Защита информации с помощью паролей

Пароли являются классическим средством защиты информации от чужих глаз. Неизвестно  кто появился раньше,  пароль или презерватив, но это довольно схожие по смыслу вещи: давно и успешно применяются во всех сферах деятельности, легки в обращении и  становятся совершенно бесполезной штукой,  из-за не соблюдения простых истин.

File000557923366

Чтобы основательно погрузиться  в проблему, вернемся на десять лет назад.

Эволюция самых популярных паролей.

В 2003 году Infosecurity провели небольшое исследование, с целью выявления самых популярных паролей. Было опрошено 152 участника и получены следующие результаты:

  • 16% использовали собственное имя;
  • 12% использовали слово «password»;
  • 11% использовали название любимой спортивной команды;
  • 8% использовали дату рождения.

Прошло десять лет (с). В начале 2013 году в Лаборатории Касперского провели свое исследование с тем же вопросом, но уже в 25 странах. Картинка немного изменилась:

  • 16% используют собственную дату рождения;
  • 15% используют сочетание цифр «123456»;
  • 6% используют слово «password» на местном языке;
  • 6% используют кличку домашнего животного.

Отклонения от данных в 2003 года в пределах статистической погрешности. А в конце 2013 года у Adobe произошла утечка данных 150 миллионов паролей, чем не преминули воспользоваться исследователи информационной безопасности.  Компания SplashData проанализировала миллионы паролей в свободном доступе и составила список самых популярных паролей 2013 года. В итоге получилось интересно и предсказуемо:

  • 123456
  • password
  • 12345678
  • qwerty
  • abc123
  • 123456789
  • 111111
  • iloveyou
  • adobe123
  • 123123
  • Admin1234
  • password1

Картина предстает печальной, за десять лет ничего не изменилось. Более того, все намного трагичнее, чем кажется. Интернет не стоит на месте, количество сервисов растет в геометрической прогрессии и большинство пользователей используют повторяющийся пароль для всех сервисов. Я встречал немало случаев, когда корпоративный пароль подходит ко всем социальным сетям и наоборот.  Самая болезненная уязвимость пароля это пользователь. Он или не не умеет/не хочет/не желает. Рассмотрим три случая более подробно.

Простые правила составления паролей

  1. «Один пароль — один ресурс»  — это хорошее правило. Но опять же в силу современных условий — неудобное. Необходимо разделять ресурсы на корпоративные, чувствительные и мусорные. Для корпоративных и чувствительных ресурсов пароли следует следовать принципу «один ресурс — один пароль».  Для мусорных и одноразовых интернет-ресурсов, можно применять  отдельный либо временный почтовый ящик и более ли менее защищенный пароль.
  2. Как и в 2003 году требования на минимальную длину в 15 символов остаются актуальными и на сегодняшний день. Раньше это было связано с одной полезной особенностью, что пароли более 15 символов некорректно сохранялись в LM хэше, что  существенно затрудняло его подбор. Сегодня все намного прозаичнее: распределенные вычисления и проброс вычислительной мощности на GPU, что позволяет перебирать около пары миллиардов значений в минуту.
  3. Не сохраняйте пароли, храните cookies и сессии до закрытия браузера. Так например существовала уязвимость в Safari, которая хранила пароли не зашифрованными.
  4. Стандартные правила составления паролей:
  • пароль не должен содержать части пользовательского имени;
  • символы латинского алфавита в разных регистрах;
  • цифры от 0-9;
  • специальные символы;
  • буквы вместо цифр. Популярное  решение сокращения букв из эпохи SMS: «F»-«4» и так далее.
       5. Регулярная смена паролей. На чувствительных ресурсах раз в месяц, на остальных  — раз в два месяца.
       6. Пароль — это ваша личная тайна.
 
Проблема запоминания паролей
Не могу запомнить — основная отмазка/проблема всех пользователей, и как результат: «записывание и приклеивание».
 
1. Парольные фразы
Когда у моего брата, нехорошие люди вскрыли аккаунт в одной из популярных российских социальных сетей, я спросил у него про  пароль. Ответом был вышеприведенный популярный список и фраза «Я не могу запомнить». Некоторые системные администраторы этому всячески способствуют, выдавая зубодробительные варианты из генератора паролей. Если на системного администратора повлиять сложно — рабочие инструкции, то в обычной жизни крайне удобным способом являются парольные фразы.  Далеко ходить не нужно, только в песненке «В лесу родилась елочка»  содержится 24 парольные фразы. Добавьте еще пару цифр и букв разными регистрами  и получится отличный пароль.  Так что любимая песня или стихотворение станут отличным подспорьем.
 
2. Парольные менеджеры
Для тех у кого плохая память или плотно сидящая на шее лень, существует специальное программное обеспечение — парольный менеджер. Задачей парольного менеджера служит создание криптоконтейнера с доступом по одному, так называемому мастер паролю. На рынке таких программ достаточно много, как для Windows, OS X, Linux.  Обзоров парольных менеджеров делать не буду ибо они, все как на одно лицо: криптоконтейнер, напоминания о смене пароля, генератор паролей по заданному алгоритму, автозаполнение форм, автологин.  Поэтому приведу описания тех которыми пользовался:
  • Kaspersky Password Manager. Однозначно нужная вещь для техноманьяков. Доступ к паролям с помощью мастер-пароля, USB-токена, bluetooth устройство. Стоит недорого, сам использую при работе с Windows.
  • Norton Password Manager&Online Identify Security. Американское изделие для простых пользователей.  Попроще, но зато бесплатное. Есть мобильное приложение и возможность хранения в облаке, чего делать определенно не стоит.
  • 1Password. Самый популярный парольный менеджер для OS X и iOS. Существует версия для каноничного PowerPC, начиная с Tiger 10.4 и плагины для встраивания в браузер. Есть мобильная версия.
  • Очумелые ручки. Если мучает паранойя или не охота платить, то пользователи OS X могут создать шифрованный .dmg, а пользователи Windows/Linux  шифрованный TrueCrypt  образ диска. Запускаем Office/LibreOffice, ставим пароль на открытие созданного файла и самодельный парольный менеджер готов.
  • Пользователям Linux парольный менеджер не нужен ибо осиливший консоль, осилит остальное.
Следует помнить, что у всех парольных менеджеров, есть один существенный недостаток — при раскрытии мастер пароля или утери USB-токена , все пароли в криптоконтейнере окажутся скомпроментированным. Поэтому корпоративные пароли и пароли для чувствительных ресурсов заучить все же придется.
 
3. Отсутствие желания защищаться
Существуют такие персонажи, которым все «по барабану». Обычно аргументируется это тем, что: мне нечего скрывать / я честный человек / я не несу никаких потерь. Эти аргументы не заслуживают никакого внимания или уважения. Попытайтесь донести человеку то, что в его контакт-листе или в списке адресатов,  ни он один.  Намеренно подставляя себя, он подставляет и раскрывает остальных друзей, близких.  В повседневной жизни общение с человеком можно свести к телефону или скайпу.
 
Гораздо хуже, если такой персонаж заводится в компании.  «Законных» методов решения этой проблемы не существует. Если сотрудник является обычный офисным мусором, то пары предупреждений с последующим увольнением будет достаточно. Но в жизни случается так, что попадается особо ценный сотрудник, которого толкования, о данном аспекте,  тоже упорно не желают беспокоить.
У меня было пару подобных случаев и решились они методом предупреждения с «подставой», в виде «раскрытия информации по контрактам» или раскрывался не особо чувствительный кусок служебно-личной переписки с интересными подробностями рабочей жизни персонажа. Человек морально садился в лужу и ситуация для него, уже не казалась не заслуживающей внимания. Один раз после такого сценария, на всех парах примчался молодой гений продаж и попросил поставить все, начиная от отдельного шифрованного раздела сетевого диска, заканчивая USB-токеном на загрузку.  Если и это не срабатывало, то увольнение.
В общем, такой вот интересный способ лечения, однако не стоит раскрывать подробности личной среды персонажа ибо статья.
 
Двухфакторная аутентификация
С развитием интернет-сервисов и глобального внедрения становится модной и актуальной двухфакторная аутентификация. Работает эта технология довольно просто. Ваш аккаунт сервиса привязывается к телефонному номеру, вводится логин/пароль и на указанный номер приходит дополнительный «уникальный пароль». Такое решение позволяет значительно усилить защиту аккаунта.  Но если,  под рукой не будет смартфона или резервных кодов на бумаге, то в доступе будет отказано.
 
Как видно,  все эти надоевшие и нашумевшие проблемы с парольной защитой решаются просто. Не хотите запоминать пароли — используйте программное обеспечение, не хотите платить или желаете полностью себя обезопасить —  парольные фразы или двухфакторная аутентификация к вашим услугам.
Реклама
Защита информации с помощью паролей

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s