Получение пароля на основе ошибок администратора и пользователей

Несмотря на то, что на популярных сервисах всегда присутствуют рекомендации по составлению секретных слов, люди продолжают выбирать наиболее запоминающиеся комбинации букв и цифр. Одним из самых эффективных методов получения пароля является перебор паролей по словарю. Технология перебора паролей родилась достаточно давно, но до сих пор используется и очень успешно. Например, программа ShadowScan позволяет методом перебора паролей взломать практически любой FTP или HTTP сервер или вскрыть зашифрованный файл за приемлемый промежуток времени. Встроенный генератор паролей избавляет взломщика от необходимости создавать словарь вручную. Для того чтобы добиться успеха в 60% случаев обычно достаточно словаря размером в 50 000 существительных. Огромное число инцидентов со взломами систем заставило пользователей добавлять к словам 1–2 цифры с конца, записывать первую и/или последнюю букву в верхнем регистре, использовать «транслит». Но как показали исследования, даже составление двух совершенно не связанных осмысленных слов подряд не дает реальных преимуществ по надежности пароля. В последнее время широкое распространение получили специальные программы по генерации паролей пользователями информационных систем.

Еще одной модификацией подбора паролей является проверка паролей, устанавливаемых в системе по умолчанию. В некоторых случаях после инсталляции администратор программного обеспечения не удосуживается проверить, из чего состоит система безопасности, и какие там используются пароли. Следовательно, тот пароль, который был установлен в системе по умолчанию, так и остается основным действующим паролем.

В сети Интернет можно найти огромные списки паролей по умолчанию практически ко всем версиям программного обеспечения, если они устанавливаются на нем производителем. Основные требования к информационной безопасности, основанные на анализе данного метода, следующие:

1. Вход всех пользователей в систему должен подтверждаться вводом уникального для клиента пароля.

2. Пароль должен тщательно подбираться так, чтобы его информационная емкость соответствовала времени полного перебора пароля. Для этого необходимо детально инструктировать клиентов о понятии «простой к подбору пароль», либо передать операцию выбора пароля в ведение инженера по информационной безопасности.

3. Пароли, используемые по умолчанию, должны быть сменены до официального запуска системы.

4. Все ошибочные попытки войти в систему должны учитываться, записываться в файл журнала событий и анализироваться через «разумный» промежуток времени. Если в системе предусмотрена возможность блокирования клиента либо всей системы после определенного количества неудачных попыток войти в систему, этой возможностью необходимо воспользоваться. Разумно блокировать клиента после 3-й подряд неправильной попытки набора пароля и блокировать систему после K неудачных попыток входа за некоторый период времени. При трех попытках на вспоминание пароля

,

где N – среднее количество подключившихся за определенный период времени к системе клиентов; P –процентный предел «забывчивости пароля», обычно P=10 %.

5. Все действительные в системе пароли желательно проверять современными программами подбора паролей, либо оценивать лично инженеру по безопасности.

6. Через определенные промежутки времени необходима принудительная смена паролей у пользователей. В зависимости от уровня конфиденциальности интервалами смены паролей могут быть год, месяц, неделя, день или даже час.

7. Все неиспользуемые в течение долгого времени имена регистрации должны переводиться в закрытое состояние. Это относится к сотрудникам, находящимся в отпуске, на больничном или в командировке. Это также относится и к именам регистрации, которые были созданы для тестов и испытаний системы.

8. От сотрудников и всех операторов терминала необходимо требовать строгое неразглашение паролей, отсутствие каких-либо взаимосвязей с известными фактами и данными, и отсутствия бумажных записей пароля.