Проблема вибору пароля

Вибір довжини пароля в значній мірі визначається розвитком технічних засобів, їхньої елементної бази і її швидкодією. У цей час широко застосовуються багатосимвольні паролі, де S>10. У зв'язку із цим виникають питання: як і де його зберігати і як зв'язати його з аутентифікацією особистості користувача? На ці питання відповідає комбінована система паролів, в якій код пароля складається з двох частин. Перша частина складається з 3- 4-х десяткових знаків, якщо код цифровий, і більше 3- 4-х, якщо код складається з літер, які легко запам'ятати людині. Друга частина містить кількість знаків, обумовлена вимогами до захисту й можливостями технічної реалізації системи, вона міститься на фізичному носії й визначає ключ-пароль, розрахунок довжини коду якого ведеться по зазначеній вище методиці. У цьому випадку частина пароля буде недоступна для порушника.

Однак при розрахунку довжини коду пароля не слід забувати про те, що при збільшенні довжини пароля не можна збільшувати періодичність його зміни. Коди паролів необхідно міняти обов'язково, тому що за великий період часу збільшується ймовірність їхнього перехоплення шляхом прямого розкрадання носія, зняття його копії, примуса людини. Вибір періодичності необхідно визначати з конкретних умов роботи системи, але не рідше одного разу в рік. Причому бажано, щоб дата заміни й періодичність повинні носити випадковий характер.

Для перевірки вразливості паролів використовуються спеціальні контролери паролів. Наприклад, відомий контролер Кляйна, здійснює спроби злому пароля шляхом перевірки використання як пароль вхідного ім'я користувача, його ініціалів і їхньої комбінацій, перевірки використання як пароль слів з різних словників, починаючи від найбільш вживаних як пароль, перевірки різних перестановок слів, а також перевірки слів мовою користувача-іноземця. Перевірка паролів в обчислювальних мережах за допомогою контролера Кляйна показала досить високі результати - більшість користувачів використовують прості паролі. Показовий приклад, коли контролер Кляйна дозволив визначити 100 паролів з 5 символів, 350 паролів з 6 символів, 250 паролів з 7 символів і 230 паролів з 8 символів.

Наведений аналіз дозволяє сформулювати наступні правила зниження вразливості паролів і спрямовані на протидію відомим атакам на них:

- розширюйте застосовуваний у паролі алфавіт - використовуйте прописні й малі літери латинських і російських алфавітів, цифри й знаки;

- не використовуйте в паролі осмислені слова;

- не використовуйте повторювані групи символів;

- не застосовуйте паролі довжиною менш 6-8 символів, тому що запам'ятати їх не представляє великої роботи, а пароль саме потрібно запам'ятовувати, а не записувати. По тій же причині не має змісту вимагати довжину неосмисленого пароля більше 15 символів, тому що запам'ятати його нормальній людині практично неможливо;

- не використовуйте той самий пароль у різних системах, тому що при компрометації одного пароля постраждають всі системи;

- перевіряйте паролі перед їхнім використанням контролерами паролів.

Для складання пароля можна дати рекомендації, якими користуватися потрібно дуже обережно:

- виберіть кілька рядків з пісні або поеми (тільки не ті, які Ви повторюєте першому зустрічному) і використовуйте першу (або другу) букву кожного слова - при цьому пароль повинен мати більшу довжину (більше 15 символів), інакше потрібно міняти регістри букв, застосовувати латинські букви замість кирилиці або навпаки, можна вставляти цифри й знаки;

- замініть в слові з семи-восьми літер одну приголосну й одну або дві голосні на знаки або цифри. Це дасть вам слово-абракадабру, що звичайно вимовне й тому легко запам'ятовується. Підіб'ємо підсумок:

Що таке поганий пароль:

· Власне ім'я;

· Слово, що є в словнику;

· Ідентифікатор, привласнений Вам якою-небудь системою, або будь-які його варіації;

· Дата народження;

· Повторений символ (наприклад: AAA);

· Пароль менше 6 символів;

· Пароль, встановлений Вам чужою людиною;

· Пароль, що складається з сусідніх на клавіатурі (наприклад: QWERTY або ЙЦУКЕ);

· Пароль, що складається з паспортних даних: персональний номер, номер прав водія й т.д.

Що таке гарний пароль:

· Безглузда фраза;

· Випадковий набір символів упереміш із літерами.

2.3. Використання вбудованих функцій шифрування в архіваторах Winrar

Найбільш популярними архіваторами в середовищі Windows є arj, rar і zip, причому останні два є найбільш використовуваними.

Які можуть бути причини для використання архіваторів? В основному цих причин дві:

- це бажання зменшити обсяг даних, які ми збираємося довго зберігати або пересилати по мережі.

- зберігання зашифрованих даних.

Відразу зявляється проблеми. Перша, дані шифруються за допомогою пароля, а пароль можна забути, що найчастіше й буває. Тому, навіть будучи творцем архіву, ви однаково не можете його відкрити без пароля. Друга проблема – оцінка надійності такого способу захисту інформації. Варто враховувати, що основне призначення архіваторів - це зменшення обсягу інформації, а шифрування варто розглядати лише як корисну додаткову можливість. Тому такий спосіб захисту інформації значно слабкіший, ніж використання спеціальних криптографічних програм (наприклад, PGP). Так що його можна використовувати тільки в тому випадку якщо «супротивник» не дуже сильний і не зможе застосувати довгострокову й дорогу атаку. Якщо підбір пароля буде здійснюватися за допомогою звичайного персонального комп'ютера з використанням розповсюджених програм підбора ключів, то архіватор може бути досить зручним і швидким способом захисту інформації, хоча й володіти загальним недолікому, що при сущий всім системам крипто захисту з одним ключем.

Огляд шифрування RAR / WinRAR. Архиватор RAR/WinRAR версії 2.х використовував власний, але досить стійкий алгоритм шифрування. Принаймні, не були відомі атаки на RAR 2.0, крім перебору. Починаючи з версії 3.0, RAR використовує стійкий алгоритм AES, що не допускає ніяких атак ефективніших перебору паролів. Більше того, реалізація системи шифрування така, що швидкість перебору становить усього кілька десятків паролів в секунду на сучасному комп'ютері, що дозволяє вважати RAR 3.x самим стійким з погляду перебору паролів з розповсюджених систем шифрування.

Огляд шифрування ZIP / WinZIP. Zip-Архиваторы (pkzip, WinZip до версії 8.0) використовують власний алгоритм шифрування, що є дуже нестійким. Це приводить до двох практичних вразливостей. По-перше, завжди можна здійснити атаку по відкритому тексту (для цього потрібен один незашифрований файл із архіву). По-друге, якщо архів створений WinZip або Infozip і містить 5 або більше файлів, то можливо зробити гарантовану розшифровку архіву, незалежно від довжини й складності пароля. Обидві ці атаки займають всього пару годин на сучасному комп'ютері. В останніх версіях WinZip є опція, що дозволяє використовувати стійкий алгоритм AES, у цьому випадку вищеописані атаки незастосовні й залишається перебір паролів.

2.4. Порядок роботи із програмами розкриття паролів.

У даній лабораторній роботі используeтся программныи продукт для розкриття закритих паролем архівів: Advanced ZIP Password Recovery

Робота із програмами злому на прикладі AZPR

Програма AZPR використовується для відновлення забутих паролів ZIP-Архівів. На сьогоднішній день існує два способи розкриття паролів: перебір (brute force) і атака по словнику (dictionary-based attack).

Панель керування:

· кнопки Відкрити й Зберегти дозволяють працювати із проектом, у якому зазначений розкривається файл, що, набір символів, останній протестированный пароль. Це дозволяє припиняти й відновляти розкриття.

· кнопки Старт і Стоп дозволяють відповідно починати й закінчувати підбор пароля.

· кнопка Набір дозволяє задати свою безліч символів, якщо відомі символи, з яких складається пароль.

· кнопка Довідка виводить допомогу по програмі.

· кнопка O AZPR виводить інформацію про програму.

· кнопка Вихід дозволяє вийти із програми

.

Розглянемо можливості програми:

Вибирається архів для розкриття й тип атаки (див. рис).

Вибираються параметри роботи:

· Закладка Набір

Програма дозволяє вибрати область перебору (набір символів). Це значно скорочує час перебору. Можна використовувати набір користувача, заданий за допомогою кнопки Набір. Можна обмежити кількість тестуємих паролів, задавши початковий пароль. У випадку якщо відомо частину пароля, дуже ефективна атака по масці. Потрібно вибрати відповідний тип атаки, після цього стане доступним поле маска. У ньому потрібно ввести відому частину пароля у вигляді P?s?W?r?, де на місці невідомих символів потрібно поставити знак питання. Можна використовувати будь-який інший символ, ввівши його в поле символ маски.

· Закладка Довжина

Дозволяє вибрати довжину пароля.

· Закладка Словник

Дозволяє вибрати файл-словник. Вибирайте файл English.dic, він містить набір англійських слів і набори символів, що найбільше часто використовуються як паролі.

· Закладка Автосохранение

Можна вибрати ім'я файлу для збереження результатів роботи й інтервал автосохранения.

· Закладка Опції

Вибирається пріоритет роботи (фоновий або високий), інтервал відновлення інформації про тестируемом у цей момент паролі. Збільшення інтервалу підвищує швидкодія, але знижує інформативність. Також можна встановити режим ведення протоколу роботи й можливість мінімізації програми в tray (маленька іконка поруч із годинниками).

3 ПОРЯДОК ВИКОНАННЯ РОБІТ