Пароль как способ защиты информации

Защита с использованием паролей

Вы будете перенаправлены на Автор24

Наличие надежного пароля – один из наиболее важных факторов защиты компьютера от злоумышленников и других нежелательных пользователей.

Пароль – это строка знаков, которая применяется для доступа к информации или компьютеру.

Парольные фразы отличаются от паролей длиной паролей и состоят из нескольких слов, которые образуют отдельную фразу, что обеспечивает дополнительную безопасность. Использование паролей и парольных фраз позволяет предотвратить НСД пользователей к программному обеспечению, файлам и другим ресурсам.

Для более надежной защиты конфиденциальной информации рекомендуется создавать надежные пароли и парольные фразы, сложные для раскрытия или взлома.

Рекомендуется использование надежных паролей для всех учетных записей пользователей на компьютере. При подключении рабочей сети администратором сети может быть установлено обязательное использование надежных паролей.

В беспроводной сети дополнительная безопасность парольной фразы обеспечивается применением ключа безопасности WPA. Подобная парольная фраза преобразуется в ключ, который используеся для шифрования и не отображается для пользователя.

Признаки надежных паролей и парольных фраз

Надежный пароль должен:

• содержать не менее $8-9$ символов;
• не содержать имя пользователя, фамилии, названия организации;
• не содержать полное слово;
• значительно отличаться от паролей, которые использовались раньше.

Надежная парольная фраза должна:

• иметь длину $20–30$ символов;
• представлять собой последовательность слов, которые образуют фразу;
• не содержать общие фразы, которые встречаются в литературных или музыкальных произведениях;
• не содержать слов, которые встречаются в словарях;
• не содержать имя пользователя, фамилию или название организации;
• значительно отличаться от паролей и парольных фраз, которые использовались раньше.

Готовые работы на аналогичную тему

Для повышения надежности пароли и парольные фразы должны содержать знаки, которые принадлежат каждой из категорий:

• буквы верхнего регистра;
• буквы нижнего регистра;
• цифры;
• знаки, которые не являются буквами или цифрами и пробелы.

Для лучшего запоминания надежных паролей и парольных фраз необходимо выполнять следующие рекомендации:

• Использовать сокращенную легко запоминающуюся фразу. Например, можно использовать значимую фразу: мой день рождения $13$ октября $1990$ года. Пароль, исходя из этой фразы, может быть следующим: мдр$13$окт$90$г.
• Замещать цифрами, символами и орфографическими ошибками буквы или слова в придуманной фразе. Например, используя фразу мой день рождения $13$ октября $1990$ года можно применить надежную парольную фразу м0№ День р0жДен№я $13$ 0кт $90$.

Значение парольной защиты

Использование пароля позволит защитить информацию на компьютере от следующих видов угроз:

• несанкционированный доступ;
• некоторые вирусы и троянские программы (в основном поступающих через локальную сеть или Интернет).

При обеспечении парольной защиты на компьютере доступ разрешается лишь зарегистрированным пользователям, которые ввели правильный пароль.

Парольная защита используется при загрузке операционной системы.

Вход с использованием пароля может устанавливаться в программе BIOS Setup. Операционная система не начнет загружаться при неправильно введенном пароле. Но парольную защиту в BIOS можно сбросить.

Просмотр паролей, которые хранит операционная система

Помимо паролей доступа пользователей в операционной системе хранится ряд других важных паролей: пароль соединения с интернет, пароль почтового ящика, пароль доступа к веб-сайту.

Операционной системой часто предлагается функция автозаполнения паролей в браузерах.

Разработано достаточно большое количество свободно распространяемых программ для расшифровки паролей операционной системы Windows или скрытых паролей из строк ввода браузеров. Среди таких программ Asterisk Key компании Passware и Password Recovery Toolbox.

Пароли пользователей хранятся в операционной системе в файле c названием SAM в папке C:windows\system32\config.

Источник

Защита данных с использованием пароля

Автор статьи [ править ]

Компаниец Елизавета, ученица МБОУ СОШ №28, 11 класса А

Цели [ править ]

Какова история паролей?

Как пароли защищают данные на компьютерах и дисках?

Как хакеры взламывают пароли?

Как сделать пароль устойчивый к взломам?

Гипотеза [ править ]

Пароль является наиболее приемлемым и потому наиболее часто используемым средством установления подлинности, основанным на знаниях субъектов доступа.

Защита данных с использованием компьютера [ править ]

История паролей [ править ]

Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя Пароли использовались с древнейших времён.

Полибий описывает применение паролей в Древнем Риме следующим образом:

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль — деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему.

Для предотвращения несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Компьютер разрешает доступ к своим ресурсам только тем пользователям, которые зарегистрированы и ввели правильный пароль. Каждому конкретному пользователю может быть разрешен доступ только к определенным информационным ресурсам. При этом может производиться регистрация всех попыток несанкционированного доступа.

Защита доступа к компьютеру. [ править ]

Защита пользовательских настроек имеется в операционной системе Windows (при загрузке системы пользователь должен ввести свой пароль), однако такая защита легко преодолима, так как пользователь может отказаться от введения пароля. Вход по паролю может быть установлен в программе BIOS Setup, компьютер не начнет загрузку операционной системы, если не введен правильный пароль. Преодолеть такую защиту нелегко, более того, возникнут серьезные проблемы доступа к данным, если пользователь забудет этот пароль.

Защита данных на дисках. [ править ]

Каждый диск, папка и файл локального компьютера, а также компьютера, подключенного к локальной сети, может быть защищен от несанкционированного доступа. Для них могут быть установлены определенные права доступа (полный, только чтение, по паролю), причем права могут быть различными для различных пользователей.

Взлом компьютерных паролей [ править ]

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему. Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов. Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика. При этом могут быть использованы следующие подходы:

Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.

Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.

Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т. п. Напр. Вася Пупкин, 31.12.1999 г.р. нередко имеет пароль типа «vp31121999» или «vp991231». Для проведения атаки разработано множество инструментов, например, John the Ripper.

Источник

Пароль как способ защиты информации

Аутентификация пользователей, т.е. подтверждение их подлинности, обеспечивается в первую очередь путем использования парольной защиты.
Слабая парольная защита является одной из основных причин уязвимости компьютерных систем к попыткам несанкционированного доступа. В 2008 году 84 % компьютерных взломов были осуществлены вследствие несовершенства парольной защиты [4].
По данным опросов, проведенных по заказу устроителей международной выставки Infosecurity Europe более 70 % британцев признались, что отдали бы постороннему пароль от своего компьютера в обмен на плитку шоколада, а некоторые и без какой бы то ни было материальной компенсации [9]. Кроме того, по результатам другого опроса 79 % жителей Великобритании хоть раз отдавали посторонним лицам информацию, которая могла бы быть использована для кражи персональных данных, необходимых для незаконных операций с кредитными карточками и другими финансовыми инструментами.
По результатам опроса, проведенного в апреле 2006 г. компанией Sophos, 41 % респондентов используют один и тот же пароль во всех случаях, из них 75 % используют не только один и тот же пароль во всех случаях но он является простым, легко угадываемым. Следовательно, 31 % пользователей (75 % от 41 %) не обладают учетными записями с надежно защищенными паролями доступа [5].

Другое исследование, проведенное в Великобритании, показало, что почти две трети коммерческих пользователей не применяют пароль при входе в системы своих ноутбуков, а из тех, кто пользуется паролем, 15 % употребляют в качестве пароля собственное имя, а 10 % сообщают свой пароль коллегам. Одна треть опрошенных ни разу не меняла пароль на протяжении прошедшего года [11].
По данным 2009 г. самым популярным паролем по-прежнему остается «1234». На втором месте «12345678», на которые приходится 14 % взломов. Благодаря подбору только этих двух паролей, в прошлом году хакеры похитили с банковских счетов несколько миллионов долларов. К числу самых популярных паролей относятся «QWERTY» и «AZERTY» (соответствующие клавиши расположены подряд в левой верхней части клавиатуры для англо- и франкоговорящих стран), а также имена детей и их даты рождения. Пароли «Покемон» и «Матрица» позволили осуществит взлом в 5 % случаев, а пароли «password» и «password1» – еще в 4 % [4].
Председатель правления Microsoft Билл Гейтс в одном из своих выступлений еще в 2006 г. предсказал гибель традиционным паролям, так как они не в состоянии с должной надежностью обеспечить информационную безопасность. Для замены традиционного пароля перспективными являются биометрические системы контроля доступа. Такие системы, основанные на аутентификации по отпечатку пальца, голосу, рисунку радужной оболочки глаза и др. уже достаточно широко используются, но до замены ими символьного пароля еще далеко. Широкое использование в ближайшем будущем для идентификации пользователей смарт-карт и электронных ключей является более реальным. Но пока символьный пароль – самый распространенный способ аутентификации и еще очень долго будет им оставаться.

Взлом парольной защиты

Описание способов взлома пароля, на первый взгляд, не относится к занятиям благопристойным. Но, как ни странно, эти знания, хотя бы в минимальном объеме, необходимы всем пользователям компьютерных и телекоммуникационных систем. Во-первых, потому что нередко возникает необходимость взломать собственную парольную защиту, когда пароль забыт, и другого способа получить доступ к собственным данным нет. Во-вторых, потому что нет лучшего способа протестировать надежность парольной защиты компьютерной системы, чем попытка ее взлома. В-третьих, сегодня любой желающий, может легко найти любую самую детальную информацию о современных технологиях преодоления парольной защиты. И, наконец, в-четвертых, самое главное – знание методов взлома паролей и анализ этих методов являются основой для того, чтобы сформулировать правила парольной защиты, обеспечивающие максимально надежное противодействие попыткам несанкционированного доступа к информации.
Для взлома парольной защиты используются следующие методы.
1. Узнавание пароля. Часто пользователи записывают пароли на листках, в блокнотах, тетрадях, доступных неавторизованным лицам. Доступность записанных паролей, их несекретность, является одной из важных «дыр» в парольной защите. Часто пароли доступа могут быть получены путем их выведывания, обычно с использованием тех или иных методов психологии или социальной инженерии. Разновидностью этого метода является выведывание информации, которая могла быть использована пользователем в подсказках, иногда предусматриваемых на случай, если пароль забыт. Такие подсказки предлагаются, например, почтовыми серверами при регистрации электронного почтового ящика и, обычно, представляются предложением ответить на некоторый контрольный вопрос, такой как «Ваш рост», «Ваше любимое блюдо», «номер Вашего паспорта», «девичья фамилия матери» и т. п. Для желающего получить доступ к защищенному паролем ресурсу, как правило, значительно легче узнать информацию, необходимую для правильного ответа на подобные вопросы, чем сам пароль.
2. Угадывание пароля. Во многих случаях в качестве пароля используются имена, фамилии, номера телефонов и другие личные данные пользователя или его родственников и друзей. Такая информация может быть известна злоумышленникам, что позволяет использовать ее для угадывания и подбора пароля. В наиболее примитивном случае пароль выбирается пользователем таким же как учетное имя (логин).
3. Словарная атака. Наиболее распространенным вариантом при выборе пароля является задание в качестве пароля некоторого слова, что, в первую очередь, обусловлено легкостью запоминания такого пароля. В этом случае пароль может быть выявлен при помощи специальных программ-взломщиков паролей, реализующих, так называемую, словарную атаку, состоящую в последовательном переборе всех слов, содержащихся в электронном словаре, подключаемом к такой программе.

В настоящее время для определения пароля разработан ряд специальных словарей, опубликованных или размещенных в Интернете. Такие словари содержат сотни тысяч слов, имен, названий, наиболее часто употребляемых в качестве паролей, в том числе географических, названий корпораций, торговых марок, названий кинофильмов, спортивных клубов и т.п. Словарный перебор осуществляется очень быстро, особенно, если словарь составлен как частотный, в котором слова расположены с учетом частоты их использования в качестве паролей. Словари могут подключаться к программам взлома паролей.
Парольные взломщики могут не только проверять все слова из словаря, но и формировать множество дополнительных вариантов, применяя определенные правила видоизменения слов для генерации возможных паролей. Например, производится попеременное изменение буквенного регистра, в котором набрано слово; меняется на обратный порядок следования букв в слове; в начало и в конец каждого слова приписывается цифра 1; некоторые буквы заменяются на близкие по начертанию цифры (в результате, например, из слова password получается pa55w0rd) и т.д. [10]. Например, в известном парольном взломщике LC4, наряду с возможностью установки ряда параметров взлома, повышающих эффективность работы программы, в числе прочих настроек предусмотрено задание следующих параметров атаки по словарю:

• обычное использование словаря;
• записанные дважды слова;
• обратный порядок символов слов;
• усеченные до заданного количества символов слова;
• слова без гласных, за исключением заглавной;
• транслитерация русских букв латинскими по заданной таблице транслитерации;
• замена раскладки локализации латинской раскладкой клавиатуры;
• замена латинской раскладки клавиатуры раскладкой локализации.

Алгоритмы формирования множества вариантов слов могут быть различны. Некоторые парольные взломщики поочередно проверяют каждое слово из словаря и формируют на его основе множество вариантов, другие программы-вломщики сначала обрабатывают весь словарь при помощи заданных правил, генерирую, по-существу, новый большой вариативный словарь, используемый для подбора пароля.
4. Метод прямого перебора (brute-force attack – метод грубой силы, «лобовая атака»). Этот метод предполагает прямой перебор всех возможных комбинаций всех допустимых в пароле символов. Перебор символов осуществляется до тех пор, пока не будет найдена нужная комбинация.
Описанные выше способы преодоление парольной защиты путем узнавания или угадывания пароля с перебором ограниченного количества сочетаний букв, цифр и символов, вводимых с клавиатуры, может привести к успеху лишь в том случае, когда пользователь игнорирует элементарные правила выбора пароля. Словарная атака эффективна лишь при игнорировании пользователем одного из основных правил выбора пароля – не использовать в качестве пароля семантически определенное слово. Если выбран нетривиальный и достаточно длинный пароль, его успешный подбор возможен только методом прямого перебора с использованием специальных программ-взломщиков. Программная реализация метода автоматического перебора позволяет взломать любой пароль, но для сложных паролей может потребоваться значительное время, особенно учитывая возможное переключение верхнего и нижнего регистров и раскладки клавиатуры.
Проведенное исследование устойчивости паролей к взлому с использованием программы SAMInside, предназначенной для взлома паролей Windows NT/2000/ХР, на компьютере AMD 2400 XP+ со словарем объемом 9 мегабайт при скорости перебора 5310986 паролей/сек показало следующее [12]:

• время взлома пароля, состоящего из слов английского (русского) языка составляет до 2 минут;
• время взлома пароля длиной 8 символов, состоящего из цифр составляет 18 секунд;
• время взлома пароля длиной 8 символов, состоящего из цифр и букв английского алфавита составляет до 6 суток;
• время взлома пароля длиной 8 символов, состоящего из цифр, букв и символов достигает 61 суток.

Программы взлома парольной защиты часто предусматривают возможность уменьшения числа перебираемых комбинаций символов, и как следствие, существенное ускорение работы. Для этого в настройках программ-парольных взломщиков предусматривается возможность использования априорной информации о взламываемом пароле (если таковая имеется), а именно, информации о длине пароля (числе символов), типе символов (например, если известно, что пароль состоит только из букв, или из букв и цифр, не без включения иных символов). Если часть используемых в пароле символов известна, то как правило, возможен их учет и программа прямого перебора использует их как «маску» (brute force with mask), что эквивалентно уменьшению длины пароля. Для пре
дотвращения таких атак нельзя допускать возможность подсматривания за вводом пароля сторонними лицами.

В современных операционных системах пароли закрываются с помощью достаточно надежных криптографических алгоритмов, что не позволяет рассчитывать на их быструю дешифрацию. В этом случае парольные взломщики просто шифруют все подбираемые или автоматически генерируемые пароли с использованием того же самого криптографического алгоритма, который применяется для засекречивания паролей в атакуемой операционной системе, и сравнивают результаты шифрования с записями в системном файле, где хранятся шифрованные пароли пользователей этой системы [1].
Принятые в большинстве операционных систем меры защиты от подбора пароля предусматривают ограничение числа неправильных попыток ввода пароля, аудит попыток входа в систему, возможность задания правил, определяющих политику безопасности парольной защиты.
5. Использование программных закладок. Для добывания паролей, хранящихся в памяти компьютера, в том числе, системных паролей могут использоваться специальные программы – программные закладки, скрытно устанавливаемые в атакуемый компьютер с целью получения информации о пользовательских паролях.
Программная закладка – это программа или фрагмент программы, скрытно внедряемый в защищенную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам защищенной системы [8].
К наиболее распространенной разновидности программных закладок — перехватчиков паролей относятся программы, которые будучи внедренными в операционную систему, получают доступ к паролям, вводимым пользователями, перехватывают их, записывают в специальный файл или в другое место, доступное злоумышленнику, внедрившему закладку в систему.
К наиболее опасным видам таких вредоносных программ относятся, в частности, трояны-клавиатурные мониторы, записывающие нажатия клавиш клавиатуры и записывающие их в лог-файл с последующей передачей этой информации по сети, например, на запрограммированный в них адрес электронной почты. Некотрые виды троянов-клавиатурных мониторов способны выделять и сохранять информацию только о вводимых паролях. Специально для добывания хранящихся в памяти компьютера паролей предназначены троянские программы-парольные воры. Следует отметить, что троянские программы являются самыми распространенными из всех видов вредоносных компьютерных программ (обычно называемых компьютерными вирусами) и все более часто используются для добывания парольной информации. Согласно недавнему отчету компании McAfee количество Троянов, предназначенных для кражи паролей в интернете за 2008 год выросло на 400 % [7].
6. Удаленный доступ к компьютеру. Получение парольной информации злоумышленником возможно при успешном проведении сетевых атак и получении возможности удаленного управления компьютером. Очевидно, что в этом случае, обеспечивается возможность получения любой, в том числе, парольной информации, хранящейся в компьютере.
7. Непосредственный доступ к компьютеру. Если возможен непосредственный доступ злоумышленника к защищенному компьютеру, то им может получена информация, записанная в компьютере, включая данные о паролях, включая пользовательские учетные записи и системные пароли.
Такие атаки возможны, если в политике безопасности или при администрировании компьютерной системы допущены ошибки, в частности не перекрыта возможность загрузки операционной системы с внешних носителей (дискет, CD, DVD). В этом случае любая информация с атакованного компьютера может быть скопирована и подвергнута анализу. В частности, становится возможным подбор пароля, даже если он хранился в компьютере в зашифрованном виде.
В случае, когда не закрыт физический доступ к компьютеру, может оказаться возможным вскрыть корпус компьютера и получить полный доступ к информации, записанной на жестком диске, либо путем загрузки с внешнего жесткого диска, либо путем подключения жесткого диска атакуемого компьютера к другому компьютеру.
8. Перехват паролей с использованием технических средств. Использование технических каналов утечки для получения конфиденциальной, в том числе парольной, информации является весьма непростой, но решаемой задачей. В подавляющем большинстве случаев используются электромагнитный и электрический каналы утечки, реже – оптический канал, предполагающий возможность визуального наблюдения за процессом ввода информации. Такое наблюдение может осуществляться с использованием оптических приборов или видеокамер.
Один из возможных вариантов использования электромагнитного канала утечки информации основан на регистрации электромагнитных полей кабельных линий по которым передается информация. Например, если компьютер подключен через модем к телефонной линии, то даже при бесконтактном подключении к линии, чаще всего осуществляемом с помощью индуктивных датчиков, становиться возможным перехват трафика, в том числе, паролей (например, паролей к электронному почтовому ящику).
Крайне опасными следует считать устройства, предназначенные для перехвата сигналов клавиатуры – аппаратно реализованные клавиатурные мониторы. Такое устройство может быть скрытно установлено на провод клавиатуры или как «переходник» между системным блоком и разъемом клавиатуры, либо внутри системного блока. В этом случае вся набираемая на клавиатуре информация перехватывается и передается, как правило, по радиоканалу.
Для сохранения секретности вводимого пароля, он, как правило, не отображается на экране, а представляется в строке ввода пароля в виде «звездочек», «точечек» или, реже, иных символов. При таком отображении пароля, иногда звездочки только скрывают содержимое этого поля, притом что информация, относящаяся к полю ввода уже находится в памяти компьютера. В этих случаях пароль, отображенный строкой звездочек, может быть определен с помощью специальных программ.

Правила парольной защиты

Надежный пароль должен удовлетворять целому ряду требованиям.
1. Пароль должен быть секретным:

• недопустимо отображение пароля на экране;
• записанный пароль нельзя хранить в местах, доступных неавторизованным лицам, например, на листочках, приклеиваемых к монитору;
• файл паролей должен иметь надежную криптографическую защиту; – пароль не рекомендуется сохранять в компьютере даже в специальных защищенных файлах – для большей безопасности пароль следует хранить записанным на внешний носитель, который должен быть надежно защищен от несанкционированного доступа;
• возможности операционной системы и других программ по сохранению пароля должны игнорироваться, на предложение программ запомнить пароль нужно всегда отвечать отказом.

2. Пароль должен быть длинным: пароль должен состоять не менее чем из 8 символов, иначе он легко может быть взломан программами прямого перебора;
3. Пароль должен быть трудно угадываемым: недопустимо совпадение пароля с логином, использование в качестве пароля имени, фамилии, даты рождения, номеров телефонов пользователя или его родственников, кличек любимых домашних животных, названий спортивных клубов, географических названий, например, любимых мест отдыха и т.п.
4. Пароль не должен представлять собой распространенные слова, имена, названия для защиты от атаки со словарем.
5. Пароль должен быть сложным, т.е. пароль должен представлять собой случайную комбинацию различных символов для защиты от атаки методом прямого перебора: пароль должен содержать не только буквы, как прописные, так и строчные, цифры, а также различные не буквенно-цифровые символы (`

! @ # $ % ^ & * ( ) _ + — = < >| [ ] \ : » ; ‘ ? , . /), которые могут быть введены с клавиатуры, т.е. при вводе пароля должно выполняться переключение верхнего и нижнего регистров клавиатуры, а, если возможно, то и переключение раскладки клавиатуры (т. е. переключение языка – английский-русский); лучшими паролями являются пароли, сгенерированные как случайные последовательности.
6. Пароль должен регулярно меняться, причем, желательно, чтобы изменения пароля осуществлялись не реже одного раза в 60-90 дней и не по графику, а случайным образом.
7. Пароль должен значительно отличаться от паролей, использовавшихся ранее.
8. Каждый пароль должен использоваться уникально – только одним пользователем и для получения доступа только к одной из систем или программ, т. е. нельзя использовать один и тот же пароль для доступа, например, к сеансу работы с компьютером и для доступа к электронному почтовому ящику.
9. Подсказки к паролям не должны использоваться – следует всегда игнорировать предусмотренные на случай, если пароль будет забыт предложения операционной системы или других программ ввести при задании пароля подсказку, указать дополнительные сведения или ответ на контрольный вопрос (например, о вашем росте, любимом блюде, девичьей фамилии матери, номере паспорта и т.п.), – злоумышленнику может оказаться значительно легче узнать (подобрать) ответ на подсказку, чем узнать пароль.
10. Пароль не должен передаваться по недостаточно надежно защищенным каналам связи, например, пересылаться по электронной почте, передаваться по телефону, факсу и т.п..
11. Пароль должен немедленно заменяться, если есть подозрения, что он мог быть раскрыт.

Наиболее эффективно противодействовать несанкционированному доступу можно, сочетая парольную защиту с другими методами ограничения доступа, например, использующими биометрические технологии идентификацию, например, по отпечаткам пальцев, радужной оболочке глаза или другим индивидуальным характеристикам.
Если необходимо обеспечить надежную защиту, пароль обязательно должен удовлетворять требованиям сложности и достаточно большой длины. В таблице 1 приведены количество вариантов, которые необходимо перебрать в случае «лобовой» атаки методом прямого перебора, если пароль состоит из 6-ти символов. Также в таблице даны значения длины пароля, такие чтобы число вариантов при его переборе было равно числу вариантов перебора случайного криптографического ключа длиной 56 и 256 бит – такие длины ключей предусмотрены в старом, но еще очень распространенном стандарте шифрования DES (США) и действующих стандартах AES (США) и российском ГОСТ 28147-89.

Таблица 1 Зависимость сложности пароля от используемого набора символов и длины [3]

Алфавит	Мощность алфавита	Количество вариантов 6-символьного пароля	Длина пароля, необходимая для достижения стойкости DES 2 56 (7,21 10 16 )	Длина пароля, необходимая для достижения стойкости ГОСТ 2 256 (1,16 10 77 )
Строчные английские буквы	26	3,09 10 8	12	55
Строчные русские буквы	33	1,29 10 9	12	51
Строчные и заглавные английские буквы	52	1,97 10 10	10	45
Строчные и заглавные английские буквы и цифры	62	5,68 10 10	10	43
Строчные и заглавные русские буквы	66	8,27 10 10	10	43
Строчные и заглавные русские буквы и цифры	76	1,93 10 11	9	41
Строчные и заглавные английские буквы, цифры и знаки препинания	94	6,90 10 11	9	40
Строчные и заглавные русские буквы, цифры и знаки препинания	108	1,59 10 12	9	38
Все алфавитно-цифровые символы русифицированной клавиатуры	160	1,68 10 13	8	35

_____________________________________________
Следует отметить, что использование надежных сложных паролей может создавать определенные сложности. Одной из проблем, затрудняющих использование приведенных правил формирования надежных паролей является сложность запоминания нескольких разных достаточно длинных паролей, сформированных как бессмысленная комбинация букв, цифр и символов. Обычно, если используют такие пароли, то их приходится записывать, что снижает уровень безопасности вследствие ослабления парольной защиты. Чтобы избежать необходимости записывать сложные пароли, желательно использовать те или иные правила формирования псевдослучайных паролей, которые при этом легко запоминаются. Так, можно использовать фразы из стихотворений, песен, которые преобразуются так, чтобы получилась внешне лишенная смыслового содержания последовательность. Например, если взять слова известной песни «Три танкиста, три веселых друга – экипаж машины боевой» и использовать первые буквы слов, заменив числительные цифрами и сохранив знаки препинания, то получится пароль «3Т,3вд-ЭМБ» (или набранный латинскими буквами @3N?3dl-“V http://www.realdosug.ru/hack/porolnyae_vzlomchiki.ht. ).
2. Берд Киви. Защити свои файлы / Киви Берд. – «ИнфоБизнес» / http://www.ibusiness.ru/offline/2000/124/10356/ ).
3. Введение в криптографию / Под общ. ред. В.В. Ященко. – М.: МЦНМО: «ЧеРо», 1999. – 272 с.
4. Взломать пароль — по-прежнему легко / ( http://hi-tech.mail.ru/news/item/2932/ )
5. Даклин Пол. Простые советы по более разумному выбору и использованию паролей / Пол Даклин. – ( http://www.infosecurity.ru/_gazeta/content/060525/ar. ).
6. Леонтьев Б. Хакинг без секретов / Б. Леонтьев. — М: Познавательная книга плюс, 2000. – 736 с.
7. Осторожно: хакеры! / ( http://hi-tech.mail.ru/news/item/3698 ).
8. Проскурин В.Г. Перехватчики паролей пользователей операционных систем / В.Г. Проскурин / ( http://www.crime-research.ru/library/paswper.htm ).
9. Украсть пароль? Нет ничего проще / ( http://www.internet.ru ).
10. Хакерство и безопасность. Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / ( http://www.diwaxx.ru/hak/vzlompass4.html ).
11. Хикс Сара (Sarah Hicks). Мобильные устройства и вредоносные программы / Сара Хикс. – ( http://www.infosecurity.ru/_gazeta/content/060323/ar. ).
12. Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / ( http://www.diwaxx.ru/hak/vzlompass4.html ).
13. WebKnacKer Alex. Быстро и легко. Хакинг и антихакинг: защита и нападение / Alex WebKnacKer. – М.: Лучшие книги, 2004. – 400 с.

________________________
© Голуб Владимир Александрович

Источник