УДК 681.3                                                                                                                                                                                                                                                                                Е.В. Артамонова

 

РЕКОМЕНДАЦИИ ПО ВЫБОРУ И ХРАНЕНИЮ ПАРОЛЕЙ ДЛЯ МАЛЫХ И СРЕДНИХ ПРЕДПРИЯТИЙ

 

Введение

 

На крупных предприятиях существуют, как правило, отделы информационной безопасности (ИБ) и отделы автоматизации или информационных технологий (ИТ), которые занимаются проблемами технологии безопасности данных, в том числе разграничения доступа сотрудников к информационным ресурсам, а также парольной защитой (т.е. выделением пароля определенному сотруднику, его сменой и т.д.) В сфере крупного бизнеса проблема парольной защиты информационных ресурсов, решается, путем внедрения различных корпоративных систем безопасности и соблюдением политики безопасности предприятия. Примером такого подхода может служить система одноразовых паролей S/Key, определённая в RFC 1760, которая представляет собой систему генерирования одноразовых паролей на основе стандартов MD4 и MD5. Система S/Key  основана на технологии клиент/сервер, где клиентом обычно является персональный компьютер, а сервером – сервер аутентификации, как правило, на основе UNIX-машины. Такая система аутентификации хотя и является весьма надёжной, но вместе с тем достаточно дорогой и поэтому применяется, в основном, при развёртывании крупных корпоративных систем ИТ.

А вот как дела обстоят в сфере малого и среднего бизнеса, у которого тоже уже есть определенные информационные активы (корпоративный веб-сайт или интернет-магазин, система бухгалтерского учета, база данных клиентов и т.д.)? Дела с информационной безопасностью в этой среде обстоят крайне неважно. Для содержания на постоянной основе штатных специалистов по ИБ у малых и средних предпринимателей, как правило, нет на это средств. В лучшем случае есть системный администратор, который занимается всей ИТ и ИБ «кухней». А вот взлому, атакам из сети, а также утечкам служебной информации такие объекты бизнеса подвергаются очень и очень часто. Почему? Потому что они «легкая добыча» для разного рода хакеров и компьютерных злоумышленников. Чаще всего несанкционированный доступ к информационным активам малого предприятия происходит путем «взлома» или незаконной передачи пароля третьему лицу. Поэтому для таких субъектов предпринимательской деятельности будут очень полезны наши рекомендации по правильному выбору и хранению паролей.

 

1. Общие советы по выбору пароля

 

При организации системы парольной аутентификации в своей корпоративной сети придерживайтесь следующих правил и рекомендаций:

- выбирайте пароль, длиной не менее 12 символов;

-  в пароль добавляйте символы (большие и маленькие буквы, любые  спецсимволы и т.д.) [1];

- не выбирайте примитивные пароли, такие как «12345», «password», «qwerty», «admin», а также «мой день рождения» и т.д. Любой хакер взломает такой пароль методом атаки «brute-force» (или перебором по распространенной базе паролей) за очень краткое время или выведает его с помощью метода социальной инженерии;

- не используйте один и тот же пароль для нескольких служб и сервисов;

- не используйте одно и тоже слово в качестве логина и пароля (например, в качестве логина и пароля слово «admin»);

- по возможности пользуйтесь двухфакторной аутентификацией [2].

Двухфакторная (двухэтапная)  аутентификация  - процедура, которая предполагает кроме ввода пароля, ввести еще и код, который пользователь получает на свой мобильный телефон. Номер телефона пользователь указал при регистрации на данном ресурсе. Такая процедура есть во многих социальных сетях, службах электронной почты и других сервисах.

Пользователи должны помнить, что их пароли при желании  могут быть взломаны с помощью специальных программ (например, программное обеспечение от Elcomsoft). Такие программы позволяют получить доступ к защищенным данным. Для получения пароля - поддерживается более 100 форматов файлов, включая архивы (ZIP, RAR), документы Microsoft Office, Adobe PDF, Corel WordPerfect и Lotus Notes. Специалисты используют графические акселераторы фирмы NVidia для ускорения процесса восстановления паролей.

Программный комплекс «Elcomsoft Password Recovery Bundle» позволяет восстановить доступ к защищенным документам очень и очень быстро. Это происходит потому, что очень многие программы, использующие технологии парольной защиты, имеют уязвимости, позволяющие вычислить пароль. Большое влияние на стойкость защиты оказывает и человеческий фактор. Далее мы рассмотрим методы социальной инженерии и фишинга, где злоумышленники используют «пробелы» пользователей по части компьютерных знаний.  [3].

Но кроме метода  «brute-force» (или перебора по распространенной базе паролей), можно воспользоваться «радужными таблицами» для подбора правильного пароля [1].

Радужная таблица (англ. rainbow table) — специальный вариант таблиц поиска (англ. lookup table), использующий механизм разумного компромисса между временем поиска по таблице и занимаемой памятью (time-memory tradeoff). Радужные таблицы используются для вскрытия паролей, преобразованных при помощи сложнообратимой хеш-функции, а также для атак на симметричные шифры на основе известного открытого текста [4].

Также пароль может быть «похищен» методами социальной инженерии (выведан по электронной почте, по телефону, в социальных сетях или с помощью фишинговой атаки).

Все эти факторы говорят о том, что необходимо обратить внимание не только на правильный выбор пароля и метод аутентификации, но и на грамотную организацию хранения паролей.

Продолжение следует в части 2...

Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: