Насколько хороши ваши пароли?

Насколько хороши ваши пароли?

С.Н. Абрамов, независимый эксперт

Кто знает «волшебное слово»?

На протяжении многих лет основным средством аутентификации пользователей считаются пароли. И развитие средств многофакторной аутентификации не уменьшает их значения. Кроме того, пароли применяются и по «прямому назначению», и в качестве основы для развертывания ключа шифрования в некоторых продуктах. Это делает невозможным не только доступ к объектам, но и доступ к их содержимому без знания «секретного слова».

К паролям предъявляются противоречивые требования: с одной стороны, они должны быть достаточно сложными, а с другой — запоминаемыми. По некоторым оценкам от 40 до 50% обращений в службы технической поддержки связаны именно с забытыми паролями.

В случае же использования средств защиты Windows NT (XP) эта проблема еще более обостряется: восстановить пароли становится очень трудно, а сброс зачастую невозможен (например, из-за использования шифрования данных средствами ОС).

Другая сторона вопроса — аудит паролей. Не секрет, что самую большую уязвимость даже для наиболее защищенных систем представляет собой человеческий фактор. Можно как угодно усиливать правила парольной безопасности, но основная часть сотрудников продолжит им сопротивляться (сознательно или бессознательно). Отсюда будут возникать пароли, формально следующие предписаниям, а фактически чрезвычайно слабые.

Поэтому в тех компаниях, где серьезно относятся к политике безопасности, продукты типа Proactive Windows Security Explorer (PWSEX) не просто используются регулярно, а вообще не отключаются, постоянно тестируя пользовательские пароли на «ломаемость».

В последнее время на рынке наблюдается явный рост спроса на разработки, служащие для контроля внутренней безопасности, и здесь ценность продуктов Elcomsoft переоценить сложно. Достаточно зайти на любой форум, посвященный проблемам безопасности, чтобы прочесть немало положительных отзывов об этих программах. Кстати, не только «рядовые ад-мины» говорят добрые слова, за помощь в работе у фирмы имеются и благодарности от правоохранительных органов (в том числе американских).

Казалось бы, большинство проблем можно решить за счет применения криптографически стойких генераторов паролей. К сожалению, этот вариант не всегда оказывается эффективным. Во-первых, во многих приложениях стойкость пароля не зависит от его выбора — хромает реализация. В результате можно восстановить, поменять или сбросить пароль, расшифровать файл, даже если пароль «не-взламываемый». Во-вторых, сложные пароли и запоминать труднее, а если их много? Вот почему около 60% пользователей выбирают и будут всегда выбирать простые пароли.

Для хранения паролей в последнее время используются различные электронные устройства. Но это - корпоративные решения, которые для большинства десктопных/до-машних программ не подходят по ряду причин (цена, сложность использования и т.д.). Еще раз отметим, что если реализация плохая (а чаще всего она именно такая), то совершенно неважно, что за «железка» используется.

Проверка качества паролей: скорость и надежность

Утилита для тестирования качества парольной защиты — PWSEX — основана на знании способа организации хранения паролей в 32-разрядных Windows. В этих системах хэши паролей хранятся в так называемом SAM-файле, причем они могут быть дополнительно зашифрованы при помощи утилиты Syskey. Так что иного способа, чем атака полного перебора для вскрытия паролей, не существует. Предлагается произвести размен необходимого объема вычислений и используемой памяти, вычислив хэши заранее для какого-то количества паролей и ускорив тем самым процесс поиска. В этом случае говорят об атаке по словарю. Например, заблаговременно найти хэш-образы всех осмысленных слов русского, английского языков, шестизначных чисел (день/месяц/год) и т.д. Это и будут слабые пароли.
PWSEX позволяет системным администраторам находить аккаунты пользователей, которые имеют пароли, нестойкие к перебору. Системный администратор также в состоянии установить пароль любого пользователя, используя прямой перебор и атаку по словарю.

Естественно, программа поддерживает различные способы получения хэшей паролей: из дампов памяти, из реестра, с удаленного компьютера.

Восстанавливаются пароли на аккаунты LAN Manager и NTLM. Код программы оптимизирован по скорости перебора паролей.

По заявлению разработчиков, приведенному на их сайте, в следующей версии планируется внедрить сетевой сниффер и просмотровую таблицу, еще больше ускоряющую поиск паролей. Кроме того, по неофициальным данным, в конце лета следует ожидать бета-версию совершенно нового — в какой-то степени даже революционного — продукта от Elcomsoft.