Cлабая парольная защита - причина 84% компьютерных взломов

[AM_Bot 48]

Согласно результатам проведенного недавно исследования, в 2008 году причиной 84% компьютерных взломов была слабая парольная защита.читать дальше

[p2u 824]

Люди думают, что крепкий пароль = сложный, и они боятся, что забудут его. Вот в чём ошибка. Лучше взять какую-нибудь фразу и переделать спецзнаками.

Например на английском:

Try_2_Gue$$_Th1$,_U_$ucker!

Ладно... Слабенький... Давайте лучше так:

N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u!

Или на русском:

Науч1лся_На_Ант1-Малвэр_Т04ка_Ру!

Ладно... Слабенький... Давайте лучше так:

Я_Х04у_Вып1ть_С_Наш1м_Адм1н-Б0т0м,_Н0_За_Ег0_С4ёт!

Думаю, что взломщики будут заняты некоторое время. Разве это сложно запоминать?

Paul

[Андрей-001 1099]

Думаю, что взломщики будут заняты некоторое время.

И неплохо бы ещё создавать пароль на всё то количество знаков, сколько позволяет вводить сама pass-форма.

[Umnik 997]

Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_".

На рабочем компе пароль, конечно, иной, из 16 символов с чередованием регистров букв и бОльшим количеством цифр.

[Александр Шабанов 120]

Пароль надо делать как минимум такой, чтобы он не попадал в известные стандартные списки, которые перебираются в первую очередь

Варианты, которые предложил Paul мне тоже понравились

[p2u 824]

Мой прошлый пароль на домашней машине: #Vtu@g@h0km (Мегапароль). Взломать? В принципе можно, при большом желании. Стоит овчинка выделки? Нет. Имеет смысл делать более стойкий? Нет. Можно упростить без снижения уровня безопасности при неизменных условиях ценности информации? Да, например "g@h0km_".

Зависит, конечно, что на этой машине храняется - если там инфа вашего босса или личная бухгалтерия, как у некоторых, то тогда я подумал бы всё-таки до того, как установить такой слабенький пароль. Хочу напомнить тем, кто считают, что им вообще нужен пароль, что взломщику нужен хеш, а не сам пароль. Если вы систему специально не настроили, то тогда сохраняется LM_hash вашего пароля, который очень, очень слабый. В он-лайне можно тестировать пароли у Майкрософта, например: Microsoft Password Checker

g@h0km_ говорит Майкрософт = weak

#Vtu@g@h0km = strong, но не очень strong

А если уже 14 знаков или больше, то тогда это обозначается Best. Почему они это так оценивают?

И надо иметь в виду, что они всё равно полную правду не выдают: LM-hash это две куски, состоящихся из 7 знаков каждого, которые интерпретируются как лишь 2 единицы. Надо разрушить данный алгоритм; тогда уже получается что-то похоже на защиту (то есть - 15 знаков или больше, но об этом позже).

Я по любому отменил бы этот LM_hash вот так:

Пуск - Выполнить - regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Добавим ключ REG_DWORD с названием NoLMHash и нажимаем ENTER.

Значение ставить на 1.

Теперь будет хоть NTLM хеш, хотя лучше отказаться и от него, и задать только NTLMv2 через политики Винды.

Потом, даже когда риска кражи нет, почему бы не воспользоваться ошибкой Винды когда она сохраняет пароль 15 знаков и больше?

Хеш такого пароля будет храняться как AAD3B435B51404EEAAD3B435B51404EE (= null session). Такой хеш не сломается НИКОГДА (ваш пароль же на самом деле НЕ пустой?), значит надо уже за сам пароль взяться, и на это жизнь не хватает...

P.S.: Естественно есть обход на всё это - остановим мы только любителей, но создать препятствия для того, чтобы тянуть время всегда стоит...

Paul

[Андрей-001 1099]

p2u

Интересное описание. А вот другой случай. Клиентка поставила пароль - русскую букву "а". Попользовалась компьютером без Интернета. Выключила. На другой день включила, вводит свой парольчик - ОБЛОМ.

Все варианты перепробовала, все буквы русские, английские, что рядом были, большие и маленькие - не пускают хозяйку в дом.

Я снял и посмотрел диск - вирья, причём почти всё старого посола, там было немеряно!!!

Решили просто переустановить систему, вылечив и сохранив нужное.

А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там?

[Umnik 997]

p2u

Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии Потому мне будет накладно использовать "избыточную защиту" (если такой термин существует) и текущего пароля более чем достаточно.

Мои взгляды нередко отличаются от Ваших, Паул. Паролей это тоже касается.

Андрей-001

А про пароль встроенного администратора не забыли? Я свой, честно говоря, даже не помню. Во время установки ввожу что-то очень длинное и сложное и, т.к. ввожу без логики и больше не пользуюсь, быстро забываю.

[p2u 824]

Я делал упор на ценность информации на своем домашнем компьютере. А там у меня из ценного только музыка, аниме и фотографии

У меня на компе вообще ничего ценного нет, но приходится защищать мои настройки от френдов моего посынка...

Попытки уже были - у меня журнализируется любая попытка доступа к любым объектом в журнале безопасности Винды...

Paul

[Сергей Ильин 1538]

N0b0dy_Crack$_A_Pa$$w0rd_Created_By_p2u!

Маньяк ... я такой пароль никогда не запомню

Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего.

Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п.

[p2u 824]

Маньяк ...

Это лучший комплимент, который я за последнее время получал.

я такой пароль никогда не запомню

Ладно. А это?

Айм_№_1;Айм_Де_Грейтест!

Я дал всего принцип - то есть: если вы берёте не слово, не сложную комбинацию какую-нибудь, а простую фразу, то тогда запоминать становится уже гораздо легче. Остаётся придумать систему, свою собственную. Например:

*) все новые слова начинаются на заглавную букву

*) все буквы 'о' заменяем на цифру '0'

*) все звуки 'и' заменяем на цифру '1'

*) все буквы 'з' заменяем на цифру '3'

*) английскую букву 's' заменяем на знак доллара

*) каждое слово разделяется знаком _, и т.д. Полная свобода, и ничего сложного...

Самый главный параметр в пароле - его длина. Чем длинее пароль, чем труднее взломать его хеш...

Кстати, надо конкретизировать о каких паролях идет речь, так как от это очень сильно зависит скорость примитивного брутфорса, а также применимость всяких ускоряющих технологий перебора. Например, асечные пароли вынимаются просто на раз при помощи Elcomsoft Advanced IM Password Recovery, там не перебирается даже нечего.

Есть хитрые методы ускоренного взлома паролей Windows, PDF, PGP и т.п.

Естественно - атакуется не сам пароль, а его хеш (=его ключ). Есть он-лайн ресурсы с огромными базами MD5, например. Брутфорсом никто в здравом уме уже не пользуется... Потом, в социальных сетях, в веб-почте, и т.д. даже пароль и его хеш не нужен - session cookie даёт доступ.

P.S.1: Project Bovine RC5-64 от Distributed.net сейчас самый быстрый комп в этом плане - 76.1 миллиард паролей за секунду перепробует!

P.S.2: Ещё интересная инфа насчёт того, сколько требуется время на взлома паролей разного строения: Password Recovery Speeds - How long will your password stand up?

Как я уже говорил - это о паролях. Если хеш есть, всё упрощается/ускоряется более, чем значительно.

Paul

[p2u 824]

А можно ли было как-то войти в такую запароленно-захваченную систему, чтобы, хотя бы, пошвыряться там?

Естественно . Бутовые дискеты для Линукса, например, на которых записаны драйвера для NTFS и программка, которая умеет читать реестр и редактировать пароли для любых пользователей. Openwall's John the Ripper это делает, по моему, причём он бесплатный. Сам процесс требует только физический доступ к системе и наличия дисковода (floppy drive); работает безотказно. Если флоппи нет, то и не беда. Хотите войти, войдёте всё равно без особых проблем...

P.S.: Глубже копать в эту тему не хочу; возможно я так уже нарушил правила форума.

Paul

[Андрей-001 1099]

в 2008 году причиной 84% компьютерных взломов была слабая парольная защита

возможно я и так уже нарушил правила форума.

Ничего подобного. Всё разумно и точно в тему!

[kvit 85]

стоит KeePass. в итоге везде где (пусть будет форум, почтовый ящик, админка какая-нибудь...) требуется пароль имеется свой личный и уникальный пароль. все пароли имеют вид "wcckCV3z3qjyBh3vK56e", причем в ней есть какая-то оценка паролей (битность), как и что она оценивает не в курсе, специально глянул пароль на форум anti-malware оценен в 108 бит и находится в зоне стойких паролей...

[p2u 824]

стоит KeePass.

Эта программка у вас интегрирована в браузере? Любопытно бы узнать, как она проходит следующий тест:

Password Manager Evaluator

Там оценивается не насколько силён ваш пароль, а насколько сам менеджер попадает в поставленные ловушки. Это гораздо важнее; выдать простой или сложный пароль - разницы нет...

Paul

[kvit 85]

Эта программка у вас интегрирована в браузере?

что значит интегрирована? она банально "болтается" в трее. есть возможность зайти в нее и получить пароль, есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками). она используется у меня не только для работы с браузером, но ввод всех других паролей (к примеру mount диска в DiskCryptor, ввод пароля в VNC, итп)

[p2u 824]

Интересная программка, и к тому же бесплатна. Кому тоже интересно:

Установщик 1.15

Тот же установщик 1.15 в zip

Файл справки на русском (версия 1.05)

что значит интегрирована?

Как я понял, можно скачать/использовать плагины, правильно?

есть возможность настроить ее чтобы она вводила пароль в определенную программу (какую и как определяется настройками).

Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку.

Paul

[kvit 85]

Как я понял, можно скачать/использовать плагины, правильно?

Я именно об этом - программа запоминает на какой ресурс какой пароль и автоматом вводит его, или как? Если так, то тогда вам было бы полезно пройти тест, на который я дал вам ссылку.

ресурсы она не запоминает без плагинов, что с плагинами не знаю - плагинов у меня нет .

у меня настроенны "автовводы" логинов, к примеру на багтрек доктора:

Auto-Type: {DELAY 200}{USERNAME}{TAB}{DELAY 200}{PASSWORD}{TAB}{DELAY 100}{SPACE}{DELAY 100}{ENTER}

Auto-Type-Window: *Dr.Web ® Bug Tracker*

и по хоткею она вбивает пароль...

[p2u 824]

Для тех, кто любит экстрим:

Perfect Passwords - GRC's Ultra High Security Password Generator

Каждый раз, когда вы заходите на данную страницу генерируется новый, неповторяющийся пароль без явного алгоритма. Я зашёл и получил такие:

64 random hexadecimal characters (0-9 and A-F):496379C401593C438DD0E07499B6A893C0E13A079D02ADBA6E463D31A4EBF641

Оценка KeePass: 125 bits

63 random printable ASCII characters:3H`>P*Y=P?Cbj,kS4V:9q+Oin3!siwg0ZL>*6zr4}2o!h=Y5|L9#nmpKPWtW7;}

Оценка KeePass: 347 bits

63 random alpha-numeric characters (a-z, A-Z, 0-9):VIZnBwWH1BW4e64B8WkFFIg2LN8Qt5xUsVMeX1xNxpitghzfsDjMhRvmZTaz65F

Оценка KeePass: 269 bits

Излишне говорить, что это (пока) относительно бесполезно, конечно - ни один ресурс не поддерживает такие пароли...

Paul