100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №68 «Dj#wP3M$c – наилучший пароль»16.02.2010 00:15 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №68 «Dj#wP3M$c – наилучший пароль»16.02.2010 00:15
Когда мы рассматривали миф «14 символов – лучшая длина пароля» мы вкратце коснулись этой темы, но сейчас я хотел бы выделить ее в отдельный миф. Многие эксперты по безопасности считают, что как нельзя выбирать короткий пароль, так нельзя выбирать пароль, представляющий собой какое-нибудь слово (например, имя любимой или домашнего питомца) или числовую комбинацию (номер паспорта или телефон близкого человека). Все они легко угадываются и поэтому защищенность системы, в которой работают пользователи, выбирающие такие пароли, только падает. Классической рекомендацией является выбор такой комбинации символов, которая не только превышает 8 знаков, но и является совершенной бессмыслицей, которая отсутствует в словарях, используемых злоумышленниками для подбора паролей. Хорошим примером такой комбинации является «Dj#P3M$c». Но повышает ли она защищенность, как об этом думают и говорят многие учебники по защите информации?
Начнем с того, что не каждый человек в состоянии выбрать себе пароль в соответствие с классическими рекомендациями использовать символы в нижнем и верхнем регистре, а также одновременно цифры, буквы, знаки препинания и иные символы на клавиатуре. Если провести мини-тест среди пользователей, объяснив им как выбирать себе надежный пароль, то их выбор достаточно предсказуем – какое-то легко угадываемое слово, к которому справа или слева добавлено по паре цифр или иных знаков. Первый символ обычно вводится в верхнем регистре. Т.е. и правила безопасности соблюдены, а вот защищенность не возрастает – пароль по-прежнему легко угадывается. А если еще вспомнить, что у трети пользователей не менее 5-ти паролей для доступа к разным системам, то запомнить их все физически невозможно.
Как же выбрать себе не только длинный, но сложно подбираемый пароль? Одной из рекомендаций является применения метода ассоциативных паролей. Суть его проста – пароли создаются на основе различных фраз и предложений, а не просто комбинаций символов. Например, из всем известной фразы «Скажи-ка, дядя, ведь не даром, Москва, спаленная пожаром, французу отдана была» можно составить пароль по первым буквам каждого слова фразы – «сдвндмспфоб». Если к нему добавить еще по ассоциации год Бородинской битвы (1812), то можно получить очень неплохой пароль с точки зрения многих экспертов по безопасности – «1812Сдвндмспфоб!». Главное, что ему не присущ недостаток ранее описанного метода, - пароль легко запоминается.
Однако и у данного метода есть недостаток. Специалисты лаборатории CyLab университета Карнеги-Меллона выдвинули гипотезу, что люди будут выбирать публично известные фразы для создания мнемонических (ассоциативных) паролей - из фильмов, музыки, рекламы и т.п. Как следствие, возможно создание словарей таких фраз, облегчающих подбор пароля. Набрали 290 респондентов и попросили их выбрать себе ассоциативный пароль. Затем применили два вида атак - полным перебором и по словарю (разумеется, состоящему из английских слов). Последний создавался путем анализа разных Web-сайтов (было собрано 249000 фраз и цитат).
Что выбирали люди? Чаще всего они использовали для ассоциаций музыкальные и литературные произведения (примерно по 15%). На третьем месте – фразы из фильмов (10%). Четвертое место заняли телешоу (для России не столь актуально). Пятое - известные публичные речи (вроде «Борис, ты не прав» или «Мочить в сортире»), что для России тоже не будет столь востребовано ввиду отсутствия среди политиков и публичных людей классных ораторов.
А вот дальше было самое интересное - результаты атак. Если атака по словарю для обычных паролей, составленных из цифр и букв в разных регистрах, была эффективна в 11% случаев, то для ассоциативных паролей - в 4%. Прямой перебор помог тоже в 4% случаев (для обычных паролей - в 8%). Т.е. мы видим, что налицо явное повышение защищенности при большей простоте для пользователя. Этот метод можно рекомендовать к применению; тем более что ничего менять в защищаемых системах не придется. Только не надо забывать о нескольких ограничениях:
- С течением времени появятся более эффективные словари фраз (пока их для русского языка нет).
- Пользователи могут выбирать самые популярные фразы, что равносильно выбору пароля по имени кошки, номеру паспорта и т.п. (вычисляется очень легко).
- Пользователя можно поставить в тупик, попросив не использовать широко известные фразы. Психология нам подсказывает, что в этот момент он ничего другого, кроме как из широко известных фраз, просто не. Этот тезис достаточно легко продемонстрировать на примере – соберите множество людей и попросите их не смотреть в потолок. Абсолютно большинство сразу же туда посмотрит ;-)
Как еще можно выбрать хороший пароль? Например, воспользоваться генератором паролей. Таких программ, как устанавливаемых на компьютер, так и работающих через Интернет, можно найти немало – достаточно в поисковой системе ввести «генератор паролей». Но тут возникает практический вопрос. Надежный пароль-то я сгенерю, а вот как его запомнить; особенно если их много? Решений может быть два – использование технологии Single Sign-On (SSO) или специализированных менеджеров паролей. Первая технология позволяет использовать единую учетную запись для централизованного доступа ко многим приложениям (к мифам про SSO мы еще вернемся), а вторая является локальным решением той же проблемы. Решения такого рода (недавно даже Лаборатория Касперского выпустила свой Kaspersky Password Manager) объединяют сразу несколько функций:
- Создание надежных и устойчивых к взлому паролей
- Безопасное хранение паролей на компьютере или смартфоне/КПК
- Авторизация на Web-сайтах и в приложениях (далеко не во всех)
- Быстрое заполнение Web-форм с полями для ввода учетной информации.