ФБР рекомендует простые парольные фразы вместо коротких сложных паролей

Аватар пользователя e-Jinn

 

Читая Дзен, наткнулся на интересный заголовок от 3dNews. Вот ссылка на статью. 

 https://3dnews.ru/1004305

Материал заинтересовал, пошёл на первоисточник. Журналисты, как всегда, что-то не так поняли и не дописали. На АШ очень много людей связаны с цифровыми технологиями, поэтому считаю, что данная информация крайне полезна. 

https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/oregon-fbi-tech-tuesday-building-a-digital-defense-with-passwords

Here are the recommendations from NIST for your organization:

  • Require everyone to use longer passwords or passphrases of 15 or more characters without requiring uppercase, lowercase, or special characters.
  • Only require password changes when there’s a reason to believe your network has been compromised.
  • Have your network administrators screen everyone’s passwords against lists of dictionary words and passwords known to have been compromised.
  • To help prevent a denial of service attack against your email service, don’t lock a user’s account after a certain number of incorrect login attempts. That way, even if an adversary floods your network with purposefully incorrect login information, your users won’t be locked out of their accounts.
  • Don’t allow password “hints.”

Яндекс-перевод

Вот рекомендации от NIST для вашей организации:

  • Требовать, чтобы все использовали более длинные пароли или парольные фразы из 15 или более символов, не требуя прописных, строчных или специальных символов.
  • Только требовать изменения пароля, когда есть основания полагать, что ваша сеть была скомпрометирована.
  • Пусть ваши сетевые администраторы проверяют пароли всех пользователей на соответствие спискам словарных слов и паролей, которые, как известно, были скомпрометированы.
  • Чтобы предотвратить атаку типа "отказ в обслуживании"на ваш почтовый сервис, не блокируйте учетную запись пользователя после определенного количества неверных попыток входа. Таким образом, даже если противник наводняет вашу сеть целенаправленно неверными данными для входа, ваши пользователи не будут заблокированы из своих учетных записей.
  • Не позволяйте подсказывать пароль“.”
Авторство: 
Копия чужих материалов

Комментарии

Аватар пользователя SAMOKILLER
SAMOKILLER(10 лет 3 месяца)

В целом, все верно. Стоит, однако, добавить, что стоит учитывать требуемый уровень безопасности. Для обывателей это, дейстительно разумные рекомендации. А для служб требующих особого контроля - там создатели и сами знают какую политику безопасности выбрать.

Пользование каким-нибудь неважным сервисом, который раз в 6 месяцев требует сменить пароль, да еще выставляет требования по степени сложности - это лабуда которая снижает удобство пользователя и не требует, в больишнстве случаев, такого уровня безопасности.

Если что, я в ит с 2002 года. Имею профильное образованиие и знаю о чем говорю.

Аватар пользователя e-Jinn
e-Jinn(5 лет 20 часов)

На самом деле считать надо, что даёт бОльшую безопасность: расширение словаря или увеличение длины пароля до, скажем, минимум 15 символов. Проблема в том, что при использовании фраз символы алфавита не могут использоваться равновероятно, там работают правила словообразования. Поэтому нельзя использовать простую формулу подстановки, реальное количество вариантов намного ниже.

 

Аватар пользователя Kozel de Baran
Kozel de Baran(5 лет 10 месяцев)

А мне вспомнился классический анекдот на эту тему:
 

Впервые за долгое время отпускают в отпуск самого главного по айти в крупной фирме. Всё проверили, должны без него справиться те две недели, что он будет греться на солнышке. И на следующей же день прямо на пляже звонок - Владимир Фёдорович, Вы нас очень извините, но мы случайно уронили самый главный сервер, а пароль от него только у Вас. А в ответ: Как же вы меня все заколебали! Владимир Фёдорович, это очень важно, работа стоит. Владимир Фёдорович продолжает - маленькими буквами в латинской раскладке без пробелов.

Аватар пользователя СВВ
СВВ(9 лет 10 месяцев)

и это не анекдот. пароли такого типа реально использовались. пусть и не мной.

Аватар пользователя Kozel de Baran
Kozel de Baran(5 лет 10 месяцев)

Ну хорошо, хорошо. Не анекдот, быль. Что это меняет?

У нас сисадмин юзверю за перерасход траффика назначил случайный 20 символьный пароль с английскими и русскими во всех регистрах плюс спецсимволы. Быль.

Скрытый комментарий СВВ (без обсуждения)
Аватар пользователя СВВ
СВВ(9 лет 10 месяцев)

не, просто это часто встречаемая, как и вторая, описываемая тобой, ситуация.

во втором случае сразу, как потребуется авторизация, начинает звонить пользователь, его начальник, в том числе и руководству. просто мелкая пакость. так как те кто тихие - траффик соблюдают без сильных эксцессов, ну а булькающее - оно везде пузырится и дает газы.

уж более 15 лет не админю, а всё вспоминается в теплых радужных тонах. smile10.gif

Аватар пользователя Кабан
Кабан(12 лет 3 месяца)

Первое, на что надо обратить внимание - рекомендует американская спецслужба.

Аватар пользователя Александр Мичуринский

Это же ФБР. Вот если бы АНБ выступило бы с рекомендациями, было бы смешнее. Под спойлером (уже выкладывал на АШ.) один из анекдотов про No Such Agency.

 

 

Аватар пользователя Кабан
Кабан(12 лет 3 месяца)

Раньше на некоторых моделях ноутов были механические шторки на камеру. Я сам такие модели ноутбуков не разбирал, но говорят, что бывали даже выключатели, размыкающие провода, идущие к камере и микрофону. Внимание - вопрос. Если бы рядом на витрине магазина стояли одинаковые ноуты с таким шторками/выключателем и без них - что бы покупали? Правильный ответ - ноуты с такими шторками в продаже фиг найдёшь. И это не случайно.

Аватар пользователя Александр Мичуринский

это не случайно.

Посыпалась мне как-то серия писем однотипного содержания (на  почту, которая специально заведена для регистраций на всяких сайтах)

I hac­ked your OS and got full acc­ess to your acc­ount.
This means that I have full acc­ess to your device and acco­unts. I've been watching you for a few months now.
This means that I can see everything on your scr­een, turn on the camera and microphone, but you do not know about it.
I also have access to all your contacts and all your correspondence.
I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this vi­deo to all your emails and contacts.
If you want to prevent this, transfer the amount of $762 to my bitcoin address
(if you do not know how to do this, write to Google: "Buy Bitcoin").
My bit­coin address (BTC Wallet) is:...

Отличия были в вымогаемой сумме и адресе BTC. Самое смешное, что на компе никакой веб-камеры не было от слова вообще.

 

Аватар пользователя Abram Gutang
Abram Gutang(9 лет 5 месяцев)

"Отличия были в вымогаемой сумме и адресе BTC"

Это всем приходило. В сети есть списки утёкших паролей с разных ресурсов, которые связаны с адресами почты.

Например в каком-то интернет-магазине Лена Попова зарегалась с lena.popova@mail.ru с паролем Love!Many!GivMeGot!

Есть ооочень неслабая вероятность того, что она же с этой же почты с этим же паролем зарегалась где-то ещё. И, мэй би, её компьютер так же через LoveMany запаролен.

Поэтому Лена может "струхнуть" и выслать деньги. Шанс, конечно, не большой, это минус, зато дураков много. Это плюс.

 

Аватар пользователя Александр Мичуринский

Согласен. В большинстве случаев успех взломщика основан  именно на социальной инженерии. Самое слабое звена зачастую - прокладка между  монитором и креслом.

«your problem is between keyboard and chair»

Аватар пользователя БК 0010
БК 0010(7 лет 1 месяц)

На AliExpress самоклеющиеся сдвижные шторки продают. Так что если надо, то можно затюнинговать всё, что нужно smile1.gif

Аватар пользователя Александр Мичуринский

Качество этих шторок кто проверять будет? Не получится ли так, как в рассказаном мной анекдоте? Как шторкой можно прикрыть микрофон, я вообще с трудом представляю.

Аватар пользователя Советчик
Советчик(6 лет 6 месяцев)

Заклеить скотчем с бумагой вера не позволяет?

Аватар пользователя Александр Мичуринский

Вопрос был про микрофон. Не говоря про все гаджеты, в качестве микрофона в квартире любая лампочка накаливания может выступать. Их тоже скотчем с бумагой заклеивать? smile44.gif

Аватар пользователя Советчик
Советчик(6 лет 6 месяцев)

Не надо с собой мобильник таскать и возможность прослушки упадет до незначимых величин.

Аватар пользователя Александр Мичуринский

В электричке недавно с воякой разговорился. Да, говорит, смартфоны на службе  запретили, вот - только по кнопочному.

Аватар пользователя kuguar
kuguar(7 лет 11 месяцев)

У вояк больше проблема от фото с топопривязкой, чем от аудиопрослушки. По Донбассу говорят были прецеденты, сфоткался - выложил в вк -через полчаса по координатам артналет.

Еще меня фитнес-браслеты убивают, полный график перемещений в течении дня , и сливается неизвестно куда.

Аватар пользователя Кабан
Кабан(12 лет 3 месяца)

Дело даже не в качестве. Это же надо специально озаботиться, и постоянно за этим следить. Весь расчёт спецслужб на то, что параноиков мало, большинство людей заморачиваться не будет.

> Как шторкой можно прикрыть микрофон, я вообще с трудом представляю.

Тут только железный выключатель. Кстати, микрофон информативнее камеры часто. Камера узконаправлена, а микрофон слушает вокруг, и автоматическое распознавание речи работает весьма неплохо.

Аватар пользователя Abram Gutang
Abram Gutang(9 лет 5 месяцев)

"На AliExpress самоклеющиеся сдвижные шторки продают."

Речь была о том, что в буки их не встраивают вовсе не из-за резко возрастающей из-за этого цены конечного Продукта.

Аватар пользователя BarBoss
BarBoss(10 лет 4 дня)

У меня на работе мониторы со встроенными камерами и механическими шторками. Новенькие. А вы говорите "в продаже фиг найдёшь"... Мы даже не искали специально.

Аватар пользователя DjSens
DjSens(6 лет 3 месяца)

парольные фразы видимо легче взламываются

Аватар пользователя И-23
И-23(9 лет 2 месяца)

Вы главное обратите внимание на последовательность, с которой держатся за парольный механизм авторизации.

Аватар пользователя e-Jinn
e-Jinn(5 лет 20 часов)

В заметке 3dNews  картинка с (неправильной) формулой, которая показывает обратное.

PS добавил картинку. 

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

Да-да, особенно порадовало про 44 бит оф таки энтропи... Для лохов - отличная картинка, схавают.

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

Не просто легче, а радикально легче. Чтобы взломать пароль из случайного набора символов, надобно квантовый компьютер, а для взлома фразы достаточно Жужловской нейросети.

ФБР думает о вас!

Аватар пользователя Советчик
Советчик(6 лет 6 месяцев)

Упрощается взлом по словарю.

Аватар пользователя Tengu
Tengu(9 лет 10 месяцев)

А что уважаемые профессионалы скажут о перспективах взлома/подбора такого пароля: ey2iBhRIPUA2YNqBUU0KnZLfQR ?

Аватар пользователя e-Jinn
e-Jinn(5 лет 20 часов)

Вы параноик? smile9.gif

Аватар пользователя Tengu
Tengu(9 лет 10 месяцев)

Нет. Просто я запомнил ОДИН нормальный пароль от секурного контейнера в котором находятся все пароли от почтовых ящиков, эккаунтов и пр. И все пароли в контейнере сгенерированы. как и вышеуказанный.

И, всё-таки, можно ли взломать/подобрать вышеуказанный пароль современными средствами за разумное время?

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

Насколько твой контейнер секурен, дружище? Ты его носишь на цепочке на шее, не снимая даже в бассейне, а код к евойному процу написал сам долгими зимними вечерами? Тогда таки да, болемень секурен.

Аватар пользователя Tengu
Tengu(9 лет 10 месяцев)

Любезный! Любой пароль взламывается. Если я, скажем, Бин Ладен, то шансов нет. Через 5 лет, через 10 лет, через 20 лет заломают. А если я Вася Пупкин, то никто заморачиваться не будет. Паяльник, "звонок другу" и я сам расскажу как готовил покушение на Кеннеди. 

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

А! Бесплатный менеджер паролей под Линухом что ли пользуешь?

Аватар пользователя Fandaal
Fandaal(10 лет 1 день)

Я ещё со спецсимволами генерирую, на всякий случай.

Аватар пользователя Александр Мичуринский

Типа с  такими ~!@#$%^&*()_+= что ли?

Несекьюрно! smile3.gif.

Рекомендую такие:

♕ ♖ ♗ ♘ ♙ ♚ ♛ ♜ ♝ ♞ ♟ ♠ ♡ ♢ ♣ ♤ ♥ ♦ ♧ ♩ ♪ ♫ ♬ ♭ ♮ ♯ smile60.gif

Более полный список символов здесь

https://pixelplus.ru/samostoyatelno/stati/vnutrennie-faktory/tablica-sim...

Аватар пользователя Fandaal
Fandaal(10 лет 1 день)

А что ты такой весёлый? Выпил что-ли?

Аватар пользователя Александр Мичуринский

Не грусти. Зайди лучше на сайт типа https://hashes.org/

Our database currently contains 3'501'250'368 cracked and 1'016'377'340 uncracked hashes (17.05.2020).

И внимательно изучи, из каких символов состоят кракнутные пароли. Посмотри, может твой пароль уже там лежит, вместе со всеми твоими спецсимволами. smile3.gif.

Аватар пользователя Fandaal
Fandaal(10 лет 1 день)

У меня всё норм.

Что-то против спецсимволов в пароле хочешь сказать, или так побуруздеть?

Аватар пользователя Александр Мичуринский

Именно тебе -  ничего сказать не хочу. smile160.gif

Не хочешь пользоваться добрым советом пользоваться "нетрадиционными" спецсимволами - не пользуйся.smile12.gif

Аватар пользователя Fandaal
Fandaal(10 лет 1 день)

ОК. Этими уж сами, мне -+?% таких хватает.

Аватар пользователя Александр Мичуринский

Xозяин - барин. Наше дело предложить - Ваше отказаться.

Built-in charsets

  • ?l = abcdefghijklmnopqrstuvwxyz
  • ?u = ABCDEFGHIJKLMNOPQRSTUVWXYZ
  • ?d = 0123456789
  • ?h = 0123456789abcdef
  • ?H = 0123456789ABCDEF
  • ?s = «space»!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
  • ?a = ?l?u?d?s
  • ?b = 0x00 - 0xff

 

Аватар пользователя Fandaal
Fandaal(10 лет 1 день)

Самое простое - отбой после нескольких попыток. Но боты с китайских ip ломятся и ломятся, мне вот например на sftp-сервер.

Аватар пользователя Александр Мичуринский

Отбой после нескольких попыток спасает, если нет других дыр, через которые утекли хэши от паролей. Для параноиков - аппаратные токены, взаимная аутентификация при помощи сертификатов + многофакторная авторизация.

 

Аватар пользователя Александр Мичуринский

все пароли в контейнере сгенерированы

Изучаем код генератора. Вы уверены, что там нигде не запрятана конструкция типа

PASSWORD = f(НASН256(TRUNC40(RAND(*))||CONST)) smile3.gif.

Аватар пользователя pokos
pokos(11 лет 7 месяцев)

smile11.gif

Аватар пользователя NotGreta
NotGreta(4 года 8 месяцев)

Вероятность конкретно этого - 2^208. Но пароли хэшируются. Поэтому создавать пароль с длиной больше, чем результат хэш-функции нет смысла.

Аватар пользователя Александр Мичуринский

Если все пароли выглядят "так же", то я бы возводил бы в  степень не 256, а 62.

(большие буквы +маленькие+цифры)

При длине 27 пароля  это даёт "всего лишь"  2^161 против 2^216smile57.gif.

 

Аватар пользователя NotGreta
NotGreta(4 года 8 месяцев)

Да, конечно. Но я считал грубо - 256 ASCII-кодов.

Аватар пользователя zonder
zonder(7 лет 1 месяц)

Может быть они скажут, что сложный пароль нужен больше для успокоения бытового пользователя, чем для безопасности и что его гораздо легче забыть, а значит должен быть предусмотрен упрощенный алгоритм получения нового пароля и возможно даже без самого пользователя, с минимальным набором, в целом совсем и не секретных данных вроде фамилии, даты рождения, номера телефона и почты.

Страницы