В проведенном исследовании проблем парольной защиты, я неоднократно использовал термин "слабые", не стойкие к взлому пароли. А что же тогда можно считать стойким паролем?
По моему личному убеждению, минимально стойким паролем является такой пароль, который удовлетворяет всем следующим требованиям:
• должен содержать символы нижнего и верхнего регистра, цифры, специальные символы и знаки препинания;
• должен быть не менее 8 символов;
• не должен полностью или частично совпадать с логином, например – admin/admin, admin/admin1 и т.д.;
• не должен образовывать цифро-буквенные простые последовательности, например – "abcd12345","aabb2255", "QQrTTr55" и т.п;
• не должен являться словом из словаря, сленга, диалекта, жаргона и т.п.
• не должен являться персональной информацией (имена членов семьи, адреса, телефоны, даты рождения и т.п.).
Кроме того, необходимо регулярно менять используемый пароль. И в этом процессе не должна наступать ситуация, в которой происходит смена используемого пароля на пароль, образовывающий легко видимую последовательность (например – старый пароль – kso4Dlw1, новый – kso4Dlw2) – это потенциальная брешь в информационной системе и это стоит учитывать при внедрении парольной политики на предприятии.
Также рекомендую ознакомиться с публикацией Марка Бернетта "Десять мифов использования паролей в Windows" датированную в 2002 г., которая не потеряла своей актуальности и на сегодняшний день (например, по-прежнему повсеместно используется уязвимый алгоритм LM). Не лишним будет прочитать заметку в блоге Александра Дорофеева на тему взлома паролей.
Ну а если же говорить начистоту, то однофакторный способ аутентификации с использованием парольной фразы – это всегда угроза ИБ, причем достаточно часто вполне реализуемая. Во многом вероятность реализации угрозы компрометации пароля зависит от уровня подготовки пользователя, но не всегда (взять хотя бы открытый протокол HTTP, который может быть легко перехвачен при реализации атаки MITM или уязвимый протокол RDP). Поэтому используйте двухфакторные способы аутентификации если позволяет бюджет и если это возможно. И в этом процессе главное не перестараться:-))
Комментариев нет :
Отправить комментарий