форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Анализ ошибок парольной защиты"		+/–
Сообщение от opennews (??) on 29-Июн-09, 17:21
Компания Positive Technologies опубликовала обзор (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf) (PDF, 1.2 Мб) распространенных ошибок реализации политики назначения паролей в корпоративных сетях российских компаний. Однофакторный способ аутентификации ("логин - пароль") до сих пор является самым простым, дешевым и наиболее распространенным методом осуществления аутентификации пользователя в большинстве информационных систем. Проанализировав 185 тысяч паролей, используемых пользователями для доступа к различным корпоративным системам,  исследователи пришли к выводу, что список наиболее распространенных у отечественных пользователей паролей на 50% состоит из расположенных рядом символов (1234567,  qwerty и т.д.), тогда как западные пользователи больше склонны употреблять слова английского языка (password, love и т.д.). По результатам исследования 74% паролей, используемых в корпоративном секторе, не соответствуют требованиям стандарта PCI DSS (Payment Card Indust... URL: http://www.ptsecurity.ru/analytics.asp Новость: http://www.opennet.dev/opennews/art.shtml?num=22371
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ошибки парольной защиты: исследование Positive Technologies"		+1 +/–
Сообщение от Аноним (??) on 29-Июн-09, 17:21
Помню как у товарища с ADSL модемом пропали настройки, полезли разбираться, дождались первого MAC-а в ARP таблице, залезли на тот IP браузером через admin/admin и поняли - что-то тут не то. Оказалось, что ADSL модем был настроен в режиме бриджа и мы зашли на коммутатор провайдера :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Ошибки парольной защиты: исследование Positive Technologies"		+/–
	Сообщение от Lindemidux (??) on 30-Июн-09, 00:06
	Я на DSLAM прова был. Тоже Admin/Admin
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Анализ ошибок парольной защиты"		+1 +/–
Сообщение от йа on 29-Июн-09, 17:25
америку они открыли. Как буд-то профессионального взломщика остаровит сложный пароль если у того будет локальный доступ к системе. Удаленно задача уже ложиться на экраны и пароли тут не причем. И еще интересно кто те 180 тысяч что назвали какой-то левой компании свой пароль
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Анализ ошибок парольной защиты"		+/–
	Сообщение от XAnder (ok) on 29-Июн-09, 17:42
	Интересно? Почитай статью прежде чем... Всё написано.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Анализ ошибок парольной защиты"		–1 +/–
	Сообщение от User294 (??) on 29-Июн-09, 20:37
	> Как буд-то профессионального взломщика остаровит сложный пароль если > у того будет локальный доступ к системе. А если будет локальный доступ к владельцу, то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы шифрования с безупречными паролями...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Анализ ошибок парольной защиты"		+/–
	Сообщение от Andrew Kolchoogin on 29-Июн-09, 22:44
	> то путем терморектального криптоанализа взламываются даже самые стойкие алгоритмы > шифрования с безупречными паролями...     Нет.     Существуют специальные методы обойти ректотермальный криптоанализ.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Анализ ошибок парольной защиты"		+/–
	Сообщение от Фонлиг on 30-Июн-09, 08:53
	>И еще интересно кто те >180 тысяч что назвали какой-то левой компании свой пароль В документе написано - получено в ходе пентестов и аудитов. Т.е. ребята фактически их "взломали". И контора далеко не "левая". Positive Technologies - разработчики XSpider (http://www.ptsecurity.ru/xs7.asp) и MaxPatrol (http://www.ptsecurity.ru/mp_eval.asp) - весьма и весьма достойных продуктов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Анализ ошибок парольной защиты"		+/–
Сообщение от terminus (ok) on 29-Июн-09, 17:32
Одна из простых, но действенных систем выбора сложного пароля который просто запоминать это использовать какой-нить любимый стишок или песню и брать первые буквы из слов куплетов или первые буквы куплетов. Типа: Я узнал, что у меня Есть огpомная семья - И тpопинка, и лесок, В поле каждый колосок! Речка, небо голубое - Это все мое, pодное! Это Родина моя! Всех люблю на свете я! Для первого куплета получаем: jucumeosITILVPKK добавляем что-нить из спец символов и мега пароль готов. #jucumeosITILVPKK# В следующий раз при выборе пароля используем второй куплет и т.д. Вот так :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Анализ ошибок парольной защиты"		+/–
	Сообщение от Stanislaus (ok) on 29-Июн-09, 17:43
	Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып "шокирующего абсурда", описанный в "Руководстве администратора Linux".
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Анализ ошибок парольной защиты"		+/–
	Сообщение от prapor (??) on 29-Июн-09, 19:30
	>Лучше не стишок и не песню, особенно любимую, а лучше использовать принцып >"шокирующего абсурда", описанный в "Руководстве администратора Linux". В «UNIX SA Handbook» его описали раньше, хотя да, авторы те же :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Анализ ошибок парольной защиты"		+/–
	Сообщение от krechet (ok) on 29-Июн-09, 21:08
	А можно поподробнее?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Анализ ошибок парольной защиты"		+/–
	Сообщение от ig0r (??) on 29-Июн-09, 21:49
	http://dkulikovsky.ya.ru/replies.xml?item_no=90&for_reply=text
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Анализ ошибок парольной защиты"		+/–
	Сообщение от krechet (ok) on 29-Июн-09, 22:27
	спасибо
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Анализ ошибок парольной защиты"		+/–
	Сообщение от User294 (??) on 29-Июн-09, 20:43
	>Одна из простых, но действенных систем выбора сложного пароля После этого он уже не такой сложный.После афиширования принципа генерации - довольно просто сгенерить и специализированные словари под него.Стишков и песенок в мире не так уж и много(по сравнению например с всем возможным количеством паролей такой длины).И множество перебора сииииииильно сократится.До, может быть, каких-то миллионов или миллиардов вместо астрономических величин.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Анализ ошибок парольной защиты"		+/–
	Сообщение от krechet (ok) on 29-Июн-09, 21:15
	Ещё один интересный способ, читал его в книге Флёнова... Придумывается какое либо слово, но печатается на ряд вверх, т.е. если в слове есть буква "ф" то при вводе будет использоваться клавиша "й". Например абрикос выглядит как rkyg4ud, при этом можно ещё и шифт понажимать...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Анализ ошибок парольной защиты"		+/–
	Сообщение от User294 (??) on 29-Июн-09, 22:18
	>Ещё один интересный способ, читал его в книге Флёнова... И чем он популярнее - тем хуже для вас.Поскольку построить добавочные словари с учетом этого метода как-то не особо сложная наука, а шансы что какой-то лузер попадется при словарной атаке - возрастают.И слом по словарю - это лучше чем полный и честный брутфорс длинного пароля на хренадцать символов.Перебрать миллион слов или два (с учетом ваших методов будет еще 1 словарь - с словами сконвертированными в такое представление) не столь уж велика разница.Это сильно лучше чем честно перебирать брутфорсом что-то порядка 2^128 вариантов например, вообще ничего не зная о хренадцатисимвольном пароле.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Анализ ошибок парольной защиты"		+/–
	Сообщение от krechet (ok) on 29-Июн-09, 22:25
	Я не спорю с вами, что там где нужна безопасность нужно использовать сгенерированые пароли (буквы, цифры, регистр, символы), но для обычных пользователей это врятли подойдёт. Они и так используют простые слова и даты рождения, что согласитесь, ломается намного проще и при этом не надо делать добавочные словари. А если давать юзеру нормальный пароль (хотя бы 8 символов, буквы, цифры, регистр), то очень весело смотрится бумажка с таким паролем на мониторе =) Помоему если руководство вменяемое и задумывается на тему безопасных паролей (и даёт соответствующие указания), то только тогда можно дрессировать остальных сотрудников, иначе полное отсутствия взаимопонимания...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Анализ ошибок парольной защиты"		+/–
Сообщение от mazay (??) on 29-Июн-09, 17:41
читай по ссылке в основном голая статистика, правда ограниченная
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Анализ ошибок парольной защиты"		+/–
Сообщение от Evtomax (ok) on 29-Июн-09, 19:17
После прочтения этого анализа чувствую себя параноиком :D
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Анализ ошибок парольной защиты"		+/–
Сообщение от Frank (??) on 30-Июн-09, 09:41
Более другой вариант: берём префикс (обычный запоминаемый пароль, например, по начальным буквам стиха), добавляем символы, "генерируемые" по имени ресурса, к которому этот пароль "собираем", например - имя сайта, можно со сдвигом, затемдобавляем суффикс, например, пакет спецсимволов для антибрутфорса, если их поддерживает ресурс (многие сайты не позволяют). В результате получаем комплексный взломоустойчивый пароль, различный для различных серверов, но легко запоминаемый (точнее, восстанавливаемый по памяти). Опционально - добавить "соль" ещё и от логина (актуально при входе на один и тот же ресурс под разными логинами). Перемешать, но не взбалтывать (с) ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Анализ ошибок парольной защиты"		+/–
Сообщение от marten (??) on 30-Июн-09, 10:42
как всегда, безопасность = 1 поделить на удобство использования.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "А может так..."		+/–
Сообщение от Евгений (??) on 30-Июн-09, 12:15
Можно делать так. Вслепую набирать на клавиатуре случайные символы, попеременно нажимая на shift. Например: Jj_F6*bF-v Заодно и память развивает)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Анализ ошибок парольной защиты"		+/–
Сообщение от Аноним (??) on 30-Июн-09, 13:16
Что мешает заюзать apg (есть в дистре практически любого дистра)? При чем генерит не тупо рандом, а может на основе какогонибудь слова, да и пароли получаются относительно легко запоминающиеся. http://www.adel.nursat.kz/apg/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Анализ ошибок парольной защиты"		+/–
Сообщение от self (??) on 30-Июн-09, 14:07
Исследование доказывает уникальность каждого среднестатистического работника, обладающего узкоспециализированными профессиональными навыками. Фантазируйте, господа. А насчет ректотермального криптоанализа - один мой товарисч разрабатывает метод борьбы, основанный на лужении прямой кишки с внедрением системы активного охлаждения на жидком азоте.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема