34 отговора по тази тема

[netcentric]

ПАРОЛАТА И НЕЙНОТО ЗНАЧЕНИЕ ЗА СИГУРНОСТТА

Кое прави една парола "добра"?
Съществуват известен брой технически действия, които можете да предприемете, за да направите паролата си възможно най-сигурна. Все пак, преди да разгледаме този въпрос, трябва да подчертаем важността на сигурното съхранение на данните. Без значение колко сигурна е нашата инфраструктура, без значение на добрите потребителски практики, които се прилагат, възможността за неоторизиран достъп ще съществува винаги. Благоразумното съхранение на данни/информация изисква от вас да пазите винаги поне две техни копия, като едното трябва да бъде на друг носител и на място, (физически) различно от това, в което се съхранява първото копие. Без значение на това каква щета би могло да нанесе лицето, получило ноеторизиран достъп, първата стъпка към успешно възстановяване е притежаването на точно архивно копие на критичната информация. С написаното дотук наум, вече можем да продължим към факторите, които участват във формирането на една "добра" парола.

Избягвайте очевидното!
Първото правило на доброто съставяне на пароли е "избягвайте очевидното". Всички технически усилия на света биха били безполезни, ако вашата парола е лесна за отгатване или прочитане от бележка, залепена на монитора ви. Като допълнение към това необикновено разумно правило още три важни неща трябва да бъдат взети предвид:
a) дължината на паролата,
б) произволността на символите в нея и
в) употребата на специални знаци.

Всеки знак във вашата парола добавя още едно число, което трябва да бъде декодирано. Повечето технически анализатори се обединяват около твърдението, че 14 знака е оптималната дължина, която се изисква за една "силна" парола, в смесено обкръжение на Windows NT/9x/XP/2x - доста знаци за запомняне! Ние препоръчваме използавето на мининум 8 знака - баланс между технологията и лесното запомняне.

Произволност
Произволността е още един от факторите. Обичайните хакерски програми се опитват да разбият паролата ви с помощта на речник: например думата "мотор" не е добра парола, нито пък думата "България". Паролата ви ще бъде много по-сигурна, ако използвате комбинации от символи, които не съставят някаква позната дума, нещо което не може да бъде срещнато в речника.

Специални знаци
Накрая, използването на специални знаци би било в помощ, ако не и от съществено значение. Това включва (!@#$%^&*()_+ и др. Включва числа и букви - малки и главни.

Обобщение
Да обобщим:
1. Избягвайте очевидното - никакви имена на вашите деца, домашните ви любимци или любимият ви футболен играч (особено ако имате плакат на Дейвид Бекъм на стената в офиса или в стаята ви!);
2. Минимална дължина на паролата - 8 знака;
3. Избирайте знаците произволно - избягвайте думи от речника на английски или какъвто и да е друг език;
4. Вмъквайте специални знаци, смесвайте цифри и букви - малки и главни.

"ИЗПОЛЗВАЙТЕ" и "НЕ ИЗПОЛЗВАЙТЕ"

НЕ ИЗПОЛЗВАЙТЕ за парола цяла съществуваща в английския, българския или който и да е чужд език дума. Имайте предвид, че някои системи дори няма да ви позволят да използвате парола, част от която е някаква речникова дума.
НЕ ИЗПОЛЗВАЙТЕ потребителски имена, рождени дати, ЕГН, собствени имена или тези на любимите ви филмови герои: в общи линии всичко, което е лесно за отгатване и налучкване.
НЕ ИЗПОЛЗВАЙТЕ главни букви в средата на паролата - трудни са за правилно изписване.
НЕ ИЗПОЛЗВАЙТЕ две последователни еднакви букви. Лесно е да напишете грешно "ww". Всъщност, избягвайте да повтаряте знаците въобще. Факт е, че думата "enterer" е трудна за правилно изписване (при писане по десетопръстната система).
НЕ ИЗПОЛЗВАЙТЕ интервали и не започвайте с число - някои системи не поддръжат това.
НЕ ИЗПОЛЗВАЙТЕ широкоразпространената препоръка да превърнете фраза като "Отидох до магазина и купих малко хляб" в паролата "Одмикмх" - това най-вероятно ще доведе до трудни за писане пароли.
НЕ ИЗПОЛЗВАЙТЕ каквато и да е част от стари пароли. Не само че това е лоша идея, но и много системи няма да го позволят.
НЕ ИЗПОЛЗВАЙТЕ денят преди уикенда или преди излизането ви в отпуск, за да смените паролата си.

ИЗПОЛЗВАЙТЕ числа, малки и главни букви, и символи като "%". Някои системи изискват по един или дори по два от всеки вид.
ИЗПОЛЗВАЙТЕ съставени от вас думи, които са лесни за произнасяне и писане. Препоръчваме ви да вмъквате винаги поне по една цифра, малка или главна буква, някъде в последователността от знаци.
ИЗПОЛЗВАЙТЕ различна парола за сайтовете, които лесно можете да си позволите да пожертвате (най-често някои новинарски сайтове, които изискват регистрация). Това може да е някоя лесна парола, която можете да използвате отново и отново за множество сайтове, при които най-лошото, което може да се случи, е някой да се представя за вас, докато чете новините.

И една тънка подробност за хората, които пишат по-бързо: имайте предвид, че съществуват определени правописни грешки, които се появяват, защото използваният модел е по-бърз. Това е една от причините, поради които думата "яма" (например) често се изписва като "яам" - буквите "а" и "м" са на един ред, но буквата "м" попада под дясната ръка. Опитайте се да изберете модел, който работи въпреки, а не срещу това. Който предложи за парола думата "typewriter" (думата се изписва само с букви от един и същи ред), ще бъде напляскан. Като цяло намираме буквите, преминаващи отдясно наляво за по-подходящи. Възможно е някои букви от долния ред да ни ядосват отвреме навреме.

И накрая, забавлявайте се. Парола, която значи нещо за вас, ще е по-лесна за запомняне.

Оригинален източник: WorldLink Communications PVT. Ltd.

Всички права върху този превод са запазени от преводача. Разпространението и възпроизвеждането на преводната статия в други сайтове, без изричното съгласие на преводача е забранено.

[Pantockrator]

Аз бих казал, че е достатъчно следното:
- Над 8 символа (съдържащи числа и букви) + знака _ използван някъде вътре, прави паролата трудно откриваема.

[Sir William]

Хм, хубава статия!
Ще помогне доста на потребителите! Особено за регистрация и влизане в разни сайтове и прочее.

Но за съжаление нещата с разбиването на пароли доста загрубя. Имам предвид използването на специализиран софтуер, който даже е официален и обикновено е платен...

Твърдението, че използването на специални символи помага за затрудняване на разбивача на пароли. Вярно е, но на пръв поглед. Което е съвсем нормално.

Но може да пробваме. Например с WinRAR. Опитайте да направите един RAR архив, в който има включен TXT файл. Нека този текстов файл (може да го направите с Notepad) да включва някаква дума, може да е изречение. Качете го на някой сървър и го пуснете тук. Само че го кодирайте с менюто на WinRAR за целта. А да видим за колко време ще узнаем съдържанието на текста и самите пароли.

Как става архивиране с парола за WinRAR:


Ако някой желае, може да пробва кодиране в друг формат. Например PDF, DOC или ZIP.

[Pantockrator]

Това наистина е добра идея, но се съмнявам да се подкрепи и задържи дълго.

[panevdd]

Цитат

Опитайте да направите един RAR архив, в който има включен TXT файл. Нека този текстов файл (може да го направите с Notepad) да включва някаква дума, може да е изречение. Качете го на някой сървър и го пуснете тук. Само че го кодирайте с менюто на WinRAR за целта. А да видим за колко време ще узнаем съдържанието на текста и самите пароли.

Винаги готов! Ето един текстов документ; архивиран е с последната версия на WinRar, като архивът е защитен с парола.

[Sir William]

panevdd, на 2 Aug 2007, 23:36, каза:

Винаги готов! Ето един текстов документ; архивиран е с последната версия на WinRar, като архивът е защитен с парола.

Пробвах с една - две програми (Аdvanced RAR Password Recovery, RAR Key и още една-две подобни) ми дават 12-14 часа работа за откриване на паролата (паролите)...

Може би си сложил доста дълга парола. А ако си включил и кирилица, може би ще ми трябва доста повече време. С такова време не разполагам, за съжаление.

Поздрави!

[panevdd]

Паролата е с 20 символа; няма символи на кирилица, но има малки и главни букви, специални знаци и цифри. Предполагам, че си опитал да я "отгатнеш" чрез brute force (метода на налучкването). Това може да свърши работа за пароли с малък брой знаци, особено, ако се знае вида на парота - дали е само букви, само цифри, точната дължина на паролата и т. н. т. Разбиването на "дълги" пароли, в които присъстват всякакви символи (например VhTe]3+wHmuZ(w5efnO[}41o3Dh$kh) по този начин може да отнеме месеци. Просто ми беше интересно дали наскоро не е бил открит друг метод (освен brute force) - за анализ на заключени архиви например. Доколкото ми е известно, .zip архивите могат да бъдат "разбити"; .rar архивите обаче не позволяват проследяване и извличане или "разбиване" на паролата, или поне не е открит метод за това. Засега.

[Sir William]

panevdd, на 3 Aug 2007, 13:44, каза:

...............................
Предполагам, че си опитал да я "отгатнеш" чрез brute force (метода на налучкването).
...............................

Да, като начало пуснах brute force, но по-нататък използвах някои по-различни програми и алгоритми. Наистина си прав за RAR архивите. Но това не пречи да се опитва, все пак.

Та по темата. Снощи използвах някои съвети от тази хубава статия на netcentric, за да опитам да затрудня софтуера за "възстановяване" на пароли на RAR архиви. Наистина има положителен за нас и отрицателен за разбиващия софтуер ефект. Даже една парола от 8 символа (използвах за целта: $RE&u3z6) можеше да бъде "отгатнатата" от една програма за около 12-15 часа. Е, има и по-нов и сериозен софтуер, но той е доста скъпичък и иска мощен компютър.

[Pantockrator]

малеее.... аз ако знаех , че са 20 символа нямаше да се хващам. 14 часа процесора на 60 %

[vyrgozunqk]

хмм странно, преди време разбих ФТП администраторския акаунт на един приятел в локалната, паролата беше 9 символа, всичко стана за около 3 часа...на рар не съм пробвал, обаче тези 15 часа с брут форс, много ми се виждат, на какви машини го правите ?!

[Sir William]

vyrgozunqk, на 4 Aug 2007, 20:30, каза:

хмм странно, преди време разбих ФТП администраторския акаунт на един приятел в локалната, паролата беше 9 символа, всичко стана за около 3 часа...на рар не съм пробвал, обаче тези 15 часа с брут форс, много ми се виждат, на какви машини го правите ?!

С мощни, сериозни и силни машини пробвахме.
Прочее нищо не направихме.

Ти също може да пробваш да разбиеш 20 символнатa парола на RAR от архива по-горе.

[panevdd]

Има поне два начина една парола да бъде преодоляна; в зависимост от избрания начин и някои допълнителни условия времето за преодоляване на паролата може да варира от няколко секунди до няколко години (при сегашните възможности на персоналните компютри).
Един от методите е "разбиване" (хакване) на програмата (или документа). За целта съответната програма (или документ) се поврежда по такъв начин, че да се избегне искането за потребителско име или парола. Възможно е въведената парола да се заличи или програмата да бъде принудена да "прескача" проверката за автентичност (име и парола). Особеност на този метод е, че не е необходимо да се губи време за "отгатване" на паролата - цели се нейното премахване или преодоляването на защитите на съответната програма. Друга особеност е това, че не се търси възможност за възстановяване на оригиналната парола и заличаване на следите от действието. Ако чрез прилагането на този метод се разбие паролата за вход на потребител на операционна система например, впоследствие потребителят ще получи информация за "пробива" и ще бъдат взети съответните мерки това да не се повтори. Освен това, този метод е неприложим при някои програми и документи (като .rar архивите, например) - периодът от време, необходим за анализ на защитата и изработване на съответния алгоритъм за нейното преодоляване, е достатъчно голям, за да се обезсмисли самото действие.
Друг (по-често използван) метод е споменатия "brute force". При него се използва списък с пароли, които се "изпробват" върху защитения документ (или програма). В ИНТЕРНЕТ има публикувани много списъци с думи или словосъчетания, използвани като като пароли; почти всяко приложение за разбиване на парола съдържа подобен списък. Задачата по разбиването се улеснява значително, ако се знае точната дължина на паролата - ако знаем, че една парола се състои (например) от 20 символа, очевидно е безсмислено да се съставят комбинациите с повече или по-малка дължина. В повечето случаи, обаче дължината на паролата е само предполагаема; в такъв случай като параметър за дължина на паролата се задава стойност "... до ххх символа", което води до изчисление и изпробване на огромен брой пароли (при парола с голяма дължина). Друго улеснение при използването на метода е избягването на излишните символи. Ако се знае (или се предполага), наличието (или отсъствието) на цифри, главни букви и специални знаци в паролата, върху която ще се работи, може да се състави списък с изключения, като по този начин времето за работа се съкращава значително. Особеност на метода е това, че не оставя "следи" от работата върху паролата (документа, програмата). Естествено, ако са направени няколко неуспешни опита за отваряне на защитен документ или влизане в операционна система, следите са налице; ако обаче се работи върху копие от документа (на операционната система също може да се направи копие) и се работи с него, оригиналът остава непокътнат. Това означава, че след евентуално разкриване на паролата тя може да бъде използвана (тъй като остава непроменена) за достъп до защитените ресурси.
Разновидност на brute force метода е подслушването (sniffing, sniffer) и записването (logging, logger, keylogger) на дадена програма или действията на потребител. Използва се приложение, което е "невидимо" за потребителя и което записва извършените действия - натиснати клавиши, действия с мишката, отворени документи или приложения и т. н. т. Впоследствие документа със записите се изпраща на друг потребител (обикновено този, който е организирал "прослушването"), който анализира съдържанието му и може да се възползва от получените данни за достъп.
В допълнение към написаното от netcentric мога да кажа две неща:
1. Добре е да се използва парола, която е понятна (има смисъл) само за този, който я е поставил. Може да се използва специфична дума (Sofia), изписана по необичаен начин - например s0oio!/\.
2. Добре е паролата да се променя на определен интервал от време; "постоянната" парола рано или късно ще бъде разкрита.
Паролата за архива, който съм публикувал по-горе е CzRu)1+lYbaX%a5eycA_@24e5Dm{sd ; извинявам се, че не съобразих да я кажа по-рано.

[Sir William]

panevdd, на 4 Aug 2007, 23:51, каза:

...........................
Паролата за архива, който съм публикувал по-горе е CzRu)1+lYbaX%a5eycA_@24e5Dm{sd ; извинявам се, че не съобразих да я кажа по-рано.

Дам...
Още работех по въпроса, нямаше нужда.

Както и да е. Препоръките на netcentric с твоето допълнение са доста ценни. Доста трудно да видиш евентуалните последици в бъдещето от грешно формулирана парола. Свиква се с лесното. Затова има brute force. Но невниманието струва доста скъпо понякога.

Поздрави за коментарите!

[Sir William]

Интересно. Microsoft имат доста сходни препоръки с написаното дотук по темата. Ето една интересна статийка: Strong passwords: How to create and use them (Microsoft, 22.03.2006).

Даже има препратка към страница за проверка силата на паролата: Password checker. Такива странички за проверка на пароли в Интернет дал Господ.

[gradushka]

Здравейте! Имам един проблем с тези пароли, предполагам тук е мястото да го напиша...
Значи имам администраторска парола на ОС, която не я знае уж никой... Винаги при включването на лаптопа иска тази парола, и до сега си мислих че щом заключа лаптопа си и го оставя в режим на готовност, или дори като го изключа, никой не може да влезе... до момента, в който пред очите ми влязоха в лаптопа, но не с паролата ми ... ами с някаква комбинация от бутони, но не ми казаха каква е... Някой може ли да ми каже как става този номер, каква е тази комбинация... и как мога да защитя лаптопа си от други потребители в мое отсъствие....