, которые состоят полностью из какой-либо простой комбинации вышеупомянутых слабых компонентов. Некоторые руководящие принципы не рекомендуют записывать пароли, в то время как другие, отмечая большое количество защищенных паролем систем, которые пользователи должны получить доступ, рекомендуют записывать пароли, пока списки записанных паролей хранятся в безопасном месте, не подключены к монитору или не разблокированы. ящик стола. NCSC рекомендует использовать Менеджер паролей | |
|
| |
| Всього коментарів: 0 | |