100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материала

Документы

Содержание Миф №24 "14 символов - наилучшая длина пароля"16.03.2009 10:41 Миф №25 "Если что-то защищено паролем, оно не может быть взломано"17.03.2009 09:28

Подобный материал:

• Аннотация, 418.67kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
• Содержание курса. Урок, 902.96kb.
• Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
• Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
• «Комплексные системы информационной безопасности», 260.23kb.
• Вопросы по информационной безопасности, 268.68kb.
• Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.

Миф №24 "14 символов - наилучшая длина пароля"16.03.2009 10:41

В рамках рубрики "Мнение эксперта" мы продолжаем публикацию книги А.В.Лукацкого ссылка скрыта


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

После взлома социальной сети MySpace в 2006 году и phpbb.com в 2009 году многими экспертами проводился анализ паролей, выбираемых пользователями. По статистике, от 65% до 96% всех паролей содержали 8 и менее символов. Об этом же говорят и списки самых популярных паролей. Во многих рекомендациях по тому, как управлять своими паролями, часто можно увидеть совет выбирать длинные пароли. Мол 8 символов – это уже мало. А так как сложно себе представить, что кто-то выберет пароль из 32 символов, то 14 – это как раз то, что надо. Хотя 32-тисимвольные пароли тоже бывают. Например, при взломе MySpace был обнаружен чемпион - «1ancheste23nite41ancheste23nite4» (надо признать, что повтор слов не делает этот пароль очень уж сложным). Среди других рекордсменов «fool2thinkfool2thinkol2think» и «dokitty17darling7g7darling7».

Но давайте посмотрим на этот совет с другой стороны. Вспомним классические рекомендации по выбору пароля. Использование цифр и букв в разных режимах, бессмысленный набор символов… Под такие критерии подходит, например, такой пароль из 14-ти символов – «74TwrM?0gaqm8z». Он подпадает под определение хорошего с точки зрения любого безопасника. А теперь вспомним, что по данным компании Protocom Development Systems 35,4% пользователей вынуждены помнить от одного до пяти паролей, а 38,1% - от шести до десяти. И при этом четверть этих пользователей постоянно забывает свои пароли. А все потому, что человеческий мозг не в состоянии запомнить столько таких бессмысленных последовательностей. И получается, что на чаше весов – с одной стороны требования безопасности, а с другой – удобство использования паролей. Но т.к. информационная безопасность в отличие от чувства защищенности пока не стала основной потребностью, то ждать, что пользователи ради нее будут перегружать свою память, не стоит. Именно поэтому они и выбирают простые пароли, так легко подбираемые злоумышленниками.

Вообще, длина – не самый важный параметр при выборе пароля. Можно ли назвать стойким пароль из пятидесяти единиц или последовательность из 33 букв российского алфавита? Нет. Хотя он и представляет собой длинную и бессмысленную последовательность. Что же делать? Как выбрать пароль, совмещающий в себе несовместимое – защищенность и удобство?

Одним из интересных вариантов решения задачи является применение парольных фраз, которые отличаются от паролей двумя ключевыми признаками – применение пробелов и длиной. Это позволяет использовать как осмысленные фразы, например, «Я помню чудное мгновенье, Передо мной явилась ты», так и бессмысленные наборы слов, например, «Классика Орангутан 1967 Веревка». Классические методы перебора или подбора по паролю тут не срабатывают. Правда, и у этого метода есть и некоторые ограничения. Например, не все системы допускают использование парольных фраз, а некоторые ограничивают длину вводимого секретного «слова». В качестве промежуточного решения можно предложить брать от парольных фраз только первые два-три символа. Например, «КлаОра196Вер» для приведенной выше парольной фразы. Этот пароль обладает всеми признаками защищенного и при этом легко запоминается.

В качестве заключения могу заметить, что только 0,93% пользователей выбирают пароли длиной свыше 13 символов.

Миф №25 "Если что-то защищено паролем, оно не может быть взломано"17.03.2009 09:28

В рамках рубрики "Мнение эксперта" мы продолжаем публикацию книги А.В.Лукацкого ссылка скрыта


Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Этот миф базируется на мнении, что пароли - такие же стойкие к взлому строки символов, что и криптографические ключи. Но это абсолютно не так. Во-первых, пароли обычно короче современных ключей шифрования. В традиционной или т.н. симметричной криптографии длина ключа составляет 128, 168 или 256 бит, т.е. 16, 21 или 32 байта (байт обычно равен одному символу) соответственно. Вспомните, давно ли вы использовали пароли длиннее 16 байт? На вход в компьютер, выход в Интернет, пароль на архив и т.д., обычно используют пароли не больше 8 символов. А если вспомнить ПИН-коды (к банковской карте, аппаратному токену-идентификатору и т.п.), то их длина и вовсе составляет 4 символа и эти 4 символа - цифры. В качестве примера возьмем ряд последних исследований на эту тему.

Недавно был взломан популярный портал phpbb.com и хакеры разместили в Интернет 20000 паролей пользователей этого сайта. 94,64% всех паролей было короче 9-ти символов. Самыми распространенными (35,16%) составляли шестисимвольные пароли, на втором месте (15,5%) - восьмисимвольные, на третьем (14,6%) - семисимвольные. В октябре 2006 года была взломана социальная сеть MySpace и достоянием общественности стали около 100000 паролей пользователей. Статистика этого взлома тоже неутешительна - 65% паролей содержали 8 и менее символов.

Задача злоумышленника, возжелавшего узнать пароль, облегчается еще и тем, что человек обычно выбирает пароли не из всех возможных вариантов символов на компьютере (а их 256), а, как правило, только из букв. Да и то, буквы обычно выбираются только строчные. Особо продвинутые пользователи (или когда сама программа подсказывает, из каких символов стоит делать выбор) могут включить в свой пароль еще и цифры, но на этом разнообразие обычно заканчивается. И это вполне закономерно. Человеку сложно запоминать редко используемые в повседневной жизни символы. Часто ли вы используете #, &, ~ и т.п.? Это замечание подтверждается реальными цифрами. Почти 10% пользователей использует только буквенные пароли, 28% - буквенные пароли с одной цифрой на конце (две трети из них выбирают в качестве этой цифры единицу). В сумме 81% пользователей использует буквенно-цифровые пароли.

Теперь вспомним школьный курс комбинаторики. Число всех возможных вариантов паролей равно: nm, где n - число используемых в пароле символов, а m - длина пароля. Если длина пароля равна 8 символам и в пароле могли быть использованы все 256 символов, то количество вариантов пароля будет равно 2568 или 18 446 744 073 709 551 616. Если теперь представить, что злоумышленник может подбирать пароли со скоростью 15 миллионов комбинаций в секунду (именно такова скорость, например, у программы Advanced ZIP Password Recovery), то ему понадобится «всего» 14.233.598 дней или 38996 лет (при современном уровне развития вычислительной технике и без использования распределенных вычислений). А теперь посмотрим на среднестатистического пользователя, который выбирает пароль всего из 26 знаков латинского алфавита. Число возможных вариантов паролей при его длине в 8 символов составит 208 827 064 576. При той же скорости, злоумышленник потратит на перебор всего 4 часа. Разумеется, в зависимости от используемой программы подбора/перебора пароля и вычислительной техники скорость может сильно отличаться, но временной порядок становится понятным.

Это, и так небольшое значение, можно еще больше уменьшить, если применить чуть больше воображения и знаний. Например, правши и левши чаше использует клавиши справа или слева клавиатуры соответственно или просто стандартные клавиатурные последовательности. А это еще больше сокращает число вариантов. Например, 14% паролей взломанного портала phpbb.com повторяли такие последовательности как «qwerty», «1234», «asdf», «1qaz2wsx» или «1q2w3e».

И, наконец, по статистике очень много пользователей выбирают в качестве паролей не случайные наборы символов, а вполне осмысленные слова, которые можно найти в любом толковом словаре. Учитывая, что даже в самых больших словарях приводится не больше 100-200 тысяч слов, а реальный словарный запас человека составляет всего 20 тысяч слов, из которых только 3000 он использует ежедневно. Вот и получается, что обычный пароль вычисляется злоумышленником меньше, чем за одну секунду - гораздо быстрее, чем туже самую операцию можно проделать над криптографическими ключами, при генерации которых используются специальные датчики случайных чисел, исключающие из процесса человеческую предсказуемость. Вернемся к реальной статистике.

65% паролей взломанного портала phpbb.com можно было найти в обычном словаре английского языка. А в «хакерском» варианте словаря можно было найти уже 94% паролей. 16% пользователей выбирали в качестве пароля имя - свое или какой-нибудь персоны (известного футболиста, актера, библейского персонажа и т.п.). Например, 5% паролей на сайте phpbb.com относились к шоу-бизнесу - «starwars», «matrix», «legolas», «ironmaiden» и т.п. 4% паролей являются вариантом английского слова «password» - «passw0rd», «password1» или «passwd». Еще 4% относятся к тому, что пользователи видят перед глазами, например, название монитора («samsung»), компьютера («apple»), напиток («cocacola») и т.д. Важно также понимать, что защищается паролем? Например, третьим по популярности пароль взломанного сайта phpbb.com стал «phpbb», а одним из популярных взломанной сети MySpace - «myspace1».

В 2004-м году на сайте димитровградского Интернет-провайдера "Вариант-Информ" проводился опрос «Где вы храните ваши пароли?» 72% ответили, что «в голове». А значит, согласно вышеприведенным фактам, информация трех четвертей всех пользователей уязвима и может быть достаточно легко взломана. Еще 8% опрошенных хранят свои пароли на неэлектронных носителях - стикерсах, пачке сигарет, боковине монитора и т.п. И в этом случае ни о какой защищенности говорить не приходится. Также как и для других 5% пользователей, хранящих свои пароли в обычном текстовом файле, доступ к которому открыт для всех желающих. Еще 4% респондентов хранят все свои пароли в мобильном телефоне, КПК или электронной записной книжке. Они надеются, что заполучить информацию из этих электронных устройств гораздо сложнее. Это не так. Повсеместное распространение мобильных гаджетов приводит к тому, что появляются специальные программы, специально предназначенные для взлома или кражи паролей из КПК. И только 4% пользователей применяют специальные программы для защищенного хранения своих паролей (хотя это не снимает проблемы выбора этих самых паролей).

Только в одном случае этот миф станет реальностью. Когда пароли:

· будут генериться специализированной программой,
· содержать и цифры, и буквы в разных регистрах, а также иные символы,
· не будут осмысленными словами,
· будут превышать 10-12 символов (в данном случае речь идет скорее о парольных фразах, чем самих паролях),
· будут регулярно меняться,
· не будут записываться на стикерсах, приклеиваемых к монитору.

ЗЫ. На сайте ссылка скрыта вы можете найти 500 самых распространенных паролей всех времен и народов.