Пароли для профессионалов
Декабрь 18, 2006 |Без рубрики
Serge Balance
Опубликовано: dl, 11.11.06 20:22Данная статья есть попытка собрать на одной страничке все самое главное об особенностях паролей, их применении, выборе, хранении. О многом здесь можно расписывать подробнее, но врядли стоит. Опыта каждый все равно набирается сам, а вехи «где копать» здесь как раз и обозначены.
- Вещи, которые все знают, но не всегда вспоминают
- Длина имеет значение
- Скорость перебора
- Генераторы паролей, запоминаемых и нет
- Специфика разных мест применения паролей
- Рекомендации админу
- Рекомендации программисту Веб-сервисов
- Выбор пароля (кратко)
- Схема – как организовать свое стадо паролей
Вещи, которые все знают, но не всегда вспоминают
Пароль – это просто набор символов. Чаще всего у системы нет другого способа узнать вас, кроме как по паролю. Значит кто угодно может ввести правильный пароль и получит соответствующие полномочия.
Пароль может быть узнан, угадан или подобран. Добавьте возможность в некоторых случаях обойти систему защиты из-за слабостей примененного алгоритма, ошибок в реализации, backdoor’ов и получите полный список того чего следует опасаться.
От слабостей алгоритма и ошибок ПО вариантов защиты только два. Если есть исправляющий положение патч – ставить, если его нет – не пользоваться слабой системой. Есть очень редкий третий вариант, когда исходники открыты и вы в состоянии сами написать такой патч. Те кто это может, обычно не нуждаются в напоминании связаться с авторами, чтобы исправления были внесены в репозитарий разработки.
- Узнавание пароля
- социальная инженерия, подглядывание за набором, клавиатурные шпионы, разгильдяйство (бумажка с паролем на видном месте).
- Угадывание – перебор по словарю
- словари бывают разные (модифицированные, по слогам, правилам)
- Подбор – полный перебор возможных комбинаций
- BruteForce – метод Грубой Силы
Вот три способа ломать парольную защиту, когда ее нельзя обойти, воспользовавшись несовершенством системы. Именно в этих трех направлениях нужно думать, выбирая и храня пароль. А также читая дальше эту статью. Здесь все зависит не от далеких разработчиков, а от пользователя. От нас. От вас.
Длина имеет значение
Две главных характеристики пароля – количество символов (длина) и количество вариантов символа в каждой позиции (алфавит).
Как известно из комбинаторики общее количество возможных паролей при заданной длине(L) и алфавите(A) вычисляется как (A**L). A в степени L. Время(T) за которое пароль заданной длины будет гарантированно подобран методом Грубой силы меньше или равно (A**L)/V, где V – скорость перебора. Итак, мы можем записать T<=(A**L)/V. Эту формулу обычно называют формулой Андерсона. Следующая таблица вычислена по этой формуле и наглядно демонстрирует зависимости указанных величин.
Время полного перебора всех возможных паролей заданного алфавита при скорости перебора 10,000,000 паролей в секунду алфавит 6 символов 8 символов 10 символов 12 символов 26 (латиница все маленькие или все большие) 31 сек 5 часов 50 мин 163.5 суток 303 года 52 (латиница с переменным регистром) 33 мин 62 суток 458 лет 1,239,463 года 62 (латиница разного регистра плюс цифры) 95 мин 252 суток 17 часов 2,661 год 10,230,425 лет 68 (латиница разного регистра плюс цифры плюс знаки препинания .,;:!?) 2 часа 45 мин 529 суток 6703 года 30,995,621 лет 80 (латиница разного регистра плюс цифры плюс знаки препинания .,;:!? плюс скобки ()[]{} плюс #$%&*~) 7 часов 30 мин 5 лет 4 месяца 34048 лет 217,908,031 год Хочу обратить ваше внимание на то что с увеличением алфавита (базиса степенной функции) значение времени конечно растет, но еще сильнее оно растет с увеличением длины пароля (показателя степенной функции).
Например, при данной скорости все варианты пароля [далее >>]
Ссылки на эту статью
(HTML-BBcode-Plain Text)
Записей: 739 шт.
Вы должны быть зарегистрированы для отправки комментария.