Парольные системы

Особенности парольной системы аутентификации, возможные средства взлома парольных систем и правила защиты паролей. Методы проверки принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности учетной записи пользователя.

Рубрика	Программирование, компьютеры и кибернетика
Вид	контрольная работа
Язык	русский
Дата добавления	25.06.2017
Размер файла	30,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство Образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Уфимский государственный нефтяной технический университет»

Кафедра информатики и информационно-коммуникационных технологий

по дисциплине: Информационная безопасность

Выполнил студент гр. СЭБз-14-01

Проверил к.ф.м.н., доцент,

Введение
1. Сущность, понятия парольной системы
1.1 Методы оценки парольных систем
2. Программы генерации паролей
Заключение
Список использованных источников
Введение

Пароли традиционно являются наиболее распространенным и доступным средством аутентификации. Для пользователей это один из самых удобных вариантов, который, к тому же, не требует наличия какого-либо дополнительного оборудования или специальных навыков. Все что требуется — это придумать и запомнить стойкий пароль (или несколько паролей).

Кажется, это совсем не сложно, но, к сожалению, суровая реальность вносит свои коррективы в этот процесс. Часто пароли взламываются.

В данной работе необходимо рассмотреть парольные системы аутентификации, ознакомиться со средствами взлома парольных систем и правилами парольной защиты.

1. Сущность, понятия парольной системы

Парольная система как неотъемлемая составляющая подсистемы управления доступом системы защиты информации (СЗИ) является частью «переднего края обороны» всей системы безопасности. Поэтому парольная система становится одним из первых объектов атаки при вторжении злоумышленника в защищенную систему.

Подсистема управления доступом СЗИ затрагивает следующие понятия:

Идентификатор доступа — уникальный признак субъекта или объекта доступа.

Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Пароль — идентификатор субъекта доступа, который является его (субъекта) секретом.

Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Можно встретить и такие толкования терминов идентификатор и пароль пользователя [1]:

Идентификатор — некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя.

Пароль — некоторое секретное количество информации, известное только пользователю и парольной системе, предъявляемое для прохождения процедуры аутентификации.

Учетная запись — совокупность идентификатора и пароля пользователя.

Одним из наиболее важных компонентов парольной системы является база данных учетных записей (база данных системы защиты). Возможны следующие варианты хранения паролей в системе:

1. в открытом виде;

2. в виде хэш-значений (hash (англ.) — смесь, мешанина);

3. зашифрованными на некотором ключе.

Наибольший интерес представляют второй и третий способы, которые имеют ряд особенностей.

Хэширование не обеспечивает защиту от подбора паролей по словарю в случае получения базы данных злоумышленником. При выборе алгоритма хэширования, который будет использован для вычисления хэш-значений паролей, необходимо гарантировать несовпадение хэш-значений, полученных на основе различных паролей пользователей. Кроме того, следует предусмотреть механизм, обеспечивающий уникальность хэш-значений в том случае, если два пользователя выбирают одинаковые пароли. Для этого при вычислении каждого хэш-значения обычно используют некоторое количество «случайной» информации, например, выдаваемой генератором псевдослучайных чисел.

При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. Возможны следующие варианты:

1. ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки;

2. ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске;

3. ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.

Наиболее безопасное хранение паролей обеспечивается при их хэшировании и последующем шифровании полученных хэш-значений, т.е. при комбинации второго и третьего способов хранения паролей в системе.

Как пароль может попасть в руки злоумышленника? Наиболее реальными выглядят следующие случаи:

1. записанный вами пароль найден злоумышленником;

2. пароль был подсмотрен злоумышленником при вводе легальным пользователем;

3. злоумышленник получил доступ к базе данных системы защиты.

Меры противодействие первым двум опасностям очевидны.

В последнем случае злоумышленнику потребуется специализированное программное обеспечение, поскольку, записи в таком файле крайне редко хранятся в открытом виде. Стойкость парольной системы определяется ее способностью противостоять атаке злоумышленника, завладевшего базой данных учетных записей и пытающегося восстановить пароли, и зависит от скорости «максимально быстрой» реализации используемого алгоритма хэширования. Восстановление паролей заключается в вычислении хэш-значений по возможным паролям и сравнении их с имеющимися хэш-значениями паролей с последующим их представлением в явном виде с учетом регистра.

Из базы данных учетных записей пароль может быть восстановлен различными способами: атакой по словарю, последовательным (полным) перебором и гибридом атаки по словарю и последовательного перебора.

При атаке по словарю последовательно вычисляются хэш-значения для каждого из слов словаря или модификаций слов словаря и сравниваются с хэш-значениями паролей каждого из пользователей. При совпадении хэш-значений пароль найден. Преимущество метода — его высокая скорость. Недостатком является то, что таким образом могут быть найдены только очень простые пароли, которые имеются в словаре или являются модификациями слов словаря. Успех реализации данной атаки напрямую зависит от качества и объема используемого словаря (несложно отыскать подобные готовые словари в Интернете).

Последовательный перебор всех возможных комбинаций (brute force (англ.) — грубая сила, решение «в лоб») использует набор символов и вычисляет хэш-значение для каждого возможного пароля, составленного из этих символов. При использовании этого метода пароль всегда будет определен, если составляющие его символы присутствуют в выбранном наборе. Единственный недостаток этого метода — большое количество времени, которое может потребоваться на определение пароля. Чем большее количество символов (букв разного регистра, цифр, спецсимволов) содержится в выбранном наборе, тем больше времени может пройти, пока перебор комбинаций не закончится.

При восстановлении паролей гибридом атаки по словарю и последовательного перебора к каждому слову или модификации слова словаря добавляются символы справа и/или слева (123parol). Помимо этого, может осуществляться проверка использования: имен пользователей в качестве паролей; повторения слов (dogdog); обратного порядка символов слова (elpoep); транслитерации букв (parol); замену букв кириллицы латинской раскладкой (gfhjkm).

Для каждой получившейся комбинации вычисляется хэш-значение, которое сравнивается с хэш-значениями паролей каждого из пользователей.

Какой пароль можно однозначно назвать слабым во всех отношениях (за исключением запоминаемости)? Типичный пример: пароль из небольшого количества (до 5) символов/цифр. По некоторым данным, из 967 паролей одного из взломанных почтовых серверов сети Интернет 335 (почти треть) состояла исключительно из цифр. Количество паролей, включающих буквы и цифры оказалось равным 20. Остальные пароли состояли из букв в основном в нижнем регистре за редким исключением (в количестве 2 паролей) включающих спецсимволы («*», «_»). Символ «_», однако, часто встречался в именах пользователей. В 33 случаях имя и пароль пользователя совпадали. Самым популярным оказался пароль 123 (встречался 35 раз, почти каждый 27 пароль). На втором месте пароль qwerty (20 паролей). Как удобно он набирается, не правда ли? Далее следуют: 666 (18 раз), 12 (17 раз), xakep (14 раз) и 1, 11111111, 9128 (по 10 раз). 16 паролей состояли из одного символа/цифры.

В повседневной жизни современному человеку приходится держать в памяти немалое количество информации: пин-коды к банковской карте и мобильному телефону, комбинации кодовых замков, пароль для доступа в Интернет, к ресурсам разного рода, электронным почтовым ящикам. Все ли пароли необходимо держать в памяти? Все зависит от оценки уровня потерь в результате попадания вашего пароля в чужие руки. Пароли для доступа в Интернет и к ресурсам сети никто не мешает записать в блокнот, если вы не опасаетесь, что кто-нибудь войдет в сеть без вашего ведома и ознакомится с содержанием почтового ящика. Данное умозаключение, однако, не распространяется на пароли, используемые на рабочем месте. Получение доступа к локальной сети от вашего имени может, по определенным причинам, стать заманчивым вариантом. Пин-код банковской карты тоже не запрещается фиксировать на бумаге, главным условием в этом случае является раздельное хранение карты и записанной без пояснений кодовой комбинации.

Повышение требований к паролю возникает из-за степени его важности. Примером «важного пароля» служит пароль, применяемый для работы в автоматизированных системах, обрабатывающих информацию ограниченного доступа (государственная тайна, конфиденциальная информация). Руководящие документы Гостехкомиссии России не дают конкретных рекомендаций по выбору пароля или расчету его стойкости, за исключением длины, которая составляет от 6 (класс 3Б, 3А, 2Б, 2А) до 8 (класс 1Б, 1А) буквенно-цифровых символов и необходимости периодической смены пароля.

1.1 Методы оценки парольных систем

аутентификация пароль идентификатор

Существуют методы количественной оценки стойкости парольных систем [2]:

Источник

Парольные системы способы защиты

Аутентификация пользователей, т.е. подтверждение их подлинности, обеспечивается в первую очередь путем использования парольной защиты.
Слабая парольная защита является одной из основных причин уязвимости компьютерных систем к попыткам несанкционированного доступа. В 2008 году 84 % компьютерных взломов были осуществлены вследствие несовершенства парольной защиты [4].
По данным опросов, проведенных по заказу устроителей международной выставки Infosecurity Europe более 70 % британцев признались, что отдали бы постороннему пароль от своего компьютера в обмен на плитку шоколада, а некоторые и без какой бы то ни было материальной компенсации [9]. Кроме того, по результатам другого опроса 79 % жителей Великобритании хоть раз отдавали посторонним лицам информацию, которая могла бы быть использована для кражи персональных данных, необходимых для незаконных операций с кредитными карточками и другими финансовыми инструментами.
По результатам опроса, проведенного в апреле 2006 г. компанией Sophos, 41 % респондентов используют один и тот же пароль во всех случаях, из них 75 % используют не только один и тот же пароль во всех случаях но он является простым, легко угадываемым. Следовательно, 31 % пользователей (75 % от 41 %) не обладают учетными записями с надежно защищенными паролями доступа [5].

Другое исследование, проведенное в Великобритании, показало, что почти две трети коммерческих пользователей не применяют пароль при входе в системы своих ноутбуков, а из тех, кто пользуется паролем, 15 % употребляют в качестве пароля собственное имя, а 10 % сообщают свой пароль коллегам. Одна треть опрошенных ни разу не меняла пароль на протяжении прошедшего года [11].
По данным 2009 г. самым популярным паролем по-прежнему остается «1234». На втором месте «12345678», на которые приходится 14 % взломов. Благодаря подбору только этих двух паролей, в прошлом году хакеры похитили с банковских счетов несколько миллионов долларов. К числу самых популярных паролей относятся «QWERTY» и «AZERTY» (соответствующие клавиши расположены подряд в левой верхней части клавиатуры для англо- и франкоговорящих стран), а также имена детей и их даты рождения. Пароли «Покемон» и «Матрица» позволили осуществит взлом в 5 % случаев, а пароли «password» и «password1» – еще в 4 % [4].
Председатель правления Microsoft Билл Гейтс в одном из своих выступлений еще в 2006 г. предсказал гибель традиционным паролям, так как они не в состоянии с должной надежностью обеспечить информационную безопасность. Для замены традиционного пароля перспективными являются биометрические системы контроля доступа. Такие системы, основанные на аутентификации по отпечатку пальца, голосу, рисунку радужной оболочки глаза и др. уже достаточно широко используются, но до замены ими символьного пароля еще далеко. Широкое использование в ближайшем будущем для идентификации пользователей смарт-карт и электронных ключей является более реальным. Но пока символьный пароль – самый распространенный способ аутентификации и еще очень долго будет им оставаться.

Взлом парольной защиты

Описание способов взлома пароля, на первый взгляд, не относится к занятиям благопристойным. Но, как ни странно, эти знания, хотя бы в минимальном объеме, необходимы всем пользователям компьютерных и телекоммуникационных систем. Во-первых, потому что нередко возникает необходимость взломать собственную парольную защиту, когда пароль забыт, и другого способа получить доступ к собственным данным нет. Во-вторых, потому что нет лучшего способа протестировать надежность парольной защиты компьютерной системы, чем попытка ее взлома. В-третьих, сегодня любой желающий, может легко найти любую самую детальную информацию о современных технологиях преодоления парольной защиты. И, наконец, в-четвертых, самое главное – знание методов взлома паролей и анализ этих методов являются основой для того, чтобы сформулировать правила парольной защиты, обеспечивающие максимально надежное противодействие попыткам несанкционированного доступа к информации.
Для взлома парольной защиты используются следующие методы.
1. Узнавание пароля. Часто пользователи записывают пароли на листках, в блокнотах, тетрадях, доступных неавторизованным лицам. Доступность записанных паролей, их несекретность, является одной из важных «дыр» в парольной защите. Часто пароли доступа могут быть получены путем их выведывания, обычно с использованием тех или иных методов психологии или социальной инженерии. Разновидностью этого метода является выведывание информации, которая могла быть использована пользователем в подсказках, иногда предусматриваемых на случай, если пароль забыт. Такие подсказки предлагаются, например, почтовыми серверами при регистрации электронного почтового ящика и, обычно, представляются предложением ответить на некоторый контрольный вопрос, такой как «Ваш рост», «Ваше любимое блюдо», «номер Вашего паспорта», «девичья фамилия матери» и т. п. Для желающего получить доступ к защищенному паролем ресурсу, как правило, значительно легче узнать информацию, необходимую для правильного ответа на подобные вопросы, чем сам пароль.
2. Угадывание пароля. Во многих случаях в качестве пароля используются имена, фамилии, номера телефонов и другие личные данные пользователя или его родственников и друзей. Такая информация может быть известна злоумышленникам, что позволяет использовать ее для угадывания и подбора пароля. В наиболее примитивном случае пароль выбирается пользователем таким же как учетное имя (логин).
3. Словарная атака. Наиболее распространенным вариантом при выборе пароля является задание в качестве пароля некоторого слова, что, в первую очередь, обусловлено легкостью запоминания такого пароля. В этом случае пароль может быть выявлен при помощи специальных программ-взломщиков паролей, реализующих, так называемую, словарную атаку, состоящую в последовательном переборе всех слов, содержащихся в электронном словаре, подключаемом к такой программе.

В настоящее время для определения пароля разработан ряд специальных словарей, опубликованных или размещенных в Интернете. Такие словари содержат сотни тысяч слов, имен, названий, наиболее часто употребляемых в качестве паролей, в том числе географических, названий корпораций, торговых марок, названий кинофильмов, спортивных клубов и т.п. Словарный перебор осуществляется очень быстро, особенно, если словарь составлен как частотный, в котором слова расположены с учетом частоты их использования в качестве паролей. Словари могут подключаться к программам взлома паролей.
Парольные взломщики могут не только проверять все слова из словаря, но и формировать множество дополнительных вариантов, применяя определенные правила видоизменения слов для генерации возможных паролей. Например, производится попеременное изменение буквенного регистра, в котором набрано слово; меняется на обратный порядок следования букв в слове; в начало и в конец каждого слова приписывается цифра 1; некоторые буквы заменяются на близкие по начертанию цифры (в результате, например, из слова password получается pa55w0rd) и т.д. [10]. Например, в известном парольном взломщике LC4, наряду с возможностью установки ряда параметров взлома, повышающих эффективность работы программы, в числе прочих настроек предусмотрено задание следующих параметров атаки по словарю:

обычное использование словаря;
записанные дважды слова;
обратный порядок символов слов;
усеченные до заданного количества символов слова;
слова без гласных, за исключением заглавной;
транслитерация русских букв латинскими по заданной таблице транслитерации;
замена раскладки локализации латинской раскладкой клавиатуры;
замена латинской раскладки клавиатуры раскладкой локализации.

Алгоритмы формирования множества вариантов слов могут быть различны. Некоторые парольные взломщики поочередно проверяют каждое слово из словаря и формируют на его основе множество вариантов, другие программы-вломщики сначала обрабатывают весь словарь при помощи заданных правил, генерирую, по-существу, новый большой вариативный словарь, используемый для подбора пароля.
4. Метод прямого перебора (brute-force attack – метод грубой силы, «лобовая атака»). Этот метод предполагает прямой перебор всех возможных комбинаций всех допустимых в пароле символов. Перебор символов осуществляется до тех пор, пока не будет найдена нужная комбинация.
Описанные выше способы преодоление парольной защиты путем узнавания или угадывания пароля с перебором ограниченного количества сочетаний букв, цифр и символов, вводимых с клавиатуры, может привести к успеху лишь в том случае, когда пользователь игнорирует элементарные правила выбора пароля. Словарная атака эффективна лишь при игнорировании пользователем одного из основных правил выбора пароля – не использовать в качестве пароля семантически определенное слово. Если выбран нетривиальный и достаточно длинный пароль, его успешный подбор возможен только методом прямого перебора с использованием специальных программ-взломщиков. Программная реализация метода автоматического перебора позволяет взломать любой пароль, но для сложных паролей может потребоваться значительное время, особенно учитывая возможное переключение верхнего и нижнего регистров и раскладки клавиатуры.
Проведенное исследование устойчивости паролей к взлому с использованием программы SAMInside, предназначенной для взлома паролей Windows NT/2000/ХР, на компьютере AMD 2400 XP+ со словарем объемом 9 мегабайт при скорости перебора 5310986 паролей/сек показало следующее [12]:

время взлома пароля, состоящего из слов английского (русского) языка составляет до 2 минут;
время взлома пароля длиной 8 символов, состоящего из цифр составляет 18 секунд;
время взлома пароля длиной 8 символов, состоящего из цифр и букв английского алфавита составляет до 6 суток;
время взлома пароля длиной 8 символов, состоящего из цифр, букв и символов достигает 61 суток.

Программы взлома парольной защиты часто предусматривают возможность уменьшения числа перебираемых комбинаций символов, и как следствие, существенное ускорение работы. Для этого в настройках программ-парольных взломщиков предусматривается возможность использования априорной информации о взламываемом пароле (если таковая имеется), а именно, информации о длине пароля (числе символов), типе символов (например, если известно, что пароль состоит только из букв, или из букв и цифр, не без включения иных символов). Если часть используемых в пароле символов известна, то как правило, возможен их учет и программа прямого перебора использует их как «маску» (brute force with mask), что эквивалентно уменьшению длины пароля. Для пре
дотвращения таких атак нельзя допускать возможность подсматривания за вводом пароля сторонними лицами.

В современных операционных системах пароли закрываются с помощью достаточно надежных криптографических алгоритмов, что не позволяет рассчитывать на их быструю дешифрацию. В этом случае парольные взломщики просто шифруют все подбираемые или автоматически генерируемые пароли с использованием того же самого криптографического алгоритма, который применяется для засекречивания паролей в атакуемой операционной системе, и сравнивают результаты шифрования с записями в системном файле, где хранятся шифрованные пароли пользователей этой системы [1].
Принятые в большинстве операционных систем меры защиты от подбора пароля предусматривают ограничение числа неправильных попыток ввода пароля, аудит попыток входа в систему, возможность задания правил, определяющих политику безопасности парольной защиты.
5. Использование программных закладок. Для добывания паролей, хранящихся в памяти компьютера, в том числе, системных паролей могут использоваться специальные программы – программные закладки, скрытно устанавливаемые в атакуемый компьютер с целью получения информации о пользовательских паролях.
Программная закладка – это программа или фрагмент программы, скрытно внедряемый в защищенную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам защищенной системы [8].
К наиболее распространенной разновидности программных закладок — перехватчиков паролей относятся программы, которые будучи внедренными в операционную систему, получают доступ к паролям, вводимым пользователями, перехватывают их, записывают в специальный файл или в другое место, доступное злоумышленнику, внедрившему закладку в систему.
К наиболее опасным видам таких вредоносных программ относятся, в частности, трояны-клавиатурные мониторы, записывающие нажатия клавиш клавиатуры и записывающие их в лог-файл с последующей передачей этой информации по сети, например, на запрограммированный в них адрес электронной почты. Некотрые виды троянов-клавиатурных мониторов способны выделять и сохранять информацию только о вводимых паролях. Специально для добывания хранящихся в памяти компьютера паролей предназначены троянские программы-парольные воры. Следует отметить, что троянские программы являются самыми распространенными из всех видов вредоносных компьютерных программ (обычно называемых компьютерными вирусами) и все более часто используются для добывания парольной информации. Согласно недавнему отчету компании McAfee количество Троянов, предназначенных для кражи паролей в интернете за 2008 год выросло на 400 % [7].
6. Удаленный доступ к компьютеру. Получение парольной информации злоумышленником возможно при успешном проведении сетевых атак и получении возможности удаленного управления компьютером. Очевидно, что в этом случае, обеспечивается возможность получения любой, в том числе, парольной информации, хранящейся в компьютере.
7. Непосредственный доступ к компьютеру. Если возможен непосредственный доступ злоумышленника к защищенному компьютеру, то им может получена информация, записанная в компьютере, включая данные о паролях, включая пользовательские учетные записи и системные пароли.
Такие атаки возможны, если в политике безопасности или при администрировании компьютерной системы допущены ошибки, в частности не перекрыта возможность загрузки операционной системы с внешних носителей (дискет, CD, DVD). В этом случае любая информация с атакованного компьютера может быть скопирована и подвергнута анализу. В частности, становится возможным подбор пароля, даже если он хранился в компьютере в зашифрованном виде.
В случае, когда не закрыт физический доступ к компьютеру, может оказаться возможным вскрыть корпус компьютера и получить полный доступ к информации, записанной на жестком диске, либо путем загрузки с внешнего жесткого диска, либо путем подключения жесткого диска атакуемого компьютера к другому компьютеру.
8. Перехват паролей с использованием технических средств. Использование технических каналов утечки для получения конфиденциальной, в том числе парольной, информации является весьма непростой, но решаемой задачей. В подавляющем большинстве случаев используются электромагнитный и электрический каналы утечки, реже – оптический канал, предполагающий возможность визуального наблюдения за процессом ввода информации. Такое наблюдение может осуществляться с использованием оптических приборов или видеокамер.
Один из возможных вариантов использования электромагнитного канала утечки информации основан на регистрации электромагнитных полей кабельных линий по которым передается информация. Например, если компьютер подключен через модем к телефонной линии, то даже при бесконтактном подключении к линии, чаще всего осуществляемом с помощью индуктивных датчиков, становиться возможным перехват трафика, в том числе, паролей (например, паролей к электронному почтовому ящику).
Крайне опасными следует считать устройства, предназначенные для перехвата сигналов клавиатуры – аппаратно реализованные клавиатурные мониторы. Такое устройство может быть скрытно установлено на провод клавиатуры или как «переходник» между системным блоком и разъемом клавиатуры, либо внутри системного блока. В этом случае вся набираемая на клавиатуре информация перехватывается и передается, как правило, по радиоканалу.
Для сохранения секретности вводимого пароля, он, как правило, не отображается на экране, а представляется в строке ввода пароля в виде «звездочек», «точечек» или, реже, иных символов. При таком отображении пароля, иногда звездочки только скрывают содержимое этого поля, притом что информация, относящаяся к полю ввода уже находится в памяти компьютера. В этих случаях пароль, отображенный строкой звездочек, может быть определен с помощью специальных программ.

Правила парольной защиты

Надежный пароль должен удовлетворять целому ряду требованиям.
1. Пароль должен быть секретным:

недопустимо отображение пароля на экране;
записанный пароль нельзя хранить в местах, доступных неавторизованным лицам, например, на листочках, приклеиваемых к монитору;
файл паролей должен иметь надежную криптографическую защиту; – пароль не рекомендуется сохранять в компьютере даже в специальных защищенных файлах – для большей безопасности пароль следует хранить записанным на внешний носитель, который должен быть надежно защищен от несанкционированного доступа;
возможности операционной системы и других программ по сохранению пароля должны игнорироваться, на предложение программ запомнить пароль нужно всегда отвечать отказом.

2. Пароль должен быть длинным: пароль должен состоять не менее чем из 8 символов, иначе он легко может быть взломан программами прямого перебора;
3. Пароль должен быть трудно угадываемым: недопустимо совпадение пароля с логином, использование в качестве пароля имени, фамилии, даты рождения, номеров телефонов пользователя или его родственников, кличек любимых домашних животных, названий спортивных клубов, географических названий, например, любимых мест отдыха и т.п.
4. Пароль не должен представлять собой распространенные слова, имена, названия для защиты от атаки со словарем.
5. Пароль должен быть сложным, т.е. пароль должен представлять собой случайную комбинацию различных символов для защиты от атаки методом прямого перебора: пароль должен содержать не только буквы, как прописные, так и строчные, цифры, а также различные не буквенно-цифровые символы (`

! @ # $ % ^ & * ( ) _ + — = < >| [ ] \ : » ; ‘ ? , . /), которые могут быть введены с клавиатуры, т.е. при вводе пароля должно выполняться переключение верхнего и нижнего регистров клавиатуры, а, если возможно, то и переключение раскладки клавиатуры (т. е. переключение языка – английский-русский); лучшими паролями являются пароли, сгенерированные как случайные последовательности.
6. Пароль должен регулярно меняться, причем, желательно, чтобы изменения пароля осуществлялись не реже одного раза в 60-90 дней и не по графику, а случайным образом.
7. Пароль должен значительно отличаться от паролей, использовавшихся ранее.
8. Каждый пароль должен использоваться уникально – только одним пользователем и для получения доступа только к одной из систем или программ, т. е. нельзя использовать один и тот же пароль для доступа, например, к сеансу работы с компьютером и для доступа к электронному почтовому ящику.
9. Подсказки к паролям не должны использоваться – следует всегда игнорировать предусмотренные на случай, если пароль будет забыт предложения операционной системы или других программ ввести при задании пароля подсказку, указать дополнительные сведения или ответ на контрольный вопрос (например, о вашем росте, любимом блюде, девичьей фамилии матери, номере паспорта и т.п.), – злоумышленнику может оказаться значительно легче узнать (подобрать) ответ на подсказку, чем узнать пароль.
10. Пароль не должен передаваться по недостаточно надежно защищенным каналам связи, например, пересылаться по электронной почте, передаваться по телефону, факсу и т.п..
11. Пароль должен немедленно заменяться, если есть подозрения, что он мог быть раскрыт.

Наиболее эффективно противодействовать несанкционированному доступу можно, сочетая парольную защиту с другими методами ограничения доступа, например, использующими биометрические технологии идентификацию, например, по отпечаткам пальцев, радужной оболочке глаза или другим индивидуальным характеристикам.
Если необходимо обеспечить надежную защиту, пароль обязательно должен удовлетворять требованиям сложности и достаточно большой длины. В таблице 1 приведены количество вариантов, которые необходимо перебрать в случае «лобовой» атаки методом прямого перебора, если пароль состоит из 6-ти символов. Также в таблице даны значения длины пароля, такие чтобы число вариантов при его переборе было равно числу вариантов перебора случайного криптографического ключа длиной 56 и 256 бит – такие длины ключей предусмотрены в старом, но еще очень распространенном стандарте шифрования DES (США) и действующих стандартах AES (США) и российском ГОСТ 28147-89.

Таблица 1 Зависимость сложности пароля от используемого набора символов и длины [3]

Алфавит	Мощность алфавита	Количество вариантов 6-символьного пароля	Длина пароля, необходимая для достижения стойкости DES 2 56 (7,21 10 16 )	Длина пароля, необходимая для достижения стойкости ГОСТ 2 256 (1,16 10 77 )
Строчные английские буквы	26	3,09 10 8	12	55
Строчные русские буквы	33	1,29 10 9	12	51
Строчные и заглавные английские буквы	52	1,97 10 10	10	45
Строчные и заглавные английские буквы и цифры	62	5,68 10 10	10	43
Строчные и заглавные русские буквы	66	8,27 10 10	10	43
Строчные и заглавные русские буквы и цифры	76	1,93 10 11	9	41
Строчные и заглавные английские буквы, цифры и знаки препинания	94	6,90 10 11	9	40
Строчные и заглавные русские буквы, цифры и знаки препинания	108	1,59 10 12	9	38
Все алфавитно-цифровые символы русифицированной клавиатуры	160	1,68 10 13	8	35

_____________________________________________
Следует отметить, что использование надежных сложных паролей может создавать определенные сложности. Одной из проблем, затрудняющих использование приведенных правил формирования надежных паролей является сложность запоминания нескольких разных достаточно длинных паролей, сформированных как бессмысленная комбинация букв, цифр и символов. Обычно, если используют такие пароли, то их приходится записывать, что снижает уровень безопасности вследствие ослабления парольной защиты. Чтобы избежать необходимости записывать сложные пароли, желательно использовать те или иные правила формирования псевдослучайных паролей, которые при этом легко запоминаются. Так, можно использовать фразы из стихотворений, песен, которые преобразуются так, чтобы получилась внешне лишенная смыслового содержания последовательность. Например, если взять слова известной песни «Три танкиста, три веселых друга – экипаж машины боевой» и использовать первые буквы слов, заменив числительные цифрами и сохранив знаки препинания, то получится пароль «3Т,3вд-ЭМБ» (или набранный латинскими буквами @3N?3dl-“V http://www.realdosug.ru/hack/porolnyae_vzlomchiki.ht. ).
2. Берд Киви. Защити свои файлы / Киви Берд. – «ИнфоБизнес» / http://www.ibusiness.ru/offline/2000/124/10356/ ).
3. Введение в криптографию / Под общ. ред. В.В. Ященко. – М.: МЦНМО: «ЧеРо», 1999. – 272 с.
4. Взломать пароль — по-прежнему легко / ( http://hi-tech.mail.ru/news/item/2932/ )
5. Даклин Пол. Простые советы по более разумному выбору и использованию паролей / Пол Даклин. – ( http://www.infosecurity.ru/_gazeta/content/060525/ar. ).
6. Леонтьев Б. Хакинг без секретов / Б. Леонтьев. — М: Познавательная книга плюс, 2000. – 736 с.
7. Осторожно: хакеры! / ( http://hi-tech.mail.ru/news/item/3698 ).
8. Проскурин В.Г. Перехватчики паролей пользователей операционных систем / В.Г. Проскурин / ( http://www.crime-research.ru/library/paswper.htm ).
9. Украсть пароль? Нет ничего проще / ( http://www.internet.ru ).
10. Хакерство и безопасность. Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / ( http://www.diwaxx.ru/hak/vzlompass4.html ).
11. Хикс Сара (Sarah Hicks). Мобильные устройства и вредоносные программы / Сара Хикс. – ( http://www.infosecurity.ru/_gazeta/content/060323/ar. ).
12. Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / ( http://www.diwaxx.ru/hak/vzlompass4.html ).
13. WebKnacKer Alex. Быстро и легко. Хакинг и антихакинг: защита и нападение / Alex WebKnacKer. – М.: Лучшие книги, 2004. – 400 с.

Источник