Читая Дзен, наткнулся на интересный заголовок от 3dNews. Вот ссылка на статью.
Материал заинтересовал, пошёл на первоисточник. Журналисты, как всегда, что-то не так поняли и не дописали. На АШ очень много людей связаны с цифровыми технологиями, поэтому считаю, что данная информация крайне полезна.
Here are the recommendations from NIST for your organization:
- Require everyone to use longer passwords or passphrases of 15 or more characters without requiring uppercase, lowercase, or special characters.
- Only require password changes when there’s a reason to believe your network has been compromised.
- Have your network administrators screen everyone’s passwords against lists of dictionary words and passwords known to have been compromised.
- To help prevent a denial of service attack against your email service, don’t lock a user’s account after a certain number of incorrect login attempts. That way, even if an adversary floods your network with purposefully incorrect login information, your users won’t be locked out of their accounts.
- Don’t allow password “hints.”
Яндекс-перевод
Вот рекомендации от NIST для вашей организации:
- Требовать, чтобы все использовали более длинные пароли или парольные фразы из 15 или более символов, не требуя прописных, строчных или специальных символов.
- Только требовать изменения пароля, когда есть основания полагать, что ваша сеть была скомпрометирована.
- Пусть ваши сетевые администраторы проверяют пароли всех пользователей на соответствие спискам словарных слов и паролей, которые, как известно, были скомпрометированы.
- Чтобы предотвратить атаку типа "отказ в обслуживании"на ваш почтовый сервис, не блокируйте учетную запись пользователя после определенного количества неверных попыток входа. Таким образом, даже если противник наводняет вашу сеть целенаправленно неверными данными для входа, ваши пользователи не будут заблокированы из своих учетных записей.
- Не позволяйте подсказывать пароль“.”
Использованные источники:
Комментарии
В целом, все верно. Стоит, однако, добавить, что стоит учитывать требуемый уровень безопасности. Для обывателей это, дейстительно разумные рекомендации. А для служб требующих особого контроля - там создатели и сами знают какую политику безопасности выбрать.
Пользование каким-нибудь неважным сервисом, который раз в 6 месяцев требует сменить пароль, да еще выставляет требования по степени сложности - это лабуда которая снижает удобство пользователя и не требует, в больишнстве случаев, такого уровня безопасности.
Если что, я в ит с 2002 года. Имею профильное образованиие и знаю о чем говорю.
На самом деле считать надо, что даёт бОльшую безопасность: расширение словаря или увеличение длины пароля до, скажем, минимум 15 символов. Проблема в том, что при использовании фраз символы алфавита не могут использоваться равновероятно, там работают правила словообразования. Поэтому нельзя использовать простую формулу подстановки, реальное количество вариантов намного ниже.
А мне вспомнился классический анекдот на эту тему:
Впервые за долгое время отпускают в отпуск самого главного по айти в крупной фирме. Всё проверили, должны без него справиться те две недели, что он будет греться на солнышке. И на следующей же день прямо на пляже звонок - Владимир Фёдорович, Вы нас очень извините, но мы случайно уронили самый главный сервер, а пароль от него только у Вас. А в ответ: Как же вы меня все заколебали! Владимир Фёдорович, это очень важно, работа стоит. Владимир Фёдорович продолжает - маленькими буквами в латинской раскладке без пробелов.
и это не анекдот. пароли такого типа реально использовались. пусть и не мной.
Ну хорошо, хорошо. Не анекдот, быль. Что это меняет?
У нас сисадмин юзверю за перерасход траффика назначил случайный 20 символьный пароль с английскими и русскими во всех регистрах плюс спецсимволы. Быль.
не, просто это часто встречаемая, как и вторая, описываемая тобой, ситуация.
во втором случае сразу, как потребуется авторизация, начинает звонить пользователь, его начальник, в том числе и руководству. просто мелкая пакость. так как те кто тихие - траффик соблюдают без сильных эксцессов, ну а булькающее - оно везде пузырится и дает газы.
уж более 15 лет не админю, а всё вспоминается в теплых радужных тонах.
Первое, на что надо обратить внимание - рекомендует американская спецслужба.
Это же ФБР. Вот если бы АНБ выступило бы с рекомендациями, было бы смешнее. Под спойлером (уже выкладывал на АШ.) один из анекдотов про No Such Agency.
Раньше на некоторых моделях ноутов были механические шторки на камеру. Я сам такие модели ноутбуков не разбирал, но говорят, что бывали даже выключатели, размыкающие провода, идущие к камере и микрофону. Внимание - вопрос. Если бы рядом на витрине магазина стояли одинаковые ноуты с таким шторками/выключателем и без них - что бы покупали? Правильный ответ - ноуты с такими шторками в продаже фиг найдёшь. И это не случайно.
Посыпалась мне как-то серия писем однотипного содержания (на почту, которая специально заведена для регистраций на всяких сайтах)
Отличия были в вымогаемой сумме и адресе BTC. Самое смешное, что на компе никакой веб-камеры не было от слова вообще.
"Отличия были в вымогаемой сумме и адресе BTC"
Это всем приходило. В сети есть списки утёкших паролей с разных ресурсов, которые связаны с адресами почты.
Например в каком-то интернет-магазине Лена Попова зарегалась с lena.popova@mail.ru с паролем Love!Many!GivMeGot!
Есть ооочень неслабая вероятность того, что она же с этой же почты с этим же паролем зарегалась где-то ещё. И, мэй би, её компьютер так же через LoveMany запаролен.
Поэтому Лена может "струхнуть" и выслать деньги. Шанс, конечно, не большой, это минус, зато дураков много. Это плюс.
Согласен. В большинстве случаев успех взломщика основан именно на социальной инженерии. Самое слабое звена зачастую - прокладка между монитором и креслом.
На AliExpress самоклеющиеся сдвижные шторки продают. Так что если надо, то можно затюнинговать всё, что нужно
Качество этих шторок кто проверять будет? Не получится ли так, как в рассказаном мной анекдоте? Как шторкой можно прикрыть микрофон, я вообще с трудом представляю.
Заклеить скотчем с бумагой вера не позволяет?
Вопрос был про микрофон. Не говоря про все гаджеты, в качестве микрофона в квартире любая лампочка накаливания может выступать. Их тоже скотчем с бумагой заклеивать?
Не надо с собой мобильник таскать и возможность прослушки упадет до незначимых величин.
В электричке недавно с воякой разговорился. Да, говорит, смартфоны на службе запретили, вот - только по кнопочному.
У вояк больше проблема от фото с топопривязкой, чем от аудиопрослушки. По Донбассу говорят были прецеденты, сфоткался - выложил в вк -через полчаса по координатам артналет.
Еще меня фитнес-браслеты убивают, полный график перемещений в течении дня , и сливается неизвестно куда.
Дело даже не в качестве. Это же надо специально озаботиться, и постоянно за этим следить. Весь расчёт спецслужб на то, что параноиков мало, большинство людей заморачиваться не будет.
> Как шторкой можно прикрыть микрофон, я вообще с трудом представляю.
Тут только железный выключатель. Кстати, микрофон информативнее камеры часто. Камера узконаправлена, а микрофон слушает вокруг, и автоматическое распознавание речи работает весьма неплохо.
"На AliExpress самоклеющиеся сдвижные шторки продают."
Речь была о том, что в буки их не встраивают вовсе не из-за резко возрастающей из-за этого цены конечного Продукта.
У меня на работе мониторы со встроенными камерами и механическими шторками. Новенькие. А вы говорите "в продаже фиг найдёшь"... Мы даже не искали специально.
парольные фразы видимо легче взламываются
Вы главное обратите внимание на последовательность, с которой держатся за парольный механизм авторизации.
В заметке 3dNews картинка с (неправильной) формулой, которая показывает обратное.
PS добавил картинку.
Да-да, особенно порадовало про 44 бит оф таки энтропи... Для лохов - отличная картинка, схавают.
Не просто легче, а радикально легче. Чтобы взломать пароль из случайного набора символов, надобно квантовый компьютер, а для взлома фразы достаточно Жужловской нейросети.
ФБР думает о вас!
Упрощается взлом по словарю.
А что уважаемые профессионалы скажут о перспективах взлома/подбора такого пароля: ey2iBhRIPUA2YNqBUU0KnZLfQR ?
Вы параноик?
Нет. Просто я запомнил ОДИН нормальный пароль от секурного контейнера в котором находятся все пароли от почтовых ящиков, эккаунтов и пр. И все пароли в контейнере сгенерированы. как и вышеуказанный.
И, всё-таки, можно ли взломать/подобрать вышеуказанный пароль современными средствами за разумное время?
Насколько твой контейнер секурен, дружище? Ты его носишь на цепочке на шее, не снимая даже в бассейне, а код к евойному процу написал сам долгими зимними вечерами? Тогда таки да, болемень секурен.
Любезный! Любой пароль взламывается. Если я, скажем, Бин Ладен, то шансов нет. Через 5 лет, через 10 лет, через 20 лет заломают. А если я Вася Пупкин, то никто заморачиваться не будет. Паяльник, "звонок другу" и я сам расскажу как готовил покушение на Кеннеди.
А! Бесплатный менеджер паролей под Линухом что ли пользуешь?
Я ещё со спецсимволами генерирую, на всякий случай.
Типа с такими ~!@#$%^&*()_+= что ли?
Несекьюрно!
.
Рекомендую такие:
♕ ♖ ♗ ♘ ♙ ♚ ♛ ♜ ♝ ♞ ♟ ♠ ♡ ♢ ♣ ♤ ♥ ♦ ♧ ♩ ♪ ♫ ♬ ♭ ♮ ♯
Более полный список символов здесь
https://pixelplus.ru/samostoyatelno/stati/vnutrennie-faktory/tablica-sim...
А что ты такой весёлый? Выпил что-ли?
Не грусти. Зайди лучше на сайт типа https://hashes.org/
И внимательно изучи, из каких символов состоят кракнутные пароли. Посмотри, может твой пароль уже там лежит, вместе со всеми твоими спецсимволами.
.
У меня всё норм.
Что-то против спецсимволов в пароле хочешь сказать, или так побуруздеть?
Именно тебе - ничего сказать не хочу.
Не хочешь пользоваться добрым советом пользоваться "нетрадиционными" спецсимволами - не пользуйся.
ОК. Этими уж сами, мне -+?% таких хватает.
Xозяин - барин. Наше дело предложить - Ваше отказаться.
Самое простое - отбой после нескольких попыток. Но боты с китайских ip ломятся и ломятся, мне вот например на sftp-сервер.
Отбой после нескольких попыток спасает, если нет других дыр, через которые утекли хэши от паролей. Для параноиков - аппаратные токены, взаимная аутентификация при помощи сертификатов + многофакторная авторизация.
Изучаем код генератора. Вы уверены, что там нигде не запрятана конструкция типа
PASSWORD = f(НASН256(TRUNC40(RAND(*))||CONST))
.
Вероятность конкретно этого - 2^208. Но пароли хэшируются. Поэтому создавать пароль с длиной больше, чем результат хэш-функции нет смысла.
Если все пароли выглядят "так же", то я бы возводил бы в степень не 256, а 62.
(большие буквы +маленькие+цифры)
При длине 27 пароля это даёт "всего лишь" 2^161 против 2^216
.
Да, конечно. Но я считал грубо - 256 ASCII-кодов.
Может быть они скажут, что сложный пароль нужен больше для успокоения бытового пользователя, чем для безопасности и что его гораздо легче забыть, а значит должен быть предусмотрен упрощенный алгоритм получения нового пароля и возможно даже без самого пользователя, с минимальным набором, в целом совсем и не секретных данных вроде фамилии, даты рождения, номера телефона и почты.
Страницы