Оглавление Введение....................................................................................................................................................2 Актуальность .......................................................................................................................................2 Проблема: .......................................................................................................................................2 Цель: ................................................................................................................................................2 Задачи:..............................................................................................................................................2 Гипотеза: ..........................................................................................................................................3 История паролей ..................................................................................................................................3 Основные характеристики надёжности пароля ................................................................................3 Взлом пароля........................................................................................................................................5 Исследование ............................................................................................................................................6 Вывод: ..................................................................................................................................................7 Список литературы ................................................................................................................................8 Приложение 1 ...........................................................................................................................................9 Приложение 2 .........................................................................................................................................10 Введение Актуальность Исследования показывают, что около 40% всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA1 от обычных псевдослучайных последовательностей. Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе: Одноразовые пароли, Биометрия, Технология единого входа, OpenID В своей работе я коснусь только исследования символьных паролей. Проблема: Создавая информационные ресурсы нам часто требуется защитить информацию от несанкционированного доступа, использую пароли. Но большинство пользователей выбирают лёгкие пароли, которые легко запомнить, но и не трудно взломать. Поэтому я поставил перед собой следующую Цель: исследовать надёжность пароля. Для достижения цели были поставлены следующие Задачи: 1. Узнать что такое пароль и историю применения. 2. Основные характеристики надёжности пароля 3. Исследовать зависимость надёжности пароля от его сложности и длины. 4. Разработать рекомендации для создания надёжного пароля. Гипотеза: Я считаю, что пароль будет надёжен если использовать более длинные и сложные пароли. Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя. История паролей Пароли использовались с древнейших времён. Полибий описывает применение паролей в Древнем Риме следующим образом: То, каким образом они обеспечивают безопасное прохождение ночью, выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль - деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему. Пароли использовались в компьютерах с первых их дней. CTSS от MIT была одна из первых открытых систем, появившись в 1961 г. Она использовала команду LOGIN для запроса пароля пользователя. Роберт Моррис предложил идею хранения паролей в хэш-форме для операционной системы Unix. Основные характеристики надёжности пароля На современном этапе «системы защищённые паролем» широко используются, в силу того, что имеют простой пользовательский интерфейс доступа и не требуют дополнительного аппаратного обеспечения, необходимого для подтверждения личности пользователя. Это определяет лёгкость в разработке и внедрении системы доступа. Однако это достаточно небезопасный способ защиты системы от несанкционированного доступа, поскольку при получении пароля посторонним человеком, система воспримет его, как легального пользователя, и предоставит ему полный доступ в соответствии с политиками, распространяющимися на текущего пользователя. Сила пароля – это дословный перевод устоявшегося английского выражения, характеризующего устойчивость пароля к атакам. В общем случае, под силой понимают надёжность. Надёжность состоит в том, чтобы обеспечить такую сложность задачи определения пароля, чтобы её невозможно было выполнить существующими вычислительными и программными средствами за актуальное время. Под актуальным временем понимают такое количество времени, на протяжении которого задача определения пароля является актуальной. Надёжность пароля переоценивают, поскольку, на самом деле, она является условной, то есть пароль можно считать надёжным только при соблюдении ряда условий, которыми пренебрегают в большинстве случаев. Существует три основных характеристики надёжности пароля: сложность, длина, неочевидность. Под сложностью, понимают алфавит, использованный для составления пароля. То есть набор различных символов, которые потенциально могут содержаться в пароле. Чем шире алфавит, тем большее число комбинаций нам нужно проверить, потому что «количество комбинаций равняется объёму алфавита в степени равной количеству символов в слове». Длина или количество составляющих пароль символов тоже влияет на надёжность пароля. Поскольку, как и сложность, определяет суммарное количество возможных комбинаций при подборе пароля. Неочевидность является составным понятием, которое, с одной стороны, подразумевает, что для составления пароля не использовалась личная информация пользователя, а с другой, что пароль не представляет собой слово естественного языка, то есть слово, которое может содержать в любом из словарей. Неочевидность не влияет на надёжность напрямую, потому что в процессе подбора абсолютно не важно – имеет ли слово лингвистический смысл. Однако, существуют способы получить пароль при помощи различного рода трюков и технологических хитростей, многие из которых основаны на предположении о том, что в качестве пароля выбрано слово, тем или иным образом связанное по смыслу с личностью владельца. Для того, чтобы свести на ноль возможность подобного рода атак (password attacks), необходимо, чтобы символы в слове, которое используется в качестве пароля, располагались случайным образом. Взлом пароля Атаки, направленные на взлом пароля (password attacks). Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему. Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов. Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика. При этом могут быть использованы следующие подходы: Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания. Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т.п. Не специфические слабые стороны пароля Исходя из вышеизложенного, можно выделить следующие не специфичные слабости пароля: 1. пароль не должен быть где-либо записан 2. пароль должен быть известен только владельцу и никому другому. 3. Перед вводом пароля нужно убедиться в отсутствии вирусного программного обеспечения на компьютере, посредством которого осуществляется доступ в систему. Исследование Я решил исследовать зависимость надёжности пароля на текстовом документе, созданном в процессоре Microsoft Word. Для этого создал 8 копий одного документа и сохранил их с использованием различных по длине и алфавиту паролей. Нашёл в интернете программы (статус программы shareware), направленные на подбор забытого пароля именно для документов. Слабым местом практически всех решений для подбора паролей является то, что на их перебор методом Brute Force («грубой силы») требуется немало времени, особенно если вы не знаете длину. Первая программа, Office Password Recovery, настолько услужлива, что при запуске сразу предлагает выполнить поиск всех зашифрованных файлов на жестких дисках или открыть, указав путь к файлу. Если таковые обнаруживаются, можно немедленно запустить процесс подбора паролей. Поскольку в ранних вариантах Office (95, 97, 2000 и 2003) использовалась достаточно слабая защита шифрования, такие ключи программа способна восстанавливать мгновенно. Кроме того, при помощи Office Password Recovery можно моментально вернуть пароли, используемые для защиты листов и книг Microsoft Excel (XLS, XLA, XLW, XLT, XLM), вне зависимости от их длины и сложности, пароли, установленные на открытие личных папок и файлов с данными в Microsoft Outlook и Exchange (PST, OST), и пароли, сохраненные в Outlook для учетных записей почты, в том числе GMail, Yahoo! и Hotmail. Также можно мгновенно узнать ключи, запрещающие редактирование определенных ячеек в Excel, закрывающие доступ к изменению параметров форматирования в Word, а также корректировке презентаций Power Point (PPT, PPS, PPA, POT). Другая программа, Office Password Unlocker, выполняет поиск ключевого сочетания символов для всех основных программ офисного пакета от Microsoft. Внезапное исчезновение электричества или системный сбой может привести к тому, что все перепробованные комбинации символов окажутся потерянными, и процедуру поиска ключа придется запускать заново. Чтобы этого не произошло, в программе предусмотрено автоматическое сохранение результатов. По умолчанию программа фиксирует текущее состояние каждые 15 минут, однако при желании это значение можно поменять на другое. Результаты эксперимента показаны в таблице (Приложение 1). Простой пароль нетрудно взломать, а сложный легко забыть. Изучив разнообразную литературу, и рассмотрев проблемы, связанные с авторизацией,я выявил 10 фактов о паролях (Приложение 2), с которыми нужно познакомиться каждому, кто хочет защитить свою информацию и создать надежный ключ. Вывод: Очень важно выбрать оптимальную длину пароля. Естественно, что чем больше число символов – тем лучше. Но при условии, что символы в слове расположены случайно, возникает проблема запоминания пароля владельцем. Из приведённой выше таблицы видно, что при размере алфавита в 256 возможных значений, и разрядности слова в 6 символов потребовалось 4 дня. Но если пароль будет длиной 8 символов то, для полного перебора всех возможных комбинаций потребуется 570,776 лет. Дальнейшее увеличение длины пароля не оправдано, поскольку резко усложняется его запоминание, учитывая, что символы расположены случайным образом. Список литературы http://ru.wikipedia.org/wiki/%D0%9F%D0%B0%D1%80%D0%BE%D0%B B%D1%8C статья в Википедии 2. http://wwhois.ru/password_rule.html Рекомендации по составлению паролей 3. http://www.pasw.ru/ Генератор паролей + рекомендации администратору; Универсальные пароли к BIOS; Что делать, если пароль забыт? 4. http://zhurnal.lib.ru/editors/a/astahow_k_w/passgen.shtml Статья «Генератор паролей» 5. журнал “CHIP+DVD” №1 январь 2011 1. Приложение 1 программа (версия) Имя файла Пробный1 Пробный2 Пробный3 Пробный4 Пробный5 Пробный6 Пробный7 Пробный8 Office Password Recovery (shareware) пароль время на подбор пароля 123 11 сек 280194 38 сек mda 4 сек MdA 11 сек ghjert 5 часов 21 мин GhJErt ~ 19 часов rty198 ~ 25 часов Rty198 ~ 4 дня 12 часов Office Password Unlocker (триал) время на подбор пароля 4 сек 4 сек 2 сек 6 сек требуется лиц. ключ требуется лиц. ключ требуется лиц. ключ требуется лиц. ключ Приложение 2 1. Гарантированное запоминание множества паролей Существует метод, который позволяет запоминать комбинации символов, обладающие любой степенью сложности. Для этого необходимо иметь один надежный основной пароль и просто сочетать его с элементами, которые ассоциируются у вас с тем или иным ресурсами. Например, основной пароль имеет вид pct-2j!HgX, а вы хотите создать и запомнить новый ключ для учетной записи на Facebook. Адрес сервиса — facebook.com. Для формирования ключевого слова вы можете просто указать перед основным паролем количество букв в этом адресе и добавить в конце первую букву названия ресурса. Таким образом, ваш пароль к аккаунту на Facebook будет иметь вид llpct-2j!HgXf. 2. Даже надежные ключи можно вычислить Даже если вы все сделали правильно, опасность может возникнуть при вводе пароля. При работе на чужом компьютере он способен сохранить ключевое слово и выдать его злоумышленникам. Программу-кейлоггер можно обмануть, используя для ввода пароля экранную клавиатуру Windows (для ее вызова введите «osk» в командной строке). Также шпионское ПО может делать снимки экрана, поэтому пароль всегда должен скрываться звездочками.И наконец, соединение с сервером должно быть надежным: при помощи SSL-кодирования (адреса формата HTTPS) вы помешаете передаче пароля в незашифрованном виде. З. При использовании метода полного перебора все зависит от длины комбинации Видеокарта ATI Radeon HD 5970 ускоряет не только игры — с ее помощью можно перебрать 103 ООО паролей за одну секунду. Обращение к словарям, при котором перебираются все существующие слова, — дело нескольких мгновений. Но и метод «грубой силы», когда последовательно проверяются все возможные комбинации символов, тоже быстро дает результаты, если ваш пароль короткий. Поскольку при добавлении каждого символа к ключевому слову количество вариантов растет экспоненциально, для защиты критически важных данных лучше всего использовать пароли не короче восьми знаков. Radeon HD 5970 стоит около 20 ООО рублей — хорошая инвестиция для геймеров и хакеров. 4. Генераторы паролей не имеют никаких личностных предпочтений Ключ из первых букв какого-либо предложения достаточно надежен, но хакер может применить ускоренный вариант полного перебора, исключив из обработки определенные символы, которые никогда не встречаются в паролях. Вы избежите этого риска, воспользовавшись онлайновой программой для генерации ключей. Подобные утилиты используют все символы без исключения. 5. Надежные пароли вечны Теоретически, если вы создали надежный ключ, вам не потребуется менять его в будущем. Однако некоторые службы, например банковские системы, настаивают на регулярной смене кодового слова. Основанием для этого служат риски, которые возникают при вводе паролей на странице пользователя. Принудительная смена ключа призвана свести их к минимуму. Но администраторы, которые требуют ее слишком часто, оказывают себе медвежью услугу: нередко реакцией на это становится использование менее надежных и легко запоминающихся комбинаций, которые проще взломать. 6. Использование экзотических символов хлопотно, но надежно Особенно безопасны пароли, содержащие специальные символы, которые нельзя ввести нажатием одной кнопки на клавиатуре. Обычно хакеры исключают их из обработки, чтобы предельно ускорить процесс подбора кодового слова. Ввод такого символа требует больше времени, но благодаря этому нежелательному наблюдателю будет сложнее запомнить пароль. К тому же даже подбор методом «грубой силы» уведет хакера по ложному пути, поскольку включение в пароль специального символа существенно увеличивает количество перебираемых вариантов. Такой результат дает, например, введение знака в путем последовательного нажатия на цифровой клавиатуре комбинации «0174» при зажатой клавише «Alt» (пять нажатий для одного символа). В таблице приведены примеры кодов для ввода некоторых специальных знаков. В принципе, при помощи кодов с «Ait» могут быть введены любые ASCII-символы. Их использование не только усложняет взлом посредством полного перебора, но и делает неэффективными классические словарные атаки. Единственным препятствием для этого способа защиты может быть то, что ввести некоторые символы не всегда возможно (например, в мобильных телефонах их набор ограничен). 7. ПО для хранения паролей удобно, но... В Интернете существует множество утилит, которые готовы запомнить за вас все пароли. В целом, такие решения — удобный способ хранить все кодовые слова в одном месте. Но с другой стороны, чтобы получить доступ ко всем существующим учетным записям, приложениям и данным, достаточно знать один мастер-пароль. Если троянская программа перехватит управление вашим компьютером или кто-то узнает ваш главный ключ каким-либо иным способом, вы потеряете сразу всю охраняемую информацию. Единственная возможность надежного использования программы хранения паролей — запускать ее только на виртуальной машине через браузер. Программы для хранения паролей, работающие на ПК, имеют один недостаток — они недоступны из других мест. Проблему могут решить аналогичные приложения для мобильных телефонов. 8. Надежен ли ваш ключ? Вы можете самостоятельно оценить свой пароль. Для начала необходимо выяснить, из каких символов он составлен. В качестве простого примера возьмем полностью числовой ключ — например, PIN-код. Рассматриваться будут цифры от «О» до «9» — всего 10. Предположим, что ваш пароль состоит из шести символов. Вы можете самостоятельно подсчитать количество возможных вариантов: 10б — это миллион комбинаций. На предыдущей странице мы представили игровую видеокарту стоимостью 20 ООО рублей, при помощи которой российский разработчик ElcomSoft проверил 103 ООО вариантов паролей за секунду. Мы разделили миллион на этот показатель и получили результат в 9,7 с — это и есть то время, за которое хакер сможет узнать ваш пароль. 9. Пароли тоже можно наследовать Если все сделано правильно, то ваши пароли надежны как скала. Но что происходит в случае смерти владельца защищенных аккаунтов и данных? Сайты, адреса электронной почты и онлайн-доступ к банку можно наследовать. С юридической точки зрения это достаточно просто, а вот с технической может быть затруднительно, если наследник не знает данных доступа или вообще не в курсе, какую активность умерший вел в Глобальной сети. Существуют специализированные службы, которые обеспечивают законный (контролируемый) доступ к цифровым данным в случае смерти их владельца. Например, на сервисе Datalnherit (www.datainherit.com) можно бесплатно хранить 50 паролей и 10 Мбайт важной информации, которые будут отосланы указанному лицу в случае вашей кончины. 10. Осмысленные слова не подходят Еще недавно существовали программы и комплектующие, позволявшие любому желающему за несколько минут взломать пароли к WLAN, аккаунту на eBay или почтовым службам. Так, ElcomSoft Wireless Security Auditor, запущенная на современном ПК с процессором Intel Core i7, тестирует около 4000 WPA-паролей в секунду. Эта утилита достаточно дорогая (36 ООО рублей), но в Сети можно найти и взломанные версии. Большинство подобных приложений работают со словарями, так что теоретически соседу не составит труда за несколько минут подключиться к вашему WLAN-роутеру. Защитить от этого может только использование в качестве паролей не слов, а бессмысленного набора символов.