Перейти к содержанию
AM_Bot

Cлабая парольная защита - причина 84% компьютерных взломов

Recommended Posts

AM_Bot

Согласно результатам проведенного недавно исследования, в 2008 году причиной 84% компьютерных взломов была слабая парольная защита.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Люди думают, что крепкий пароль = сложный, и они боятся, что забудут его. Вот в чём ошибка. Лучше взять какую-нибудь фразу и переделать спецзнаками.

Например на английском:

Try_2_Gue$$_Th1$,_U_$ucker!

Ладно... Слабенький... Давайте лучше так:

N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u!

Или на русском:

Науч1лся_На_Ант1-Малвэр_Т04ка_Ру!

Ладно... Слабенький... Давайте лучше так:

Я_Х04у_Вып1ть_С_Наш1м_Адм1н-Б0т0м,_Н0_За_Ег0_С4ёт!

Думаю, что взломщики будут заняты некоторое время. Разве это сложно запоминать?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Думаю, что взломщики будут заняты некоторое время.

И неплохо бы ещё создавать пароль на всё то количество знаков, сколько позволяет вводить сама pass-форма.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_".

На рабочем компе пароль, конечно, иной, из 16 символов с чередованием регистров букв и бОльшим количеством цифр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов

Пароль надо делать как минимум такой, чтобы он не попадал в известные стандартные списки, которые перебираются в первую очередь ;)

Варианты, которые предложил Paul мне тоже понравились :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_".

Зависит, конечно, что на этой машине храняется - если там инфа вашего босса или личная бухгалтерия, как у некоторых, то тогда я подумал бы всё-таки до того, как установить такой слабенький пароль. Хочу напомнить тем, кто считают, что им вообще нужен пароль, что взломщику нужен хеш, а не сам пароль. Если вы систему специально не настроили, то тогда сохраняется LM_hash вашего пароля, который очень, очень слабый. В он-лайне можно тестировать пароли у Майкрософта, например: Microsoft Password Checker

g@h0km_ говорит Майкрософт = weak

#Vtu@g@h0km = strong, но не очень strong

А если уже 14 знаков или больше, то тогда это обозначается Best. Почему они это так оценивают?

И надо иметь в виду, что они всё равно полную правду не выдают: LM-hash это две куски, состоящихся из 7 знаков каждого, которые интерпретируются как лишь 2 единицы. Надо разрушить данный алгоритм; тогда уже получается что-то похоже на защиту (то есть - 15 знаков или больше, но об этом позже).

Я по любому отменил бы этот LM_hash вот так:

Пуск - Выполнить - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Добавим ключ REG_DWORD с названием NoLMHash и нажимаем ENTER.

Значение ставить на 1.

Теперь будет хоть NTLM хеш, хотя лучше отказаться и от него, и задать только NTLMv2 через политики Винды.

Потом, даже когда риска кражи нет, почему бы не воспользоваться ошибкой Винды когда она сохраняет пароль 15 знаков и больше?

Хеш такого пароля будет храняться как AAD3B435B51404EEAAD3B435B51404EE (= null session). Такой хеш не сломается НИКОГДА (ваш пароль же на самом деле НЕ пустой?), значит надо уже за сам пароль взяться, и на это жизнь не хватает...

P.S.: Естественно есть обход на всё это - остановим мы только любителей, но создать препятствия для того, чтобы тянуть время всегда стоит...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

p2u

Интересное описание. А вот другой случай. Клиентка поставила пароль - русскую букву "а". Попользовалась компьютером без Интернета. Выключила. На другой день включила, вводит свой парольчик - ОБЛОМ.

Все варианты перепробовала, все буквы русские, английские, что рядом были, большие и маленькие - не пускают хозяйку в дом.

Я снял и посмотрел диск - вирья, причём почти всё старого посола, там было немеряно!!!

Решили просто переустановить систему, вылечив и сохранив нужное.

А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

p2u

Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии :) Потому мне будет накладно использовать "избыточную защиту" (если такой термин существует) и текущего пароля более чем достаточно.

Мои взгляды нередко отличаются от Ваших, Паул. Паролей это тоже касается.

Андрей-001

А про пароль встроенного администратора не забыли? Я свой, честно говоря, даже не помню. Во время установки ввожу что-то очень длинное и сложное и, т.к. ввожу без логики и больше не пользуюсь, быстро забываю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии :)

У меня на компе вообще ничего ценного нет, но приходится защищать мои настройки от френдов моего посынка... :)

Попытки уже были - у меня журнализируется любая попытка доступа к любым объектом в журнале безопасности Винды...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u!

Маньяк ... я такой пароль никогда не запомню :)

Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего.

Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Маньяк ...

Это лучший комплимент, который я за последнее время получал. ;)

я такой пароль никогда не запомню

Ладно. А это?

Айм_№_1;Айм_Де_Грейтест!

Я дал всего принцип - то есть: если вы берёте не слово, не сложную комбинацию какую-нибудь, а простую фразу, то тогда запоминать становится уже гораздо легче. Остаётся придумать систему, свою собственную. Например:

*) все новые слова начинаются на заглавную букву

*) все буквы 'о' заменяем на цифру '0'

*) все звуки 'и' заменяем на цифру '1'

*) все буквы 'з' заменяем на цифру '3'

*) английскую букву 's' заменяем на знак доллара

*) каждое слово разделяется знаком _, и т.д. Полная свобода, и ничего сложного...

Самый главный параметр в пароле - его длина. Чем длинее пароль, чем труднее взломать его хеш...

Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего.

Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п.

Естественно - атакуется не сам пароль, а его хеш (=его ключ). Есть он-лайн ресурсы с огромными базами MD5, например. Брутфорсом никто в здравом уме уже не пользуется... Потом, в социальных сетях, в веб-почте, и т.д. даже пароль и его хеш не нужен - session cookie даёт доступ.

P.S.1: Project Bovine RC5-64 от Distributed.net сейчас самый быстрый комп в этом плане - 76.1 миллиард паролей за секунду перепробует!

P.S.2: Ещё интересная инфа насчёт того, сколько требуется время на взлома паролей разного строения: Password Recovery Speeds - How long will your password stand up?

Как я уже говорил - это о паролях. Если хеш есть, всё упрощается/ускоряется более, чем значительно.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там? ;)

Естественно . Бутовые дискеты для Линукса, например, на которых записаны драйвера для NTFS и программка, которая умеет читать реестр и редактировать пароли для любых пользователей. Openwall's John the Ripper это делает, по моему, причём он бесплатный. Сам процесс требует только физический доступ к системе и наличия дисковода (floppy drive); работает безотказно. Если флоппи нет, то и не беда. Хотите войти, войдёте всё равно без особых проблем...

P.S.: Глубже копать в эту тему не хочу; возможно я так уже нарушил правила форума.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

в 2008 году причиной 84% компьютерных взломов была слабая парольная защита
возможно я и так уже нарушил правила форума.

Ничего подобного. Всё разумно и точно в тему!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit

стоит KeePass. в итоге везде где (пусть будет форум, почтовый ящик, админка какая-нибудь...) требуется пароль имеется свой личный и уникальный пароль. все пароли имеют вид "wcckCV3z3qjyBh3vK56e", причем в ней есть какая-то оценка паролей (битность), как и что она оценивает не в курсе, специально глянул пароль на форум anti-malware оценен в 108 бит и находится в зоне стойких паролей...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
стоит KeePass.

Эта программка у вас интегрирована в браузере? Любопытно бы узнать, как она проходит следующий тест:

Password Manager Evaluator

Там оценивается не насколько силён ваш пароль, а насколько сам менеджер попадает в поставленные ловушки. Это гораздо важнее; выдать простой или сложный пароль - разницы нет...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Эта программка у вас интегрирована в браузере?

что значит интегрирована? она банально "болтается" в трее. есть возможность зайти в нее и получить пароль, есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками). она используется у меня не только для работы с браузером, но ввод всех других паролей (к примеру mount диска в DiskCryptor, ввод пароля в VNC, итп)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Интересная программка, и к тому же бесплатна. Кому тоже интересно:

Установщик 1.15

Тот же установщик 1.15 в zip

Файл справки на русском (версия 1.05)

что значит интегрирована?

Как я понял, можно скачать/использовать плагины, правильно?

есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками).

Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Как я понял, можно скачать/использовать плагины, правильно?

Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку.

ресурсы она не запоминает без плагинов, что с плагинами не знаю - плагинов у меня нет :).

у меня настроенны "автовводы" логинов, к примеру на багтрек доктора:

Auto-Type: {DELAY 200}{USERNAME}{TAB}{DELAY 200}{PASSWORD}{TAB}{DELAY 100}{SPACE}{DELAY 100}{ENTER}

Auto-Type-Window: *Dr.Web ® Bug Tracker*

и по хоткею она вбивает пароль...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u

Для тех, кто любит экстрим:

Perfect Passwords - GRC's Ultra High Security Password Generator

Каждый раз, когда вы заходите на данную страницу генерируется новый, неповторяющийся пароль без явного алгоритма. Я зашёл и получил такие:

64 random hexadecimal characters (0-9 and A-F):496379C401593C438DD0E07499B6A893C0E13A079D02ADBA6E463D31A4EBF641

Оценка KeePass: 125 bits

63 random printable ASCII characters:3H`>P*Y=P?Cbj,kS4V:9q+Oin3!siwg0ZL>*6zr4}2o!h=Y5|L9#nmpKPWtW7;}

Оценка KeePass: 347 bits

63 random alpha-numeric characters (a-z, A-Z, 0-9):VIZnBwWH1BW4e64B8WkFFIg2LN8Qt5xUsVMeX1xNxpitghzfsDjMhRvmZTaz65F

Оценка KeePass: 269 bits

Излишне говорить, что это (пока) относительно бесполезно, конечно - ни один ресурс не поддерживает такие пароли...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×