The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Анализ ошибок парольной защиты"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Анализ ошибок парольной защиты"  +/
Сообщение от opennews (??) on 29-Июн-09, 17:21 
Компания Positive Technologies опубликовала обзор (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf) (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем.


Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам,  исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567,  qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Indust...

URL: http://www.ptsecurity.ru/analytics.asp
Новость: http://www.opennet.dev/opennews/art.shtml?num=22371

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ошибки парольной защиты: исследование Positive Technologies"  +1 +/
Сообщение от Аноним (??) on 29-Июн-09, 17:21 
Помню как у товарища с ADSL модемом пропали настройки, полезли разбираться, дождались первого MAC-а в ARP таблице, залезли на тот IP браузером через admin/admin и поняли - что-то тут не то. Оказалось, что ADSL модем был настроен в режиме бриджа и мы зашли на коммутатор провайдера :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Ошибки парольной защиты: исследование Positive Technologies"  +/
Сообщение от Lindemidux (??) on 30-Июн-09, 00:06 
Я на DSLAM прова был. Тоже Admin/Admin
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Анализ ошибок парольной защиты"  +1 +/
Сообщение от йа on 29-Июн-09, 17:25 
америку они открыли. Как буд-то профессионального взломщика остаровит сложный пароль если у того будет локальный доступ к системе. Удаленно задача уже ложиться на экраны и пароли тут не причем. И еще интересно кто те 180 тысяч что назвали какой-то левой компании свой пароль
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Анализ ошибок парольной защиты"  +/
Сообщение от XAnder (ok) on 29-Июн-09, 17:42 
Интересно? Почитай статью прежде чем... Всё написано.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Анализ ошибок парольной защиты"  –1 +/
Сообщение от User294 (??) on 29-Июн-09, 20:37 
> Как буд-то профессионального взломщика остаровит сложный пароль если
> у того будет локальный доступ к системе.

А если будет локальный доступ к владельцу, то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы шифрования с безупречными паролями...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Анализ ошибок парольной защиты"  +/
Сообщение от Andrew Kolchoogin on 29-Июн-09, 22:44 
> то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы
> шифрования с безупречными паролями...

    Нет.

    Существуют специальные методы обойти ректотермальный криптоанализ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Анализ ошибок парольной защиты"  +/
Сообщение от Фонлиг on 30-Июн-09, 08:53 
>И еще интересно кто те
>180 тысяч что назвали какой-то левой компании свой пароль

В документе написано - получено в ходе пентестов и аудитов. Т.е. ребята фактически их "взломали".

И контора далеко не "левая". Positive Technologies - разработчики XSpider (http://www.ptsecurity.ru/xs7.asp) и MaxPatrol (http://www.ptsecurity.ru/mp_eval.asp) - весьма и весьма достойных продуктов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Анализ ошибок парольной защиты"  +/
Сообщение от terminus (ok) on 29-Июн-09, 17:32 
Одна из простых, но действенных систем выбора сложного пароля который просто запоминать это использовать какой-нить любимый стишок или песню и брать первые буквы из слов куплетов или первые буквы куплетов.

Типа:
Я узнал, что у меня
Есть огpомная семья -
И тpопинка, и лесок,
В поле каждый колосок!

Речка, небо голубое -
Это все мое, pодное!
Это Родина моя!
Всех люблю на свете я!

Для первого куплета получаем:
jucumeosITILVPKK

добавляем что-нить из спец символов и мега пароль готов.
#jucumeosITILVPKK#

В следующий раз при выборе пароля используем второй куплет и т.д.

Вот так :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Анализ ошибок парольной защиты"  +/
Сообщение от Stanislaus email(ok) on 29-Июн-09, 17:43 
Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып "шокирующего абсурда", описанный в "Руководстве администратора Linux".
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Анализ ошибок парольной защиты"  +/
Сообщение от prapor (??) on 29-Июн-09, 19:30 
>Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып
>"шокирующего абсурда", описанный в "Руководстве администратора Linux".

В «UNIX SA Handbook» его описали раньше, хотя да, авторы те же :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Анализ ошибок парольной защиты"  +/
Сообщение от krechet (ok) on 29-Июн-09, 21:08 
А можно поподробнее?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Анализ ошибок парольной защиты"  +/
Сообщение от ig0r (??) on 29-Июн-09, 21:49 
http://dkulikovsky.ya.ru/replies.xml?item_no=90&for_reply=text
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Анализ ошибок парольной защиты"  +/
Сообщение от krechet (ok) on 29-Июн-09, 22:27 
спасибо
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Анализ ошибок парольной защиты"  +/
Сообщение от User294 (??) on 29-Июн-09, 20:43 
>Одна из простых, но действенных систем выбора сложного пароля

После этого он уже не такой сложный.После афиширования принципа генерации - довольно просто сгенерить и специализированные словари под него.Стишков и песенок в мире не так уж и много(по сравнению например с всем возможным количеством паролей такой длины).И множество перебора сииииииильно сократится.До, может быть, каких-то миллионов или миллиардов вместо астрономических величин.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Анализ ошибок парольной защиты"  +/
Сообщение от krechet (ok) on 29-Июн-09, 21:15 
Ещё один интересный способ, читал его в книге Флёнова...
Придумывается какое либо слово, но печатается на ряд вверх, т.е. если в слове есть буква "ф" то при вводе будет использоваться клавиша "й". Например абрикос выглядит как rkyg4ud, при этом можно ещё и шифт понажимать...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Анализ ошибок парольной защиты"  +/
Сообщение от User294 (??) on 29-Июн-09, 22:18 
>Ещё один интересный способ, читал его в книге Флёнова...

И чем он популярнее - тем хуже для вас.Поскольку построить добавочные словари с учетом этого метода как-то не особо сложная наука, а шансы что какой-то лузер попадется при словарной атаке - возрастают.И слом по словарю - это лучше чем полный и честный брутфорс длинного пароля на хренадцать символов.Перебрать миллион слов или два (с учетом ваших методов будет еще 1 словарь - с словами сконвертированными в такое представление) не столь уж велика разница.Это сильно лучше чем честно перебирать брутфорсом что-то порядка 2^128 вариантов например, вообще ничего не зная о хренадцатисимвольном пароле.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Анализ ошибок парольной защиты"  +/
Сообщение от krechet (ok) on 29-Июн-09, 22:25 
Я не спорю с вами, что там где нужна безопасность нужно использовать сгенерированые пароли (буквы, цифры, регистр, символы), но для обычных пользователей это врятли подойдёт. Они и так используют простые слова и даты рождения, что согласитесь, ломается намного проще и при этом не надо делать добавочные словари. А если давать юзеру нормальный пароль (хотя бы 8 символов, буквы, цифры, регистр), то очень весело смотрится бумажка с таким паролем на мониторе =)
Помоему если руководство вменяемое и задумывается на тему безопасных паролей (и даёт соответствующие указания), то только тогда можно дрессировать остальных сотрудников, иначе полное отсутствия взаимопонимания...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Анализ ошибок парольной защиты"  +/
Сообщение от mazay (??) on 29-Июн-09, 17:41 
читай по ссылке
в основном голая статистика, правда ограниченная
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Анализ ошибок парольной защиты"  +/
Сообщение от Evtomax email(ok) on 29-Июн-09, 19:17 
После прочтения этого анализа чувствую себя параноиком :D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Анализ ошибок парольной защиты"  +/
Сообщение от Frank email(??) on 30-Июн-09, 09:41 
Более другой вариант: берём префикс (обычный запоминаемый пароль, например, по начальным буквам стиха), добавляем символы, "генерируемые" по имени ресурса, к которому этот пароль "собираем", например - имя сайта, можно со сдвигом, затемдобавляем суффикс, например, пакет спецсимволов для антибрутфорса, если их поддерживает ресурс (многие сайты не позволяют). В результате получаем комплексный взломоустойчивый пароль, различный для различных серверов, но легко запоминаемый (точнее, восстанавливаемый по памяти). Опционально - добавить "соль" ещё и от логина (актуально при входе на один и тот же ресурс под разными логинами). Перемешать, но не взбалтывать (с) ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Анализ ошибок парольной защиты"  +/
Сообщение от marten (??) on 30-Июн-09, 10:42 
как всегда,
безопасность = 1 поделить на удобство использования.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "А может так..."  +/
Сообщение от Евгений email(??) on 30-Июн-09, 12:15 
Можно делать так.
Вслепую набирать на клавиатуре случайные символы, попеременно нажимая на shift.
Например:
Jj_F6*bF-v

Заодно и память развивает)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Анализ ошибок парольной защиты"  +/
Сообщение от Аноним (??) on 30-Июн-09, 13:16 
Что мешает заюзать apg (есть в дистре практически любого дистра)? При чем генерит не тупо рандом, а может на основе какогонибудь слова, да и пароли получаются относительно легко запоминающиеся.
http://www.adel.nursat.kz/apg/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Анализ ошибок парольной защиты"  +/
Сообщение от self (??) on 30-Июн-09, 14:07 
Исследование доказывает уникальность каждого среднестатистического работника, обладающего узкоспециализированными профессиональными навыками.
Фантазируйте, господа. А насчет ректотермального криптоанализа - один мой товарисч разрабатывает метод борьбы, основанный на лужении прямой кишки с внедрением системы активного охлаждения на жидком азоте.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру