Намедни пришла ко мне хорошая девушка Марина, которой поручили провести в её отделе проверку соблюдения требований парольной защиты. И задала она вопрос - "Как определить, пароль у пользователя легко вычисляемый или нет?". Дали мы ей пару вариантов ответа. Но вопрос на самом деле не такой простой как кажется.
Откроем ради интереса любую инструкцию или положение о парольной защите. Для примера найдём в Консультанте+ Приложение к Приказу ФАС России от 23 октября 2012 г. N 654 ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ФЕДЕРАЛЬНОЙ АНТИМОНОПОЛЬНОЙ СЛУЖБЫ
2. Общие требования к паролям
2.1. Личные пароли пользователей АС ФАС России должны выбираться с учетом следующих требований:
...
- пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования рабочих станций и т.д.), а также общепринятые сокращения и термины (qwerty, password и т.п.);
...
Возникает сразу вопрос "кем вычисляемый?", "где общепринятые?"Например имя Каллисфен легко вычисляемо или нет? Чем оно хуже или лучше имени Владимир или Андрей? Фамилия Хватаймуха тоже не легко вычисляемая. Если, конечно это не фамилия пользователя, который использует этот пароль.
Общепринятый понятие статистическое. В одной стране это общепринятое слово, а в другой вовсе не принятое. Где общепринято слово "qwerty" я, честно говоря не знаю.Наиболее полную статистику по паролям можно получить у хакеров. Лучше их никто не знает наиболее популярные пароли. Получается, что "общепринятыми" являются пароли "123456", "1234567". По той же статистике и "password" общепринятое слово. Но есть подозрение, что не в России.Если говорить о вычислении паролей, то уже никто давно не занимается их "вычислениями" в прямом смысле слова. Перебор идёт по словарям. А парольных словарей в Интернете можно найти огромное количество.Как правило во всех автоматизированных системах уже давно ставят блокировку на вход пользователя при 3-5 неудачных попытках. При этом наличие пароля в многотысячном словаре уже не играет особой роли. Перебор закончится на третьей или пятой попытке.Такие блокировки редко можно установить не коммуникационном оборудовании (роутеры, маршрутизаторы и т.п.). Там нужно с какой-то периодичностью проверять журналы входов в систему. Тогда можно зафиксировать попытки перебора паролей.Из парольных инструкций и положений о парольной защите давно пора удалить это рудиментное требование. Оно всегда будет вызывать споры. Аудитор может считать пароль легко вычисляемым, а пользователь будет убеждён, что пароль достаточно сложный. С точки зрения аудита это мнение носит экспертный характер. А вот требования по длине пароля, наличия спецсимволов, цифр и т.п. можно трактовать и проверять однозначным образом.Есть мнение, что пароли в качестве средства защиты информации скоро перестанут применят, как перестают использовать печать, как средство защиты бумажных документов. Тем более, что последние утечки паролей происходят не по причине пароля пользователя.
Возникает сразу вопрос "кем вычисляемый?", "где общепринятые?"Например имя Каллисфен легко вычисляемо или нет? Чем оно хуже или лучше имени Владимир или Андрей? Фамилия Хватаймуха тоже не легко вычисляемая. Если, конечно это не фамилия пользователя, который использует этот пароль.
Общепринятый понятие статистическое. В одной стране это общепринятое слово, а в другой вовсе не принятое. Где общепринято слово "qwerty" я, честно говоря не знаю.Наиболее полную статистику по паролям можно получить у хакеров. Лучше их никто не знает наиболее популярные пароли. Получается, что "общепринятыми" являются пароли "123456", "1234567". По той же статистике и "password" общепринятое слово. Но есть подозрение, что не в России.Если говорить о вычислении паролей, то уже никто давно не занимается их "вычислениями" в прямом смысле слова. Перебор идёт по словарям. А парольных словарей в Интернете можно найти огромное количество.Как правило во всех автоматизированных системах уже давно ставят блокировку на вход пользователя при 3-5 неудачных попытках. При этом наличие пароля в многотысячном словаре уже не играет особой роли. Перебор закончится на третьей или пятой попытке.Такие блокировки редко можно установить не коммуникационном оборудовании (роутеры, маршрутизаторы и т.п.). Там нужно с какой-то периодичностью проверять журналы входов в систему. Тогда можно зафиксировать попытки перебора паролей.Из парольных инструкций и положений о парольной защите давно пора удалить это рудиментное требование. Оно всегда будет вызывать споры. Аудитор может считать пароль легко вычисляемым, а пользователь будет убеждён, что пароль достаточно сложный. С точки зрения аудита это мнение носит экспертный характер. А вот требования по длине пароля, наличия спецсимволов, цифр и т.п. можно трактовать и проверять однозначным образом.Есть мнение, что пароли в качестве средства защиты информации скоро перестанут применят, как перестают использовать печать, как средство защиты бумажных документов. Тем более, что последние утечки паролей происходят не по причине пароля пользователя.
Комментариев нет:
Отправить комментарий