Проект "ИТ-Защита"

Продолжение. Начало статьи см. в Части 1.

2. Кратко о методах подбора паролей

 

            Зачем законопослушному гражданину, казалось бы, знать, такую информацию о методах подбора и взлома паролей? Ну, во-первых, «предупрежден, значит вооружен». Зная, хотя бы в общих чертах, о методах взлома паролей – меньше шансов стать жертвой хакера или злоумышленника. А во-вторых, в бизнесе частенько бывают ситуации, когда получить доступ к запароленному документу или базе данных жизненно необходимо  совершенно в «рамках закона». Какие же это ситуации? Приведем примеры.

А) Сотрудник запомнил пароль к базе данных, а потом его забыл (так как пароль был очень сложный). Безответственно это? Да, но в жизни всякое бывает. А коллегам или хозяевам фирмы очень нужен доступ к данному информационному активу.

Б) Сотрудник компании уволился, уехал за рубеж надолго, а пароль никому не передал. Если в крупной компании за трудовой дисциплиной еще как-то следят и такая ситуация маловероятна, то в малых фирмах такие ситуации сплошь и рядом.

В) Сотрудник компании оказался «инсайдером», очень долгое время «передавал коммерческие секреты» конкурентам, был уволен по инициативе работодателя. Конечно же, в таком случае, у него очень трудно будет узнать пароль к базе данных или документу.

Итак, перечислим наиболее распространенные методы подбора паролей:

1) Простой перебор:

Суть метода (brute force) очень проста: программа перебирает все возможные комбинации символов, пытаясь подобрать подходящий пароль. Поиск можно несколько ограничить, указав количество символов в пароле, их тип (буквы, цифры, другие знаки), а также задать символы, с которых должен начаться поиск.

2) Перебор по маске:

В случае если пароль создавал сам пользователь (но потом забыл его), всегда есть шанс попробовать восстановить его по маске, сильно сузив область поиска. Возможно, пользователь вспомнит длину пароля и некоторые символы из него.

3) Атака по словарю:

Предположим, что Вы знаете возможные слова или имена, используемые в пароле. В этом случае можно воспользоваться методом поиска по словарю. Нередко многие пользователи используют в качестве пароля обычные слова. Это слова из английского языка: admin, password, qwerty и т.д. Пользователю кажется, что такой пароль запомнить значительно легче, чем бессмысленные комбинации букв и цифр. На самом деле забыть такой пароль очень просто, а вот подобрать «по словарю» - совсем не сложно. Где берут такие словари? Иногда они идут «в комплекте поставки» вместе со специальной программой для подбора паролей. Еще их можно скачать из Интернета (их выкладывают на специализированных хакерских ресурсах).

4) Rainbow-атака

Основным фактором при восстановлении пароля является срок, за который его можно подобрать. При методе brute force выполняется проход по всем возможным вариантам пароля, а для сложных комбинаций это требует слишком много времени. Если речь идет о месяцах или годах вычислений, то это нецелесообразно.

Для решения проблемы с фактором времени  была придумана rainbow-атака (rainbow attack), основная мысль которой состоит в использовании предвычислений при поиске пароля. Таблицы поиска применяются в тех случаях, когда данные гораздо проще извлекать из памяти, чем создавать.

При проведении rainbow-атаки используют результаты предварительных вычислений возможных вариантов пароля для некоторого набора символов. За совершенно короткое время получают таблицы, по которым с очень высокой вероятностью можно гораздо быстрее найти любой пароль. А построение радужных таблиц не по набору символов, а по набору словарей, позволяет восстанавливать пароли практически неограниченной длины.

5) Фи́шинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид Интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Пользователю приходит электронная почта от имени банка, почтового сервиса, социальной сети и т.д. В письме находится прямая ссылка на сайт сервиса и просьба по каким либо «важным» причинам перейти на данный сайт. Например, сообщается, что был «технический сбой программы или базы данных» и пользователю надо зайти на сайт, чтобы подтвердить свои учетные данные.  Внешне поддельный сайт неотличим от настоящего, либо на сайте стоит редирект. После того, как пользователь попадает на поддельную страницу, кибер-мошенники пытаются различными приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к эккаунтам электронной почты или банковским счетам жертвы.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ компьютерной безопасности. Очень многие люди не знают простого факта: сервисы и службы, а также банки не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

 

3. Методы хранения паролей

А) Совет для начинающих пользователей компьютеров: не стоит писать пароль на бумажке и … оставлять ее на своем рабочем месте.

Б) Обратим внимание на такой старый «дедовский» способ хранения паролей, как простая записная книжка  и запись в нее паролей вручную. Этот метод хорош ровно до тех пор, пока количество Ваших паролей не перевалит за сотни, а сами пароли не будут состоять из более двадцати символов, набранных в разных раскладках клавиатуры (записать точно  карандашом такой пароль, а потом правильно набрать его при входе в сервис – дело трудоемкое).  Стоит подумать и о физическом хранении такой «записной книжки»,  конечно же, хранить ее у всех на виду не стоит, если там находится действительно важная информация, то стоит подумать о хранении книжки в сейфе и т.д. В общем, этот метод хранения паролей достаточно трудоемкий, устаревший и тоже не совсем надежный.

В) Некоторые пользователи ведут  на компьютере базу с паролями в виде текстового файла или таблицы Excel. Но тут надо подумать парольной защите самого файла (т.е. о шифровании и сохранности самой информации). В общем, этот метод тоже не совсем надежен и удобен.

Г) Можно еще держать в памяти все пароли, но, увы, этот метод только для лиц с феноменальной памятью.

Перепробовав все пользовательские методы хранения паролей, приходим к выводу о необходимости использования специальной программы, предназначенной именно под эту цель. Нам осталось выбрать такую программу и начать ее грамотно эксплуатировать.

Окончание статьи следует в части 3





Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:

Комментарии

Нет комментариев

Еще нет комментариев.

RSS лента комментариев к этой записи.

Извините, комментирование на данный момент закрыто.