id: Гость   вход   регистрация
текущее время 12:46 29/03/2020
Владелец: SATtva (создано 14/09/2006 22:50), редакция от 14/08/2013 20:24 (автор: ytreq) Печать
Категории: инфобезопасность, сайт проекта, руководства, разграничение доступа
создать
просмотр
редакции
ссылки

Выбор и защита паролей


Пароли — это общепринятая форма аутентификации, которая, зачастую, оказывается единственным препятствием, отделяющим злоумышленника от вашей личной информации. Существует ряд программ, которые могут помочь взломщику в подборе пароля, но создавая хорошие пароли и надёжно их храня, вы сделаете его задачу более трудной.

Зачем вам пароль?


Вспомните о том количестве PIN-кодов, паролей и парольных фраз, что ежедневно используете для получения наличных из банкомата, оплаты покупок дебетной картой, запуска компьютера и доступа к электронной почте, авторизации в онлайн-магазине или банке... список можно продолжать и продолжать. Порой человек испытывает дискомфорт от необходимости держать в голове всё это множество комбинаций цифр, букв и слов и задумывается: а стоят ли того эти хлопоты и нервотрёпка? В конце концов, какой дурак станет интересоваться вашим личным почтовым ящиком или практически пустым банковским счётом, когда есть много других с куда большими суммами денег? Но, зачастую, атака может быть нацелена не конкретно на ваш личный счёт, а на получение доступа к вашим личным данным и их использование для совершения более масштабной атаки. Да, взлом вашего почтового ящика может представляться не более, чем нарушением неприкосновенности частной жизни, но подумайте, какими могут быть планы злоумышленника, получившего доступ к вашему номеру социального страхования или к медицинским картам?


Один из лучших способов защиты цифровой или физической собственности — это ограничение доступа так, чтобы только определённый круг лиц имел к ней допуск. Следующим обязательным шагом в построении такой схемы становится проверка каждого желающего получить доступ, является ли он тем, за кого себя выдаёт, и имеет ли право допуска; такой процесс аутентификации оказывается ещё более важным и труднореализуемым в цифровом мире Интернета и компьютерных систем. Пароли — самое распространённое средство аутентификации, но если вы создаёте слабые пароли или ненадёжно их храните, они оказываются столь же неэффективны, как и полное их отсутствие. Множество систем было взломано именно вследствие применения небезопасных и неадекватных паролей; некоторые вирусы и черви проникали в системы, эффективно угадывая слабые пароли.

Как выбрать хороший пароль?


Большинство пользователей составляют пароли, основанные на личных данных, поскольку так их легче запоминать. Однако это упрощает и работу злоумышленника, ибо такие пароли легко угадать или взломать. Рассмотрим четырёхзначный PIN-код. Используете ли вы для такого комбинацию даты и месяца или год своего рождения? Или последние цифры номера страхового полиса? Или свой адрес либо номер телефона? Представьте, насколько просто получить подобные сведения о любом человеке. А пароль к вашему почтовому ящику — это слово, которое можно найти в словаре? Если так, то он уязвим к атакам "по словарю", заключающихся в угадывании пароля путём перебора всех слов из словаря и их комбинаций.


Хотя намеренные орфографические ошибки (допустим, daytt вместо date) могут повысить сопротивляемость пароля к атакам "по словарю", гораздо лучший способ построения паролей — это использование последовательности слов и методик запоминания, мнемотехник, помогающих не забыть их верную расшифровку. Например, пароль hoops (кольца) можно заменить на ILTpbb, то есть [I] [L]ike [T]o [p]lay [b]asket[b]all (я люблю играть в баскетбол). Использование вперемешку заглавных и сточных букв также способно придать паролю дополнительную стойкость. Но всё же лучшая защита — это включение в пароль комбинации цифр, специальных символов, а также заглавных и строчных букв. Просто измените использованный нами выше пример на I1!2pBb. и убедитесь, насколько сложнее он стал после простого добавления цифр и знаков препинания. (Не думайте, что составление пароля путём написания словарного слова с некорректной раскладкой клавиатуры, например, вместо "пароль" — "gfhjkm", способно серьёзно повысить его защищённость: такой ход будет элементарно разгадан расчётливым взломщиком, — прим. пер.)


Только не считайте, что, сформировав хороший стойкий пароль вы теперь сможете использовать его в каждой системе и программе с ограниченным допуском. Если злоумышленник подберёт его или иным образом получит в своё распоряжение, он будет иметь доступ ко всем вашим учётным записям. От вас потребуется применение описанных методик для выбора уникального пароля для каждой новой системы.


Вот краткий обзор тактических приёмов для выбора новых паролей:


  • Не используйте пароли, основанные на личных сведениях, которые легко подобрать или узнать.
  • Не используйте слова, которые можно встретить в словаре любого известного языка.
  • Разработайте и используйте мнемотехники для запоминания комплексных стойких паролей.
  • Используйте заглавные и строчные буквы.
  • Используйте сочетание букв, цифр и специальных символов.
  • Используйте уникальный пароль для каждой новой системы.

Как надёжно защитить свой пароль?


Создав пароль, который непросто взломать, вам теперь нужно обеспечить его конфиденциальность, чтобы он не попал в руки к посторонним. Записать его на листке бумаги и оставить на рабочем столе или, что ещё хуже, прилепить к монитору, равнозначно открытию пути к закрытой информации перед каждым, кто имеет физический доступ к кабинету. Не говорите никому своих паролей и будьте внимательны, чтобы не поддаться на уловки злоумышленника, старающегося выманить ваш пароль по телефону или электронной почте, притворившись вашим интернет-провайдером или системным администратором. (Подобные методы получения конфиденциальных данных называются социальной инженерией, и эффективность их крайне высока, — прим. пер.)


Если ваш интернет-провайдер предоставляет на выбор различные схемы аутентификации, выбирайте те, которые основаны на системе Kerberos, методах "запрос-ответ" или на шифровании с открытым ключом, нежели на простых паролях. Предлагайте своим провайдерам услуг с ограниченным допуском, использующим только пароли, переходить на более надёжные и безопасные методы защиты.


Многие программы имеют опцию "запоминания" вашего пароля, однако все они реализуют сильно варьирующиеся по надёжности механизмы защиты этой критической информации. Ряд программ, таких, как email-клиенты, хранят эти данные открытым текстом в файле на вашем компьютере. Это значит, что всякий человек, имеющий доступ к компьютеру, может обнаружить и использовать ваши пароли. По этой причине не забывайте завершать сеанс (log out), когда покидаете совместную рабочую станцию (компьютер в библиотеке, в интернет-кафе либо офисный компьютер с общим доступом). Другие программы, например, Keychain для Apple Macintosh, Secure Desktop для Palm, Password Safe для MS Windows и PocketPC, основанные на методах стойкой криптографии, надёжно оберегают особо ценную информацию, как пароли. Программы такого типа могут быть хорошим решением для управления паролями, если вы вдруг столкнётесь с тем, что их стало слишком много, чтобы запомнить.


Нет никаких гарантий, что изложенные методики не позволят взломщику получить ваш пароль, однако они сделают его задачу гораздо более трудной.



Смотрите также: "Фонетический пароль".


 
Комментариев нет [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3