неділя, 6 грудня 2020 р.

Паролі




Пароль — условное слово или набор знаков, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации  от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.

Сила пароля— мера оценки времени, которое необходимо затратить на угадывание пароля или его подбор каким-либо методом, например, методом полного перебора. Оценка того, как много попыток (времени) в среднем потребуется взломщику для угадывания пароля. Другое определение термина — функция от длины пароля, его запутанности и непредсказуемости.

Слабый пароль — пароль, который может быть легко угадан или подобран методом полного перебора. Сильный пароль — пароль, который трудно угадать и долго подбирать методом полного перебора.

Существуют два фактора, определяющих сложность пароля:

  • лёгкость, с которой атакующий может проверить истинность угадываемого пароля;
  • среднее количество попыток, которые атакующий должен предпринять, чтобы найти правильный пароль.

Первый фактор определяется тем, как пароль хранится, и тем, для чего он используется. Второй фактор определяется длиной пароля, набором используемых символов и тем, как пароль был создан.

Среднее время взлома пароля методом перебора в зависимости от его длины в знаках

Примеры слабых паролей

  • Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.
  • Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.
  • Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.
  • Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.
  • Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.
  • Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.
  • Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.
  • Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Взлом паролей

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.

Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.

Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом паролей, полученных иным способом, например перехватом трафика.

При этом могут быть использованы следующие подходы:
  • Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.
  • Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
  • Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т. п. Например. Вася Пупкин, 31.12.1999 года  рождения, нередко имеет пароль типа «vp31121999» или «vp991231».

Для проведения атаки разработано множество инструментов, например, John the Ripper.

Логотип программы взлома паролей John the Ripper

Полезные ресурсы:



о

Немає коментарів:

Дописати коментар

Підписатися на: Дописати коментарі (Atom)

Множинне розгалуження. Гра "Камінь-Ножиці - Папір"

  6 клас Оператор Elif Гра Камінь Ножиці Папір для блога Прочитать другие публикации на Calaméo Початок коду гри "Камінь - Ножиці - Пап...