Анализ ошибок парольной защиты

29.06.2009 13:45

Компания Positive Technologies опубликовала обзор (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем.

Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). 53% всех паролей состоят только из цифр (сколько из них номеров телефонов и дат рождения в отчете не упоминается). 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard).

При анализе паролей администраторов информационных систем было выявлено, что администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.

В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных ограничений к сложности пароля снижает вероятность компрометации системы более чем в 10 раз.

TOP 10 наиболее часто используемых паролей Российскими пользователями:

1234567 3,36%
12345678 1,65%
123456 1,02%
Пустая строка 0,72%
12345 0,47%
7654321 0,31%
qweasd 0,27%
123 0,25%
qwerty 0,25%
123456789 0,23%

исправить –1 +/–

Главная ссылка к новости (http://www.ptsecurity.ru/analy...)

Автор новости: Positive Technologies

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/22371-security

Ключевые слова: security, password

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.1, Аноним (-), 17:21, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Помню как у товарища с ADSL модемом пропали настройки, полезли разбираться, дождались первого MAC-а в ARP таблице, залезли на тот IP браузером через admin/admin и поняли - что-то тут не то. Оказалось, что ADSL модем был настроен в режиме бриджа и мы зашли на коммутатор провайдера :-)

2.19, Lindemidux (??), 00:06, 30/06/2009 [^] [^^] [^^^] [ответить]	+/–
Я на DSLAM прова был. Тоже Admin/Admin

1.2, йа (?), 17:25, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
америку они открыли. Как буд-то профессионального взломщика остаровит сложный пароль если у того будет локальный доступ к системе. Удаленно задача уже ложиться на экраны и пароли тут не причем. И еще интересно кто те 180 тысяч что назвали какой-то левой компании свой пароль

2.5, XAnder (ok), 17:42, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
Интересно? Почитай статью прежде чем... Всё написано.

2.10, User294 (??), 20:37, 29/06/2009 [^] [^^] [^^^] [ответить]	–1 +/–
> Как буд-то профессионального взломщика остаровит сложный пароль если > у того будет локальный доступ к системе. А если будет локальный доступ к владельцу, то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы шифрования с безупречными паролями...

3.18, Andrew Kolchoogin (?), 22:44, 29/06/2009 [^] [^^] [^^^] [ответить]

+/–

> то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы
> шифрования с безупречными паролями...

Нет.

Существуют специальные методы обойти ректотермальный криптоанализ.

2.20, Фонлиг (?), 08:53, 30/06/2009 [^] [^^] [^^^] [ответить]

+/–

>И еще интересно кто те
>180 тысяч что назвали какой-то левой компании свой пароль

В документе написано - получено в ходе пентестов и аудитов. Т.е. ребята фактически их "взломали".

И контора далеко не "левая". Positive Technologies - разработчики XSpider (http://www.ptsecurity.ru/xs7.asp) и MaxPatrol (http://www.ptsecurity.ru/mp_eval.asp) - весьма и весьма достойных продуктов.

1.3, terminus (ok), 17:32, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Одна из простых, но действенных систем выбора сложного пароля который просто запоминать это использовать какой-нить любимый стишок или песню и брать первые буквы из слов куплетов или первые буквы куплетов.

Типа:
Я узнал, что у меня
Есть огpомная семья -
И тpопинка, и лесок,
В поле каждый колосок!

Речка, небо голубое -
Это все мое, pодное!
Это Родина моя!
Всех люблю на свете я!

Для первого куплета получаем:
jucumeosITILVPKK

добавляем что-нить из спец символов и мега пароль готов.
#jucumeosITILVPKK#

В следующий раз при выборе пароля используем второй куплет и т.д.

Вот так :)

2.6, Stanislaus (ok), 17:43, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып "шокирующего абсурда", описанный в "Руководстве администратора Linux".

3.8, prapor (??), 19:30, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
>Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып >"шокирующего абсурда", описанный в "Руководстве администратора Linux". В «UNIX SA Handbook» его описали раньше, хотя да, авторы те же :)

4.12, krechet (ok), 21:08, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
А можно поподробнее?

5.14, ig0r (??), 21:49, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
http://dkulikovsky.ya.ru/replies.xml?item_no=90&for_reply=text

6.17, krechet (ok), 22:27, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
спасибо

2.11, User294 (??), 20:43, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
>Одна из простых, но действенных систем выбора сложного пароля После этого он уже не такой сложный.После афиширования принципа генерации - довольно просто сгенерить и специализированные словари под него.Стишков и песенок в мире не так уж и много(по сравнению например с всем возможным количеством паролей такой длины).И множество перебора сииииииильно сократится.До, может быть, каких-то миллионов или миллиардов вместо астрономических величин.

2.13, krechet (ok), 21:15, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
Ещё один интересный способ, читал его в книге Флёнова... Придумывается какое либо слово, но печатается на ряд вверх, т.е. если в слове есть буква "ф" то при вводе будет использоваться клавиша "й". Например абрикос выглядит как rkyg4ud, при этом можно ещё и шифт понажимать...

3.15, User294 (??), 22:18, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
>Ещё один интересный способ, читал его в книге Флёнова... И чем он популярнее - тем хуже для вас.Поскольку построить добавочные словари с учетом этого метода как-то не особо сложная наука, а шансы что какой-то лузер попадется при словарной атаке - возрастают.И слом по словарю - это лучше чем полный и честный брутфорс длинного пароля на хренадцать символов.Перебрать миллион слов или два (с учетом ваших методов будет еще 1 словарь - с словами сконвертированными в такое представление) не столь уж велика разница.Это сильно лучше чем честно перебирать брутфорсом что-то порядка 2^128 вариантов например, вообще ничего не зная о хренадцатисимвольном пароле.

4.16, krechet (ok), 22:25, 29/06/2009 [^] [^^] [^^^] [ответить]	+/–
Я не спорю с вами, что там где нужна безопасность нужно использовать сгенерированые пароли (буквы, цифры, регистр, символы), но для обычных пользователей это врятли подойдёт. Они и так используют простые слова и даты рождения, что согласитесь, ломается намного проще и при этом не надо делать добавочные словари. А если давать юзеру нормальный пароль (хотя бы 8 символов, буквы, цифры, регистр), то очень весело смотрится бумажка с таким паролем на мониторе =) Помоему если руководство вменяемое и задумывается на тему безопасных паролей (и даёт соответствующие указания), то только тогда можно дрессировать остальных сотрудников, иначе полное отсутствия взаимопонимания...

1.4, mazay (??), 17:41, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
читай по ссылке в основном голая статистика, правда ограниченная

1.7, Evtomax (ok), 19:17, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
После прочтения этого анализа чувствую себя параноиком :D

1.21, Frank (??), 09:41, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Более другой вариант: берём префикс (обычный запоминаемый пароль, например, по начальным буквам стиха), добавляем символы, "генерируемые" по имени ресурса, к которому этот пароль "собираем", например - имя сайта, можно со сдвигом, затемдобавляем суффикс, например, пакет спецсимволов для антибрутфорса, если их поддерживает ресурс (многие сайты не позволяют). В результате получаем комплексный взломоустойчивый пароль, различный для различных серверов, но легко запоминаемый (точнее, восстанавливаемый по памяти). Опционально - добавить "соль" ещё и от логина (актуально при входе на один и тот же ресурс под разными логинами). Перемешать, но не взбалтывать (с) ;)

1.22, marten (??), 10:42, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как всегда, безопасность = 1 поделить на удобство использования.

1.23, Евгений (??), 12:15, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Можно делать так. Вслепую набирать на клавиатуре случайные символы, попеременно нажимая на shift. Например: Jj_F6*bF-v Заодно и память развивает)

1.24, Аноним (24), 13:16, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что мешает заюзать apg (есть в дистре практически любого дистра)? При чем генерит не тупо рандом, а может на основе какогонибудь слова, да и пароли получаются относительно легко запоминающиеся. http://www.adel.nursat.kz/apg/

1.25, self (??), 14:07, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Исследование доказывает уникальность каждого среднестатистического работника, обладающего узкоспециализированными профессиональными навыками. Фантазируйте, господа. А насчет ректотермального криптоанализа - один мой товарисч разрабатывает метод борьбы, основанный на лужении прямой кишки с внедрением системы активного охлаждения на жидком азоте.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: