Главная :: Форум :: Web ClipArt :: Поиск :: Статистика :: Топ 10 :: Публикация :: Рекомендовать Мой Netadmin.ws   
// Сегодня Пятница, 20 Октября 2017 года. Текущее время: 01:26:16 Зарегистрироваться  
Главное меню
· Главная
· Web ClipArt
· Форум
· Поиск
· Публиковать
· Рекомендовать
· Статистика
· Топ 10

Темы
· Базы Данных
· Графика
· Все о VBulletin
· Веб сайт
· Веб Скрипты
· Безопасность
· Интернет
· Программирование
· Новости Сайта
· Операционные системы
· Multimedia online
· Сборник рецептов
· Серверы

Не пропустите
· Футбол


Текущие версии
Apache 1.3.34
tarball Win32 Binary

Apache 2.0.55
tarball Win32 Binary

MySQL 4.1.16
tarball zip

MySQL 5.0.17
tarball zip

PHP 4.4.1
tarball zip

PHP 5.1.1
tarball zip

Perl 5.8.7
tarball win

// 20-12-2005

Кто в онлайне
На данный момент, 5 гость (ей) и 0 пользователь (ей) находятся на сервере.

Вы анонимный пользователь. Для регистрации воспользуйтесь этой ссылкой


Анекдот
Чтобы чукчу сделать счастливым на целый день, надо дать ему листок, где на той и другой стороне написано: "Читать с другой стороны".


Статьи: Shelter - школа выживания: пароли
БезопасностьBochkarev_D.S. пишет,
Вступление.
Парольная защита активно применяется в различных приложениях и системах, а серфинг в сети вынуждает использовать большое количество паролей. Регистрационные формы и средства авторизации: многочисленные форумы, ирц сети, почта, порталы и т.д. и т.п. Грамотный подход при выборе паролей важен как рядовому пользователю, так и администратору, т.к. парольная защита – один из самых надежных методов сохранения конфиденциальной информации, особенно в сочетании с дополнительными методами защиты. Существует множество угроз вашей конфиденциальности. У вас есть лишь шанс свести их к минимуму.


Важно: удобство и безопасность – взаимоисключающие вещи, вы должны найти компромисс.

Ситуация такова, что большинство людей используют в качестве паролей имена своих детей, супругов и родственников. Во многих случаях, паролем является дата рождения, номер телефона, название монитора или пароль совпадает с регистрационным именем. Забывчивые пользователи записывают пароли на бумажках, которые потом приклеивают к монитору или системному блоку компьютера, или просто пишут карандашом на мониторе. Естественно, что в таком случае взломать даже самый сложный пароль не составит никакого труда. Кроме того, более 50% пользователей не меняют пароль, если им об этом не напоминают.

Важно: если вы узнали себя или своих пользователей, знайте и то, что вашу информацию могут легко украсть.

Дальше следует читать только тем, кто хочет этого избежать.

Пользователю.

Изучение атак на системы авторизации, и анализ различных систем криптографии, подводит нас к простым истинам, которыми я с вами и делюсь. Прежде всего, давайте уясним, чего делать нельзя и какие пароли использовать нужно. Избитая истина, но многие неопытные пользователи допускают эту ошибку. В качестве паролей нельзя использовать свои имена и фамилии, имена ваших родственников, номера телефонов, даты рождения и другую информацию, которая может быть косвенно получена средствами социальной инженерии.

Примечание: в нашем случае, под социальной инженирией следует понимать действия, направленные на получение информации у легального пользователя защищенной системы, необходимой для прохождения защиты этой системы.

Такие пароли как: Valera, Rinat, 31-87-89 и т.д. являются не стойкими к атакам. В качестве паролей нельзя использовать простые последовательности знаков, одинаковые символы и различные варианты написания логина (имени пользователя в сети). Конечно, такие пароли легко запоминать, но их могут легко подобрать. Примеры: qwerty, 0000, asd, 123456 и т.д. Никогда не используйте в качестве паролей естественные слова, т.е. такие, которые есть в словаре и используются в разговорной речи. Примеры: password, root и т.д.

Важно: всегда меняйте пароль, если он был на время предоставлен другому человеку.

Пароль не должен быть короче 6-и символов. Это важно. Желательно, не менее 8-и. В противном случае он может быть легко вскрыт. Пароль должен содержать символы нижнего и верхнего регистров, а также один или несколько дополнительных символов. Другими словами, в пароле должны быть и маленькие и большие буквы, плюс всякие звездочки, решеточки и т.д. Примеры: Alwk@_la#, _pass_19_* и т.д.
Наконец, пароль следует менять не реже чем раз в полгода и не чаще чем раз в месяц.

Важно: никогда не используйте одинаковые пароли для разных проектов.

Можно значительно упростить запоминание сложных паролей и использовать их рационально. Как? Читайте ниже.

Общая стратегия использования паролей.

Соблюдая вышеизложенные требования, мы получим пароли, которые очень трудно запомнить. У любого нормального пользователя сработает «рефлекс стика» - пароль будет красоваться на мониторе. Давайте подумаем, как этого избежать. Используйте за основу для пароля простые слова, не привязанные к личности пользователя. Берем для примера mypass. Запомнить очень легко – производная от двух английских. Дальше разобьем слово вставками специальных символов – my@pass_01. Этот пароль легко запомнить и он почти полностью соответствует всем правилам задания паролей. Для пользователя подобный уровень сложности достаточен, плюс, он очень легко и быстро набирается: большинство соседствующих символов находятся в разных частях клавиатуры. Часто пароли приходится набирать на глазах, и необходимо довести до автоматизма набор нового пароля.

Важно: пароль должен слетать с пальцев.
Для информации: многие пианисты могут высмотреть даже такие пароли.


Хорошим решением будет использование в качестве паролей русских слов набранных в английской раскладке. Хорошим, да не совсем. Лично взламывал методом прямого перебора (brute-force) такие пароли. Дело в том, что существуют хорошие word листы для таких случаев, кроме того, их можно создать самому.
Существуют много программ генерирующих надежные пароли. На первый взгляд это отличное решение, но только на первый. Да, взлом созданных такой программой паролей очень труден при прямой атаке, но в игру вступают другие факторы. Самые очевидные: сложность запоминания вызовет у пользователя «рефлекс стика», с пальцев слетать такие пароли тоже не будут (не будет соблюдена распальцовка) и еще несколько.

Совет: для выбора паролей напрягайте извилины, а не генераторы паролей.

Теперь о количестве паролей. Из моей практики, достаточно одновременное использование четырех паролей разного уровня сложности и применения. Самый сложный пароль ставится на системные ресурсы – сервера и активное сетевое оборудование. Далее, на персональное рабочее место и непосредственно клиентские средства доступа к серверным приложениям. Следующий уровень, это надежные ресурсы, в которых я уверен: сюда может входить ограниченное число сайтов требующих регистрацию, форумов и т.п. Ну и последний уровень, не trusted ресурсы. К последним можно применять принцип «от балды», но мы люди грамотные, инженеры.
Если вы поставите на форуме пароль одинаковый с корпоративной почтой, вы должны быть уверены в честности администраторов этого форума.

Важно: знайте, что ваши пароли в сети, могут быть использованы против вас.

Трудно представить пользователя, который соблюдает все эти правила, но очень плохо, если их не соблюдает администратор.

Администратору (Unix привязка).

Если пользователи имеют небезопасные пароли, все остальные принимаемые меры защиты могут оказаться неэффективными. Наиболее ответственная задача администратора - установить правила задания паролей, требующие от пользователей применять пароли, которые сложно взломать.
Используйте дополнительные программные средства для контроля используемых паролей. Ваша задача – выявить слабые пароли до того, как вас взломают. Единственное ограничение, налагаемое утилитой passwd - длина пароля (6 символов) и сравнение по компактному словарю. Единственной возможностью убедиться, что пользователи не используют легко подбираемые пароли – это попытаться подобрать их самому. Сделать это можно с помощью двух утилит: Сrack и John the Ripper. Обе хороши, но вторая сделана человеком, мозги у которого имеют явный хакерский уклон.
По умолчанию, пароли в большинстве Unix системах не устаревают. Одним из обязательных правил обеспечения безопасности паролей является требование частоты смены паролей, с заданным администратором сроком действия. Обязательно изучите login.conf своей системы, и настройте работу соответствующим образом.
Задание первоначальных паролей администратором должно полностью отвечать всем вышеизложенным требованиям для пользователей.

Важно: будьте бдительны, не полагайте, что пользователи благоразумны, и сами сделают все правильно. Они всегда будут доставлять хлопоты, и создавать угрозы безопасности. Ваша задача сделать их работу приемлемо комфортной, но безопасной.

Заключение.

Существует еще несколько важных аспектов касаемых использования паролей. Среди важных можно выделить:
- перехват паролей незашифрованного трафика;
- использование менеджеров для хранения и учета паролей;
- взлом паролей с использованием программных средств;
- удаленный взлом паролей сервисов.

Возможно, часть вопросов в скором времени будет мной освещена. Удачного серфинга.

Бонус.

РобоФорм (AI RoboForm) - это запоминалка паролей и заполнялка форм с немалым искусственным интеллектом. Отличная программа, рекомендую лично.

Ссылка: http://www.roboform.com/ru/index.html

Продолжение будет...

Бочкарев Денис, ведущий инженер ОАО "Татнефть"
sf[at]tatneft.ru

Раздел: Безопасность | Автор: Bochkarev_D.S. | Опубликовал: polo 17.11.2003 21:22

 
Авторизация
Имя пользователя
Пароль
Хотите зарегистрироваться?

Смотрите также
· Больше о Безопасность
· Новости от Bochkarev_D.S.


Самое читаемое в разделе "Безопасность":
Новый вирус Mimail


Версия для печати  Отправка статьи/новости другу

Статьи: Shelter - школа выживания: пароли | Вход/Создание аккунта | всего комментариев: 0
Настройка
Комментарии принадлежат их авторам. Мы не несем ответственность за их содержание.
  Главная :: Форум :: Web ClipArt :: Поиск :: Статистика :: Топ 10 :: Публикация :: Рекомендовать
 ©NetAdmin.ws 2001