СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
АИС
28.12.2024
#ИБ#ИИ#Инфра#Облака

Как выбрать надежный пароль и почему это важно

Как выбрать надежный пароль и почему это важно

Как всё начиналось?

Нет данных, с какого периода нашей цивилизации человечество начало использовать пароли с целью обеспечения безопасного доступа к определённым ресурсам. Это могла быть спрятанная от чужих глаз добыча первобытных людей, которую можно было найти, только обмениваясь графическими символами, получение доступа к военным объектам, который реализовывался с использованием системы «свой-чужой» и т.п.

Парольные алгоритмы входа в информационные системы появились в середине 60-х годов, в США.

Что потом?

Шли годы. Совершенствовались компьютеры, информационные системы, которые обслуживались этими самыми компьютерами. Соответственно, кратно множились злодеи всех уровней, которые всегда хотели либо, что-то украсть (непосредственно информацию с жёстких дисков, данные из Сети, деньги и т.д.). Как можно было всего этого добиться? Логика подсказывает, через доступ к информационным системам. На современном языке – осуществляя несанкционированный доступ (НСД). Уже более 60 лет продолжается эта борьба «брони и снаряда» — системы аутентификации и систем/алгоритмов взлома.

Как ломают ваши пароли? Постараемся не утомлять техническими терминами, но тем не менее. Поехали.

«Атака со словарём». Термин говорит сам за себя. Существует огромное количество баз утекших в сеть паролей. Базы бывают бесплатные и платные, соответственно, открытые и закрытые. Программное обеспечение, используемое хакерами, позволяет загружать любые базы, подключаться к облачным хранилищам сегмента DarkNet. Соответственно, чем выше уровень хакерской группировки, тем большее количество баз и инструментов этого вида атаки они используют

Пример: в соцсетях зачастую предлагается установить пароль либо воспользовавшись генератором случайных паролей, либо ввести свой. Генератор кажется неплохим вариантом, но при условии, что пользователь либо запишет парольную комбинацию, либо на компьютере будет установлен «мастер пароль». К примеру, при использовании программных продуктов от Kaspersky, есть смысл приобрести менеджер паролей Kaspersky Password Manager в качестве инструмента для управления паролями и хранения конфиденциальных данных. При использовании менеджера паролей пользователю необходимо будет создать и запомнить лишь один «мастер-пароль», которым, упрощённо, защищается, в том числе и хранилище уже сохранённых паролей к другим ресурсам. Соответственно, мастер-пароль должен отвечать самым серьёзным требованиям по формированию парольной комбинации. К примеру, у автора данной статьи длина мастер-пароля – 22 символа. Физический смысл заключается в том, что нет необходимости запоминать/записывать пароли от различных ресурсов – менеджер паролей их помещает в хранилище. Главное – разобраться, где они лежат, на всякий случай. В стандартном режиме при попытке авторизации на ресурсе, пароль от которого сохранён с использованием мастер-пароля, процесс пройдёт автоматически, менеджер подставит пароль сам, без участия пользователя. Соответственно, мастер-пароль является ключом к хранилищу паролей, и при его попадании в руки злодея несанкционированный доступ к доверенным ресурсам пользователя гарантирован.

«Атака грубой силы» (ещё известный как brute force). Продвинутый вариант «Атаки со словарём». Отличие заключается в том, что программа перебирает не только пароли, которые уже утекли в сеть, но и просто будет генерировать пароли из определённого числа символов. До коммерческого применения систем искусственно интеллекта «Атаки грубой силы» для взлома пароля в 9-11 символов программе могло потребоваться до 12-14 часов. В настоящем время взлома сократилось до нескольких часов. Это время зависит лишь от вычислительных мощностей злоумышленников. Соответственно, развитие этих мощностей напрямую связано с решаемыми задачами

Сервис ГОСУСЛУГИ в настоящее время подвергается атакам самыми возможными алгоритмами. До 2022 года злодеи особо не изобретали ничего. Пандемия показала, что этот сервис легко «укладывался» некриминальными атаками «отказ в обслуживании», по сути – DDoS. Физическая реализация основывалась на том, что при множественном обращении пользователей ресурса с попытками авторизации вычислительных мощностей серверов ресурса не хватало для обработки гигантского количества запросов. Ресурс начинал тормозить, пользователи создавали новые обращения, не закрыв старые. Далее не будем вдаваться в технологии, но по факту – ресурс «падал». К настоящему времени ресурс обладает достаточными вычислительными мощностями, и «падение» маловероятно, хоть и бывает иногда. Также, ресурс очень хорошо прикрыт отечественными системами защиты информации, в том числе, и по этой причине атаки, основанные на переборах/подборах парольных комбинаций, быстро захлёбываются. При такой защите от распределённых атак физический смысл заключается, упрощённо, в настройке ограничений по IP- адресам, и, что даже более важно, в установке максимального количества ошибочных попыток авторизации подряд. На ГОСУСЛУГАХ в числе прочих мер защиты реализован и этот алгоритм.

Злодеи умные, они много читают, много работают. Им нет смысла нагружать вычислительные мощности атаками переборных/подборных алгоритмов реализации.

По ГОСУСЛУГАМ в полную мощь работаю атаки с использованием методов социальной инженерии. Сложность и наполнение парольной комбинации при таких алгоритмах атаки не играют особой роли. Задача злодея заключается в получении от жертвы информации, достаточной для изменения параметров авторизации.

«Радужные таблицы». Специфичный технический метод, связанный с вычислением специальных алгоритмов хеширования. Так называемые «радужные таблицы» содержат хеши реальных паролей.

«Фишинг». Упрощённо, злоумышленники создают фишинговые (клон-сайты) популярных ресурсов с целью заставить пользователей авторизоваться там со своими учётными данными. Пара логин/пароль утекает. В любом случае, эта утечка попадает в базу утечек. И , соответственно, в реальном сегменте с этими учётными злодеи авторизуются на легитимных ресурсах

Создание сайтов – клонов за последние два года стало прибыльным бизнесом. Физический смысл заключается в убеждении жертвы в подлинности информационного ресурса, с направлением пользователя в окно авторизации. Жертва вводит истинную пару «логин/пароль». Получив пару «логин/пароль», злодей авторизуется на оригинальном ресурсе от имени жертвы. А далее – полёт фантазии безграничен.

«Сохранённые пароли». Это тема про ленивых и доверчивых. Браузеры зачастую предлагать там пароли от посещённых ресурсов. В домашних условиях с ограниченным доступом к компьютеру это вполне допустимо, но в общественном пространстве это зачастую приводит к утечкам.

Ранее мы рассматривали использование менеджеров паролей. Однако, лучшим выходом будет создание на доверенных, нужных пользователю ресурсах, индивидуальных эксклюзивных паролей

«Шпионские программы». Фантазия безгранична в контексте попадания на эти программы. Как правило, на смартфонах это несчастье появляется через игры, соцсети. До 2022 года этой беде были подвержены, в большинстве своём, подвержены смартфоны с версией Android до 8, реже 9. То есть, достаточно древние/недорогие аппараты. В 2024 году ситуация ухудшилась – к примеру, версии Android 10,11, 12 также стали небезопасны.

«Социальная инженерия». Многообразие возможностей, это тема отдельной статьи

Как защищаемся? И каковы алгоритмы этой защиты?

Все перечисленные выше атаки на наши пароли, как и те, которые злодеи придумывают и реализуют непосредственно в реальном времени, которые появятся в будущем, имеют и будут иметь одну единственную цель – получить оригинал пароля с тем, чтобы затем реализовать несанкционированный доступ в нашу информационную систему.

Важность парольной защиты можно оценить, исследуя безопасность мобильного телефона, допустим, на ОС Android. Вспомним, что есть такая функция – защита паролем/ПИН кодом/графическим кодом. Есть, но далеко не все применяют эту функцию. Используя функцию защиты приведёнными выше алгоритмами в первом приближении, мы вроде как просто блокируем экран от посторонних глаз. Однако в случае, если гаджет случаем попадёт в чужие руки, этот самый посторонний не сможет воспользоваться смартфоном в моменте. Попытка перезагрузки /выключения гаджета также ни к чему не приведёт – будет вновь запрошен пароль доступа/ПИН-код. Что же происходит? Всё предельно просто. Ввод пароля/ПИН-кода не просто блокирует экран гаджета. Происходит БЛОКИРОВКА АКТИВИЗАЦИИ операционной системы (если гаджет включен), и БЛОКИРОВКА СТАРТА операционной системы (если гаджет выключен), в нашем случае – Android. Разумеется, восстановить доступ к операционной системе гаджета, которая прикрыта, к примеру, 4-5-значным ПИН-кодом возможно, но на это в любом случае потребуется определённое время. Следует отметить, что наши гаджеты не защищены по количеству попыток входа/ввода нелегитимного пароля/перебора вариантов. Это означает, что какая-та из атак по п.3 сработает, это безусловно.

Однако, в ряде информационных систем (преимущественно, развёрнутых на десктопных версиях ОС) применяются многоступенчатые /многофакторные модели /алгоритмы авторизации. К примеру, в СЗИ группы Dallas Lock в Едином Центре Управления (ЕЦУ) можно настроить, кроме всего прочего:

  • Минимальную длину пароля, его наполнение – какие символы по типам должны присутствовать обязательно
  • Максимальное количество ошибок ввода до блокировки конкретной учётной записи

Пример 1. Разберём пароль, который выглядит вот так: !QAZ2wsx. На первый взгляд, пароль неплох- 8 символов, знак!, цифра, строчные и прописные буквы. Но есть существенный недостаток – это очень известный и слитый пароль. Им пользуются очень многие – ведь первые 4 знака – это первая диагональ на клавиатуре с нажатой клавишей Shift, вторые 4 знака – вторая диагональ, только без нажатия клавиши Shift. То есть логика формирования парольной комбинации прослеживается. Существуют вариации формирования подобной комбинации-

Пример 2. Вот такой пароль — !QAZ3edc+{:>-pl, Попробуйте сам понять принцип/алгоритм формирования парольной комбинации. Печаль в том, что несмотря на серьёзную длину – 16 символов, и соблюдения всех рекомендаций наполнения типами символов, в формировании парольной последовательности также прослеживаются логические алгоритмы. А, следовательно, взлому такой пароль подается. Ну, потребуется немного больше времени, не более того.

Пример 3. Вот такой пароль — Cnfybckfd6591/*+. Пароль достаточно надёжный – 16 символов, наполнение тоже соответствует. Что внутри? Русское мужское имя, записанное на латинице, год его рождения, только цифры переставлены, и дополнительные знаки. Что можно улучшить? Если собственник пароля не носит именно это имя, и это не мужское имя из его близкого окружения – тогда буквенную последовательность можно оставить, так как прямой логической связи нет. Можно изменить на совершенно незначимые цифры. И всё. Этого будет достаточно.

Все вышеперечисленные пароли мы усложняли, и Пример 3 уже является относительно безопасным. В тоже время, напрашивается вопрос – как настроить свои собственные пароли таким образом, чтобы они запоминались пользователем легко, были сложны, и соответственно были устойчивы к взлому. А дополнительная устойчивость к взлому обеспечивается кроме длины пароля, наличия рекомендуемого символьного наполнения и отсутствие прослеживаемой логики построения самой парольной последовательности.

То есть, это такой алгоритм, который должен быть сформирован в подсознании пользователя и захеширован там с использованием простейших мнемонических правил, а именно – смысловых комбинаций, которые могут быть известны только самому непосредственно пользователю.

Пример 4. Вот такой пароль. 109734KleopatraSigizmund/59/+*+

Что здесь что:

  • 109734 – индекс местожительства из далёкого. К примеру, первая квартира в далёком детстве, где кто жил? Правильно – идём далее
  • Kleopatra – любимая бабушка с таким именем
  • Sigizmund – имя злобного соседа
  • /59/+*+ — ничего не значащая комбинация, которую просто нужно запомнить

Этот пароль, вернее, его условный «хэш» можно и записать на жёлтый листочек, и держать на видном месте с использованием именно мнемонических правил/комбинаций из нашего подсознания, которые доступны только пользователю.

Это будет выглядеть так: «ИндексБабушкаСоседКомбинация». По степени устойчивости к разгадыванию, переборам, подборам и т.п. техникам взлома этот пароль безупречен.

Почему? Каждое логическая комбинация из данной парольной фразы логична только для составителя. Понять, что первые 6 знаков – это именно Ваш индекс, затем — ушедшая давно уже любимая бабушка, злобный сосед. Для внешнего злодея все байты кода преобразуются в ничего не значащие символы. Тем более, для серверов взлома, так как подобные пароли уникальны, не отслеживается логика, и в слитых базах их нет.

Что добавить? Пользователь учётной записи может переставлять мнемонические последовательности, извлекая из подсознания новые логические образы, новые идеи.

Человеческий мозг – не компьютер с его перебором вариантов.

По статистике, хороший шахматный компьютер проигрывает талантливому шахматисту.

И что с того? Просто помнить:

  • В Сети ничего не пропадает. Всё, что мы туда выложили, отдали по недомыслию, у нас украли злодеи всех мастей – это просто НАВСЕГДА.
  • Думаем головой – зачем мы туда всё наше отправляем/загружаем?
  • Соответственно, у каждого из нас свои «скелеты в шкафу». И мы не можем даже предположить, в какой именно самый неподходящий момент эти «скелеты» нам покажут язык.
  • Думаем головой – чем меньше информации о нас в Сети – нам будет спокойнее
  • Следует отойти от парадигмы – «Акому это может быть интересно? Что с меня взять? Я ничего не боюсь…». И другие подобные заблуждения.
  • Думаем головой – наша информация в Сети является прекрасной возможностью для злодеев заработать на нас денег. Прямо, или косвенно – без разницы. Но это точно будет за наш счёт
  • И последнее, самое печальное. Если кто-то поставит себе задачу вас взломать, с любыми целями и по любым алгоритмам – он всё равно это сделает, вопрос только во времени и деньгах

Думаем головой – чем более грамотно, структурировано, тщательно мы закрываем

доступ из внешнего и недружелюбного мира к любой информации о нас и наших близких в Сети, в том числе применяя оптимальную парольную политику, тем вероятность возникновения проблем несанкционированного доступа к оберегаемой нами информации ниже.

АИС
Автор: АИС
АИС — один из ведущих отечественных учебных центров дополнительного профессионального образования в сфере ИБ, ИТ, экономической безопасности и конкурентной разведки. «Смотри в будущее. Инвестируй в знания» — слоган Академии, которая уже более 28 лет занимается обучением специалистов, отвечающих за цифровизацию и безопасность страны. АИС сотрудничает с ведущими вендорами и ключевыми игроками на рынке импортозамещения. Философия компании заключается в качественной подготовке квалифицированных кадров с применением инновационных методов обучения, которые отвечают высоким образовательным стандартам. Реализовать эту цель АИС помогают опытные эксперты и профессионалы отрасли.
Комментарии: