Сага о Windows. Глава первая. Часть первая

Десять мифов о паролях в Windows     

Несмотря на все достижения в технологиях безопасности, один аспект остается неизменным: пароли все еще играют центральную роль в безопасности системы.Проблема заключается в том, что они слишком часто могут служить простейшим механизмом для взлома. Несмотря на то, что существуют технологии и политики для того, чтобы сделать пароли более устойчивыми, до сих пор приходиться бороться с человеческим фактором. Ни для кого не является секретом, что пользователи часто в качестве паролей используют имена друзей, клички животных и т.д.

Главная задача заключается в том, чтобы пользователи составляли надежные пароли. Однако, не всегда ясно, как достичь этого. Проблема состоит в том, что наши действия слишком предсказуемы. Например, в списке совершенно случайных слов, придуманных обычным человеком, непременно проявится некоторая общая закономерность. Выбор надежных паролей требует соответствующего обучения. Эти знания системные администраторы и должны распространить на конечных пользователей. Возможно, данная статья поможет вам разобраться в использовании паролей в Windows 2000 и XP

Миф №1: хэши паролей достаточно надежны при использовании NTLMv2

Многие читатели хорошо знакомы со слабостью хэшей паролей LanManager (LM), что сделало столь популярным L0phtcrack. NTLM делает хэши несколько устойчивее, так как используется более длинный хэш и различаются символы в верхнем и нижнем регистрах. NTLMv2 является более совершенным, при этом вычисляется 128 битный ключ, и используются отдельные ключи для целостности и конфиденциальности. Кроме того, он использует алгоритм HMAC-MD5 для более высокой целостности. Однако Windows 2000 по-прежнему часто пересылает LM и NTLM хэши по сети, а NTLMv2 уязвим к атакам при передаче (также известным как replay). И, поскольку хэши паролей LM и NTLM по-прежнему хранятся в реестре, вы уязвимы и к атакам на SAM.

Должно еще пройти какое-то время до тех пор, когда мы, наконец, освободимся от ограничений LanManager. А до тех пор не стоит надеяться, что хэши ваших паролей надежны.

Миф №2. Dj#wP3M$c – наилучший пароль

Общепринят миф, что полностью случайные пароли, полученные с помощью генератора паролей – наилучшие. Это не совсем так. Хотя они и могут быть действительно устойчивыми, такие пароли обычно сложны для запоминания, медленно набираемы и иногда уязвимы к атакам на алгоритм генерации паролей. Легко создать пароли, которые будут устойчивы к взлому, но труднее создать такие пароли запоминаемыми. Для этого существует несколько простых приемов. Например, рассмотрим пароль " Makeit20@password.com". Этот пароль использует буквы в верхнем и нижнем регистрах, две цифры и два символа. Длина пароля 20 символов, но он может быть запомнен с минимумом усилий, возможно, вы его уже непроизвольно запомнили. Более того, этот пароль очень быстро набирается. В части "Makeit20" чередуются на клавиатуре клавиши левой и правой руки, что увеличивает скорость набора, сокращает количество опечаток и уменьшает шанс того, что кто-либо сможет подсмотреть ваш пароль, наблюдая за движениями ваших пальцев (давно созданы списки английских слов, чередующих клавиши под правую и левую руку, которые удобно использовать, как часть своего пароля. К примеру, список из восьми тысяч таких слов можно найти на http://www.xato.net/downloads/lrwords.txt)
Лучшая техника для создания сложных, но легко запоминаемых паролей – использование структур, которые мы привыкли запоминать. Такие структуры также делают простым включение знаков препинания в пароль, как в примере адреса e-mail, использованном выше. Другие структуры, которые легки для запоминания – это телефонные номера, адреса, имена, пути к файлам, и т.д. Обратите внимание на некоторые элементы, которые позволяют нам упростить запоминание. Например, включение шаблонов, повторений, рифм, юмора и даже грубых (в том числе и матерных) слов создает пароли, которые мы никогда не забудем.

Миф №3. 14 символов – оптимальная длина пароля

В LM хэши паролей разделены на два 7-символьных хэша. Это фактически делает пароли более уязвимыми, поскольку атака грубой силы (brute-force) может быть применена к каждой половине пароля одновременно. То есть, пароли длиной 9 символов разделены на один 7-символьный хэш и один 2 символьный. Очевидно, что взлом 2-символьного хэша не займет много времени, а 7-символьная часть обычно взламывается за несколько часов. Часто короткая часть может существенно облегчить взлом длинного фрагмента. Из за этого, многие профессионалы безопасности определили оптимальную длину пароля в 7 или 14 символов, соответствующую двум 7-символьным хэшам.

NTLM несколько улучшил ситуацию за счет использования всех 14 символов для сохранения хэшей паролей. Хотя это действительно и облегчает жизнь, но диалоговое окно NT ограничивает пароль максимумом в 14 символов; таким образом, определяя пароли длиной ровно в 14 символов оптимальными для безопасности.

Но все иначе в более новых версиях Windows. Пароли в Windows 2000 и XP могут иметь длину до 127 символов, таким образом, 14 символов уже не будет ограничением. Более того, одно маленькое обстоятельство, открытое Urity на SecurityFriday.com, состоит в том, что если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.

Принимая это во внимание, использование паролей более 14 символов могло бы быть хорошим советом. Но если вы захотите сделать обязательным использование таких длинных паролей, используя политику групп или шаблоны безопасности, то столкнетесь с затруднением – ничто не даст вам возможность установить минимальную длину пароля более 14 символов.

Миф №4. J0hn99 – Хороший пароль

Хотя пароль "J0hn99" проходит по требованиям сложности Windows 2000, он не столь сложен, как кажется на первый взгляд. Многие программы-взламыватели паролей перебирают миллионы вариантов слов в секунду. Замена буквы "o” на цифру "0” и добавление пары цифр – ерунда для таких программ. Некоторые программы-взламыватели даже проверяют наборы методов, которые обычно используют пользователи, что позволяет им подбирать даже довольно длинные и, на первый взгляд, удачные пароли.
Лучший подход – быть менее предсказуемым. Вместо того чтобы заменять "o” на "0”, попробуйте заменить "o” на два символа "()”, как в "j()hn”. И, конечно, удлиняя пароль, вы увеличиваете его устойчивость.

Миф №5. Любой пароль рано или поздно может быть взломан.

Хотя любой пароль может быть вскрыт несколькими способами (например, через «клавиатурный шпион» или с помощью социотехники), тем не менее, существуют способы создания паролей, которые не могут быть взломаны за приемлемое время. Если пароль достаточно длинный, его взлом займет так много времени, или потребует так много вычислительной мощности, что это, по существу, то же самое, что если бы он был невзламываемым (по крайней мере, для большинства хакеров). Конечно, в конце концов, любой пароль может быть взломан, но это событие может произойти и не в течение нашей жизни, и даже не во время жизни наших правнуков. Таким образом, если, конечно не государственные структуры пытаются вычислить ваш пароль, то его шансы могут быть очень даже высоки. Хотя, возможно, достижения компьютерной технологии могут однажды сделать этот миф реальностью.

... Читать дальше »