svētdiena, 2011. gada 15. maijs

Mazliet par parolēm

Pacitēšu un pakomentēšu: Juris Kaža » Viesu blogere (Baiba Kaškina, CERT.lv) par drošām parolēm - Nozare.lv

Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (CERT.LV) eksperti norāda – parolēm jābūt vienkāršam, lai būtu viegli atcerēties, un reizē sarežģītām, lai būtu grūti tās uzminēt.

Eto, kak eto? Varbūt "3,14159"? :D

„Pietiekami daudz ir dzirdēti stāsti par cilvēkiem, kas uzraksta PIN kodu uz bankas kartes vai pielīmē lapiņu ar svarīgām parolēm uz datora ekrāna un „iekrīt”. Jūs taču neaizslēdzat mājai durvis un neatstājat vaļā logu?”, retoriski jautā CERT.LV Baiba Kaškina.

Kāds sakars durvīm un logam ar parolēm?
"Jūs taču neuzticat vadīt nopietna nosaukuma iestādi nekompetentam vadītājam?" Retoriski jautāju es.

Protams, viegli uzminamās. Jāņem vērā, ka paroļu uzlaušanai pieejamas daudzas programmas, kuras izstrādājuši pieredzes bagāti un psiholoģiski izglītoti blēži.

LOL? "Uzlauzīsi Pētera draugiem.lv paroli?" Paroles nelauž! Vai "abcd/efgh" ir salauzta "abcdefgh" parole? :D Krēslu var salauzt no smiekliem.
Iespējams, ir domāta paroļu kontrolsummu (hash) piemeklēšana. Kaut gan, ko var zināt, kas ar to domāts.
Vispirms ir jādabū "materiāls" ko lauzt!

Vai visi paroļu atjaunošanas programmu izstrādātāji ir blēži?
John the Ripper izstrādātāji ir blēži?
http://www.openwall.com/john/

Hashcat ir blēži?
Hashcat - Advanced Password Recovery

Šis arī blēdis? MD5 Crack GPU (The fastest LGPL GPU MD5 password cracker)

Visvieglāk uzminama ir parole ir viens jēgpilns vārds.

Nē, vieglāk uzmināma ir 12345, qwerty, asdf utml.
Pneumonoultramicroscopicsilicovolcanoconiosis arī ir jēgpilns vārds un varētu būt kā parole (neiesaku, jo pat tāds vārds var būt wordlistā, taču drošāks par 12345 ir.).

Par piemeklēšanas laikiem. Mūsdienās, IMHO, bruteforce (Pilno pārlasi. Līdz 8 (ieskaitot) simboliem ar GPU var mierīgi) izmanto vai nu lai no lieliem hash sarakstiem atsijātu nedrošās paroles, padarot, paroļu sarakstu vieglāku (līdz ar to samazinās pārlasāmo paroļu skaits un resursu patēriņš), vai kā pēdējo metodi, jo ar labiem wordlistiem (vārdnīcām) un pielāgotam metodēm, paroli var piemeklēt daudz ātrāk.

Tests no 1 līdz 8 simboliem ar hash e8dc4081b13434b45189a720b77b6818.

Number of GPU to be used: 1.
e8dc4081b13434b45189a720b77b6818:abcdefgh
All passwords found! Time elapsed: 0d:0h:1m:53s.

Ātrums: ~500M p/s

Hash 0c4dd49e082fe9c178c37aa9ac04b2d1 varētu būt stunda, stundas? Ne jau nu dienas 8)

Žurnāls "BlackHalt" 2011. gada maijs :)

Parasti dažādas interneta vietnes gan uzreiz pasaka, kāds ir mazākais simbolu skaits parolē, bet, piemēram, lietotāja parole datora operētājsistēmā var būt arī tikai ar vienu burtu. Tas ir par maz. Vajadzētu izvēlēties vismaz sešus simbolus.

Kāds iesprūdis laikā. Jau deviņdesmitajos vajadzēja izvēlēties 8 simbolus.

Šodien modernās sistēmās būtu jālieto vismaz 12 simbolu garas paroles!

Anything under 12 characters is easily broken :
http://www.question-defense.com/wp-content/uploads/hashcat-presentation.pdf




Password length should be around 12 to 14 characters if permitted, and longer still if possible while remaining memorable :
http://en.wikipedia.org/wiki/Weak_password#Common_guidelines

He says any password shorter than 12 characters could be vulnerable - if not now, soon. :
http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System

Pasaka

Jefiņš kaulu skrubina
Un pie sevis bubina:

Ar tik karstu ēdamo

Izplaucēt var mēdamo.


dos tīri labu paroli: „JksUpsb:AtkeIvm.” .

Ja var atcerēties tādu dzejolīti, tad labāk kā paroli lietot pašu dzejolīti. Kaut gan "JksUpsb:AtkeIvm." izskatās tīri OK.


Cits piedāvājums: paņemt vārdu no vārdnīcas un pārbīdīt tā burtus pa alfabētu – pirmo uz priekšu otro atpakaļ, trešo uz priekšu utt. Tad vārds „proporcija” dotu „rpposbjib”. Šo rezultātu gan vēl vajadzētu padarīt sarežģītāku, piemēram, dažus burtus uzrakstīt kā lielos, teiksim, katru trešo – „rpPosBjiB”.

Šādas te gudreļu burtu pārbīdīšanas metodes jau sen ir zināmas un ir iekļautas paroļu atjaunošanas programmās.
Jo vairāk mācīsiet "pareizās paroļu sastādīšanas metodes", jo ātrāk tās tiks iekļautas paroļu atjaunošanas programmās.

Tīri labi vajadzētu strādāt parolēm „pi-valodā”. Kādreiz skolēni diezgan plaši izmantoja šo valodu, lai varētu sazināties tā, lai skolotāji un vecāki nesaprastu. Lai rastos teksts „pi-valodā”, pēc katras latviešu valodas zilbes ir jāiesprauž „pi-„,. Piemēram: „Manpi irpi cipigapirepitespi, iepisimpi uzpipīpipētpi”. Var, protams, izmantot arī citus burtu savienojumus: „mi-„, „ni-„, „zi-„ utt. .

Arī šis ir iekļauts. Un pupiņvaloda arī.

Vai vienmēr vajadzīgas sarežģītas paroles?

Drīzāk jā, taču patiesībā tomēr ir vietas, kur sarežģīta parole nav vajadzīga un netiek lietota.

Muļķības! Vienmēr vajag sarežģītas paroles!

Kur glabāt paroles?

Ne vienmēr "pierakstīt" nozīmē pierakstīt uz lapiņas vai iekopēt TXT failā.

Tas tā pavirši par to arī viss, jo negribu tikt novilkts līdz "ja durvis nav aizslēgtas, tad..." līmenim un sakauts ar pieredzi.

----------------------------------

Noderīgas saites par paroļu "laušanu".

http://en.wikipedia.org/wiki/Password_strength
http://hashcat.net/
http://www.openwall.com/john/
http://download.openwall.net/pub/
http://download.openwall.net/pub/wordlists/
http://www.skullsecurity.org/wiki/index.php/Passwords
http://contest.korelogic.com/
http://contest.korelogic.com/stats.html
http://contest.korelogic.com/wordlists.html
http://contest.korelogic.com/rules.html
https://contest.korelogic.com/rules-hashcat.html

http://www.openwall.com/lists/passwdqc-users/2011/02/20/1
http://www.openwall.com/lists/john-users/2010/08/24/1

http://csbruce.com/~csbruce/software/utf-8.html
http://www.unicode.org/charts/charindex.html
...
5509670949271763612636987822216349098

3 komentāri:

  1. Autoram ir taisnība, tikai viņš aizmirst vienu lietu - cilvēcisko faktoru! vidusmēra useris nespēj atcerēties tādu paroli, ko no hasha nevarētu atlauzt +/- pārskatāmā laikā. Ja admins spiež uz ļoti sarežģītām un garām parolēm, tad iestājas otrs grāvis - useri tās paroles nespēj atcerēties un vienkārši pieraksta! Uz lapiņām, kas piespraustas pie monitora sliktākajā gadījumā!

    Risinājums?

    1. Aizsargāt sistēmas tā lai paroļu hašus tik viegli nevarētu iegūt. Vai vismaz ieviest sakarīgu log sistēmu lai paroļu hašu noplūdi var konstatēt.
    2. Viltīgi/sarežģīti hasošanas algoritmi lai sekundē pārbaudāmo paroļu skaits būt vien daži tūkstoši sekundē. (Šo lieto truecrypt, tā disku paroli praktiski nevar atlauzt jo sekundē var pārbaudīt tik vien kā pāris tūkstošu paroļu...)

    AtbildētDzēst
  2. Kaškina un Sataki - tā ir nākotne. Bet tu tikai gremdējies pagātnē. Liec paroli dirsa123 un lieto inboksu laimīgs.

    AtbildētDzēst

Jūsu komentārs tiks nosūtīts mājas lapas administratoram, līdz apstiprināšanai tas var nebūt pieejams šī bloga publiskajā daļā.