Настройка защиты паролей в ОС
Большинство из приведённых механизмов можно настроить на уровне ОС. Например, в Windows можно воспользоваться настройкой групповых политик (оснастка gpedit.msc для локального ПК или gpmc.msc для настройки групповых политик домена). Нажмите в ОС «Выполнить» и введите «gpedit.msc». Далее можно открыть редактор групповых политик:
В целом для усиления безопасности достаточно соблюдать ряд простых настроек.
Требования сложности пароля. Настройка реализуется по-разному, в ОС Windows всё достаточно понятно.
Обязательная регулярная смена пароля
Тут важно оценить, как часто необходимо менять пароль. Я рекомендую делать это чаще, чем можно подбирать пароль средствами брутфорса
В зависимости от алфавита такой срок может быть разным. В среднем это раз в три месяца для паролей, удовлетворяющих требованиям сложности в ОС Windows.
Ограничение числа ошибочных попыток ввода паролей. По достижению выбранного числа учётная запись блокируется. Это полезно для защиты от брутфорса. На скриншоте ниже такая политика не настроена, но вы видите, где это можно сделать:
Запрет использования ранее заданных паролей. Эта функция доступна в некоторых ОС, в частности в Windows. Для этого надо активировать соответствующую настройку:
Запрет использования одинаковых паролей для разных сервисов. Типичной является ситуация, при которой один и тот же пароль используется для разных сервисов. Это несёт серьёзную угрозу безопасности данных. Такое требование желательно вводить на уровне политики безопасности предприятия.
Атаки полного перебора
Почему требования именно такие? Причина в том, что они важны при оценке устойчивости пароля к атакам полного перебора. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому число возможных комбинаций пароля составляет 11881376 (26^5).
Кроме того, существует такое понятие, как энтропия пароля. Согласно википедии, информационная энтропия — мера неопределённости некоторой системы в статистической физике или теории информации. В нашем случае — это непредсказуемость появления какого-либо символа первичного алфавита. Для безопасности пароля учитывается т.н. «число бит энтропии» в пароле. Для «случайного пароля» — такого пароля, источником энтропии для которого служит генератор случайных чисел — число бит энтропии рассчитывается по формуле:
Где
- H – получаемая энтропия
- R – длина набора символов, используемая в качестве пароля (т.н. «алфавит» для пароля)
- L – число символов в пароле
- R^L – общее число возможных комбинаций пароля
Соответственно, возможно рассчитать ту длину пароля, которая будет при определённом значении энтропии:
Рассмотрим это на примере. Допустим, мы используем в качестве пароля слово «admin». Возможный алфавит для такого пароля состоит только из букв нижнего регистра, которых в алфавите 26. Длина самого пароля составляет 5 символов, поэтому энтропия для такого пароля будет составлять:
Таким образом, энтропия пароля «admin» составляет примерно 24 бит. А число возможных комбинаций для пароля длиной 5 символов из алфавита длиной 26 символов, как мы уже подсчитали, равно 11881376.
Тут надо понимать, что злоумышленнику не нужно подбирать все 11881376 вариантов. Пароль может подойти уже на второй, третьей попытке или не подойти вовсе (если начать перебор с середины возможных комбинаций). Именно поэтому для оценки сложности паролей оперируют понятием энтропии.
Энтропия при этом анализируется следующим образом: чтобы методом полного перебора найти пароль с энтропией в 24 бита, необходимо создать 2^24 паролей и попытаться использовать их при брутфорсе — один из 2^24 паролей окажется правильным.
Теперь рассмотрим обратный пример. Какая длина пароля обеспечит нам энтропию в 24 бит при использовании символов английского алфавита в нижнем регистре (длина алфавита – 26 символов)?
Если бы всё зависело только от энтропии… но при работе с паролями приходится учитывать ещё целый ряд дополнительных факторов.
RoboForm
После установки на компьютер с Windows 10, 8 или Windows 7, Roboform устанавливает как расширение в браузере (на скриншоте выше — пример из Google Chrome), так и программу на компьютере, с помощь которой можно управлять сохраненными паролями и другими данными (защищенными закладками, заметками, контактами, данными приложений). Также фоновый процесс RoboForm на компьютере определяет, когда вы вводите пароли не в браузерах, а в программах и также предлагает сохранить их.
Как и в других аналогичных программах, в RoboForm доступны дополнительные функции, такие как генератор паролей, аудит (проверка безопасности), организация данных по папкам. Скачать Roboform можно бесплатно с официального сайта https://www.roboform.com/ru
Как выбрать пароль?
Начать хочу с самого элементарного, а именно c выбора паролей. Так уж сложилось, что в мире информационных технологий вся конфиденциальность работает исключительно на авторизованном доступе. Иными словами, чтобы защитить какие-то данные, которые мы храним в сети, нам необходимо установить барьер доступа, ограниченный логином и паролем.
Поэтому, если вы являетесь активным пользователем интернета, то приготовьтесь к тому, что вам придется пользоваться огромным множеством паролей, которые нужно не только придумать и создать, но еще и запомнить. Что же касается качества конфиденциальности и защиты вашей персональной информации, то здесь все зависит от того, какие пароли вы зададите и где они будут храниться.
Список рекомендаций
Я предлагаю вам некоторые рекомендации, следование которым позволит повысить вашу информационную безопасность в сети интернет:
Создавайте только уникальные пароли;
Позаботьтесь о сложности пароля, который будет трудно угадать, но при этом легко запомнить;
Помните, что от длины пароля зависит его надежность: чем больше символов он будет содержать, тем лучше. Идеальным считается размер в пределах 12-16 знаков;
В составе пароля должны быть не только строчные и прописные буквы, но и небуквенные символы (то есть, вам нужно добавить к нему еще и цифры, и знаки пунктуации, и специальные символы). Пример: inv^34 (&^estor9);
Не используйте в качестве пароля ряд букв, идущих в алфавитном порядке или обратном ему. То же самое касается и чисел;
Не создавайте пароль в виде слова
Неважно, на каком языке оно написано
Кстати, пароли из русских слов, которые набраны английскими буквами, тоже не годятся на роль надежной защиты личных данных;
Обратите внимание на наличие в пароле двух и больше знаков, которые расположены на клавиатуре рядом друг с другом в горизонтальном, вертикальном или диагональном ряде. Если таковые имеются, смените пароль, разбавив эти блоки;
Не записывайте пароли ни на бумаге, ни на компьютере
Если же вы все-таки чувствуете такую необходимость, спрячьте запись в очень надежное место, где ее никто не найдет;
Не пользуйтесь паролем несколько раз
Если ваш защитный код был дискредитирован, придумайте новый, а не восстанавливайте старый;
Не используйте в качестве основы пароля бессмысленные, но при этом легко угадываемые комбинации символов;
Откажитесь от пароля в виде непристойных слов. Статистика показывает, что при угадывании защитного кода именно эти слова проверяются в первую очередь;
Постарайтесь сделать пароль легким для вашего запоминания, чтобы устранить необходимость его записывания;
Хорошим вариантом защитного кода может быть набор из двух слов, разделенных цифрами или знаками препинания;
Чтобы у вас не возникло проблем с запоминанием шифра, отдавайте предпочтение легко произносимым паролям;
Не задавайте в качестве пароля входное имя, имя человека или название места, номера телефона, марки авто или какую-то знаменательную дату (особенно дату рождения);
Раз в полгода меняйте старый пароль;
Постарайтесь составить пароль таким образом, чтобы вы могли не глядя набирать его на клавиатуре. Таким образом, вы предотвратите риск того, что ваш код кто-то подсмотрит;
Если по какой-то причине вам пришлось сообщить свой пароль коллеге или знакомому, при первой же возможности смените его
Такие меры предосторожности позволят избавиться от возникновения лишних проблем;
Не набирайте пароль, если за вашей спиной кто-то стоит;
Не пользуйтесь одним и тем же защитным кодом для разных целей. Позаботьтесь о том, чтобы у вашего компьютера, почтового ящика, социальной сети и так далее были свои индивидуальные шифры;
Для обеспечения надежности паролю, попробуйте создать его на основе необычного словосочетания, намеренно допустив при его написании ошибку;
Считается, что хороший пароль может быть составлен из легко запоминающихся фраз, из которых удалены определенные буквы;
Не подвергайте свои персональные данные угрозам со стороны взломщиков, прописывая секретные вопросы вроде «девичьей фамилии матери» или «клички домашнего животного»
Если же вы все таки выбираете этот вопрос, то в ответе напишите нелогичный ответ. Например кличка животного — «строительство дачи»;
Пользуйтесь профессиональными генераторами паролей.
Об аккаунтах в проектах
К огромному сожалению, довольно часто информацию о вашей почте, телефонах отображается, когда под вами регистрируются рефы. Этим не брезгуют воспользоваться мошенники, которые стремятся украсть ваш аккаунт. Довольно часто они обращаются в службы поддержки, куда заявляют о том, что потеряли пароль от аккаунта в проекте и в почте, а потому очень просят сменить адрес почты в вашем личном кабинете. Более того, они утверждают еще и о том, что телефон каким-то волшебным образом появился в вашем аккаунте «сам по себе», и они его не указывали.
Чтобы своевременно узнать от администрации проекта о возможном взломе, постарайтесь указать при регистрации в проекте все свои контакты, по которым с вами смогут быстро связаться.
Как используется пароль в ходе идентификации и аутентификации
Для начала определимся с понятиями.
Под идентификацией, согласно Википедии, понимается процедура, в результате которой для субъекта идентификации выявляется его идентификатор, однозначно идентифицирующий этого субъекта в информационной системе. Таким образом, субъект — это тот, кто проходит идентификацию в системе.
Во время идентификации субъект предъявляет свой идентификатор, а система проверяет, есть ли такой идентификатор в системе. Если идентификатор в системе есть, субъект проходит идентификацию. Далее следует аутентификация — проверка того, принадлежит ли субъекту доступа предъявленный им идентификатор.
Ближайшим аналогом такой процедуры является предъявление пропуска на входе в вуз. В этом случае пропуск (а если точнее, данные, указанные в пропуске) выступает в роли идентификатора. Не предъявишь пропуск — не пройдёшь идентификацию и тебя не пустят на территорию вуза. При этом у устройства (или охранника), которое проверяет пропуск, есть некая условная база идентификаторов. Когда субъект предъявляет свой идентификатор то система проверяет, есть ли такой идентификатор в базе. А иногда и то, для какого субъекта он задан. Если ответ на этот вопрос является положительным (идентификатор есть в базе), то устройство пропускает субъекта, если нет — то не пропускает.
В рамках этой статьи мы не будем подробно разбирать вопросы, связанные с идентификацией, аутентификацией и авторизацией. Скажу лишь что проводимая проверка подлинности может быть односторонней или взаимной – клиент также может проверить сервер как сервер клиента. Кроме того, согласно ГОСТ Р ИСО/МЭК 27000-2012 аутентификация – это в первую очередь обеспечение гарантии того, что заявленные характеристики объекта являются подлинными. А подлинность — свойство, указывающее, что объект представляет собой то, что он заявляет о себе.
Типичным идентификатором, как правило, является пароль. При этом считается, что пароль может знать только определённый субъект и отсюда растут ноги у всех проблем парольной защиты – пароль можно перехватить, подобрать, пароль может совпадать с именем пользователя, пароль может быть простым и т.п.
Поэтому рассмотрим некоторые требования безопасности, применяемые к паролям и средствам парольной защиты.
Хранение паролей
По вышеописанной схеме можно создать пароли для нескольких сервисов. Но риск забыть один из них повышается, особенно, если каким-то сервисом вы начнете пользоваться реже. Поэтому мы рекомендуем использовать специальные программы для их хранения: менеджеры паролей.
Менеджер паролей — это специальная программа, которая шифрует ваши электронные ключи в специальном файле-хранилище. Пользуясь такой программой, вам необходимо будет помнить лишь один главный мастер-пароль от хранилища. И, конечно, бережно хранить этот файл, скопировав на разные устройства на случай поломки или потери одного из них. Отныне это будет самым важным для вас файлом.
В качестве примера программы для хранения паролей используем KeePassX.
Скачать эту программу можно на официальном сайте. Аналоги для мобильных устройств можно найти в соответствующих магазинах приложений (Google Play или App Store) при поиске по запросу «KeePass».
Открыв программу, создаете новое хранилище через меню.
Далее программа попросит ввести придуманный вами мастер-пароль, которым вы и будете открывать хранилище.
Нажав в верхнем меню на иконку ключа с зеленой стрелкой, вы можете добавить или создать новый пароль для какого-либо вашего сервиса. Программа имеет встроенный генератор паролей: для его использования нажмите на кнопку «Генеральный».
Создав надежный ключ, вам не надо его запоминать. Для входа в нужный вам сервис его нужно будет копировать из этого хранилища.
Время хранения пароля в буфере обмена ограничено 10 секундами. В настройках этот параметр можно изменить.
Что удобно, программа позволяет хранить не только пароли, а вообще любые ценные и тяжело запоминающиеся текстовые данные. После того, как все изменения внесены, не забудьте сохранить файл хранилища и скопировать его новую версию на основные устройства.
В следующей инструкции мы расскажем о воровстве паролей — фишинге — и о том, как от него защититься.
Каким образом пользователь может обеспечить свою кибербезопасность?
— Возросшие количество взломов и значимость безопасности в интернете выработали свод правил, которыми следует пользоваться. Например, нужно приучить себя создавать сложные комбинации паролей, однако, к сожалению, не все могут их запомнить. Тут на помощь пользователей браузеров приходят функция сохранения паролей и форм при регистрации, а также механизм единого хранения этой связки паролей, привязанный к учётной записи браузера или операционной системы. Существуют и специальные программы, расширения для браузеров, которые сохраняют пароли в зашифрованном виде. Они либо «подставляют» нужные комбинации в зависимости от сайта, либо пользователь копирует их вручную. Также некоторые антивирусные комплекты содержат программное обеспечение, позволяющее сохранить пароли, — таким образом разработчики сами заботятся о вашей кибербезопасности.
К примеру, браузер Google Chrome предупреждает пользователей, если ваши пароли были как-то скомпрометированы: если вы их вводили на сайтах, которые были взломаны, или на поддельных сайтах, в названии которого была изменена одна буква. Пароли, сохранённые в учётной записи Google, можно посмотреть здесь. Там же есть ссылки на проведение аудита паролей и вашей безопасности, — пояснил Валерий Пазюк.
Почему же всё-таки слабые пароли могут сыграть злую шутку и к чему приведёт их бездумное сохранение для автозаполнения на различных сайтах?
— Пароль — ваш ключ. Ключ от вашего дома, от офиса, от сейфа с деньгами, от транспорта. Вы же в реальной жизни не используете один ключ для всех дверей и замков, чтобы было удобно? Нет, вы понимаете, что у каждой замочной скважины свой механизм. А оставляете ли вы свои ключи на лавке в парке или в магазине? Можете просто подойти к случайному прохожему, протянуть связку ключей со словами «подержите, пожалуйста» и отвернуться? И снова нет. Такая аналогия наглядно доказывает, что один пароль для всех сайтов — затея неудачная. Если ваш пароль станет известным злоумышленнику, а вы это заметите и замените его на одной сайте, проблемы на этом не за кончатся. Всё равно останется целый фронт атак на вас, потому что вряд ли вы не успеете сменить пароль на остальных сайтах.
Сейчас, когда регистрируешься на различных сайтах, форма регистрации старается помочь вам, оповестив, что ваш пароль слабый. Она предложит усилить его, добавив буквы в разном регистре, знаки препинания и цифры. Чем больше таких приёмов вы используете при составлении паролей, тем лучше. Так специальным программам будет труднее их перебрать: как с помощью простого перебора символов, так и с помощью словарей — готового списка распространённых паролей или слов.
Требования к безопасности пароля и энтропия
Даже такой требовательный стандарт безопасности как PCI DSS (стандарт безопасности данных индустрии платёжных карт) предъявляет к пассворду всего два требования:
- Наличие в пароле и цифр, и букв.
- Длина — не менее семи символов.
Зато к системе использования пароля требования значительно больше, например:
- Менять пароли и (или) парольные фразы пользователей, как минимум, один раз в 90 дней.
- Не использовать групповые, общие и стандартные учётные записи и пароли.
В Windows, в групповых политиках паролей можно включить соответствие паролей требованиям сложности:
Если поставить галочку, система будет проверять, что ваши пароли:
- Не содержат имени учётной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.
- Имеют длину не менее 6 знаков.
- Содержать знаки трёх из четырёх категорий (т.н. «алфавит» пароля): латинские заглавные буквы (от A до Z), латинские строчные буквы (от a до z), цифры (от 0 до 9) и отличающиеся от букв и цифр знаки (например !, $, #, %)
- Требования сложности применяются при создании или изменении пароля.
Все остальные требования применяются к процедурам, которые будут обрабатывать пароль, например к сроку хранения пароля.
Делаем работу в интернете безопасной
Для пользователей, у которых основной источник заработка связан с работой в сети интернет, актуальным будет приобретение отдельного персонального ноутбука, который будет использоваться в рабочих целях. Вы наверняка спросите, почему для этого не годится стационарный ПК. Все дело в мобильности вашего инструмента: во все свои поездки вы без проблем сможете взять ноутбук, он может быть с вами в самолете и в поезде, в машине и на работе.
Что касается планшета, его возможности меньше, этот девайс можно рассматривать как походный вариант, чтобы быть в курсе новостей и, при необходимости, отвечать на важные письма и сообщения. Отсутствие качественного софта, клавиатуры и мыши делает данный компьютер малофункциональным в рабочем плане.
Предлагаю вам познакомиться с пособием по безопасности компьютерных сетей, которое позволит защитить всю вашу персональную информацию. Начать стоит с того, что вам придется максимально сократить «свечение» данных банковской карты. Если же вам все-таки не обойтись без платежа, проводите его только на «чистом» компьютере.
Доступ в интернет
Позаботьтесь о том, чтобы дома был доступ с динамическим IP-адресом, который будет меняться всякий раз, как вы решите перезагрузить роутер или модем. Другой вариант использовать впн подключение для улучшения своей анонимности в сети.
Для тех, кто все еще занимается работой в офисе, где есть возможность выходить в интернет, я очень советую приобрести 3G, а лучше — 4G-модем. В противном случае, использование корпоративной сети приведет к тому, что вы не только спалите себя системному админу организации, но и проведете все свои данные через общий IP, что вряд ли можно назвать разумным решением.
Если вы планируете путешествовать в пределах Российской Федерации, то вам будет вполне достаточно обычного 3G-модема с тарифным планом без роуминга. Найти такие вы сможете и у МТС, и у Билайн. Если же в планах есть заграничные поездки, то тут вам придется приобрести телефон, который умеет раздавать 3G-4G и Wi-Fi.
Резервное копирование
Очень советую продублировать всю важную информацию на трех флешках и внешнем жестком диске. Ни для каких других целей, кроме копирования ваших персональных данных, эти накопители не могут быть использованы.
- один вы будете использовать для публичного общения;
- второй будет подвязан к форумам и социальным сетям;
- третий будет создан для проектов инвестирования;
- а четвертый вы будете использовать только в платежных системах.
Сразу хочу обратить ваше внимание на то, что ящики должны быть на базе gmail.com (то есть создаваться в гугле). Обо всех прочих почтовых системах забудьте
О безопасности браузеров
Мы перешли к одной из важнейших частей данной статьи, а потому прошу вас быть предельно сконцентрированными и сосредоточенными. Поскольку все сайты мы просматриваем именно при помощи браузеров, я очень советую установить на ваш компьютер их все. После этого вы должны будете распределить между ними свою работу:
- в одних будут производиться операции, связанные с финансами;
- в других вы будете регулярно чистить куки и регистрироваться в разных проектах;
- третьи же будет использованы для серфинга, постинга на блогах и форумах.
Кроме этого, оставьте «в загашнике» Мозиллу и Оперу, а от интернет-динозавра в лице Internet Explorer – откажитесь вовсе.
Добавление ссылок в избранное
Не забывайте о том, что многие злоумышленники очень любят заниматься подделкой адресов проектов, которые связаны с заработком, и всеми возможными способами «завлекать» к переходам по этим ссылкам других пользователей. Чтобы ваша репутация не была подпорчена, рекомендую отправить ссылки всех проектов в категорию «Избранное», а в Хроме даже создать отдельные папки.
Как создать безопасный пароль
Большинство требований безопасности относится, скорее, к процедурам идентификации и аутентификации, однако по отношению к парольной защите можно выделить следующие:
- Проверяйте пароли на сложность с учётом энтропии. У хорошего пароля энтропия должна быть не меньше 80 бит, а лучше больше. Для оценки эффективности энтропии можно использовать сайт Passwordstrengthcalculator.com или сервис Ae7.s, где пароль можно также сгенерировать.
- Старайтесь соблюсти баланс между сложностью запоминания пароля, его длиной, алфавитом и энтропией.
- Можно проверить пароли на утечку — не встречался ли пароль в БД, которые были использованы для взлома. Это можно сделать при помощи сервиса Haveibeenpwned.com
- Если вы планируете разработку веб-сервиса и в этом сервисе предусматривается идентификация по паролю, то можно использовать возможности библиотеки zxcvbn. Эта довольно полезная библиотека позволяет оценить «безопасность» задаваемых паролей. Однако не стоит использовать особенности работы подобных утилит как критерий абсолютной истины. Доступна демоверсия.
Основа безопасности — это всегда хорошая политика. Требования к такой политике бывают разные, но почти всегда они где-нибудь описаны. Типичный пример — стандарт PCI DSS. Такие стандарты можно использовать как критерии для настройки конкретных параметров — например в ОС Windows. Примерный сценарий (с поправкой на возраст статьи :)) рассмотрен на сайте стандарта.
Хотите узнать больше о безопасности информационных систем? А может даже найти работу в этой сфере? Тогда приглашаем вас на факультет информационной безопасности GeekUniversity!
Самоизоляция заканчивается — самое время освоить новую профессию, чтобы начать карьеру мечты и уверенно смотреть в будущее! Мы хотим помочь вам и до 29 июня 2020 г. дарим скидку 40% почти на все программы обучения GeekBrains. Будьте здоровы и успешны!
Принципы создания надежного пароля
Прежде чем перейти к одному из способов создания сложного пароля, важно запомнить наиболее важные принципы, которыми стоит руководствоваться
- Будьте сложнее. Любые пароли, представляющие из себя простое слово, популярную фразу или простую последовательность цифр — быстро подбираются специальными программами. А если недоброжелатель может выяснить из сети или государственных баз данных информацию о вас, то использование в качестве пароля даты рождения вас или ваших родственников, их фамилий (в т.ч. девичьих), номеров телефонов и прочей доступной информации — небезопасно.
- Размер имеет значение. Для подбора паролей некоторые взломщики могут использовать большие компьютерные мощности. Время на подбор короткого пароля (6-8 символов) уйдет очень небольшое. Но если пароль состоит из более чем 14 символов — на его подбор могут понадобиться годы, что сделает такую задачу бессмысленной.
- Один пароль — один сервис. Нельзя использовать один пароль одновременно для двух соцсетей, почты и любимого форума. Иначе кража этого пароля на одном из сервисов будет значить взлом всех остальных.
- Легко запоминается, надежно хранится. Смысла в пароле, который вы забудете, будет не много. Записывать его на бумажку очень ненадежно: вам легко потерять, другим легко найти. Поэтому лучше иметь один «главный» мастер-пароль. Его лучше использовать для входа в программу хранения паролей, где вы будете хранить все остальные ключи от ваших соцсетей и сервисов.
Осторожность никогда не бывает лишней
Если вы получили спам-рассылку, содержащую какие-либо ссылки, сразу же удаляйте письмо, а спамера отправляйте в бан. В любом виде спам остается злом и нарушает наши моральные права на неприкосновенность личноого пространства.
Позаботьтесь о том, чтобы в кругу вашего общения было несколько рефоводов – бывалых партнеров по знакомствам. Все консультации проводите, в первую очередь, с ними. От них же принимайте новые проекты.
Всякий раз, как к вам будет добавляться новый пользователь в скайпе, сразу же уточняйте цель его добавления. Если в течение первого часа вам не отвечают, смело удаляйте этот контакт. Если ответ пришел в виде спама, то к удалению добавьте еще и блокировку. Если вам начинают предлагать какие-то проекты, просто говорите о том, что у вас есть свои собственные, проверенные поставщики. Ну а если же речь в разговоре зайдет об обмене проектами и опытом – заводите новое знакомство!
Что касается передачи файлов в skype, то принимайте их только от своих проверенных реферов или партнеров и только после того, как вы выясните у них, что это такое.
Другие типы атак
Во-первых, пароль можно подобрать по словарю. В этом случае нельзя оперировать понятием энтропии пароля как мерой безопасности — не будет использован брутфорс отдельных символов. К примеру, есть пароль «password@123». Энтропия такого пароля будет довольно-таки большой (72.5 бита). Однако такой пароль довольно часто используется и поэтому периодически попадает в базы слитых паролей — 4263 раза.
Во-вторых, нельзя заранее сказать, какой алфавит использовался для создания пароля, что затрудняет использование энтропии для оценки устойчивости пароля к брутфорсу. Например, в качестве алфавита для пароля «password» вполне можно использовать набор символов ASCII, что существенно поднимает энтропию пароля. Кроме того, при увеличении длины пароля растёт и его энтропия, например, энтропия пароля «-B:Sr%7w» составляет 52.4 бита а пароля «dLgIRSpti» — 51.3 бита. Из этого следует, что хоть первый пароль примерно в два раза сложнее второго, второй проще запомнить, хотя для него использовался более простой алфавит.
В-третьих, в качестве источника для энтропии должен использоваться надежный генератор случайных чисел. Можете почитать довольно полный обзор того, что используется в качестве источника для энтропии.
Учитывая эти факторы, злоумышленник обычно пытается найти слабости в алгоритме идентификации и аутентификации, а не в пароле. Навскидку:
- Пароль может быть достаточно сложным с точки зрения энтропии, но встречаться в словаре. Таких словарей даже в открытом доступе существует довольно много. Кроме того, можно проверить пароль на сайте Haveibeenpwned.com — встречался ли он в утечках данных.
- Сам механизм идентификации (и аутентификации — если смотреть шире) может быть построен таким образом, что будет иметь слабости в реализации. Типичный пример — отсутствие блокировки субъекта если он более нескольких раз ввел пароль.
- Слабости криптографического алгоритма генерации ключей (или случайных чисел, лежащих в основе ключей). Пример — атаки на протокол WPS, слабость аппаратной реализации алгоритма шифрования, уязвимости понижающие криптостойкость алгоритма шифрования (хэширования) и т. п.
- Отсутствие «соли» (дополнительной случайной строки) при хранении пароля — хэш соответствует паролю. На Internet-technologies.ru есть гайд по этой теме.
По этим причинам большинство технологий идентификации и аутентификации зависят не только от параметров паролей, но и от организации самого процесса. К примеру, вот некоторые требования из стандарта PCI DSS 3.2, которые относятся к безопасности процедур, затрагиваемых паролями:
- Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.
- Удалять все учётные записи разработчиков, тестовые учётные записи и/или учётные записи заказного приложения, идентификаторы пользователей и пароли перед передачей ПО заказчикам или переводом его в производственный режим.
- Управлять уязвимостями, в частности убрать уязвимость «Некорректная обработка ошибок».
Кроме того, в этом же стандарте есть такие требования: «Идентифицировать и аутентифицировать доступ к системным компонентам». В них в частности входят:
- Блокировать идентификатор пользователя не более чем после шести неудачных попыток входа подряд.
- Менять пароли и/или парольные фразы пользователей как минимум один раз в 90 дней.
- Запретить пользователю менять пароль и/или парольную фразу на какие-либо из четырёх последних паролей и/или парольных фраз данного пользователя, использованных им ранее.
- Не использовать групповые, общие и стандартные учётные записи и пароли, а также прочие подобные методы аутентификации.
В заключение
y http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>le=»text-align: justify;»>В качестве лучших, субъективно, я бы выбрал следующие решения:
- KeePass Password Safe, при условии, что вам требуется именно хранение важных учетных данных, а такие вещи как автоматическое заполнение форм или сохранение паролей из браузера — необязательно. Да, автоматической синхронизации нет (но можно перенести базу вручную), зато поддерживаются все основные операционные системы, базу с паролями практически нельзя взломать, само хранение, хоть и простое, но организовано очень удобно. И все это бесплатно и без регистрации.
- LastPass, 1Password или RoboForm (причем, несмотря на то, что LastPass популярнее, мне RoboForm и 1Password понравились больше), если синхронизация нужна и вы готовы за нее платить.
Используете ли вы менеджеры паролей? И, если да, то какие?
А вдруг и это будет интересно: