Varonis Systems corporate blog
Information Security
System administration
Server Administration
Comments 20
+1
Чем короче срок действия пароля, тем меньше остаётся времени на компрометацию системы и вывод данных

Вообще, здесь и обратная сторона медали есть. Пользователи, пароли которых имеют короткий срок действия, практически всегда их шаблонизируют. При этом злоумышленнику достаточно поменять одну-две цифры, чтобы получить новый пароль. Ещё хуже слишком длинные пароли и парольные фразы, они во многих случаях просто записываются на бумажках, независимо от того, какие кары вы пообещали пользователям за это в вашей корпоративной инструкции по безопасности.
+1
Ещё хуже слишком длинные пароли и парольные фразы,
Можно просто долбить в английской раскладке любимые слова/стихи
Пропробуйте подобрать «CtvbLtcznbGznbVbkkbvtnhjdsQ»?
А это всего лишь классический «СемиДесятиПятиМиллиметровыЙ».))
А есть еще А.С.Пушкин, который «наше всё» — что мешает забить в пароль «Мой! Дядя@Самых#Честных$Правил»? Ну и добавить еще туда пару памятных цЫфр — типа номер первой квартиры, школы, группы в институте.
+2
Эта идея хороша всем, кроме одного — попробуйте ввести такой пароль с мобильного устройства.
0
— Можно! Я, правда, не знаю, как они будут действовать. Но человека можно напоить.
— Угу.
— Усыпить.
— Угу.
— Оглушить. Ну, в общем, с бесчувственного тела. Наконец, с трупа…
— Угу. С чьего трупа?!
— Ну, я уверен, что до этого не дойдёт!
0
Просто не надо выпендриваться вещами типа «вводим русский текст в английской раскладке». Вводить текст в правильной раскладке ничего не мешает. Словарный подбор предотвращают намеренные опечатки или часть пароля, не являющаяся словом.
0
Ну общем-то вход с мобильного устройства априори не может быть безопасным, какой бы пароль не использовался.
+1
Это и есть шаблонизация. Да ещё все слова словарные. То что словарь не английский, а русский увеличивает количество вариантов для перебора всего в два раза.

Фактически, имея профиль привычек пользователя (Он делает большими первые буквы слов пароля и последнюю), подобрать пароль становится не сложнее, чем если бы он использовал одно единственное словарное слово.
+1
Это и есть шаблонизация. Да ещё все слова словарные.
Ну так-то все слова из словаря, кроме некоторого набора «олбанских».
Фактически, имея профиль привычек пользователя
Чтобы иметь профиль пользователя надо быть с ним достаточно близким, это уже уровень «Джеймса Бонда».
Кончено есть любители все отправлять в инет, но, как правило, такие люди не имеют доступа к инфе имеющей серьезную ценность.
0
кроме некоторого набора «олбанских»
А они — из олбанского словаря.
0

Предположим в нашем словаре 10000 слов. Если пароль из одного слова — 10000 вариантов. Предположим что в 3 слова… 10000^3 вариантов… Не сложнее, говорите? Я уже не говорю про перебор по радужным таблицам (количество вариантов экспоненциально зависит от количества символов). Ну и битовую энтропию пароля вроде тоже ещё никто не отменял.

0

Когда громогласно заявляют о нестойкости коротких паролей к перебору нынешними средствами, неявно приравнивают ее к нестойкости системы к несанкционированному доступу. Простые меры по блокировке возможности доступа на некоторое время после нескольких неудачных попыток (а то и с баном по ip) сильно меняют картину.

+2
Ну так под перебором вообще не подразумеваются попытки аутентификации. Отзывчивость любой системы хотя бы в десяток миллисекунд достаточна, чтобы сделать перебор даже восьмисимвольного пароля таким способом нереальным. Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»
0

Тут я с вами согласен. Но когда шифруют диск/файл, как правило, отдают отчет в ценности информации и пароль подбирают соответственно. Впрочем под ударом могут быть давние архивы, когда короткий по нынешним меркам пароль считался приемлемым.

0
А чем поможет политика смены пароля, если файл был зашифрован год назад? Или при смене пароля все архивы шифруются заново?
0

Файлы шифруют обычно коротким симметричным ключом, который уже зашифрован функцией от пароля, возможно, с использованием асимметричного шифрования — зависит от реализации. При смене пароля заново шифруются только ключи доступа к файлам, чаще всего их один на всю ФС с шифрованием. Т.е. политика все-таки поможет, но атаковать можно ещё пароль recovery, который пусть обычно и длиннее, но не подлежит устареванию.

0
Под взломом путём перебора подразумевается «стащить файл/дамп с хешем пароля и подбирать его локально»
Ну как бы «стащить» уже подразумевает наличие доступа, не?
+1
Если говорить не не логине в систему, а о каком-то сервисе, не стоит забывать, что к вам может прийти пользователь, которому ваш сервис нужен один раз — не стоит его грузить сложным паролем. Помню когда открывался магазин jd.ru я пытался там зарегистрироваться, но там были дебильные настройки, не позволяющие скопировать поле «пароль» в поле «повтор пароля» (это кстати отдельный вопрос, неужели они действительно думали я этот пароль буду пытаться запомнить), взбесили и я не стал регистрироваться.

Реально — ну уведут у меня аккаунт от магазина, карта не привязана, ну я особо не расстроюсь, что же говорить о более «простых» сервисах.

Отдельно бесят пароли в Win10 (где пароль под звездочками можно увидеть пока держишь нажатой кнопку глазика — «поубывал бы...».

Поясните пожалуйста, если даже у вас не веб-сервис, а программа, например WinRar, насколько я помню там при вводе пароля его правильность сверяется с многократным хешом (вроде sha(sha(sha(...sha(psrw)...). Можно ли свести многократный хеш к одному? Радужные таблицы в этом помогают? Может есть специально заточенные функции, которые дорого подбирать.
0

Свести можно, но тогда будет слишком быстро вычисляться.

0
Можете меня запинать, но на мой взгляд постоянная смена пароля в современном мире не имееет смысла от слова вообще, ибо перебором паролей занимаются только боты, реально нужные пароли в 99% уводятся либо через фишинговый сайт либо человек сам его скажет. А если пароль уже утек то какой смысл его менять через месяц? на том же серваке злобный хацкер уже сделал себе backdoor и ты хоть обменяйся этими паролями
Only those users with full accounts are able to leave comments., please.