The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ ошибок парольной защиты

29.06.2009 13:45

Компания Positive Technologies опубликовала обзор (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем.

Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам, исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567, qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). 53% всех паролей состоят только из цифр (сколько из них номеров телефонов и дат рождения в отчете не упоминается). 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Industry Data Security Standard).

При анализе паролей администраторов информационных систем было выявлено, что администраторы в 15% случаев выбирают "словарные" пароли либо пароли, совпадающие с именем пользователя (10%), а в 2% случаев пароль отсутствует вовсе.

В исследовании приведен анализ эффективности различных ограничений на используемые пароли, таких как контроль минимальной длины и сложности пароля. Так, применение стандартных ограничений к сложности пароля снижает вероятность компрометации системы более чем в 10 раз.

TOP 10 наиболее часто используемых паролей Российскими пользователями:

  1. 1234567 3,36%
  2. 12345678 1,65%
  3. 123456 1,02%
  4. Пустая строка 0,72%
  5. 12345 0,47%
  6. 7654321 0,31%
  7. qweasd 0,27%
  8. 123 0,25%
  9. qwerty 0,25%
  10. 123456789 0,23%


  1. Главная ссылка к новости (http://www.ptsecurity.ru/analy...)
Автор новости: Positive Technologies
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/22371-security
Ключевые слова: security, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 17:21, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Помню как у товарища с ADSL модемом пропали настройки, полезли разбираться, дождались первого MAC-а в ARP таблице, залезли на тот IP браузером через admin/admin и поняли - что-то тут не то. Оказалось, что ADSL модем был настроен в режиме бриджа и мы зашли на коммутатор провайдера :-)
     
     
  • 2.19, Lindemidux (??), 00:06, 30/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я на DSLAM прова был. Тоже Admin/Admin
     

  • 1.2, йа (?), 17:25, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    америку они открыли. Как буд-то профессионального взломщика остаровит сложный пароль если у того будет локальный доступ к системе. Удаленно задача уже ложиться на экраны и пароли тут не причем. И еще интересно кто те 180 тысяч что назвали какой-то левой компании свой пароль
     
     
  • 2.5, XAnder (ok), 17:42, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно? Почитай статью прежде чем... Всё написано.
     
  • 2.10, User294 (??), 20:37, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Как буд-то профессионального взломщика остаровит сложный пароль если
    > у того будет локальный доступ к системе.

    А если будет локальный доступ к владельцу, то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы шифрования с безупречными паролями...

     
     
  • 3.18, Andrew Kolchoogin (?), 22:44, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы
    > шифрования с безупречными паролями...

        Нет.

        Существуют специальные методы обойти ректотермальный криптоанализ.

     
  • 2.20, Фонлиг (?), 08:53, 30/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >И еще интересно кто те
    >180 тысяч что назвали какой-то левой компании свой пароль

    В документе написано - получено в ходе пентестов и аудитов. Т.е. ребята фактически их "взломали".

    И контора далеко не "левая". Positive Technologies - разработчики XSpider (http://www.ptsecurity.ru/xs7.asp) и MaxPatrol (http://www.ptsecurity.ru/mp_eval.asp) - весьма и весьма достойных продуктов.

     

  • 1.3, terminus (ok), 17:32, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Одна из простых, но действенных систем выбора сложного пароля который просто запоминать это использовать какой-нить любимый стишок или песню и брать первые буквы из слов куплетов или первые буквы куплетов.

    Типа:
    Я узнал, что у меня
    Есть огpомная семья -
    И тpопинка, и лесок,
    В поле каждый колосок!

    Речка, небо голубое -
    Это все мое, pодное!
    Это Родина моя!
    Всех люблю на свете я!

    Для первого куплета получаем:
    jucumeosITILVPKK

    добавляем что-нить из спец символов и мега пароль готов.
    #jucumeosITILVPKK#

    В следующий раз при выборе пароля используем второй куплет и т.д.

    Вот так :)

     
     
  • 2.6, Stanislaus (ok), 17:43, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып "шокирующего абсурда", описанный в "Руководстве администратора Linux".
     
     
  • 3.8, prapor (??), 19:30, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып
    >"шокирующего абсурда", описанный в "Руководстве администратора Linux".

    В «UNIX SA Handbook» его описали раньше, хотя да, авторы те же :)

     
     
  • 4.12, krechet (ok), 21:08, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А можно поподробнее?
     
     
  • 5.14, ig0r (??), 21:49, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    http://dkulikovsky.ya.ru/replies.xml?item_no=90&for_reply=text
     
     
  • 6.17, krechet (ok), 22:27, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо
     
  • 2.11, User294 (??), 20:43, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Одна из простых, но действенных систем выбора сложного пароля

    После этого он уже не такой сложный.После афиширования принципа генерации - довольно просто сгенерить и специализированные словари под него.Стишков и песенок в мире не так уж и много(по сравнению например с всем возможным количеством паролей такой длины).И множество перебора сииииииильно сократится.До, может быть, каких-то миллионов или миллиардов вместо астрономических величин.

     
  • 2.13, krechet (ok), 21:15, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё один интересный способ, читал его в книге Флёнова...
    Придумывается какое либо слово, но печатается на ряд вверх, т.е. если в слове есть буква "ф" то при вводе будет использоваться клавиша "й". Например абрикос выглядит как rkyg4ud, при этом можно ещё и шифт понажимать...
     
     
  • 3.15, User294 (??), 22:18, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ещё один интересный способ, читал его в книге Флёнова...

    И чем он популярнее - тем хуже для вас.Поскольку построить добавочные словари с учетом этого метода как-то не особо сложная наука, а шансы что какой-то лузер попадется при словарной атаке - возрастают.И слом по словарю - это лучше чем полный и честный брутфорс длинного пароля на хренадцать символов.Перебрать миллион слов или два (с учетом ваших методов будет еще 1 словарь - с словами сконвертированными в такое представление) не столь уж велика разница.Это сильно лучше чем честно перебирать брутфорсом что-то порядка 2^128 вариантов например, вообще ничего не зная о хренадцатисимвольном пароле.

     
     
  • 4.16, krechet (ok), 22:25, 29/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я не спорю с вами, что там где нужна безопасность нужно использовать сгенерированые пароли (буквы, цифры, регистр, символы), но для обычных пользователей это врятли подойдёт. Они и так используют простые слова и даты рождения, что согласитесь, ломается намного проще и при этом не надо делать добавочные словари. А если давать юзеру нормальный пароль (хотя бы 8 символов, буквы, цифры, регистр), то очень весело смотрится бумажка с таким паролем на мониторе =)
    Помоему если руководство вменяемое и задумывается на тему безопасных паролей (и даёт соответствующие указания), то только тогда можно дрессировать остальных сотрудников, иначе полное отсутствия взаимопонимания...
     

  • 1.4, mazay (??), 17:41, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    читай по ссылке
    в основном голая статистика, правда ограниченная
     
  • 1.7, Evtomax (ok), 19:17, 29/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    После прочтения этого анализа чувствую себя параноиком :D
     
  • 1.21, Frank (??), 09:41, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Более другой вариант: берём префикс (обычный запоминаемый пароль, например, по начальным буквам стиха), добавляем символы, "генерируемые" по имени ресурса, к которому этот пароль "собираем", например - имя сайта, можно со сдвигом, затемдобавляем суффикс, например, пакет спецсимволов для антибрутфорса, если их поддерживает ресурс (многие сайты не позволяют). В результате получаем комплексный взломоустойчивый пароль, различный для различных серверов, но легко запоминаемый (точнее, восстанавливаемый по памяти). Опционально - добавить "соль" ещё и от логина (актуально при входе на один и тот же ресурс под разными логинами). Перемешать, но не взбалтывать (с) ;)
     
  • 1.22, marten (??), 10:42, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как всегда,
    безопасность = 1 поделить на удобство использования.
     
  • 1.23, Евгений (??), 12:15, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно делать так.
    Вслепую набирать на клавиатуре случайные символы, попеременно нажимая на shift.
    Например:
    Jj_F6*bF-v

    Заодно и память развивает)

     
  • 1.24, Аноним (24), 13:16, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что мешает заюзать apg (есть в дистре практически любого дистра)? При чем генерит не тупо рандом, а может на основе какогонибудь слова, да и пароли получаются относительно легко запоминающиеся.
    http://www.adel.nursat.kz/apg/
     
  • 1.25, self (??), 14:07, 30/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исследование доказывает уникальность каждого среднестатистического работника, обладающего узкоспециализированными профессиональными навыками.
    Фантазируйте, господа. А насчет ректотермального криптоанализа - один мой товарисч разрабатывает метод борьбы, основанный на лужении прямой кишки с внедрением системы активного охлаждения на жидком азоте.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру