Выбор надёжных паролей
Вход Регистрация

Выбор надёжных паролей

Исходное положение: Имена пользователей или пароли, которые легко вычислять, подвергают аккаунты взлому.

Угроза: Подбор пароля методом лобовой атаки, вычисление пароля, перехват аккаунта.

Один из самых распространенных пробелов в защите в течение всей истории компьютеров - это выбор легко угадываемого пароля. Несмотря на то, что в последние годы появилось множество рекомендаций по установке пароля, многие пользователи, а иногда и администраторы, продолжают пользоваться паролями типа password, letmein или просто оставляют бланк для ввода пароля пустым. Одна компания по предоставлению web-услуг обязала персонал присваивать пароли новым покупателям. Персонал не приложил никаких усилий для установки защиты паролей, а покупатели не стали изменять присвоенные им пароли по умолчанию. Спустя два года работы компания насчитывала 200 покупателей, пользующихся одним и тем же паролем: dragon.

Несколько лет назад я создал аккаунт для теперь уже не существующего сайта-аукциона. Чтобы зарегистрироваться, пароль не требовался, но вместо этого владельцы web-сайта прислали мне по электронной почте автоматически образованный пароль, который состоял из моего имени пользователя с цифрой 22 на конце. Разумеется, они рекомендовали мне изменить пароль сразу же после первой регистрации для входа в аккаунт, но они не объяснили, как именно это сделать. Мне стало интересно, сколько же пользователей на самом деле изменили свои пароли, и я стал пробовать войти в систему под чужими логинами, добавляя цифру 22 к каждому из них. В доступе мне было отказано, и тогда я стал добавлять цифры 11, 33, 44 и так далее, и вскоре получил пароли практически всех аккаунтов системы.

Вывод: если вы автоматически создаете пароли для своих пользователей, вам нужно учитывать, что некоторые из них никогда не поменяют пароль, установленный по умолчанию, если, конечно, этого не требует последовательность первой регистрации. Таким образом, создавая пароль для пользователей, убедитесь, что алгоритм случайного выбора пароля не создает легко вычисляемые пароли. Один из примеров образования надежного пароля - это инструмент Pafwert, доступный на www.xato.com/pafwert.

Подсказка: То, как вы объясняете, в значительной степени влияет на то, как пользователь выбирает пароль. Например, избегайте запрашивания PIN-кода, который многие пользователи ассоциируют с кодом банковского автомата, с чем, возможно, связан их выбор четырехзначного цифрового пароля. Вместо этого запросите пароль в виде фразы, или, как назвал его один web-сайт, «очень длинный пароль».

Общая проблема многих бесплатных или условно-бесплатных скриптов интерфейса CGI (общий шлюзовой интерфейс), например web-форумов, - это то, что у них при использовании функции администрирования пароли устанавливаются по умолчанию. Если вы являетесь администратором подобного ресурса, просто не устанавливайте логин по умолчанию, а позвольте пользователям создать начальный пароль через процесс установки.

Легко угадываемые имена пользователей также могут стать серьезной проблемой. Имена пользователей не являются такой конфиденциальной информацией, как пароли, но, тем не менее, следует ограничить возможности других людей пользоваться чьим-то именем, так как они все следуют последовательному или предсказуемому шаблону (подробнее см. раздел «Предотвращение сбора логинов»).

Также очень важно избегать общих административных имен аккаунта, таких как administrator, admin, system или operator. Методика блокирования пароля не всегда применяется к административным аккаунтам, и, таким образом, пароли представляют собой привлекательную цель для подбора методом лобовой атаки и других видов взлома.

Внимание: Если вы разрешаете пользователям самим выбирать логины, убедитесь, что они не используют таких имен, как administrator, support, root, postmaster, abuse, Webmaster, security и так далее. Хакер, создающий аккаунт с одним из этих имен, вероятно, сможет «сыграть роль, других пользователей, обманным путем заставляя их раскрывать свои пароли.

Легко угадываемые, предсказуемые пароли или пароли по умолчанию уязвимы для вычисления или подбора методом лобовой атаки, так же как и легко угадываемые имена пользователей. Подобные пробелы могут привести к компрометации большого числа аккаунтов. Некоторые общие скрипты интерфейсов CGI (общие шлюзовой интерфейс) используют пароли по умолчанию, и взломщик может использовать поисковый механизм для обнаружения уязвимых web-сайтов.

Разработайте вашу систему таким образом, чтобы пользователи устанавливали свои пароли при первом использовании аккаунта или приложения. Используйте случайно выбранные пароли только в случае необходимости и только для начальной регистрации пользователя в аккаунте, при условии, что после этого приложение обяжет их изменить пароль. Избегайте построения системы, которая требует прохождения каких-либо специфических моделей создания имени пользователя или пароля.

Также избегайте любых кодов автоматического образования имен пользователей или паролей, пока не предпримете дополнительных шагов для избежания предсказуемых шаблонов. Позвольте пользователям самим выбирать себе логин и пароль каждый раз, когда это возможно.

Способы защиты

  1. Не позволяйте обслуживающему персоналу выбирать пароли для покупателей.
  2. Если пароль выбран случайно, избегайте предсказуемых, шаблонных моделей или построения пароля на основе имени пользователя.
  3. Никогда и ни для каких систем не используйте пароль по умолчанию.
  4. Не вводите предсказуемые или последовательные имена аккаунтов пользователей.
  5. Не употребляйте очевидные имена для административных аккаунтов.

Комментировать

captcha

Вход

Зарегистрируйтесь, если нет учетной записи

Напомнить пароль
Регистрация
Напомнить пароль
Войти в личный кабинет