Методика выбора пароля
Методика выбора пароля
При работе пользователя с персональным компьютером ему достаточно часто приходится использовать пароли. Пароли могут быть использованы как для входа в системы, требующие авторизации пользователя (компьютерные форумы, почтовые системы и т. д.), так и для защиты информации (пароли для доступа к шифрованным дискам, архивам и т. д.).
В определенных случаях узнав пароль пользователя, злоумышленник может нанести достаточно серьезный ущерб. Размер ущерба может быть выражен как в денежном выражении (при получении доступа к платежной системе), так и в плане доступа к конфиденциальной информации (при получении доступа к почтовому ящику). Для предотвращения получения несанкционированного доступа к информационным ресурсам, для защиты которых используется пароль, необходимо при выборе пароля соблюдать некоторые простые правила.
Один из методов взлома пароля заключается в последовательном переборе всех возможных вариантов пароля. Время, которое необходимо для подбора пароля данным способом зависит от количества возможных вариантов. Количество вариантов определяется длиной пароля и набором используемых символов.При длине пароля в 6 символом взлом методом полного перебора занимает достаточно продолжительное время и на практике вряд ли будет использоваться .[1]
В процессе взлома пароля методом полного перебора злоумышленник может оптимизировать процесс подбора, воспользовавшись так называемой «атакой по словарю». Суть данного метода заключается в том, что в процессе подбора проверяются не все возможные варианты пароля, а только те варианты, которые содержатся в некотором словаре. Метод атаки по словарю может существенно сократить время подбора (естественно при условии, что в качестве пароля будет использовано содержащееся в словаре слово).
Еще один метод подбора пароля носит название метода «социальной инженерии». Очень часто в качестве пароля пользователь использует сведения, относящиеся к его личной жизни (фамилия, дата рождения, номер автомобиля и т. д.). Злоумышленник, обладая информацией о пользователе, может составить список из достаточно небольшого количества паролей, проверка которых займет небольшое время. Резюмируя все вышесказанное можно сформулировать следующие принципы для выбора пароля:
- Длина пароля и количество используемых в нем символов должны предотвращать взлом методом полного перебора (оптимальная длина — не менее 6 символов, при этом в пароле должны быть использованы буквы, цифры и знаки пунктуации).
- В качестве пароля не рекомендуется использовать какие-либо осмысленные слова или их сочетания.
- В качестве пароля не следует использовать сведения, имеющие отношения к личной жизни пользователя.
Основываясь на данных рекомендациях идеальным паролем будет случайная последовательность букв, цифр и знаков препинания, длина которой превышает 6 символов. Многие системы предоставляют пользователю возможность автоматической генерации пароля, удовлетворяющего всем требованиям безопасности .[2]
См. также
правитьПримечания
править- ↑ Например, по результатам анализа скорости перебора паролей к RAR архивам, проверенные утилиты показали скорость подбора от 8 до 37 паролей в секунду. При такой скорости подбор пароля длиной 6 символов, в котором использовались латинские буквы одного регистра и цифры (количество возможных вариантов 2176782336) займет около двух лет (см. статью «Утилиты для подбора паролей к архивам и документам» журнал «КомпьютерПресс» №3’2007).
- ↑ Существует большое количество как он-лайн сервисов (http://pasw.ru/index.php, http://generator-paroley.ru/, http://genpas.narod.ru/), так и специализированных утилит (Awesome Password Generator, KeePass, Generate Random Strong Password).