Размещено пользователем :
Kloin
()
Зарегистрирован: 14 годов назад
Сообщения: 12,607
Ранг: Элитарий - монстр
Дата: 29-03-2017 10:54
Ещё: "может взломать случайный пароль из восьми символов, включая все четыре символьных типа, такой как «N^a&$1nG», намного быстрее, чем 28-символьный пароль включающий только строчные и прописные" (+)(
URL)
В последние годы многие компании реализовали у себя функции многофакторной аутентификации, такие как использование пароля и уникального кода, отправленного по мобильному телефону, чтобы защитить доступ к критическим учетным записям. Большое число компаний, особенно в индустрии финансовых услуг, поддерживает использование маркеров и других методов, чтобы генерировать и распределять случайные одноразовые пароли, которые будут использоваться в сочетании со статическими паролями.
Другие компании реализовали менее очевидные меры, чтобы проверить пользовательские идентификационные данные во время процесса регистрации в системе и даже в момент проведения транзакции. Основные банки, сайты электронной коммерции и даже некоторые сайты социальных сетей обычно используют идентификацию устройства и средства обнаружения расположения для быстрого определения и запрета доступа для пользователей, которые пытаются зарегистрироваться в системе из нового местоположения или с незнакомого устройства.
И все же огромное количество компаний все еще полагается только на имя пользователя и пароль, как отметил Авивах Лайтен, аналитик агентства Gartner. И именно для этих компаний и их клиентов хищение учетных данных особенно неприятно.
«Если вы все еще полагаетесь только на пароль, тогда желаю вам удачи. Пароли были мертвы уже несколько лет назад. Теперь они тем более мертвы,» — заявил Лайтен. Пароли так уязвимы, что почти бессмысленно для компаний полагаться на них как на единственный метод аутентификации.
В то же время многое зависит от самого пароля. Ежегодно в списке паролей появляется набор символов вроде qwerty, 123456, и т.д. Можно разработать немало технологических средств управления, но самое слабое звено – по-прежнему пользователь. Если он выбирает ненадежные пароли и использует один и тот же пароль на многих сайтах, то сетевая защита будет так же сильна, как ваш самый слабый пароль.
Как показывает практика, пользователи, увы, выбирают весьма слабые пароли. Чтобы в этом убедиться, достаточно проанализировать утекшие в интернет пароли пользователей Yandex и mail.ru, а также отчет компании Trustwave за 2014 год. В ходе создания отчета специалисты Trustwave поставили себе цель определить, насколько легко взломать выборку 626 718 хешированных паролей.
Хеширование применяется для хранения паролей в системах защиты (в этом случае доступ к области памяти, где находятся пароли, не позволяет восстановить сам пароль) паролей, собранных во время тысяч сетевых тестов на проникновение, выполненных в 2013 и 2014 году. Преимущественно выборка составлена из паролей, хранящихся в Active Directory. При попытке восстановления паролей в течение нескольких минут было восстановлено более половины паролей. В конечном счете за 31 день было восстановлено 576 533 пароля или почти 92% выборки.
Многие пользователи и некоторые администраторы ошибочно полагают, что, используя различные прописные буквы, строчные буквы, числа и специальные символы в пароле, они сделают его более безопасным. Практика показывает, что если человеку угадать такой пароль сложнее, то это не делает его восстановление более ресурсоемким или сложным для инструментов взлома. Только увеличение числа символов в пароле заметно влияет на время взлома.
В ходе восстановления паролей применялась атака методом перебора (Brute Force). Атака перебором включает вычисление хешей для потенциальных паролей и сравнение их с хешами паролей, которые атакующий хочет взломать. Если хеши равны, пароль взломан. Автоматизированный инструмент может взломать абсолютно случайный пароль из восьми символов, включая все четыре символьных типа, такой как «N^a&$1nG», намного быстрее, чем 28-символьный пароль включающий только строчные и прописные буквы, такой как «GoodLuckGuessingThisPassword». Если в данном случае мы предполагаем, что атакующий знает длину паролей и типы используемых символов, «N^a&$1nG» может быть взломан приблизительно через четыре дня, в случае использования одного графического процессора AMD R290X. В то же время атакующему потребовалось бы 17 с лишним лет, чтобы взломать «GoodLuckGuessingThisPassword» при использовании того же самого графического процессора.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| Ещё: "может взломать случайный пароль из восьми символов, включая все четыре символьных типа, такой как «N^a&$1nG», намного быстрее, чем 28-символьный пароль включающий только строчные и прописные" (+) (URL)
<
Kloin
> [303] 29-03-2017 10:54 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|