Зачем хэшировать пароли?
Гипербезопасная мегабезопасность
Добрый день. У меня есть разговор к людям, которые занимаются разработкой систем безопасности (или как это называется) электронных сервисов (паролей, контрольных вопросов и вот это все). Вам в ТЗ кто-нибудь пишет, или на курсах мб учат, или есть какое-то дао безопасника, где написано, что уровень безопасности должен как-то коррелировать с хранимой информацией? И не только в сторону усиления, но в обратную сторону тоже! Т.е. не нужно в детском саду для хранения детских вещей ставить несгораемый сейф. Вот уже не первый раз сталкиваюсь с тем, что нужно что-то активировать или восстановить пароль, и встречаю на пути такие препятствия, как будто взламываю Пентагон. Хотя это просто бонусная карта. Кому нужны мои несчастные бонусы, что их нужно так охранять??? Веруя в силу интернета вообще и Пикабу в частности, обращаюсь к вам: пожалуйста
ИБ на пальцах. Предсказуемость паролей. Паттерны
Здравствуйте. Этот пост является логическим продолжением вчерашнего, в котором были рассуждения о 5 причинах предсказуемости паролей. Сегодня покажу несколько исследований на эту тему. К каким-то есть ссылки на первоисточник, к каким-то (за давностью лет), увы, нет.
Итак, жизнь, в том числе и корпоративная, заставляет людей использовать паттерны. Как нельзя впихнуть невпихуемое, так и мало кто может помнить в уме множество уникальных криптостойких комбинаций. Если "политика партии" заставляет вас раз в месяц придумывать новый пароль к учётке, который должен содержать цифры, буквы, завязку, развитие, кульминацию и неожиданный финал... Очень скоро вы на этот цирк с конями забьёте и скатитесь в паттерны. Вариаций таких шаблонов можно придумать множество.
Начнём с банального и очевидного для многих читателей. Но не упомянуть не могу. Пароль не должен содержать кусок логина или повторять его полностью. Если вы родились в 95 году, взяли себе логин megapihor, а в качестве пароля используете megapihor95, остаётся лишь процитировать кота Матроскина.
Поздравляю тебя, Шарик. Ты - балбес!
Благо, сейчас многие сайты проверяют это ещё на этапе регистрации учётки.
К банальным паттернам можно отнести и красоту. Красивенько часто не безопасненько. А "украшательства" в виде "666", "777" и прочего, растыканные в начале или конце пароля, делают его более предсказуемым. Потому что когда красивенько, тогда у людей появляется тяга таскать красивый пароль от сайта к сайту.
Часто паттерны берут своё начало из "лайфхаков" по созданию и запоминанию паролей.
Типичный лайфхак, которому не надо следовать: придумайте сложную "мастер-комбинацию" (например, 787^%^fndhjbkjvfvkj). Её выучите наизусть. Затем просто добавляйте к ней спереди или сзади название ресурса с большой буквы. Например, Pikabu787^%^fndhjbkjvfvkj. Вуаля! Вы - гений! (нет). Повторю простым и понятным языком: этот лайфхак - говно. Не используйте его. Опасность в том, что предсказать все ваши остальные пароли можно в результате утечки даже одного из них.
Ещё один популярный паттерн - замена букв на похожие спецсимволы. Не где и как попало, а в интуитивно понятных местах. К примеру, «Alex» в «продвинутом» варианте можно записать как «@1e}{» (вспоминается Хоттабыч с сосцами). И пользователю понятно, и спецсимволов выше крыши. Этот трюк давно учитывают и злоумышленники. В частности, в том же JTR (John the Ripper) можно создать соответствующие правила на замены. ! = i, 3 = E и так далее.
Однако гораздо больший интерес представляет исследование «Визуализация шаблонов клавиатурных паролей», проведённое учёными из военно-морской академии США (Dino Schweitzer, Jeff Boleng, Colin Hughes, Louis Murphy). Раньше оно лежало здесь. В нём предсказуемость людей показана с другой стороны.
Идея проста: из-за ужесточения правил для создания паролей, придумывать осмысленные комбинации становится всё сложнее. Поэтому люди нашли выход в виде транспонирования логики на ступень выше (рисовать кракозябры не по запотевшему стеклу, а по клавиатуре). Поясню на примере: пароль 1qaz!QAZ2wsx@WSX на первый взгляд выглядит довольно бессмысленно и криптостойко. Есть оба регистра, цифры и спецсимволы. Но если взглянуть на клавиатуру…
…становится понятно, что это простое движение зигзагом сверху-вниз, причём каждая строчка повторялась дважды – без шифта и с зажатым шифтом.
Проведя исследование, учёные пришли к выводу, что среди на первый взгляд бессмысленных комбинаций можно выделить много неслучайных шаблонов.
А созданный на их основе словарь позволяет обычным перебором подобрать множество комбинаций.
С графическими ключами на телефонах история аналогичная. Там работает смесь из красивенько + рисовать кракозябры. Люди стремятся рисовать красивенькие кракозябры. Доходчиво и с картинками эта тема описана тут. Я же приведу несколько любопытных фрагментов из статьи.
Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP).
В целом, основные собранные данные таковы:
- 44% ALP начинаются из верхнего левого узла
- 77% начинаются в одном из четырех углов экрана
- 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций
- Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций
- Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор
Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее.
Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.
Думаете раньше было лучше? Ничего подобного. С пин-кодами и физическими клавиатурами на телефонах была та же история. SMS и T9 (не путать с T1000) делали своё дело. Честно, за давностью лет не помню, откуда выдрал следующую иллюстрацию.
Картинка иллюстрирует популярность четырёхзначных символьных паролей на телефонах. Здесь вы можете наблюдать смесь различных шаблонов: ввод самой простой последовательности (1234), долбёжка по одной-двум клавишам (0000, 1111, 2222, 1212 и т.д.) красивенько, движение вверх или вниз (2580, 0852) рисуем кракозябры, год рождения (1998). Кажется, что только комбинация «5683» не вписывается в этот карнавал предсказуемости. Но это на первый взгляд. Присмотритесь к кнопочным мобильным телефонам, если они есть под рукой. В Т9 (редактор быстрого ввода) этой комбинацией набирается слово «LOVE». Вот и весь секрет.
Итого. Главная просьба к вам - не будьте предсказуемыми. Старайтесь не использовать паттерны в паролях и логинах. И конечно, не забывайте про второй фактор. Пара "логин-пароль" сегодня не обеспечит вашу защищённость. Даже если пароль зубодробительный.
ИБ на пальцах. 5 причин предсказуемости ваших паролей
Здравствуйте. TL;DR: Используйте парольные фразы и какой-нибудь второй фактор аутентификации. А для тех, кто не из ЛЛ предлагаю продолжить чтение. В посте расскажу о 5 причинах (нет, меня не кусал Николаев), которые приводят к предсказуемым паролям. Дело не в том, что нельзя придумать хороший пароль. Проблема кроется в людях.
Во-первых, рост количества всевозможных развлекательных сайтов и сервисов привёл к истощению фантазии у обычных людей в плане придумывания уникальных пар «логин-пароль». Да, создание уникальных связок из почты-логина-пароля для каждого отдельно взятого ресурса - это самый надёжный способ. И в идеале все уникальные связки человек должен бы знать наизусть. Но запомнить столько информации мало кто может. Поэтому чаще всего эта связка "почта-логин-пароль" кочует от одного сайта к другому. В лучшем случае используются две-три комбинации. Тем самым, получив доступ к одному из аккаунтов, злоумышленник с лёгкостью скомпрометирует остальные.
Во-вторых, из-за роста количества различных площадок, происходит расслоение аудитории по интересам. Думаю, многие из присутствующих, кто не родился со смартфоном в руках, помнят время, когда одни «принципиальные друзья» использовали только ICQ, других можно было найти только в Skype, а третьих нужно было вылавливать в IRC на канале #Аниме, где они патчили KDE под freebsd2. В итоге человек оказывался перед выбором: либо регистрировать несколько аккаунтов, либо использовать один аккаунт для авторизации везде.
Это породило третью проблему: связанные профили. Идея, безусловно, здравая. Человек, осилив написать пост (или сфотографировав котика), жаждет поделиться этой информацией с максимальным количеством людей при минимальных усилиях. В идеале, нажав одну кнопку один раз. Однако из-за расслоения аудитории на каждой площадке надо всё постить заново. Непорядок. Это понимали и «сильные мира сего», разрабатывая функционал связывания профилей. Написал что-то в Facebook и тут же twitter автоматически отзеркалил пост и известил всех подписчиков. Красота, да и только. Но именно эта красота снижает защищённость пар «логин-пароль». Ведь многих хватает на то, чтобы придумать уникальный логин, а вот на уникальный пароль способны единицы.
Четвёртая проблема скрылась в детях, а точнее в юном возрасте пользователей. Те же социальные сети неустанно борются за право снижения возрастного порога для получения права пользования ресурсом. К примеру, руководитель Facebook считает разумным возраст 12 лет. Но что в 12 лет ребёнок может знать об информационной безопасности и криптостойких паролях? Другой вопрос, сможет ли он вообще придумать что-либо кроме комбинации «ИмяГодРождения».
Наконец, пятая проблема пришла вместе с доступностью мобильного интернета. Люди начали активно использовать смартфоны и планшеты для доступа к различным ресурсам. Узким местом стали виртуальные клавиатуры, а точнее невозможность видеть одновременно русскую и английскую раскладки. Уверен, вам доводилось пользоваться простым «лайфхаком», повышающим уровень "бредовости" вашего пароля: задать в качестве пароля русское слово или фразу, предварительно изменив раскладку?
Вот только с виртуальными клавиатурами такой фокус не проходит. Вводя подобные комбинации с физической клавиатуры, мы опираемся на моторику и «мышечную память». В случае виртуальных клавиатур приходится полагаться только на глаза. Вы помните наизусть соответствие русских и английских символов? Дополнительными «палками в колёса» выступают буквы «ё, х, ъ, ж, э, б, ю», которым в английской раскладке соответствуют символы «`, [, ], ;, ‘, ,, .». Но в виртуальной версии английской клавиатуры располагаются они совсем не в тех местах, где мы привыкли их наблюдать. Что в итоге? Как правило, снижение сложности пароля и его смена на комбинацию, которую легко запомнить и удобно вводить с английской раскладки. Как следствие - увеличилось число "словарных" английских паролей.
Но даже если вы придумали хороший «годный» пароль, не спешите радоваться. Возможно, вы всё равно действовали по шаблону и вас легко предсказать. Речь идёт про паттерны. Для всех типов паролей они были выявлены. Предсказуемы наиболее вероятные пин-коды, графические ключи и даже парольные фразы. Про паттерны будет следующий пост.
А пока аксиома дня сегодняшнего: в аутентификации 2 даже не очень сильных фактора всегда лучше, чем один даже очень сильный. Это значит, что "словарный" пароль + код по SMS гораздо надёжнее, чем самый ультрапупермегазубодробительный пароль.
Система паролей, для тех кому трудно придумывать пароли
Объяснял старшим родственникам, как придумать пароль для клиентбанка. Оказалось, им это очень сложно.
Решил запилить пост на Пикабу, чтобы в следующий раз просто кидать ссылку. А может, кому-то пригодится еще.
Сложность в том, что паролей требуется много, и запомнить их все сложно, а некоторые вообще нужны на один раз. Я для себя придумал систему, как запоминать минимум, а покрыть потребность в паролях полностью.
Для начала нужно понять, сколько уровней важности мы хотим иметь. Например, рассмотрим три уровня:
1. Мусорный( сайтики, форумы, где кабинет заводится на один раз, чтобы файлик скачать, или картинку увидеть, доступную членам форума... Утеря пароля некритична).
2. Важный (запасная почта, магазины, и прочее, где утеря пароля неприятна, но финансовые потери крайне маловероятны)
3. Финансовый.(основная почта, клиентбанк, госуслуги, кабинет на сайте сотового оператора итп, утеря пароля критична). (Желательна двухфакторная авторизация пароль+смс на телефон).
Теперь придумываем три последовательности запоминающихся, содержащих цифры и знаки препинания. По мере важности должно усложняться.
Например:
1. 555-
2. 567+
3. 97531%
А теперь придумываем правило, по какому будут объединяться название ресурса, кабинета, и т.п. с нашей последовательностью.
Например:
Берем название сайта, и смешиваем с нашей последовательностью, в начале ставим последовательность, потом название сайта, с большой буквы. (Или большую букву делаем второй. Или последней.) Важно это также запомнить.
Итого получатся пароли:
1. 555-Forum
2. 567+Shop
3. 97531%Superbank
Такие пароли будут соответствовать правилам, их будет сложно подобрать, и эта система намного крепче, чем один пароль на все потребности.
Также нужно понимать, что если вы сообщаете пароли другим людям, ставите непроверенные программы на свое устройство, или открываете подозрительные вложения из писем с неизвестным Вам отправителем, то никакая система паролей не поможет сохранить вашу безопасность.
О безопасности вашего... ВСЕГО
Привет, люди. Хотел немного порассуждать о безопасности наших данных, карточек и всего такого. Все наверное пользуются сейчас разными сервисами доставки, и я не исключение.
Есть у меня аккаунт в деливери. Ну и чтобы копились баллы, было удобнее отслеживать сколько мы потратили и т.д. у моей девушки забит этот же аккаунт с моим номером. Сегодня решил менять пароль в вк, и когда дело дошло до того, что вк отправил смс на мой номер чтобы его подтвердить, уведомление с кодом для входа пришло на телефон моей девушки (!) в виде пуш-уведомдения от деливери (!!).
Гневные письма и туда и туда я написал, но что-то легче мне не стало, ведь смс может быть и с подтверждением оплаты размером со все мои кровно нажитые, и смс это пойдёт не прямо ко мне, а обходным путем непонятно через чьи руки.
А вы готовы в один прекрасный день увидеть неожиданное смс о списании?
P. S. :Если интересно будет, то расскажу когда ответят.
Срочно смени пароль от роутера)
Я не шучу, смени даже если он не стандартный (хотя всё равно может не помочь).
Подключён у меня интернет от ростелекома и решил я просканировать подсеть провайдера. Запустил программу RouterScan и вбил диапазон 100.64.0.0/10. Диапазон очень немаленький и пришлось подождать. Спустя двое с половиной суток я остановил сканирование на примерно 80%. Результат оказался очень хорошим.
Из этих 29 тысяч нужны только те у которых известен BSSID. Далее с помощью яндекса получаю координаты wifi точек. Осталось меньше 10 тысяч. Делю на 5 файлов по 2000 строк в каждом и отправляю в гугл карты. В итоге получаю вот такую картину
Можно посмотреть подробную информацию по каждой точке доступа
IP адрес, логин/пароль роутера, пароль wifi, координаты.
Вот такая вот ситуация с безопасностью сейчас обстоит.
Кому интересно даю ссылки на карту и таблицу с данными
https://drive.google.com/open?id=1UyeHcQ0KENQ8u1dGqJIvG0FvQi...
https://drive.google.com/file/d/18XYkYqc4cuFXnoAOYrLHJHLs7xA...