Книга: Секреты супер хакера
Пароли
Пароли
Самый простой и дешевый путь зашиты любого типа компьютерной системы сводится к старому, испытанному способу: применению пароля. Даже те компьютеры, которые вовсе не нуждаются в средствах зашиты, зачастую снабжаются паролем просто потому, что пароль дает ощущение психологического комфорта и его использование не требует особенно много времени, сил и места в памяти. Более того, в системах, уже защищенных другими средствами магнитными картами или иными программными методами, типа шифрования, нередко удваивают или утраивают заши-ту содержимого, прибегая к системе паролей. Таким образом, практически все установки компьютеров включают в себя пароли того или иного вида.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных или на разархива-цию файлов короче, во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.
Пароли подразделяются на семь основных групп:
— пароли, устанавливаемые пользователем;
— пароли, генерируемые системой;
— случайные коды доступа, генерируемые системой;
— полуслова;
— ключевые фразы;
— интерактивные последовательности типа «вопрос — ответ»;
— «строгие» пароли.
Если вы решились на взлом, вам, прежде всего, необходимо вычислить, какой из этих семи видов паролей используется в данной системе.
Первый является наиболее распространенным — обычно пользователи, движимые мелким тщеславием, просят придумать себе личный пароль.
Случайные пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может применить полностью случайную последовательность символов — случайную вплоть до регистров, цифр, пунктуациии длины; или же в генерирующих процедурах могут быть использованы ограничения. Например, каждый код доступа согласуется с заранее подготовленным шаблоном (вроде oabc-12345-efghn, где буквы и цифры, на заданных позициях, генерируются случайным образом). Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы, которые образуют пароли вроде onah.foopn, или ocarback-treen. Полуслова частично создаются пользователем, а частично — каким-либо случайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, «секрет», компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа «секрет,5гh11».
Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «we were troubled by that», или не иметь смысла — «fished up our nose». Ключевые фразы применяются в тех организациях, где менеджер слегка помешан на защите. Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз.
К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «wwtbt» и «fuon». Как видите, подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.
Шестой тип паролей — интерактивные последовательности «вопрос — ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного плана: «Девичья фамилия вашей супруги?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «правильными». Сеансы вопросов и ответов могут оказаться лакомым кусочком для хакера, который хорошо знаком с пользователем, под чьим именем он пытается войти в систему. Системы с использованием вопросов — ответов склонны к тому же прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, дабы подтвердить его право пользоваться системой. Это очень раздражает, особенно если пользователь погружен в интересную игру. Ныне такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.
«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством — «цербером». В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а бедолага-пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами, а также в параноидальных организациях.
Одноразовые коды — это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соотвествуюший времени, дате или дню недели. Может быть, вам повезет и вы найдете такой список в одном из своих походов за мусором. Коды, конечно, вам уже не пригодятся, но зато вы уразумеете принцип зашиты данной системы.
- ТОРЖЕСТВЕННЫЙ КОМПЛЕКТ
- Пароли
- Пароли, устанавливаемые пользователем
- ПОИСК ВОЗМОЖНОГО ПАРОЛЯ
- Изучение паролеи
- Ограничения для паролей
- Неслучайные пароли, генерируемые машиной
- Программы — тоже люди
- Методы перебора
- Благородный метод
- Хакер в роли неофита
- Хождение во власть
- Хакер в роли ПОМОЩНИКА
- Часы пик
- Другие советы
- Примеры СИТУАЦИЙ, ВОЗНИКАЮЩИХ ПРИ СОЦИАЛЬНОЙ инженерии
- Другие Роли
- Непосредственная инженерия
- Требование информации
- Послание свыше
- Неприятности в раю
- Обратная социология инженерия
- Заключение
- 3.3.1. Теневые пароли
- Какие пароли не стоит использовать?
- 2.10.3. Пароли по умолчанию
- 2.10.4. Универсальные пароли
- 14.1.6. Пароли
- 10.5.1. Пароли, документы, архивы
- Пароли Outlook Express
- Глава 3. Пароли и контроль над доступом
- Пароли и ключи
- Глава 10. Ваш личный сейф. Шифрование информации и пароли
- Имена пользователей и пароли
- 16.3.1. Пароли