Необходимы ли сложные пароли?
11 Июл 2023
Зачем нужны сложные пароли?
Для обеспечения безопасности хранения паролей они хранятся не в открытом виде, а виде хэшей. Механизмы аутентификации при проверке правильности паролей подразумевают сравнение вычисленного хэша введенного пароля с сохраненным хэш-значением, чтобы определить правильность пароля.
Хэш функции являются односторонними. Это значит, что зная пароль – легко вычислить значение хэш-функции. Но зная значение хэш-функции невозможно получить пароль. Поэтому единственный способ узнать пароль – угадать его, вычислить из него хэш и сравнить с хранящимся хэшем. Ключевым является количество попыток, необходимое для угадывания пароля. Количество попыток, а значит, необходимое время для получения пароля и определяет его надежность.
Какой пароль является ненадежным для сайта или других ресурсов?
Опыт экспертов компании показывает, что современные возможности по подбору паролей позволяют перебирать более 100 миллиардов паролей в секунду. За несколько суток мы успеваем перебрать квадриллионы паролей для каждого полученного хэша. Поэтому восьми-символьный пароль не является слишком сложной задачей. Думаем, в ближайшие несколько лет, и 10-ти символьные пароли перестанут быть проблемой.
Однако длина пароля – не единственный показатель надежности. Люди, вопреки их мнению о себе, часто думают схожим образом. И пароли придумывают одинаковые, и закономерности для их усложнения используют предсказуемые.
Например, пароль “пароль” является не таким редким, как хотелось бы. Как и пароль «любовь». Существуют словари наиболее частых паролей, которые постоянно пополняются.
Также известен подход, при котором пароль составляется из трех случайных слов. Таким образом длина пароля значительно возрастает. Однако опыт показывает, что такой подход также не гарантирует безопасность. Словарный запас современного образованного человека составляет примерно 10 000 – 30 000 слов. Александр Сергеевич Пушкин в своих произведениях и письмах использовал более 21 000 слов. Однако не сложно взять словарь из 80 000 слов и автоматически составлять из них комбинации до трех слов, которые перекроют практически весь возможный диапазон паролей и при этом останется вполне решаемой задачей.
Если хотите проверить безопасность своего сайта, к примеру, и то, насколько легко получить к нему доступ, то посмотрите на нашу услугу: https://literafort.ru/service/pentest-web/
Иногда пользователи используют различные усложнения, которые, однако, являются шаблонными и хорошо изучены.
Например:
- замена “ч” на ”4”, ”а” на ”@”, “з” на ”3”, ”ь” на ”b” и так далее.
- добавление цифр, символов и дат в конце пароля. При этом часто в конец добавляется “1” или “!”.
- общие фразы, известные цитаты, города, спортивные команды.
- клавиатурные шаблоны типа “qwerty” или ”1qaz2wsx3edc””
Стойкость пароля зависит не только от длины пароля, но и от использования предсказуемых фраз, символов и других закономерностей, снижающих энтропию пароля.
Какой пароль считается надежным?
Прежде чем перейти к обсуждению паролей хотелось бы сказать о том, что использование длинных паролей со спецсимволами, а тем более уникальных паролей для каждого сервиса создает трудности для пользователя при запоминании и вводе. Поэтому эксперты рекомендуют использовать менеджеры паролей. Также наши эксперты не видят ничего плохого в том, чтобы хранить пароли на бумаге, если только она не прикреплена к монитору или спрятана под клавиатурой, а надежно защищена от доступа третьих лиц.
Мерой надежности паролей является энтропия
Надежным паролем можно считать пароль, который состоит из буквенно-цифровых и специальных символов и имеет длину не менее 20 символов. Такой пароль обеспечит более 128 бит энтропии, что сделает его взлом очень дорогим и трудоемким.
Повысить энтропию пароля можно двумя способами: увеличением длины пароля и расширением набора символов. Зависимость величины энтропии пароля от указанных параметров представлена в таблице:
В таблице красным отмечены взламываемые пароли, желтым – считаются нестойкими, зеленым – практически не взламываемые.
Способы составления паролей
Способы составления паролей позволяют придумывать и запоминать стойкие пароли. Однако сам способ составления пароля должен быть уникален и храниться в секрете. Потому что знание способа составления пароля позволяет сосредоточиться на взломе паролей именно в этом формате и значительно сокращает время перебора.
Рассмотрим примеры стратегий составления паролей.
- Использование трех или четырех случайных слова с добавлением дополнительных символов между словами, а также использование слов на нескольких языках. Безопасность этой техники в значительной степени зависит от популярности выбранных слов. Чем более распространено слово, тем меньше требуется словарь, тем меньше время, необходимое для взлома комбинации. Замена слова на 6-значное число также увеличивает сложность.
- 10 случайных символов в смешанном регистре. Это, пожалуй, самый сложный для запоминания способ. Однако перебор 10 символов из нескольких типов символов ближайшие несколько лет будет представлять очень серьезную трудность.
- Первые буквы слов в предложении. Идея заключается в том, что пользователь должен придумать уникальное предложение, которое не является известной фразой или цитатой, а затем использовать первые буквы из каждого слова. Проблема в том, что набор символов при таком способе сокращается, и добавление усложнений пароля затрудняет запоминание.
Какой должна быть парольная политика?
Вот пара советов по парольной политике организации:
- Для низкопривилегированных учетных записей следует установить длину пароля минимум 10 символов. В ближайшие несколько лет этот показатель следует увеличить по мере роста эффективности взлома паролей.
- Для привилегированных учетных записей, таких как администраторы домена, длина пароля должна составлять не менее 20 символов, пароль должен быть сгенерирован случайным образом из различных типов символов. При этом для хранения паролей рекомендуется использовать менеджеры паролей.
- Для хранения хэшей паролей важно использовать криптографически безопасные алгоритмы хэширования. Lan Manager, MD5 и SHA1 считаются устаревшими алгоритмами и не должны использоваться.
Эксперты считают оптимальным сроком действия пароля от 6 месяцев и выше. При слишком коротком сроке действия пользователи склонны выбирать слабые пароли для упрощения запоминания, либо при смене пароля выбирать пароль на основе предыдущего. С другой стороны, короткий срок действия пароля уменьшает окно возможностей для злоумышленника при его компрометации. Поэтому рекомендуются регулярные проверки утечек паролей.
Что ещё можно сделать?
Всегда существует вероятность, что самый стойкий пароль может быть утерян, подсмотрен и даже подобран. Поэтому наиболее эффективным является использование многофакторной аутентификации. Например, вторым фактором может являться одноразовый код в приложении-аутентификаторе, либо биометрия. Такой подход значительно повышает эффективность парольной защиты.
Вывод
Парольная защита при соблюдении определенных правил остается достаточно эффективной. Мы рекомендуем использовать пароли необходимой длины и сложности в зависимости от уровня учетной записи. Хорошей практикой является использование менеджеров паролей. Наилучшим вариантом будет использование многофакторной аутентификации.