Panda Software: как безопасно пользоваться паролями
Екатеринбург, 14 октября 2004
Пароли, без сомнения, теперь выполняют функцию идентификации пользователя в Интернете. Благодаря паролям Вы можете подтвердить свою личность, а несанкционированный доступ будет заблокирован. Однако в случае похищения этих данных пароли могут быть использованы злоумышленником в мошеннических целях.
Наиболее широко распространенные атаки с целью обнаружения паролей в системах идентификации – это словарные и силовые атаки. Для успешной атаки хакеру нужно знать имя пользователя в учетной записи, что часто совсем не так сложно, как кажется на первый взгляд, т.к. множество людей просто оставляют пароли по умолчанию неизмененными (такие как root, administrator или admin).
После того как нужное имя пользователя было получено, далее идет попытка проверить серию паролей из списка на соответствие. Такая операция обычно проводится с использованием специально созданного устройства, включающего словарь – источник паролей для проверки, т.к. многие пользователи используют стандартные слова в качестве паролей.
Силовая атака похожа на предыдущую, только вместо использования списка паролей здесь используются все возможные комбинации символов. Такая атака более эффективна в случае коротких паролей, т.к. количество необходимых комбинаций зависит от длины пароля.
Многие из таких атак направлены на учетные записи с максимумом прав, используя тот факт, что система содержит имя пользователя по умолчанию. Например, в платформах Windows учетная запись “administrator” часто становится объектом атаки. Таким образом, для безопасности нужно поменять имя пользователя этой учетной записи на менее известное или менее очевидное. Также Вы можете оставить имя “administrator” с минимальным правами и сложным паролем. Это означает, что реальная учетная запись администратора будет защищена, а Вы сможете отслеживать попытки вторжений, используя опции контроля в записях Windows, которые проинформируют Вас о неудавшихся попытках идентификации.
Как создать и использовать безопасный пароль
Одно из главных правил выбора пароля – это убедиться, что он одновременно достаточно длинный и сложный по набору символов. Хороший пароль – это минимум восемь знаков, сочетающий буквы, цифры и специальные символы (например: "ke8_JW.@").
И хотя создать хороший пароль несложно, но при наличии множества служб, требующих идентификации через пароль, запоминание всех паролей становится проблемой, особенно если целью становится избежание использования серии номеров и знаков, которые легко угадать или запомнить.
Для того чтобы не запоминать различные сложные пароли, многие пользователи используют одинаковые пароли для различных приложений, сервисов и т.д. К сожалению, это увеличивает риск хищения данных идентификации, т.к. пароль может быть сохранен в приложениях и становится доступен для остальных. Если Вы используете один пароль для использования своего компьютера, доступа к веб почте и к электронным банковским счетам, атакующий, взломав один из паролей, сможет прочитать Вашу почту и совершать сделки от Вашего имени. По этой причине важно использовать разные пароли, особенно если речь идет о службах с конфиденциальной информацией (например, банковские операции онлайн), а для менее важных сервисов возможно использование простых паролей (например, подписка на новости онлайн и др.).
Однако существуют другие методы идентификации, включающие цифровые сертификаты. Наиболее известные из них – это те, которые используются в безопасных веб службах, таких как электронные банковские операции, и нужны для установления зашифрованного соединения через HTTPS протокол. Цифровые сертификаты используются для подтверждения идентификации пользователя, добавляя дополнительный уровень безопасности системам, основанным только на паролях.
Некоторые банки уже выпустили для своих клиентов цифровые сертификаты. Такой сертификат может быть установлен на их компьютерах, что предотвращает вторжение на компьютер, даже если пароль пользователя атакующему известен. Для тех пользователей, которые не работают постоянно на одном компьютере, цифровые сертификаты могут быть выпущены в виде USB ключей, размером с обычный ключ, которые могут быть использованы на любом компьютере
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.
Пароли, без сомнения, теперь выполняют функцию идентификации пользователя в Интернете. Благодаря паролям Вы можете подтвердить свою личность, а несанкционированный доступ будет заблокирован. Однако в случае похищения этих данных пароли могут быть использованы злоумышленником в мошеннических целях.
Наиболее широко распространенные атаки с целью обнаружения паролей в системах идентификации – это словарные и силовые атаки. Для успешной атаки хакеру нужно знать имя пользователя в учетной записи, что часто совсем не так сложно, как кажется на первый взгляд, т.к. множество людей просто оставляют пароли по умолчанию неизмененными (такие как root, administrator или admin).
После того как нужное имя пользователя было получено, далее идет попытка проверить серию паролей из списка на соответствие. Такая операция обычно проводится с использованием специально созданного устройства, включающего словарь – источник паролей для проверки, т.к. многие пользователи используют стандартные слова в качестве паролей.
Силовая атака похожа на предыдущую, только вместо использования списка паролей здесь используются все возможные комбинации символов. Такая атака более эффективна в случае коротких паролей, т.к. количество необходимых комбинаций зависит от длины пароля.
Многие из таких атак направлены на учетные записи с максимумом прав, используя тот факт, что система содержит имя пользователя по умолчанию. Например, в платформах Windows учетная запись “administrator” часто становится объектом атаки. Таким образом, для безопасности нужно поменять имя пользователя этой учетной записи на менее известное или менее очевидное. Также Вы можете оставить имя “administrator” с минимальным правами и сложным паролем. Это означает, что реальная учетная запись администратора будет защищена, а Вы сможете отслеживать попытки вторжений, используя опции контроля в записях Windows, которые проинформируют Вас о неудавшихся попытках идентификации.
Как создать и использовать безопасный пароль
Одно из главных правил выбора пароля – это убедиться, что он одновременно достаточно длинный и сложный по набору символов. Хороший пароль – это минимум восемь знаков, сочетающий буквы, цифры и специальные символы (например: "ke8_JW.@").
И хотя создать хороший пароль несложно, но при наличии множества служб, требующих идентификации через пароль, запоминание всех паролей становится проблемой, особенно если целью становится избежание использования серии номеров и знаков, которые легко угадать или запомнить.
Для того чтобы не запоминать различные сложные пароли, многие пользователи используют одинаковые пароли для различных приложений, сервисов и т.д. К сожалению, это увеличивает риск хищения данных идентификации, т.к. пароль может быть сохранен в приложениях и становится доступен для остальных. Если Вы используете один пароль для использования своего компьютера, доступа к веб почте и к электронным банковским счетам, атакующий, взломав один из паролей, сможет прочитать Вашу почту и совершать сделки от Вашего имени. По этой причине важно использовать разные пароли, особенно если речь идет о службах с конфиденциальной информацией (например, банковские операции онлайн), а для менее важных сервисов возможно использование простых паролей (например, подписка на новости онлайн и др.).
Однако существуют другие методы идентификации, включающие цифровые сертификаты. Наиболее известные из них – это те, которые используются в безопасных веб службах, таких как электронные банковские операции, и нужны для установления зашифрованного соединения через HTTPS протокол. Цифровые сертификаты используются для подтверждения идентификации пользователя, добавляя дополнительный уровень безопасности системам, основанным только на паролях.
Некоторые банки уже выпустили для своих клиентов цифровые сертификаты. Такой сертификат может быть установлен на их компьютерах, что предотвращает вторжение на компьютер, даже если пароль пользователя атакующему известен. Для тех пользователей, которые не работают постоянно на одном компьютере, цифровые сертификаты могут быть выпущены в виде USB ключей, размером с обычный ключ, которые могут быть использованы на любом компьютере
О Вирусной лаборатории PandaLabs
Получив подозрительный файл, технический персонал Panda Software приступает к работе. Полученный файл анализируется, и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.