Брюс Шнайер об алгоритмах подбора паролей
Новая тема Написать ответ
# Вт Янв 16, 2007 11:01 amRabbit Зарег.: 01.08.2005 ; Сообщ.: 19787Ответить с цитатой
Брюс Шнайер в своей авторской колонке в Wired рассказывает об атаке методом оффлайнового перебора паролей. Такой метод применяется очень часто, хотя в некоторых ситуациях он непригоден, например, для подбора пин-кода в банкомате.

Программы для оффлайнового подбора паролей стали как никогда быстрыми и умными. Утилита Password Recovery Toolkit (PRTK) от компании AccessData способна проверять до нескольких сотен тысяч паролей в секунду, а наиболее очевидные пароли она проверяет в первую очередь.

Таким образом, безопасность пароля зависит от двух факторов: от способности системы замедлять перебор паролей и от того, является ли пароль «более очевидным» с точки зрения хакерской программы.

Скорость подбора пароля напрямую зависит от того, каким образом этот пароль обрабатывается программой. Хорошая программа не использует пароль в качестве криптографического ключа, а преобразует пароль в криптографический ключ. В этом случае она может замедлить процесс проверки пароля на сколь угодно долгое время.

Разные программы показывают совершенно разные результаты в этом отношении. Например, проверка пароля для приложений Microsoft Office настолько примитивна, что утилита PRTK способна проверять до 350 тыс. вариантов в секунду (на процессоре Pentium 4 с частотой 3 ГГц). Пароль на WinZip 7.0 подобрать еще проще: эта программа позволяет проверять более миллиона паролей в секунду. Для сравнения, в девятой версии WinZip криптосистема была значительно улучшена, так что скорость перебора упала до 900 в секунду. Таким же «крепким орешком» для PRTK является и программа PGP.

Для пароля из шести англоязычных символов (без цифр) в одном регистре количество вариантов при переборе составляет более 308 млн комбинаций: от “aaaaaa” до “zzzzzz”. Однако, умная программа PRTK не перебирает все комбинации подряд.

Эрик Томпсон из компании AccessData (разработчик PRTK) объясняет, что типичный пароль состоит из корня и приставки. Корень пароля — если и не словарное слово, то, обычно, что-нибудь произносимое. Приставка — это или суффикс после корня (в 90% процентов случаев) или префикс перед корнем (10%).

В первую очередь программа PRTK проверяет базу из примерно тысячи самых распространенных паролей, таких как “password1”, “123456” и т.д. После этого программа проверяет их в комбинации с сотней самых распространенных приставок (“1”, “69”, “abc” и т.д.). Такая нехитрая проверка позволяет успешно определить 24% всех паролей всего за 100 тыс. комбинаций.

На втором этапе программа проверяет расширенный набор корней и суффиксов. Тестируются 5.000 самых распространенных слов, 10.000 имен, дополнительный словарь из 100.000 элементов и словарь фонем (0,01% от теоретически возможного набора комбинаций). Для генерации фонем используются модели Маркова, известные в лингвистике. Кроме того, PRTK проверяет все вышеназванные варианты, но с часто встречающимися заменами символов, например, “О” на “0”, “S” на “$” и т.д.

Словарь приставок включает в себя все комбинации из двух и трех цифр, даты от 1900 до 2006, единичные символы, комбинации символа и цифры, все комбинации из двух символов.

Обычно программу PRTK запускают в компьютерной сети. Крупные структуры, как ЦРУ или ФБР могут запустить задачу на сотнях и тысячах компьютеров одновременно. Более того, компания Tableau уже наладила выпуск дополнительных FPGA-приставок, которые ускоряют перебор вариантов для «медленных» программ, таких как PGP и WinZip. Ускорение может быть в 150–300 раз.

По словам Эрика Томпсона, за две-четыре недели работы его программа взламывает от 55% до 65% всех паролей. И это без малейшего использования социального инжиниринга, то есть абсолютно ничего не зная о пользователе.

Исходя из всего вышесказанного, можно понять, каким должен быть идеальный пароль, чтобы его нельзя было угадать методом перебора. Можно посоветовать пользователям вставлять приставку в середину корня или выбрать два корня, использовать одновременно и верхний, и нижний регистр символов в середине пароля, слова как можно большей длины, необычные приставки.

Конечно же, пароль нигде нельзя хранить в открытом виде. Другая программа Forensic Toolkit от компании AccessData занимается тем, что сканирует все файлы в локальной сети (электронная почта, история мгновенных сообщений, файл подкачки), чтобы найти все упоминающиеся там слова. Из этих слов составляется дополнительный словарь. Кстати говоря, операционная система Windows хранит пароли в оперативной памяти в открытом виде, и в любой момент может записать этот участок памяти на жесткий диск. Туда может попасть любой пароль, который вы ввели на клавиатуре. Поэтому для полной безопасности желательно отказаться от Windows в пользу Linux или MacOS, иначе все попытки составить безопасный пароль могут оказаться бесполезными.

источник
# Вт Янв 16, 2007 12:35 pmkio Зарег.: 04.10.2005 ; Сообщ.: 942Ответить с цитатой
Надо просто использовать вот такие пароли
@,Ei$&%<aaC использовать PGP и VPN и никакой переборщик пароль не подберёт.
Пароль нужно хранить не ввиде текстового файла, а ввиде картинки скриншот с текстового файла, не дописывая к чему пароль.
копию обязательно хранить на распечатанной "бумажке" где-либо у посторонних людей !!!
Не сохранять пароли в браузерах и программах.
P.S.
В конце 90-х было дело: захожу к знакомому, а у него на полу в комнате лежит блин от штанги и у стены стоит кувалда среднего размера, спрашиваю ты чего качаешься, а он мне нет, но если "погоны" выключат свет и будут ломать дверь я успею расплющить винчестер с одного-двух ударов.
и так до сих пор... комп сбоку открыт и винчестер лежит на поролончике.... не в сказке живём...
# Вт Янв 16, 2007 1:10 pmRich@rd Зарег.: 13.12.2006 ; Сообщ.: 363Ответить с цитатой
kio писал(а):
Надо просто использовать вот такие пароли
@,Ei$&%<aaC использовать PGP и VPN и никакой переборщик пароль не подберёт.
Пароль нужно хранить не ввиде текстового файла, а ввиде картинки скриншот с текстового файла, не дописывая к чему пароль.
копию обязательно хранить на распечатанной "бумажке" где-либо у посторонних людей !!!
Не сохранять пароли в браузерах и программах.
P.S.
В конце 90-х было дело: захожу к знакомому, а у него на полу в комнате лежит блин от штанги и у стены стоит кувалда среднего размера, спрашиваю ты чего качаешься, а он мне нет, но если "погоны" выключат свет и будут ломать дверь я успею расплющить винчестер с одного-двух ударов.
и так до сих пор... комп сбоку открыт и винчестер лежит на поролончике.... не в сказке живём...


Если будет за что привлечь, то могут взять и на улице. Тут не поможет не кувалда, не пгп. Вместе с тобой и поедут смотреть. Ты просто всё сам скажешь...
# Вт Янв 16, 2007 5:28 pmkio Зарег.: 04.10.2005 ; Сообщ.: 942Ответить с цитатой
а у меня лично даже винчестера нет в квартире...
# Вт Янв 16, 2007 9:41 pmRabbit Зарег.: 01.08.2005 ; Сообщ.: 19787Ответить с цитатой
Согласна с kio по паролям... Это бред, вы не поверите, но люди действительно используют пароль pass. Я не верила, пока своими глазами не увидела! Это просто тихий ужас!
# Вт Янв 16, 2007 10:06 pmLi-Hua Зарег.: 25.12.2005 ; Сообщ.: 11544Ответить с цитатой
люди вводят то что написано для примера ебта
# Пн Янв 22, 2007 12:00 amspin Зарег.: 26.08.2006 ; Сообщ.: 12Ответить с цитатой
love, hate ... очень распространённые пароли так же.
# Пн Янв 22, 2007 3:17 amFirestarter Зарег.: 17.01.2007 ; Сообщ.: 73Ответить с цитатой
хм, я тож раньше думал, что перебор по словарю - крайне малоэффективен (ну, у каждого гомосапиенса должны же быть зачатки фантазии!)... пока сам не увидел... как у людей на аське поставлено как раз что-то типа pass, sex, money, etc. и ладно бы их мало было, но нет: когда видишь, что в диапазоне 10к на 10 номеров стоит такой пасс - понимаешь, что это не так... и ладно бы новички с 9-тизнаками были - ни фига не они, старые номера, т.е. люди давно в сети, и должны бы знать элементарные меры предосторожности (это ж не с фаером или криптозащитой какой возиться)...
Новая тема Написать ответ    ГЛАВНАЯ ~ ПОЛЕЗНЫЕ СТАТЬИ
 
Любое использование материалов, размещенных на ArmadaBoard.com, без разрешения владельцев ArmadaBoard.com запрещено.