В данной статье предлагается рассмотреть один из наиболее известных и старых методов обеспечения безопасности — пароль, и попытаться сделать так, чтобы пароль в вашей компьютерной системе был реальной, а не иллюзорной защитой и мог на самом деле защитить ваши секреты от злоумышленника.
В настоящее время проблема защиты информации в компьютере от несанкционированного доступа (НСД) приобретает все более серьезное значение, особенно когда информация в компьютерах становится важной для организации. Причем, не стоят на месте ни разработчики систем защиты, ни взломщики. О проникновении в компьютерные системы банков, страховых компаний и даже в закрытые военные сети сегодня можно узнать из регулярных газетных сообщений. Количество компьютерных преступлений, не смотря на принимаемые специалистами меры, отнюдь не уменьшается год от года, а даже напротив растет.
При этом практически во всех вскрытых системах один из применяемых элементов защиты — пароль (а в некоторых он единственный), который многие пользователи и руководители считают непреодолимым препятствием.
В данной статье не будут рассматриваться программные способы «вычисления» и вскрытия пароля. Мы попытаемся рассмотреть этот вопрос с позиции организации работы пользователя с паролем, уточнить некоторые аспекты работы парольной системы, а так же дадим некоторые рекомендации для разработчиков и пользователей компьютерных систем, как сделать пароль не просто иллюзией защиты, а действительно серьезным препятствием на пути злоумышленников.
Прежде всего, напомним, что защиту информации в компьютерах обязательно следует рассматривать как комплекс мер, включающих организационные, технические, юридические, программные, оперативные, страховые и даже морально-этические меры.
Что же такое пароль? Военные говорят: «пароль — это секретное слово, позволяющее определить кто свой, а кто нет». С точки зрения компьютерной безопасности это определение можно немного добавить и расширить: «пароль — это секретный набор различных символов, позволяющий определить законного пользователя и его права на работу в компьютерной системе».Что же такое пароль? Военные говорят: «пароль — это секретное слово, позволяющее определить кто свой, а кто нет». С точки зрения компьютерной безопасности это определение можно немного добавить и расширить: «пароль — это секретный набор различных символов, позволяющий определить законного пользователя и его права на работу в компьютерной системе».
Пароль — только один из элементов системы разграничения доступа. По оценкам экспертов по компьютерной безопасности он используется практически в любой компьютерной системе, а во многих системах как единственное средство защиты, и, в связи с этим, в большинстве компьютерных систем именно стойкость пароля к вскрытию определяет безопасность всей системы. Но любой, даже самый надежный элемент, не обеспечит защиты, если он один, а не в системе. Значит, и пароль должен быть в системе в парольной системе, которая является составной частью системы разграничения доступа, а в итоге — в общей системе безопасности.
Подбор пароля
Вначале пароль надо придумать. И это один из самых важных и сложных вопросов. Какие слова в качестве пароля возьмет обычный пользователь? Скорее всего, те, какие не сразу забываются. Но ведь чем легче пароль для запоминания, тем легче его подобрать!
Небезызвестный вирус «Мориса» использовал чуть меньше 400 слов в качестве пароля и поразил около 6000 компьютерных систем. И, конечно, не бедность английского языка, а слабое воображение пользователей открыло двери вирусу. Вдумайтесь в эти цифры: 6000 и 400, то есть, в среднем каждые 15 систем имели одинаковые пароли!
На сегодняшний момент существует масса специальных программ для автоматизированного подбора пароля, которые используют свои огромные словари для его подбора. Например, программа Claymore, бесплатная программа NETCRACK, использует метод перебора для угадывания любого пароля пользователя в сетях NetWare. Это касается не только сетей. Существует так же программа CRACK, методом перебора ищущая пароль, используемый в программе архивации данных PKZIP. Весь вопрос в скорости перебора. Однако, если времени достаточно много и применяемый компьютер достаточно быстродействующий, то никакой пароль не сможет защитить систему от взлома. Именно поэтому надежда многих пользователей только на пароль наивна.
Какие правила можно рекомендовать при выборе пароля?
1. Запрещается использовать:
- имена, фамилии, даты рождения детей, близких, знакомых, их комбинации, номера телефонов и любую другую личную информацию (типа ОЛЯ070576 или ИВАНОРЛОВ) и т.п. Как показывает практика любимые женские пароли это имена свои и своих детей и их производные (Таня — Танюшечка, Танюшенька и т.п.);
- названия городов, стран, фирм, организаций, учреждений, специфических компьютерных слов, термины из своей предметной области;
- слова из заставок задач или названия самих компьютерных систем (например, netware, windows, msdos);
- широко распространенные слова, названия фильмов, книг, имена любимых литературных героев и пр.;
- повторяющиеся символы (например, пароль типа «аббббб» раскрыть значительно легче, чем «алугыс»);
- набор символов, расположенных на клавиатуре рядом («знаменитые» пароли: 111111, 12345, йцукен, qwerty и т.д.) или по простому закону (например, через клавишу — йуегщх; по две в ряду — йцфыяч и т.п.);
- нельзя использовать один и тот же пароль одновременно в разных системах. Это прекрасная возможность для хакера проникнуть в систему.
2. Рекомендуется использовать:
- Переключения различных регистров (рус., англ.). Попробуйте набрать русское слово на английском регистре или наоборот, получите бессмысленный набор, вполне подходящий для пароля. Можно, например, взять слово из любого (желательно не английского) языка и его звучание на русском языке набрать на английском регистре. Например, если грузинское слово «камарджоба» набрать русскими буквами на английском регистре, то получится «rfvfhl;j,f» — попробуйте такой пароль подобрать.
- Использовать при формировании пароля как можно большее количество символов, конечно, если это допускает система (ведь компьютер позволяет использовать 256 символов). Например, сочетания букв и цифр, а также больших и маленьких букв в одном пароле (например, «ащночс» и «АщНоЧс» для компьютера — две большие разницы) значительно усложняет его подбор;
- Если с фантазией «напряженка» попробуйте просто связать два слова вместе, например: «ЯГений», «МояЖенаУмница», «ЛюблюВасю»
Общая идея такая: самый лучший пароль — случайный и бессмысленный набор символов. Например: A18DtH52YreTXpDx
Предвижу возражения типа: «Бессмысленный набор символов очень трудно запомнить!». Что ж, это действительно так, но в этом случае можно рекомендовать еще одну маленькую хитрость. Составляйте пароль из первых (вторых и т.п.) букв запомнившейся фразы, четверостишья, песни, поговорки. Например, возьмем знакомое всем (или почти всем) стихотворение Некрасова:
Однажды, в студеную, зимнюю пору,
Я из лесу вышел, был сильный мороз.
Составляем пароли: «осзпяилвбсм» (из первых букв слов), «дтиозеыыио» (из вторых букв слов, хотя это и сложнее при наборе — сообразить какая буква вторая) и т.п. Получились бессмысленные наборы символов, которые, однако, очень просто запомнить.
И еще одно небольшое, но существенное замечание: какой длины должен быть пароль? Правило: чем больше, тем лучше, в данном случае, не совсем оправдано. Пароль, содержащий два-три десятка бессмысленных символов, трудно ввести в машину без ошибок. Ответ на этот вопрос существенно зависит от того набора символов, которые парольная система позволяет применять при формировании пароля (одно дело, только русские буквы или цифры, и другое — все 256 символов ASCII). В общем случае (опыт работы это подтверждает) можно рекомендовать использовать для пароля от 6 до 10 символов, и как наиболее оптимальный вариант — 7-8 символов. Опросы хакеров, проведенные американскими компьютерными журналами, говорят о том, что если в системе защиты используется длина пароля 7 и более символов, то заниматься простым его подбором бессмысленно. В этом случае для «вскрытия» пароля применяют другие способы: использование специальных программ (контроль нажатия клавиш, имитаторы входа в систему и т.п.), оперативное наблюдение, подкуп, шантаж и другие действия по отношению к человеку, который его знает. Да и запомнить 7 случайных символов все-таки возможно.
Озадаченный читатель может возразить: «То нельзя, это не рекомендуется — так и комбинаций не хватит!» Вот тут-то как раз и нечего бояться чего-чего, а их хватит на всех.
Посмотрите внимательно на клавиатуру: 33 русских буквы, 26 английских (да все это еще и на 2-х регистрах), цифры от 0 до 9, специальные символы (.,*!"# и т.д.). Всего около 160 символов, из которых можно составить пароль.
Чем больше длина пароля и шире набор используемых символов, тем сложнее его подобрать. Даже если предположить, что пароль будет найден после перебора только одного процента всех комбинаций, то пароль из 8 символов (если при его формировании можно было использовать 160 символов) дает стойкость в 100 лет, что для сохранности большинства коммерческих и банковских секретов вполне достаточно.
Однако следует предостеречь и от излишнего усложнения пароля. При выборе пароля не забудьте, что вам его еще нужно будет набирать его на клавиатуре. Когда в одном пароле присутствуют и английские и русские символы, набираемые на обоих регистрах, да еще и какие-либо специальные символы, вводить его с клавиатуры будет затруднительно. «Знай меру!» — говорили древние.
Хранение пароля пользователем
В мировой практике считается, что пароль, как единственное и самостоятельное средство защиты, применяется при низких требованиях к системе безопасности. Одна из причин такого подхода в том, что пользователи, не надеясь на свою память, будут записывать его в различных, не предназначенных для этого местах (перекидной календарь, записная книжка, пропуск и т.п.). Посмотрите внимательно за сотрудником, включающим компьютер. Куда он посмотрит, перед тем как ввести пароль. Нередко его взгляд падает на угол дисплея, где среди нескольких прилепленных клочков бумажек есть и клочок с паролем. Отсюда возникает новая проблема безопасности — где и как хранить пароль?
Список наиболее часто используемых паролей на английском языке:
| aaa | boy | flover | light | pivo | square |
| abc | can | force | little | police | standard |
| academia | castle | friend | long | prince | star |
| advanture | cat | fun | lord | protect | station |
| advanture | center | george | love | quest | street |
| aerobics | chance | girl | mad | rain | success |
| afgan | chaos | golf | magic | ranger | summer |
| albert | cherry | gray | major | real | super |
| alex | club | great | mark | red | sweet |
| alexander | coctall | green | market | remote | system |
| alexey | computer | haliava | master | risk | target |
| algebra | cretin | hand | mega | river | team |
| aliases | cross | handra | metal | robot | tiger |
| alien | data | havimetal | michael | roman | time |
| alpha | death | hell | mike | room | toy |
| alphabet | december | hello | mister | rose | trade |
| ama | delta | help | mister | rubl | true |
| amorphous | debil | hero | moscow | ruslan | ukrain |
| analog | denis | hockey | mouse | russia | unknown |
| anchor | dima | horse | music | sasha | valentin |
| andrei | dmitriy | idiot | natalia | scott | victor |
| andrey | dog | igor | netware | scotina | visit |
| andromache | dollar | ilya | network | school | vlad |
| animals | doichmarkа | info | nice | secret | vladimir |
| ann | doom | irene | night | sensey | water |
| answer | door | iron | normal | serge | west |
| anton | dos | jazz | north | sergei | white |
| apple | dragon | job | old | sergey | wild |
| band | dream | jorik | oleg | service | wind |
| bank | durak | julia | omega | sex | windows |
| baron | eagle | jury | panel | shadow | wolf |
| bear | east | karate | paradise | shark | yorik |
| beat | easy | killer | password | shit | yurist |
| beatles | elena | kirill | pavel | shop | yurik |
| best | eugene | knight | persona | simple | zap |
| beta | eye | kostya | peter | sky | zone |
| black | field | land | philip | slava | zoloto |
| blue | filter | larri | phone | smile | zoo |
| board | filer | last | pilot | sound | znachek |
| boris | finish | legal | pitsa | south | zad |
| boss | float | lenin | pizza | Spi | zadnica |
http://www.goblin-home.narod.ru/
