Парольная защита | Статьи | Главная | Научно-культурологический журнал

Парольная защита

(№17 [197] 01.12.2009)

Автор: Владимир Голуб

Аутентификация пользователей, т.е. подтверждение их подлинности, обеспечивается в первую очередь путем использования парольной защиты.
Слабая парольная защита является одной из основных причин уязвимости компьютерных систем к попыткам несанкционированного доступа. В 2008 году 84 % компьютерных взломов были осуществлены вследствие несовершенства парольной защиты [4].
По данным опросов, проведенных по заказу устроителей международной выставки Infosecurity Europe более 70 % британцев признались, что отдали бы постороннему пароль от своего компьютера в обмен на плитку шоколада, а некоторые и без какой бы то ни было материальной компенсации [9]. Кроме того, по результатам другого опроса 79 % жителей Великобритании хоть раз отдавали посторонним лицам информацию, которая могла бы быть использована для кражи персональных данных, необходимых для незаконных операций с кредитными карточками и другими финансовыми инструментами.
По результатам опроса, проведенного в апреле 2006 г. компанией Sophos, 41 % респондентов используют один и тот же пароль во всех случаях, из них 75 % используют не только один и тот же пароль во всех случаях но он является простым, легко угадываемым. Следовательно, 31 % пользователей (75 % от 41 %) не обладают учетными записями с надежно защищенными паролями доступа [5].

Другое исследование, проведенное в Великобритании, показало, что почти две трети коммерческих пользователей не применяют пароль при входе в системы своих ноутбуков, а из тех, кто пользуется паролем, 15 % употребляют в качестве пароля собственное имя, а 10 % сообщают свой пароль коллегам. Одна треть опрошенных ни разу не меняла пароль на протяжении прошедшего года [11].
По данным 2009 г. самым популярным паролем по-прежнему остается «1234». На втором месте «12345678», на которые приходится 14 % взломов. Благодаря подбору только этих двух паролей, в прошлом году хакеры похитили с банковских счетов несколько миллионов долларов. К числу самых популярных паролей относятся «QWERTY» и «AZERTY» (соответствующие клавиши расположены подряд в левой верхней части клавиатуры для англо- и франкоговорящих стран), а также имена детей и их даты рождения. Пароли «Покемон» и «Матрица» позволили осуществит взлом в 5 % случаев, а пароли «password» и «password1» – еще в 4 % [4].
Председатель правления Microsoft Билл Гейтс в одном из своих выступлений еще в 2006 г. предсказал гибель традиционным паролям, так как они не в состоянии с должной надежностью обеспечить информационную безопасность. Для замены традиционного пароля перспективными являются биометрические системы контроля доступа. Такие системы, основанные на аутентификации по отпечатку пальца, голосу, рисунку радужной оболочки глаза и др. уже достаточно широко используются, но до замены ими символьного пароля еще далеко. Широкое использование в ближайшем будущем для идентификации пользователей смарт-карт и электронных ключей является более реальным. Но пока символьный пароль – самый распространенный способ аутентификации и еще очень долго будет им оставаться.

Взлом парольной защиты

Описание способов взлома пароля, на первый взгляд, не относится к занятиям благопристойным. Но, как ни странно, эти знания, хотя бы в минимальном объеме, необходимы всем пользователям компьютерных и телекоммуникационных систем. Во-первых, потому что нередко возникает необходимость взломать собственную парольную защиту, когда пароль забыт, и другого способа получить доступ к собственным данным нет. Во-вторых, потому что нет лучшего способа протестировать надежность парольной защиты компьютерной системы, чем попытка ее взлома. В-третьих, сегодня любой желающий, может легко найти любую самую детальную информацию о современных технологиях преодоления парольной защиты. И, наконец, в-четвертых, самое главное – знание методов взлома паролей и анализ этих методов являются основой для того, чтобы сформулировать правила парольной защиты, обеспечивающие максимально надежное противодействие попыткам несанкционированного доступа к информации.
Для взлома парольной защиты используются следующие методы.
1. Узнавание пароля. Часто пользователи записывают пароли на листках, в блокнотах, тетрадях, доступных неавторизованным лицам. Доступность записанных паролей, их несекретность, является одной из важных «дыр» в парольной защите. Часто пароли доступа могут быть получены путем их выведывания, обычно с использованием тех или иных методов психологии или социальной инженерии. Разновидностью этого метода является выведывание информации, которая могла быть использована пользователем в подсказках, иногда предусматриваемых на случай, если пароль забыт. Такие подсказки предлагаются, например, почтовыми серверами при регистрации электронного почтового ящика и, обычно, представляются предложением ответить на некоторый контрольный вопрос, такой как «Ваш рост», «Ваше любимое блюдо», «номер Вашего паспорта», «девичья фамилия матери» и т. п. Для желающего получить доступ к защищенному паролем ресурсу, как правило, значительно легче узнать информацию, необходимую для правильного ответа на подобные вопросы, чем сам пароль.
2. Угадывание пароля. Во многих случаях в качестве пароля используются имена, фамилии, номера телефонов и другие личные данные пользователя или его родственников и друзей. Такая информация может быть известна злоумышленникам, что позволяет использовать ее для угадывания и подбора пароля. В наиболее примитивном случае пароль выбирается пользователем таким же как учетное имя (логин).
3. Словарная атака. Наиболее распространенным вариантом при выборе пароля является задание в качестве пароля некоторого слова, что, в первую очередь, обусловлено легкостью запоминания такого пароля. В этом случае пароль может быть выявлен при помощи специальных программ-взломщиков паролей, реализующих, так называемую, словарную атаку, состоящую в последовательном переборе всех слов, содержащихся в электронном словаре, подключаемом к такой программе.

В настоящее время для определения пароля разработан ряд специальных словарей, опубликованных или размещенных в Интернете. Такие словари содержат сотни тысяч слов, имен, названий, наиболее часто употребляемых в качестве паролей, в том числе географических, названий корпораций, торговых марок, названий кинофильмов, спортивных клубов и т.п. Словарный перебор осуществляется очень быстро, особенно, если словарь составлен как частотный, в котором слова расположены с учетом частоты их использования в качестве паролей. Словари могут подключаться к программам взлома паролей.
Парольные взломщики могут не только проверять все слова из словаря, но и формировать множество дополнительных вариантов, применяя определенные правила видоизменения слов для генерации возможных паролей. Например, производится попеременное изменение буквенного регистра, в котором набрано слово; меняется на обратный порядок следования букв в слове; в начало и в конец каждого слова приписывается цифра 1; некоторые буквы заменяются на близкие по начертанию цифры (в результате, например, из слова password получается pa55w0rd) и т.д. [10]. Например, в известном парольном взломщике LC4, наряду с возможностью установки ряда параметров взлома, повышающих эффективность работы программы, в числе прочих настроек предусмотрено задание следующих параметров атаки по словарю:

обычное использование словаря;
записанные дважды слова;
обратный порядок символов слов;
усеченные до заданного количества символов слова;
слова без гласных, за исключением заглавной;
транслитерация русских букв латинскими по заданной таблице транслитерации;
замена раскладки локализации латинской раскладкой клавиатуры;
замена латинской раскладки клавиатуры раскладкой локализации.

Алгоритмы формирования множества вариантов слов могут быть различны. Некоторые парольные взломщики поочередно проверяют каждое слово из словаря и формируют на его основе множество вариантов, другие программы-вломщики сначала обрабатывают весь словарь при помощи заданных правил, генерирую, по-существу, новый большой вариативный словарь, используемый для подбора пароля.
4. Метод прямого перебора (brute-force attack – метод грубой силы, «лобовая атака»). Этот метод предполагает прямой перебор всех возможных комбинаций всех допустимых в пароле символов. Перебор символов осуществляется до тех пор, пока не будет найдена нужная комбинация.
Описанные выше способы преодоление парольной защиты путем узнавания или угадывания пароля с перебором ограниченного количества сочетаний букв, цифр и символов, вводимых с клавиатуры, может привести к успеху лишь в том случае, когда пользователь игнорирует элементарные правила выбора пароля. Словарная атака эффективна лишь при игнорировании пользователем одного из основных правил выбора пароля – не использовать в качестве пароля семантически определенное слово. Если выбран нетривиальный и достаточно длинный пароль, его успешный подбор возможен только методом прямого перебора с использованием специальных программ-взломщиков. Программная реализация метода автоматического перебора позволяет взломать любой пароль, но для сложных паролей может потребоваться значительное время, особенно учитывая возможное переключение верхнего и нижнего регистров и раскладки клавиатуры.
Проведенное исследование устойчивости паролей к взлому с использованием программы SAMInside, предназначенной для взлома паролей Windows NT/2000/ХР, на компьютере AMD 2400 XP+ со словарем объемом 9 мегабайт при скорости перебора 5310986 паролей/сек показало следующее [12]:

время взлома пароля, состоящего из слов английского (русского) языка составляет до 2 минут;
время взлома пароля длиной 8 символов, состоящего из цифр составляет 18 секунд;
время взлома пароля длиной 8 символов, состоящего из цифр и букв английского алфавита составляет до 6 суток;
время взлома пароля длиной 8 символов, состоящего из цифр, букв и символов достигает 61 суток.

Программы взлома парольной защиты часто предусматривают возможность уменьшения числа перебираемых комбинаций символов, и как следствие, существенное ускорение работы. Для этого в настройках программ-парольных взломщиков предусматривается возможность использования априорной информации о взламываемом пароле (если таковая имеется), а именно, информации о длине пароля (числе символов), типе символов (например, если известно, что пароль состоит только из букв, или из букв и цифр, не без включения иных символов). Если часть используемых в пароле символов известна, то как правило, возможен их учет и программа прямого перебора использует их как «маску» (brute force with mask), что эквивалентно уменьшению длины пароля. Для пре
дотвращения таких атак нельзя допускать возможность подсматривания за вводом пароля сторонними лицами.

В современных операционных системах пароли закрываются с помощью достаточно надежных криптографических алгоритмов, что не позволяет рассчитывать на их быструю дешифрацию. В этом случае парольные взломщики просто шифруют все подбираемые или автоматически генерируемые пароли с использованием того же самого криптографического алгоритма, который применяется для засекречивания паролей в атакуемой операционной системе, и сравнивают результаты шифрования с записями в системном файле, где хранятся шифрованные пароли пользователей этой системы [1].
Принятые в большинстве операционных систем меры защиты от подбора пароля предусматривают ограничение числа неправильных попыток ввода пароля, аудит попыток входа в систему, возможность задания правил, определяющих политику безопасности парольной защиты.
5. Использование программных закладок. Для добывания паролей, хранящихся в памяти компьютера, в том числе, системных паролей могут использоваться специальные программы – программные закладки, скрытно устанавливаемые в атакуемый компьютер с целью получения информации о пользовательских паролях.
Программная закладка – это программа или фрагмент программы, скрытно внедряемый в защищенную систему и позволяющий злоумышленнику, внедрившему его, осуществлять несанкционированный доступ к тем или иным ресурсам защищенной системы [8].
К наиболее распространенной разновидности программных закладок - перехватчиков паролей относятся программы, которые будучи внедренными в операционную систему, получают доступ к паролям, вводимым пользователями, перехватывают их, записывают в специальный файл или в другое место, доступное злоумышленнику, внедрившему закладку в систему.
К наиболее опасным видам таких вредоносных программ относятся, в частности, трояны-клавиатурные мониторы, записывающие нажатия клавиш клавиатуры и записывающие их в лог-файл с последующей передачей этой информации по сети, например, на запрограммированный в них адрес электронной почты. Некотрые виды троянов-клавиатурных мониторов способны выделять и сохранять информацию только о вводимых паролях. Специально для добывания хранящихся в памяти компьютера паролей предназначены троянские программы-парольные воры. Следует отметить, что троянские программы являются самыми распространенными из всех видов вредоносных компьютерных программ (обычно называемых компьютерными вирусами) и все более часто используются для добывания парольной информации. Согласно недавнему отчету компании McAfee количество Троянов, предназначенных для кражи паролей в интернете за 2008 год выросло на 400 % [7].
6. Удаленный доступ к компьютеру. Получение парольной информации злоумышленником возможно при успешном проведении сетевых атак и получении возможности удаленного управления компьютером. Очевидно, что в этом случае, обеспечивается возможность получения любой, в том числе, парольной информации, хранящейся в компьютере.
7. Непосредственный доступ к компьютеру. Если возможен непосредственный доступ злоумышленника к защищенному компьютеру, то им может получена информация, записанная в компьютере, включая данные о паролях, включая пользовательские учетные записи и системные пароли.
Такие атаки возможны, если в политике безопасности или при администрировании компьютерной системы допущены ошибки, в частности не перекрыта возможность загрузки операционной системы с внешних носителей (дискет, CD, DVD). В этом случае любая информация с атакованного компьютера может быть скопирована и подвергнута анализу. В частности, становится возможным подбор пароля, даже если он хранился в компьютере в зашифрованном виде.
В случае, когда не закрыт физический доступ к компьютеру, может оказаться возможным вскрыть корпус компьютера и получить полный доступ к информации, записанной на жестком диске, либо путем загрузки с внешнего жесткого диска, либо путем подключения жесткого диска атакуемого компьютера к другому компьютеру.
8. Перехват паролей с использованием технических средств. Использование технических каналов утечки для получения конфиденциальной, в том числе парольной, информации является весьма непростой, но решаемой задачей. В подавляющем большинстве случаев используются электромагнитный и электрический каналы утечки, реже – оптический канал, предполагающий возможность визуального наблюдения за процессом ввода информации. Такое наблюдение может осуществляться с использованием оптических приборов или видеокамер.
Один из возможных вариантов использования электромагнитного канала утечки информации основан на регистрации электромагнитных полей кабельных линий по которым передается информация. Например, если компьютер подключен через модем к телефонной линии, то даже при бесконтактном подключении к линии, чаще всего осуществляемом с помощью индуктивных датчиков, становиться возможным перехват трафика, в том числе, паролей (например, паролей к электронному почтовому ящику).
Крайне опасными следует считать устройства, предназначенные для перехвата сигналов клавиатуры – аппаратно реализованные клавиатурные мониторы. Такое устройство может быть скрытно установлено на провод клавиатуры или как «переходник» между системным блоком и разъемом клавиатуры, либо внутри системного блока. В этом случае вся набираемая на клавиатуре информация перехватывается и передается, как правило, по радиоканалу.
Для сохранения секретности вводимого пароля, он, как правило, не отображается на экране, а представляется в строке ввода пароля в виде «звездочек», «точечек» или, реже, иных символов. При таком отображении пароля, иногда звездочки только скрывают содержимое этого поля, притом что информация, относящаяся к полю ввода уже находится в памяти компьютера. В этих случаях пароль, отображенный строкой звездочек, может быть определен с помощью специальных программ.

Правила парольной защиты

Надежный пароль должен удовлетворять целому ряду требованиям.
1. Пароль должен быть секретным:

недопустимо отображение пароля на экране;
записанный пароль нельзя хранить в местах, доступных неавторизованным лицам, например, на листочках, приклеиваемых к монитору;
файл паролей должен иметь надежную криптографическую защиту; – пароль не рекомендуется сохранять в компьютере даже в специальных защищенных файлах – для большей безопасности пароль следует хранить записанным на внешний носитель, который должен быть надежно защищен от несанкционированного доступа;
возможности операционной системы и других программ по сохранению пароля должны игнорироваться, на предложение программ запомнить пароль нужно всегда отвечать отказом.

2. Пароль должен быть длинным: пароль должен состоять не менее чем из 8 символов, иначе он легко может быть взломан программами прямого перебора;
3. Пароль должен быть трудно угадываемым: недопустимо совпадение пароля с логином, использование в качестве пароля имени, фамилии, даты рождения, номеров телефонов пользователя или его родственников, кличек любимых домашних животных, названий спортивных клубов, географических названий, например, любимых мест отдыха и т.п.
4. Пароль не должен представлять собой распространенные слова, имена, названия для защиты от атаки со словарем.
5. Пароль должен быть сложным, т.е. пароль должен представлять собой случайную комбинацию различных символов для защиты от атаки методом прямого перебора: пароль должен содержать не только буквы, как прописные, так и строчные, цифры, а также различные не буквенно-цифровые символы (` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /), которые могут быть введены с клавиатуры, т.е. при вводе пароля должно выполняться переключение верхнего и нижнего регистров клавиатуры, а, если возможно, то и переключение раскладки клавиатуры (т. е. переключение языка – английский-русский); лучшими паролями являются пароли, сгенерированные как случайные последовательности.
6. Пароль должен регулярно меняться, причем, желательно, чтобы изменения пароля осуществлялись не реже одного раза в 60-90 дней и не по графику, а случайным образом.
7. Пароль должен значительно отличаться от паролей, использовавшихся ранее.
8. Каждый пароль должен использоваться уникально – только одним пользователем и для получения доступа только к одной из систем или программ, т. е. нельзя использовать один и тот же пароль для доступа, например, к сеансу работы с компьютером и для доступа к электронному почтовому ящику.
9. Подсказки к паролям не должны использоваться – следует всегда игнорировать предусмотренные на случай, если пароль будет забыт предложения операционной системы или других программ ввести при задании пароля подсказку, указать дополнительные сведения или ответ на контрольный вопрос (например, о вашем росте, любимом блюде, девичьей фамилии матери, номере паспорта и т.п.), – злоумышленнику может оказаться значительно легче узнать (подобрать) ответ на подсказку, чем узнать пароль.
10. Пароль не должен передаваться по недостаточно надежно защищенным каналам связи, например, пересылаться по электронной почте, передаваться по телефону, факсу и т.п..
11. Пароль должен немедленно заменяться, если есть подозрения, что он мог быть раскрыт.

Наиболее эффективно противодействовать несанкционированному доступу можно, сочетая парольную защиту с другими методами ограничения доступа, например, использующими биометрические технологии идентификацию, например, по отпечаткам пальцев, радужной оболочке глаза или другим индивидуальным характеристикам.
Если необходимо обеспечить надежную защиту, пароль обязательно должен удовлетворять требованиям сложности и достаточно большой длины. В таблице 1 приведены количество вариантов, которые необходимо перебрать в случае «лобовой» атаки методом прямого перебора, если пароль состоит из 6-ти символов. Также в таблице даны значения длины пароля, такие чтобы число вариантов при его переборе было равно числу вариантов перебора случайного криптографического ключа длиной 56 и 256 бит – такие длины ключей предусмотрены в старом, но еще очень распространенном стандарте шифрования DES (США) и действующих стандартах AES (США) и российском ГОСТ 28147-89.

Таблица 1 Зависимость сложности пароля от используемого набора символов и длины [3]

Алфавит	Мощность алфавита	Количество вариантов 6-символьного пароля	Длина пароля, необходимая для достижения стойкости DES 2⁵⁶ (7,21 10¹⁶)	Длина пароля, необходимая для достижения стойкости ГОСТ 2²⁵⁶ (1,16 10⁷⁷)
Строчные английские буквы	26	3,09 10⁸	12	55
Строчные русские буквы	33	1,29 10⁹	12	51
Строчные и заглавные английские буквы	52	1,97 10¹⁰	10	45
Строчные и заглавные английские буквы и цифры	62	5,68 10¹⁰	10	43
Строчные и заглавные русские буквы	66	8,27 10¹⁰	10	43
Строчные и заглавные русские буквы и цифры	76	1,93 10¹¹	9	41
Строчные и заглавные английские буквы, цифры и знаки препинания	94	6,90 10¹¹	9	40
Строчные и заглавные русские буквы, цифры и знаки препинания	108	1,59 10¹²	9	38
Все алфавитно-цифровые символы русифицированной клавиатуры	160	1,68 10¹³	8	35

_____________________________________________
Следует отметить, что использование надежных сложных паролей может создавать определенные сложности. Одной из проблем, затрудняющих использование приведенных правил формирования надежных паролей является сложность запоминания нескольких разных достаточно длинных паролей, сформированных как бессмысленная комбинация букв, цифр и символов. Обычно, если используют такие пароли, то их приходится записывать, что снижает уровень безопасности вследствие ослабления парольной защиты. Чтобы избежать необходимости записывать сложные пароли, желательно использовать те или иные правила формирования псевдослучайных паролей, которые при этом легко запоминаются. Так, можно использовать фразы из стихотворений, песен, которые преобразуются так, чтобы получилась внешне лишенная смыслового содержания последовательность. Например, если взять слова известной песни «Три танкиста, три веселых друга – экипаж машины боевой» и использовать первые буквы слов, заменив числительные цифрами и сохранив знаки препинания, то получится пароль «3Т,3вд-ЭМБ» (или набранный латинскими буквами @3N?3dl-“V<@), содержащий буквы, цифры и символы, но при этом легко запоминающийся.
Одна из рекомендаций создания хорошо запоминаемых паролей, к веб-ресурсам, например, когда необходима регистрация на сайте, состоит в том, что пароль может представлять собой модифицированный тем или иным способом адрес сайта. Например, пароль cybersecurity13ru2 сформирован для сайта http://www.cybersecurity.ru по следующему правилу: в качестве пароля используется доменное имя, в котором вместо точки указывается количество символов предыдущего компонента. Такой метод может быть рекомендован только для создания случайных паролей в неответственных случаях [5].

Серьезная парольная защита невозможна, если недостаточно надежной является надежная антивирусная защита – троянские программы, ворующие пароли, способны перехватить любой пароль, каким бы сложным и длинным он ни был.
Рациональная политика парольной защиты предполагает использование разных по сложности и защищенности паролей при получении доступа к разным по важности ресурсам. Например, сложный пароль, как правило, не очень важен при регистрации на веб-сайте, причем в этом случае, если пароль забыт, то можно заново пройти регистрацию, в тоже время сложный пароль необходим для доступа к банковскому счету, а сохранение секретности этого пароля является крайне важным.

Литературные и интернет-источники:

1.     Анин Б. Парольные взломщики / Б. Анин. / (http://www.realdosug.ru/hack/porolnyae_vzlomchiki.ht...).
2.     Берд Киви. Защити свои файлы / Киви Берд. – «ИнфоБизнес» / http://www.ibusiness.ru/offline/2000/124/10356/).
3.     Введение в криптографию / Под общ. ред. В.В. Ященко. – М.: МЦНМО: «ЧеРо», 1999. – 272 с.
4.     Взломать пароль — по-прежнему легко / (http://hi-tech.mail.ru/news/item/2932/)
5.     Даклин Пол. Простые советы по более разумному выбору и использованию паролей / Пол Даклин. – (http://www.infosecurity.ru/_gazeta/content/060525/ar...).
6.     Леонтьев Б. Хакинг без секретов / Б. Леонтьев. - М: Познавательная книга плюс, 2000. – 736 с.
7.     Осторожно: хакеры! / (http://hi-tech.mail.ru/news/item/3698).
8.     Проскурин В.Г. Перехватчики паролей пользователей операционных систем / В.Г. Проскурин / (http://www.crime-research.ru/library/paswper.htm).
9.     Украсть пароль? Нет ничего проще / (http://www.internet.ru).
10.     Хакерство и безопасность. Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / (http://www.diwaxx.ru/hak/vzlompass4.html).
11.     Хикс Сара (Sarah Hicks). Мобильные устройства и вредоносные программы / Сара Хикс. – (http://www.infosecurity.ru/_gazeta/content/060323/ar...).
12.     Чем нас пытаются взломать (методы взлома и защиты, обзор программ-взломщиков паролей) / (http://www.diwaxx.ru/hak/vzlompass4.html).
13.     WebKnacKer Alex. Быстро и легко. Хакинг и антихакинг: защита и нападение / Alex WebKnacKer. – М.: Лучшие книги, 2004. – 400 с.

________________________
© Голуб Владимир Александрович