Jump to content

Пароль

(Перенаправлено с паролей )

Поле пароля в форме входа

Пароль , представляет , иногда называемый паролем собой секретные данные, обычно строку символов, обычно используемую для подтверждения личности пользователя. Традиционно предполагалось, что пароли нужно запоминать. [1] но большое количество служб, защищенных паролем, к которым имеет доступ обычный человек, может сделать запоминание уникальных паролей для каждой службы непрактичным. [2] Используя терминологию NIST Digital Identity Guidelines, [3] секрет хранится стороной, называемой истцом , а сторона, проверяющая личность истца, называется проверяющим . Когда заявитель успешно демонстрирует знание пароля проверяющему посредством установленного протокола аутентификации , [4] проверяющий может установить личность заявителя.

В общем случае пароль представляет собой произвольную строку символов , включающую буквы, цифры и другие символы. Если допустимые символы ограничены цифрами, соответствующий секрет иногда называют личным идентификационным номером (ПИН).

Несмотря на свое название, пароль не обязательно должен быть реальным словом; действительно, неслово (в словарном смысле) может быть труднее угадать, что является желательным свойством паролей. Запомненный секрет, состоящий из последовательности слов или другого текста, разделенных пробелами, иногда называется фразой-паролем . Парольная фраза по использованию аналогична паролю, но первая обычно длиннее для дополнительной безопасности. [5]

История [ править ]

Пароли использовались с древних времен. Часовые предлагали желающим войти в зону предоставить пароль или ключевое слово и пропускали человека или группу людей только в том случае, если они знали пароль. Полибий описывает систему распределения лозунгов в римской армии следующим образом:

Способ, которым они обеспечивают передачу лозунга на ночь, следующий: из десятого манипула каждого класса пехоты и кавалерии, манипула, который расположился лагерем в нижнем конце улицы, выбирается человек, который освобожден от караульной службы, и он каждый день на закате присутствует в шатре трибуны и , получив от него лозунг - то есть деревянную табличку с написанным на ней словом, - уходит и, вернувшись в свою квартиру, проходит дальше. лозунг и табличка перед свидетелями командира следующего манипула, который, в свою очередь, передает его следующему за ним. Все делают то же самое, пока не доберутся до первых манипул, стоящих лагерем возле шатров трибунов. Последние обязаны доставить табличку на трибуны до наступления темноты. Так что, если все выданные будут возвращены, трибун будет знать, что лозунг был дан всем манипулам и прошел через все на обратном пути к нему. Если какой-либо из них пропал, он немедленно наводит справки, так как по отметкам знает, с какой стороны табличка не вернулась, и тот, кто виновен в остановке, понесет заслуженное наказание. [6]

Пароли, используемые в военных целях, стали включать не только пароль, но и пароль и контрпароль; например, в первые дни битвы за Нормандию десантники 101-й воздушно-десантной дивизии США использовали пароль — вспышка — который был представлен как вызов, и ответили правильным ответом — гром . Задание и ответ менялись каждые три дня. Американские десантники также, как известно, использовали устройство, известное как «сверчок», в день «Д» вместо системы паролей в качестве временно уникального метода идентификации; один металлический щелчок, подаваемый устройством вместо пароля, должен был сопровождаться двумя щелчками в ответ. [7]

Пароли использовались в компьютерах с самых первых дней существования компьютеров. Совместимая система разделения времени (CTSS), операционная система, представленная в Массачусетском технологическом институте в 1961 году, была первой компьютерной системой, реализовавшей вход по паролю. [8] [9] В CTSS была команда LOGIN, которая запрашивала пароль пользователя. «После ввода ПАРОЛЯ система, если это возможно, отключает механизм печати, чтобы пользователь мог ввести свой пароль конфиденциально». [10] В начале 1970-х годов Роберт Моррис разработал систему хранения паролей для входа в хешированную форму как часть операционной системы Unix . Система была основана на моделируемой роторной криптомашине Хагелина и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как crypt(3) , использовала 12-битную соль и вызывала модифицированную форму DES. алгоритм 25 раз, чтобы снизить риск заранее рассчитанных атак по словарю . [11]

В наше время имена пользователей и пароли обычно используются людьми во время процесса входа в систему , который контролирует доступ к защищенным компьютерным операционным системам , мобильным телефонам , декодерам кабельного телевидения , банкоматам (банкоматам) и т. д. Типичный пользователь компьютера имеет пароли для множество целей: вход в учетные записи, получение электронной почты , доступ к приложениям, базам данных, сетям, веб-сайтам и даже чтение утренней газеты в Интернете.

Выбор безопасного и запоминающегося пароля [ править ]

Чем проще владельцу пароль запомнить, как правило, это означает, что злоумышленнику будет легче его угадать. [12] Однако пароли, которые трудно запомнить, также могут снизить безопасность системы, поскольку (а) пользователям может потребоваться записать или сохранить пароль в электронном виде, (б) пользователям потребуется частая смена пароля и (в) пользователи с большей вероятностью будут повторно используйте один и тот же пароль для разных учетных записей. Аналогичным образом, чем более строгие требования к паролю, такие как «сочетание прописных и строчных букв и цифр» или «меняйте его ежемесячно», тем в большей степени пользователи будут подрывать систему. [13] Другие утверждают, что более длинные пароли обеспечивают большую безопасность (например, энтропию ), чем более короткие пароли с большим количеством символов. [14]

В книге «Запоминаемость и безопасность паролей » [15] Джефф Ян и др. изучить влияние советов, данных пользователям о правильном выборе пароля. Они обнаружили, что пароли, основанные на обдумывании фразы и выборе первых букв каждого слова, так же запоминаются, как и наивно выбранные пароли, и их так же трудно взломать, как и случайно сгенерированные пароли.

Еще одним хорошим методом является объединение двух или более несвязанных слов и замена некоторых букв специальными символами или цифрами. [16] но ни одного словарного слова нет. Еще один хороший метод — наличие лично разработанного алгоритма генерации непонятных паролей. [17]

Однако просить пользователей запомнить пароль, состоящий из «смесь символов верхнего и нижнего регистра», аналогично просить их запомнить последовательность битов: трудно запомнить и лишь немного сложнее взломать (например, всего в 128 раз сложнее). взломать пароли из 7 букв (меньше, если пользователь просто пишет одну из букв с заглавной буквы). Просьба к пользователям использовать «и буквы, и цифры» часто приводит к легко угадываемым заменам, таким как «E» → «3» и «I» → «1», — заменам, которые хорошо известны злоумышленникам. Аналогичным образом, ввод пароля на одну строку клавиатуры выше — распространенная уловка, известная злоумышленникам. [18]

В 2013 году Google опубликовал список наиболее распространенных типов паролей, каждый из которых считается небезопасным, поскольку их слишком легко угадать (особенно после исследования личности человека в социальных сетях), который включает в себя: [19]

  • Имя домашнего животного, ребенка, члена семьи или близкого человека
  • Юбилейные даты и дни рождения
  • Место рождения
  • Название любимого праздника
  • Что-то связанное с любимой спортивной командой
  • Слово «пароль»

Альтернативы запоминанию [ править ]

Традиционный совет запоминать пароли и никогда их не записывать стал проблемой из-за огромного количества паролей, которые должны хранить пользователи компьютеров и Интернета. Одно исследование пришло к выводу, что средний пользователь имеет около 100 паролей. [2] Чтобы справиться с увеличением количества паролей, некоторые пользователи используют один и тот же пароль для нескольких учетных записей. Это опасная практика, поскольку утечка данных в одной учетной записи может поставить под угрозу остальные. Менее рискованные альтернативы включают использование менеджеров паролей , систем единого входа и простое хранение бумажных списков менее важных паролей. [20] Такие методы могут сократить количество паролей, которые необходимо запомнить, таких как главный пароль менеджера паролей, до более управляемого количества.

безопасности Факторы системы паролей

Безопасность системы, защищенной паролем, зависит от нескольких факторов. Вся система должна быть спроектирована с учетом надежной безопасности и защиты от компьютерных вирусов , атак типа «человек посередине» и т.п. Проблемы физической безопасности также вызывают беспокойство: от сдерживания серфинга через плечо до более сложных физических угроз, таких как видеокамеры и перехватчики клавиатуры. Пароли следует выбирать так, чтобы злоумышленнику было трудно их подобрать и обнаружить с помощью любой из доступных схем автоматической атаки. см. в разделе «Надежность пароля и безопасность компьютера» . Дополнительные сведения [21]

В настоящее время компьютерные системы часто скрывают пароли по мере их ввода. Цель этой меры — предотвратить чтение пароля посторонними лицами; однако некоторые утверждают, что такая практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность показывать или скрывать пароли по мере их ввода. [21]

Эффективные положения о контроле доступа могут вынудить преступников принять крайние меры, стремящихся получить пароль или биометрический токен. [22] Менее крайние меры включают вымогательство , криптоанализ через резиновый шланг и атаку по побочным каналам .

Ниже приведены некоторые конкретные проблемы управления паролями, которые необходимо учитывать при обдумывании, выборе и использовании пароля.

Скорость, с которой злоумышленник может попробовать подобрать пароли [ править ]

Скорость, с которой злоумышленник может отправить в систему угаданные пароли, является ключевым фактором, определяющим безопасность системы. Некоторые системы устанавливают тайм-аут в несколько секунд после небольшого количества (например, трех) неудачных попыток ввода пароля, также известный как регулирование. [3] : 63B Раздел 5.2.2 При отсутствии других уязвимостей такие системы можно эффективно защитить с помощью относительно простых паролей, если они правильно выбраны и их нелегко угадать. [23]

Многие системы хранят криптографический хэш пароля. Если злоумышленник получит доступ к файлу хешированных паролей, угадать его можно в автономном режиме, быстро проверив пароли-кандидаты на соответствие хеш-значению истинного пароля. В примере с веб-сервером онлайн-злоумышленник может угадать только скорость, с которой сервер ответит, тогда как автономный злоумышленник (который получает доступ к файлу) может угадать со скоростью, ограниченной только аппаратным обеспечением на нем. какой тип атаки используется, а также мощность алгоритма, использованного для создания хеша.

Пароли, которые используются для генерации криптографических ключей (например, для шифрования диска или безопасности Wi-Fi ), также могут подвергаться высокоскоростному подбору. Списки общих паролей широко доступны и могут сделать атаку паролей очень эффективной. (См. «Взлом пароля» .) Безопасность в таких ситуациях зависит от использования паролей или парольных фраз достаточной сложности, что делает такую ​​атаку вычислительно неосуществимой для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA , применяют к паролю хэш, требующий больших вычислений, чтобы замедлить такие атаки. См. растяжку клавиш .

Ограничения на количество попыток подбора пароля [ править ]

Альтернативой ограничению скорости, с которой злоумышленник может угадывать пароль, является ограничение общего количества возможных угадываний. Пароль можно отключить, потребовав его сброса, после небольшого количества последовательных неверных попыток (скажем, 5); и от пользователя может потребоваться сменить пароль после большего совокупного количества неверных предположений (скажем, 30), чтобы не дать злоумышленнику сделать сколь угодно большое количество неверных предположений, чередуя их между правильными предположениями, сделанными законным владельцем пароля. [24] Злоумышленники, наоборот, могут использовать знания об этом смягчении для реализации атаки типа «отказ в обслуживании» против пользователя, намеренно блокируя пользователю доступ к его собственному устройству; этот отказ в обслуживании может открыть злоумышленнику другие возможности манипулировать ситуацией в своих интересах с помощью социальной инженерии .

Форма сохраненных паролей [ править ]

Некоторые компьютерные системы хранят пароли пользователей в виде открытого текста , с которым можно сравнивать попытки входа в систему. Если злоумышленник получит доступ к такому внутреннему хранилищу паролей, все пароли, а значит и все учетные записи пользователей, будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.

Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к реальному паролю по-прежнему будет затруднен для шпиона, получившего внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Наиболее безопасные пароли вообще не хранят, а хранят односторонние производные, такие как полином , модуль или расширенная хеш-функция . [14] Роджер Нидхэм изобрел распространенный сейчас подход, заключающийся в хранении только «хешированной» формы пароля в виде открытого текста. [25] [26] Когда пользователь вводит пароль в такой системе, программное обеспечение для обработки паролей использует криптографический алгоритм хеширования, и если значение хеш-функции, сгенерированное на основе записи пользователя, соответствует хешу, хранящемуся в базе данных паролей, пользователю разрешается доступ. Хэш-значение создается путем применения криптографической хэш-функции к строке, состоящей из отправленного пароля и, во многих реализациях, другого значения, известного как соль . Соль не позволяет злоумышленникам легко составить список хеш-значений для общих паролей и предотвращает масштабирование усилий по взлому паролей на всех пользователей. [27] MD5 и SHA1 — часто используемые криптографические хеш-функции, но их не рекомендуется использовать для хеширования паролей, если только они не используются как часть более крупной конструкции, такой как PBKDF2 . [28]

Сохраненные данные — иногда называемые «верификатором пароля» или «хешем пароля» — часто хранятся в формате модульного шифрования или формате хэша RFC 2307, иногда в файле /etc/passwd или файле /etc/shadow . [29]

Основными методами хранения паролей являются обычный текст, хеширование, хеширование и соленое хранение, а также обратимо зашифрованное. [30] Если злоумышленник получит доступ к файлу паролей, то, если он хранится в виде обычного текста, взлом не требуется. Если он хеширован, но не солеен, то он уязвим для атак по радужным таблицам (которые более эффективны, чем взлом). Если он обратимо зашифрован, то, если злоумышленник получит ключ дешифрования вместе с файлом, взлом не потребуется, а если ему не удастся получить ключ, взлом невозможен. Таким образом, из распространенных форматов хранения паролей взлом необходим и возможен только тогда, когда пароли были обработаны солью и хешированы. [30]

Если криптографическая хеш-функция хорошо спроектирована, с вычислительной точки зрения невозможно обратить ее вспять для восстановления пароля в виде открытого текста . Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают путем хеширования возможных паролей и сравнения результата каждого предположения с фактическими хэшами паролей. Если злоумышленник находит совпадение, он знает, что его предположение — это фактический пароль соответствующего пользователя. Инструменты взлома паролей могут работать методом перебора (т.е. перебора всех возможных комбинаций символов) или путем хеширования каждого слова из списка; большие списки возможных паролей на многих языках широко доступны в Интернете. [14] Существование инструментов для взлома паролей позволяет злоумышленникам легко восстановить неправильно выбранные пароли. В частности, злоумышленники могут быстро восстановить пароли, состоящие из коротких словарных слов, простых вариаций словарных слов или паролей, использующих легко угадываемые шаблоны. [31] Модифицированная версия алгоритма DES использовалась в качестве основы для алгоритма хеширования паролей в ранних системах Unix . [32] Алгоритм шифрования использовал 12-битное значение соли, чтобы хеш каждого пользователя был уникальным, и повторял алгоритм DES 25 раз, чтобы замедлить хеш-функцию. Обе меры были предназначены для предотвращения атак автоматического угадывания. [32] Пароль пользователя использовался в качестве ключа для шифрования фиксированного значения. Более поздние Unix или Unix-подобные системы (например, Linux или различные системы BSD ) используют более безопасные алгоритмы хеширования паролей, такие как PBKDF2 , bcrypt и scrypt , которые имеют большие соли и регулируемую стоимость или количество итераций. [33] Плохо спроектированная хеш-функция может сделать атаку возможной, даже если выбран надежный пароль. См. LM hash для широко распространенного и небезопасного примера. [34]

Способы проверки пароля по сети [ править ]

Простая передача пароля [ править ]

Пароли уязвимы для перехвата (т. е. «отслеживания») во время передачи аутентифицирующей машине или человеку. Если пароль передается в виде электрических сигналов по незащищенной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных паролей, он может быть перехвачен методами прослушивания . Если они передаются через Интернет в виде пакетированных данных, любой, кто имеет возможность наблюдать за пакетами, содержащими информацию для входа в систему, может отслеживать их с очень низкой вероятностью обнаружения.

Электронная почта иногда используется для распространения паролей, но, как правило, это небезопасный метод. Поскольку большая часть электронной почты отправляется в виде открытого текста , сообщение, содержащее пароль, может быть легко прочитано во время транспортировки любым перехватчиком. Далее сообщение будет храниться в виде открытого текста как минимум на двух компьютерах: отправителя и получателя. Если во время своего путешествия он проходит через промежуточные системы, он, вероятно, также будет храниться там, по крайней мере, в течение некоторого времени, и может быть скопирован в резервные копии , кэш или файлы истории в любой из этих систем.

Использование шифрования на стороне клиента защитит только передачу с сервера системы обработки почты на клиентский компьютер. Предыдущие или последующие ретрансляции электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, особенно на отправителе и получателе, чаще всего в виде открытого текста.

Передача по зашифрованным каналам [ править ]

Риск перехвата паролей, отправляемых через Интернет, можно снизить, в том числе за счет использования криптографической защиты. Наиболее широко используемой является функция Transport Layer Security (TLS, ранее называвшаяся SSL ), встроенная в большинство современных интернет -браузеров . Большинство браузеров предупреждают пользователя об обмене с сервером, защищенном TLS/SSL, отображая значок закрытого замка или какой-либо другой знак, когда TLS используется. Используется несколько других методов; см . криптография .

Методы запроса-ответа на основе хэша [ править ]

Существует конфликт между сохраненными хешированными паролями и аутентификацией типа «запрос-ответ» на основе хэша ; последний требует, чтобы клиент доказал серверу, что он знает общий секрет (т. е. пароль), и для этого сервер должен иметь возможность получить общий секрет из его сохраненной формы. Во многих системах (включая системы типа Unix ), выполняющих удаленную аутентификацию, общий секрет обычно принимает хешированную форму и имеет серьезное ограничение, заключающееся в раскрытии паролей для атак с подбором в автономном режиме. Кроме того, когда хэш используется в качестве общего секрета, злоумышленнику не требуется исходный пароль для удаленной аутентификации; им нужен только хеш.

Подтверждение пароля с нулевым разглашением [ править ]

Вместо передачи пароля или передачи хеша пароля системы согласования ключей с аутентификацией по паролю могут выполнять доказательство пароля с нулевым разглашением , которое доказывает знание пароля, не раскрывая его.

Сделав еще один шаг вперед, расширенные системы для соглашения о ключах, проверяемых паролем (например, AMP , B-SPEKE , PAK-Z , SRP-6 ), позволяют избежать как конфликта, так и ограничений методов на основе хэша. Дополненная система позволяет клиенту доказать знание пароля серверу, где сервер знает только (не совсем) хешированный пароль и где для получения доступа требуется нехешированный пароль.

Процедуры смены паролей [ править ]

Обычно система должна предоставлять возможность изменить пароль либо потому, что пользователь считает, что текущий пароль был (или мог быть) скомпрометирован, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованном виде, безопасность может быть потеряна (например, из-за прослушивания телефонных разговоров ) еще до того, как новый пароль будет установлен в базе данных паролей , а если новый пароль будет передан скомпрометированному сотруднику, мало что будет получено. . Некоторые веб-сайты включают выбранный пользователем пароль в незашифрованное сообщение электронной почты с подтверждением, что явно повышает уязвимость.

Системы управления идентификацией все чаще используются для автоматизации выдачи замен утерянных паролей, функция, называемая самостоятельным сбросом пароля . Личность пользователя проверяется путем задания вопросов и сравнения ответов с ранее сохраненными (т. е. при открытии учетной записи).

В некоторых вопросах по сбросу пароля требуется указать личную информацию, которую можно найти в социальных сетях, например девичью фамилию матери. В результате некоторые эксперты по безопасности рекомендуют либо придумывать вопросы самостоятельно, либо давать ложные ответы. [35]

Срок действия пароля [ править ]

«Устаревание пароля» — это особенность некоторых операционных систем, которая вынуждает пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такая политика обычно провоцирует в лучшем случае протест и затягивание действий пользователей, а в худшем — враждебность. Часто увеличивается число людей, которые записывают пароль и оставляют его там, где его можно легко найти, а также звонят в службу поддержки, чтобы сбросить забытый пароль. Пользователи могут использовать более простые пароли или разрабатывать шаблоны вариаций на единую тему, чтобы их пароли запоминались. [36] Из-за этих проблем ведутся споры о том, эффективно ли устаревание пароля. [37] В большинстве случаев смена пароля не предотвратит злоупотреблений, поскольку зачастую злоупотребления могут быть сразу заметны. Однако если кто-то мог получить доступ к паролю каким-либо образом, например, при совместном использовании компьютера или взломе другого сайта, изменение пароля ограничивает возможности для злоупотреблений. [38]

Количество пользователей на пароль [ править ]

Предпочтительно выделять отдельные пароли каждому пользователю системы, чем иметь один пароль, которым пользуются законные пользователи системы, конечно, с точки зрения безопасности. Частично это связано с тем, что пользователи с большей готовностью сообщают другому человеку (который может быть не авторизован) общий пароль, чем тот, который предназначен исключительно для их использования. Одиночные пароли также гораздо менее удобно менять, поскольку их нужно сообщить одновременно многим людям, и они затрудняют удаление доступа конкретного пользователя, например, при увольнении или увольнении. Отдельные логины также часто используются для подотчетности, например, чтобы узнать, кто изменил часть данных.

Архитектура безопасности паролей [ править ]

Общие методы, используемые для повышения безопасности компьютерных систем, защищенных паролем, включают:

  • Не отображать пароль на экране дисплея во время его ввода или скрывать его при вводе с помощью звездочек (*) или маркеров (•).
  • Разрешение паролей достаточной длины. (Некоторые устаревшие операционные системы, включая ранние версии [ который? ] Unix и Windows, пароли ограничены максимум 8 символами, [39] [40] [41] снижение безопасности.)
  • Требование от пользователей повторного ввода пароля после периода бездействия (политика полувыхода из системы).
  • Применение политики паролей для повышения надежности и безопасности паролей .
    • Назначение случайно выбранных паролей.
    • Требование минимальной длины пароля . [28]
    • В некоторых системах в пароле требуются символы из разных классов символов, например, «должна содержать хотя бы одну заглавную и хотя бы одну строчную букву». Однако пароли, написанные только строчными буквами, более безопасны при каждом нажатии клавиши, чем пароли со смешанной заглавной буквой. [42]
    • Используйте черный список паролей, чтобы заблокировать использование слабых, легко угадываемых паролей.
    • Предоставление альтернативы вводу с клавиатуры (например, голосовые пароли или биометрические идентификаторы).
    • Требование более одной системы аутентификации, например двухфакторной аутентификации (то, что есть у пользователя, и то, что он знает).
  • Использование зашифрованных туннелей или соглашения о ключах с аутентификацией паролем для предотвращения доступа к передаваемым паролям посредством сетевых атак.
  • Ограничение количества разрешенных сбоев в течение заданного периода времени (для предотвращения повторного подбора пароля). После достижения лимита дальнейшие попытки будут неудачными (включая попытки правильного пароля) до начала следующего периода времени. Однако это уязвимо для одной из форм атаки типа «отказ в обслуживании» .
  • Введение задержки между попытками отправки пароля для замедления работы программ автоматического подбора пароля.

Некоторые из более строгих мер по обеспечению соблюдения политики могут создать риск отчуждения пользователей, что может привести к снижению безопасности.

Повторное использование пароля [ править ]

Среди пользователей компьютеров обычной практикой является повторное использование одного и того же пароля на нескольких сайтах. Это представляет существенную угрозу безопасности, поскольку злоумышленнику достаточно скомпрометировать только один сайт, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется также повторным использованием имен пользователей и веб-сайтами, требующими входа в систему по электронной почте, поскольку злоумышленнику легче отслеживать одного пользователя на нескольких сайтах. Повторного использования паролей можно избежать или свести к минимуму, используя мнемонические приемы , записывая пароли на бумаге или используя менеджер паролей . [43]

и Кормак Херли вместе с Полом К. ван Ооршотом из Карлтонского университета, Канада, утверждают Исследователи из Редмонда Динеи Флоренсио , что повторное использование паролей неизбежно и что пользователи должны повторно использовать пароли для веб-сайтов с низким уровнем безопасности (которые содержат мало личных данных и никакой финансовой информации, например) и вместо этого сосредотачивают свои усилия на запоминании длинных и сложных паролей для нескольких важных учетных записей, таких как банковские счета. [44] Аналогичные аргументы приводил Forbes в пользу того, чтобы не менять пароли так часто, как советуют многие «эксперты», из-за тех же ограничений человеческой памяти. [36]

Запись паролей на бумаге [ править ]

Исторически сложилось так, что многие эксперты по безопасности просили людей запоминать свои пароли: «Никогда не записывайте пароль». Совсем недавно многие эксперты по безопасности, такие как Брюс Шнайер, рекомендовали людям использовать пароли, которые слишком сложны для запоминания, записывать их на бумаге и хранить в кошельке. [45] [46] [47] [48] [49] [50] [51]

Программное обеспечение менеджера паролей также может относительно безопасно хранить пароли в зашифрованном файле, запечатанном одним мастер-паролем.

После смерти [ править ]

Согласно опросу, проведенному Лондонским университетом в 2011 году , каждый десятый человек теперь оставляет свои пароли в своем завещании, чтобы передать эту важную информацию после смерти. Согласно опросу, треть людей согласны с тем, что их данные, защищенные паролем, достаточно важны, чтобы их можно было передать по завещанию. [52]

Многофакторная аутентификация [ править ]

Схемы многофакторной аутентификации сочетают пароли (как «факторы знаний») с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для скомпрометированных паролей. Например, простой двухфакторный вход в систему может отправлять текстовое сообщение, электронное письмо, автоматический телефонный звонок или подобное оповещение при каждой попытке входа в систему, возможно, предоставляя код, который необходимо ввести в дополнение к паролю. [53] Более сложные факторы включают в себя такие вещи, как аппаратные токены и биометрическая безопасность.

Ротация паролей [ править ]

Ротация паролей — это политика, которая обычно применяется с целью повышения компьютерной безопасности . В 2019 году Microsoft заявила, что эта практика «древняя и устаревшая». [54] [55]

Правила паролей [ править ]

Большинство организаций определяют политику паролей , которая устанавливает требования к составу и использованию паролей, обычно определяя минимальную длину, обязательные категории (например, верхний и нижний регистр, цифры и специальные символы), запрещенные элементы (например, использование собственного имени, дата рождения, адрес, номер телефона). Некоторые правительства имеют национальные системы аутентификации. [56] которые определяют требования к аутентификации пользователей в государственных службах, включая требования к паролям.

Многие веб-сайты применяют стандартные правила, такие как минимальная и максимальная длина, но также часто включают правила композиции, такие как наличие хотя бы одной заглавной буквы и хотя бы одной цифры/символа. Эти последние, более конкретные правила были в основном основаны на отчете Национального института стандартов и технологий (NIST) за 2003 год, автором которого является Билл Берр. [57] Первоначально он предлагал практику использования цифр, непонятных символов и заглавных букв и регулярное обновление. В статье в The Wall Street Journal за 2017 год Берр сообщил, что сожалеет об этих предложениях и допустил ошибку, когда рекомендовал их. [58]

Согласно переписанному в 2017 году отчету NIST, на многих веб-сайтах действуют правила, которые на самом деле оказывают противоположное влияние на безопасность их пользователей. Сюда входят сложные правила составления, а также принудительная смена пароля через определенные промежутки времени. Хотя эти правила уже давно широко распространены, они также долгое время считались раздражающими и неэффективными как пользователями, так и экспертами по кибербезопасности. [59] NIST рекомендует людям использовать в качестве паролей более длинные фразы (и советует веб-сайтам увеличить максимальную длину пароля) вместо трудно запоминающихся паролей с «иллюзорной сложностью», таких как «pA55w+rd». [60] Пользователь, которому запрещено использовать пароль «пароль», может просто выбрать «Пароль1», если требуется включить цифру и заглавную букву. В сочетании с принудительной периодической сменой паролей это может привести к тому, что пароли будет трудно запомнить, но их будет легко взломать. [57]

Пол Грасси, один из авторов отчета NIST за 2017 год, уточнил: «Все знают, что восклицательный знак — это 1, или I, или последний символ пароля. $ — это S или 5. Если мы будем использовать их правильно, - известные трюки, мы не обманываем противника, мы просто обманываем базу данных, в которой хранятся пароли, заставляя ее думать, что пользователь сделал что-то хорошее». [59]

Пиерис Цоккис и Элиана Ставру смогли выявить некоторые неверные стратегии создания паролей благодаря исследованию и разработке инструмента генератора паролей. Они разработали восемь категорий стратегий создания паролей на основе открытых списков паролей, инструментов взлома паролей и онлайн-отчетов со ссылками на наиболее часто используемые пароли. Эти категории включают информацию, связанную с пользователем, комбинации и шаблоны клавиатуры, стратегию размещения, обработку текста, замену, использование заглавных букв, добавление дат и комбинацию предыдущих категорий. [61]

Взлом пароля [ править ]

Попытка взломать пароли, используя столько возможностей, сколько позволяют время и деньги, является атакой методом перебора . Родственный метод, гораздо более эффективный в большинстве случаев, — это атака по словарю . При атаке по словарю проверяются все слова в одном или нескольких словарях. Обычно также проверяются списки общих паролей.

Надежность пароля — это вероятность того, что пароль невозможно угадать или обнаружить, и она зависит от используемого алгоритма атаки. Криптологи и компьютерщики часто называют силу или «твердость» энтропией . [14]

Пароли, которые легко обнаружить, называются слабыми или уязвимыми ; пароли, которые очень трудно или невозможно обнаружить, считаются надежными . Существует несколько программ для атаки на пароль (или даже для проверки и восстановления системным персоналом), например L0phtCrack , John the Ripper и Cain ; некоторые из них используют уязвимости в конструкции паролей (например, в системе Microsoft LANManager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предложенных пользователями.

Исследования производственных компьютерных систем неизменно показывают, что значительная часть всех паролей, выбираемых пользователем, легко угадывается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей можно восстановить без особых усилий. [62] По словам Брюса Шнайера , изучающего данные фишинговой атаки 2006 года, 55% паролей MySpace можно было бы взломать за 8 часов с помощью коммерчески доступного набора инструментов для восстановления паролей, способного проверять 200 000 паролей в секунду в 2006 году. [63] Он также сообщил, что самым распространенным паролем является пароль1 , что еще раз подтверждает общую нехватку информированности при выборе паролей среди пользователей. (Основываясь на этих данных, он, тем не менее, утверждал, что общее качество паролей с годами улучшилось — например, средняя длина паролей составляла до восьми символов вместо менее семи в предыдущих опросах, и менее 4% составляли словарные слова. [64] )

Инциденты [ править ]

  • 16 июля 1998 года CERT сообщил об инциденте, когда злоумышленник обнаружил 186 126 зашифрованных паролей. На момент обнаружения злоумышленника уже было взломано 47 642 пароля. [65]
  • В сентябре 2001 года, после гибели 658 из 960 сотрудников в Нью-Йорке в результате терактов 11 сентября , фирма финансовых услуг Cantor Fitzgerald через Microsoft взломала пароли умерших сотрудников, чтобы получить доступ к файлам, необходимым для обслуживания счетов клиентов. [66] Технические специалисты использовали методы грубой силы, а интервьюеры связывались с семьями, чтобы собрать персонализированную информацию, которая могла бы сократить время поиска более слабых паролей. [66]
  • В декабре 2009 года произошла серьезная утечка паролей на веб-сайте Rockyou.com , в результате которой было раскрыто 32 миллиона паролей. Затем хакер выложил в Интернет полный список из 32 миллионов паролей (без какой-либо другой идентифицируемой информации). Пароли хранились в базе данных в открытом виде и были извлечены с помощью уязвимости SQL-инъекции. Центр защиты приложений Imperva (ADC) провел анализ надежности паролей. [67]
  • В июне 2011 года НАТО (Организация Североатлантического договора) столкнулась с нарушением безопасности, которое привело к публичной публикации имен и фамилий, имен пользователей и паролей более чем 11 000 зарегистрированных пользователей их электронного книжного магазина. Данные были слиты в рамках Operation AntiSec — движения, в которое входят Anonymous , LulzSec , а также другие хакерские группы и частные лица. Цель AntiSec — раскрыть миру личную, конфиденциальную и ограниченную информацию, используя любые необходимые средства. [68]
  • 11 июля 2011 года серверы Booz Allen Hamilton , консалтинговой фирмы, работающей на Пентагон , были взломаны Anonymous , и в тот же день произошла утечка данных. «Утечка, получившая название «Военный кризис в понедельник», включает в себя 90 000 учетных записей военнослужащих, включая сотрудников USCENTCOM , SOCOM , морской пехоты , различных ВВС объектов , национальной безопасности , сотрудников Госдепартамента и, похоже, подрядчиков из частного сектора». [69] Эти утекшие пароли были хешированы в SHA1, а затем были расшифрованы и проанализированы командой ADC в Imperva , обнаружив, что даже военнослужащие ищут ярлыки и способы обойти требования к паролям. [70]
  • 5 июня 2012 года в результате взлома безопасности Linkedin было украдено 117 миллионов паролей и электронных писем. Миллионы паролей позже были опубликованы на российском форуме. Хакер по имени «Мир» позже предложил на продажу дополнительные пароли. LinkedIn предприняла обязательный сброс всех скомпрометированных аккаунтов. [71]

Альтернативы паролям для аутентификации [ править ]

Многочисленные способы взлома постоянных или полупостоянных паролей побудили к разработке других методов. Некоторые из них на практике неадекватны, и в любом случае лишь немногие из них стали общедоступными для пользователей, ищущих более безопасную альтернативу. [72] Статья 2012 года [73] исследует, почему пароли так сложно заменить (несмотря на многочисленные прогнозы, что они скоро уйдут в прошлое [74] ); Изучив тридцать репрезентативных предложенных замен с точки зрения безопасности, удобства использования и развертывания, они пришли к выводу, что «ни одна из них даже не сохраняет полный набор преимуществ, которые уже предоставляют устаревшие пароли».

  • Одноразовые пароли . Наличие паролей, действительных только один раз, делает многие потенциальные атаки неэффективными. Большинство пользователей считают одноразовые пароли крайне неудобными. Однако они широко внедрены в личный онлайн-банкинг , где они известны как номера аутентификации транзакций (TAN). Поскольку большинство домашних пользователей выполняют лишь небольшое количество транзакций в неделю, проблема одноразового использования в данном случае не привела к невыносимому недовольству клиентов.
  • Синхронизированные по времени одноразовые пароли в чем-то похожи на одноразовые пароли, но вводимое значение отображается на небольшом (обычно карманном) предмете и меняется примерно каждую минуту.
  • Одноразовые пароли PassWindow используются как одноразовые пароли, но вводимые динамические символы видны только тогда, когда пользователь накладывает уникальный печатный визуальный ключ на сгенерированное сервером изображение запроса, отображаемое на экране пользователя.
  • Контроль доступа на основе криптографии с открытым ключом, например ssh . Необходимые клавиши обычно слишком велики, чтобы их можно было запомнить (но см. предложение Passmaze). [75] и должен храниться на локальном компьютере, токене безопасности или портативном запоминающем устройстве, например USB-накопителе или даже дискете . Закрытый ключ может храниться у поставщика облачных услуг и активироваться с помощью пароля или двухфакторной аутентификации.
  • Биометрические методы обещают аутентификацию на основе неизменяемых личных характеристик, но в настоящее время (2008 г.) имеют высокий уровень ошибок и требуют дополнительного оборудования для сканирования. [ нужно обновить ] например, отпечатки пальцев , радужная оболочка глаз и т. д. Их оказалось легко подделать в некоторых известных инцидентах, тестирующих коммерчески доступные системы, например, демонстрация подделки отпечатков пальцев мармеладом, [76] и, поскольку эти характеристики неизменяемы, их нельзя изменить, если они будут нарушены; это очень важный момент при управлении доступом, поскольку скомпрометированный токен доступа обязательно небезопасен.
  • Утверждается, что технология единого входа устраняет необходимость иметь несколько паролей. Такие схемы не освобождают пользователей и администраторов от выбора разумных единых паролей, а проектировщиков систем и администраторов — от обеспечения того, чтобы информация контроля частного доступа, передаваемая между системами, обеспечивающими единый вход, была защищена от атак. До сих пор не разработан удовлетворительный стандарт.
  • Технология Envaulting — это способ защиты данных на съемных устройствах хранения данных, таких как USB-накопители, без пароля. Вместо паролей пользователей контроль доступа основан на доступе пользователя к сетевому ресурсу.
  • Нетекстовые пароли, например графические пароли или пароли, основанные на движении мыши. [77] Графические пароли — это альтернативное средство аутентификации для входа в систему, предназначенное для использования вместо обычного пароля; они используют изображения , графику или цвета вместо букв , цифр или специальных символов . Одна система требует от пользователей выбрать серию лиц в качестве пароля, используя человеческого мозга способность легко запоминать лица . [78] В некоторых реализациях пользователю необходимо выбрать из серии изображений в правильной последовательности, чтобы получить доступ. [79] Другое решение с графическим паролем создает одноразовый пароль, используя случайно сгенерированную сетку изображений. Каждый раз, когда пользователю требуется пройти аутентификацию, он ищет изображения, соответствующие заранее выбранным категориям, и вводит случайно сгенерированный буквенно-цифровой символ, который появляется на изображении, чтобы сформировать одноразовый пароль. [80] [81] Графические пароли пока перспективны, но не получили широкого распространения. Были проведены исследования по этому вопросу, чтобы определить его применимость в реальном мире. Хотя некоторые считают, что графические пароли будет труднее взломать , другие предполагают, что люди с такой же вероятностью будут выбирать общие изображения или последовательности, как и общие пароли. [ нужна ссылка ]
  • 2D-ключ (2-мерный ключ) [82] это двухмерный матричный метод ввода ключей, включающий ключевые стили многострочной парольной фразы, кроссворда, изображения ASCII/Unicode, с дополнительными текстовыми семантическими шумами, для создания большого пароля/ключа длиной более 128 бит для реализации MePKC (запоминаемая криптография с открытым ключом) [83] использование полностью запоминаемого закрытого ключа на основе современных технологий управления закрытыми ключами, таких как зашифрованный закрытый ключ, разделенный закрытый ключ и перемещаемый закрытый ключ.
  • Когнитивные пароли используют пары «вопрос-ответ/ответ» для проверки личности.

«Пароль мертв» [ править ]

«Пароль устарел» — это повторяющаяся идея в области компьютерной безопасности . В качестве причин часто упоминаются проблемы удобства использования , а также проблемы безопасности паролей. Это часто сопровождает аргументы о том, что замена паролей более безопасными средствами аутентификации необходима и неизбежна. Это утверждение высказывалось многими людьми, по крайней мере, с 2004 года. [74] [84] [85] [86] [87] [88] [89] [90]

Альтернативы паролям включают биометрию , двухфакторную аутентификацию или единый вход , Microsoft Cardspace и , проект Хиггинса , Liberty Alliance , NSTIC , FIDO Alliance различные предложения Identity 2.0. [91] [92]

Однако, несмотря на эти прогнозы и попытки их заменить, пароли по-прежнему остаются доминирующей формой аутентификации в сети. В книге «Постоянство паролей» Кормак Херли и Пол ван Оршот предполагают, что следует приложить все усилия, чтобы положить конец «крайне неверному предположению», что пароли мертвы. [93] Они утверждают, что «ни одна другая технология не может сравниться с ними по сочетанию стоимости, оперативности и удобства» и что «пароли сами по себе лучше всего подходят для многих сценариев, в которых они используются в настоящее время».

После этого Бонно и др. систематически сравнивал веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, развертывания и безопасности. [94] [95] Их анализ показывает, что большинство схем лучше паролей с точки зрения безопасности, некоторые схемы лучше, а некоторые хуже с точки зрения удобства использования, в то время как каждая схема хуже паролей с точки зрения развертывания. Авторы заключают следующее наблюдение: «Предельные выгоды часто недостаточны для достижения энергии активации, необходимой для преодоления значительных издержек перехода, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим прибытие похоронной процессии за паролями». на кладбище».

См. также [ править ]

Ссылки [ править ]

  1. ^ Ранджан, Пратик; Ом, Хари (6 мая 2016 г.). «Эффективная схема аутентификации пароля удаленного пользователя на основе криптосистемы Рабина» . Беспроводная персональная связь . 90 (1): 217–244. дои : 10.1007/s11277-016-3342-5 . ISSN   0929-6212 . S2CID   21912076 .
  2. Перейти обратно: Перейти обратно: а б Уильямс, Шеннон (21 октября 2020 г.). «У среднестатистического человека 100 паролей — учитесь» . НордПасс . Проверено 28 апреля 2021 г.
  3. Перейти обратно: Перейти обратно: а б Грасси, Пол А.; Гарсия, Майкл Э.; Фентон, Джеймс Л. (июнь 2017 г.). «Специальная публикация NIST 800-63-3: Рекомендации по цифровой идентификации» . Национальный институт стандартов и технологий (NIST). doi : 10.6028/NIST.SP.800-63-3 . Проверено 17 мая 2019 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  4. ^ «протокол аутентификации» . Ресурсный центр компьютерной безопасности (NIST). Архивировано из оригинала 17 мая 2019 года . Проверено 17 мая 2019 г.
  5. ^ «Парольная фраза» . Ресурсный центр компьютерной безопасности (NIST) . Проверено 17 мая 2019 г.
  6. ^ Полибий о римских военных. Архивировано 7 февраля 2008 г. в Wayback Machine . Ancienthistory.about.com (13 апреля 2012 г.). Проверено 20 мая 2012 г.
  7. ^ Марк Бандо (2007). 101-я воздушно-десантная дивизия: Кричащие орлы во Второй мировой войне . Издательская компания Мби. ISBN  978-0-7603-2984-9 . Архивировано из оригинала 2 июня 2013 года . Проверено 20 мая 2012 г.
  8. ^ Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Он тоже был бесполезен» . Проводной журнал . Проверено 22 марта 2019 г.
  9. ^ Хант, Трой (26 июля 2017 г.). «Пароли эволюционировали: руководство по аутентификации для современной эпохи» . Проверено 22 марта 2019 г.
  10. ^ Руководство программиста CTSS, 2-е изд., MIT Press, 1965 г.
  11. ^ Моррис, Роберт; Томпсон, Кен (3 апреля 1978 г.). «Безопасность паролем: история болезни». Лаборатории Белла . CiteSeerX   10.1.1.128.1635 .
  12. ^ Вэнс, Эшли (10 января 2010 г.). «Если ваш пароль 123456, просто сделайте его HackMe» . Нью-Йорк Таймс . Архивировано из оригинала 11 февраля 2017 года.
  13. ^ «Управление сетевой безопасностью» . Архивировано из оригинала 2 марта 2008 года . Проверено 31 марта 2009 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) . Фред Коэн и партнеры. All.net. Проверено 20 мая 2012 г.
  14. Перейти обратно: Перейти обратно: а б с д Лундин, Ли (11 августа 2013 г.). «ПИН-коды и пароли, часть 2» . Пароли . Орландо: SleuthSayers.
  15. ^ Запоминаемость и безопасность паролей. Архивировано 14 апреля 2012 г. в Wayback Machine (pdf). ncl.ac.uk. Проверено 20 мая 2012 г.
  16. ^ Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности . Cengage Обучение. п. 162. ИСБН  978-1-305-17673-7 .
  17. ^ «Как создать генератор случайных паролей» . ПКМАГ . Проверено 5 сентября 2021 г.
  18. ^ Льюис, Дэйв (2011). Ctrl-Alt-Удалить . Лулу.com. п. 17. ISBN  978-1471019111 . Проверено 10 июля 2015 г.
  19. ^ Techlicious / Фокс Ван Аллен @techlicious (8 августа 2013 г.). «Google раскрывает 10 худших идей паролей | TIME.com» . Techland.time.com. Архивировано из оригинала 22 октября 2013 года . Проверено 16 октября 2013 г.
  20. ^ Флейшман, Гленн (24 ноября 2015 г.). «Записывайте свои пароли, чтобы повысить безопасность. Противоречивая идея делает вас менее уязвимыми для удаленных атак, а не более» . МакВорлд . Проверено 28 апреля 2021 г.
  21. Перейти обратно: Перейти обратно: а б Блог Lyquix: Нужно ли нам скрывать пароли? Архивировано 25 апреля 2012 года в Wayback Machine . Lyquix.com. Проверено 20 мая 2012 г.
  22. ^ Джонатан Кент Малайзийские воры украли палец. Архивировано 20 ноября 2010 года в Wayback Machine . Би-би-си (31 марта 2005 г.)
  23. ^ Стюарт Браун «Десять самых популярных паролей, используемых в Великобритании» . Архивировано из оригинала 8 ноября 2006 года . Проверено 14 августа 2007 г. . Modernlifeisrubbish.co.uk (26 мая 2006 г.). Проверено 20 мая 2012 г.
  24. ^ Патент США 8046827.  
  25. ^ Уилкс, М.В. Компьютерные системы с разделением времени. Американский Эльзевир, Нью-Йорк (1968).
  26. ^ Шофилд, Джек (10 марта 2003 г.). «Роджер Нидэм» . Хранитель .
  27. ^ Заклинатель ошибок: пароли имеют значение. Архивировано 2 ноября 2013 г. в Wayback Machine . Bugcharmer.blogspot.com (20 июня 2012 г.). Проверено 30 июля 2013 г.
  28. Перейти обратно: Перейти обратно: а б Александр, Стивен. (20 июня 2012 г.) The Bug Charmer: Какой длины должны быть пароли? Архивировано 20 сентября 2012 года в Wayback Machine . Bugcharmer.blogspot.com. Проверено 30 июля 2013 г.
  29. ^ «passlib.hash — Схемы хеширования паролей». Архивировано 21 июля 2013 г. на Wayback Machine .
  30. Перейти обратно: Перейти обратно: а б Флоренсио и др., Руководство администратора по исследованию паролей в Интернете. Архивировано 14 февраля 2015 г. на Wayback Machine . (pdf) Проверено 14 марта 2015 г.
  31. ^ История взлома - Как я взломал более 122 миллионов хешированных паролей SHA1 и MD5 «Блог Thireus' Bl0g. Архивировано 30 августа 2012 г. на Wayback Machine . Blog.thireus.com (29 августа 2012 г.). Проверено 30 июля 2013 г.
  32. Перейти обратно: Перейти обратно: а б Моррис, Роберт и Томпсон, Кен (1979). «Безопасность паролем: история болезни» . Коммуникации АКМ . 22 (11): 594–597. CiteSeerX   10.1.1.135.2097 . дои : 10.1145/359168.359172 . S2CID   207656012 . Архивировано из оригинала 22 марта 2003 года.
  33. ^ Защита паролем для современных операционных систем. Архивировано 11 марта 2016 г. в Wayback Machine (pdf). Usenix.org. Проверено 20 мая 2012 г.
  34. ^ Как запретить Windows сохранять хэш вашего пароля диспетчера локальной сети в Active Directory и локальных базах данных SAM . Архивировано 9 мая 2006 г. на Wayback Machine . support.microsoft.com (3 декабря 2007 г.). Проверено 20 мая 2012 г.
  35. ^ «Почему вам следует лгать при задании контрольных вопросов для пароля» . Технический. 8 марта 2013 г. Архивировано из оригинала 23 октября 2013 г. . Проверено 16 октября 2013 г.
  36. Перейти обратно: Перейти обратно: а б Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: почему вам следует игнорировать все, что вам говорили о выборе паролей» . Форбс . Архивировано из оригинала 12 ноября 2014 года . Проверено 12 ноября 2014 г.
  37. ^ «Проблемы с принудительным сроком действия обычного пароля» . ИА имеет значение . CESG: подразделение информационной безопасности GCHQ. 15 апреля 2016 года. Архивировано из оригинала 17 августа 2016 года . Проверено 5 августа 2016 г.
  38. ^ Шнайер об обсуждении безопасности при смене паролей. Архивировано 30 декабря 2010 г. в Wayback Machine . Шнайер.com. Проверено 20 мая 2012 г.
  39. ^ Зельцер, Ларри. (9 февраля 2010 г.) «American Express: надежная кредитная история, слабые пароли». Архивировано 12 июля 2017 г. в Wayback Machine . Pcmag.com. Проверено 20 мая 2012 г.
  40. ^ «Десять мифов о паролях Windows» : «Диалоговые окна NT… длина паролей ограничена максимум 14 символами»
  41. ^ «Вы должны указать пароль длиной от 1 до 8 символов» . Jira.codehaus.org. Проверено 20 мая 2012 года. Архивировано 21 мая 2015 года в Wayback Machine.
  42. ^ «Капитализировать или не капитализировать?» Архивировано 17 февраля 2009 года в Wayback Machine . World.std.com. Проверено 20 мая 2012 г.
  43. ^ Томас, Кейр (10 февраля 2011 г.). «Повторное использование паролей слишком распространено, как показывают исследования» . Мир ПК . Архивировано из оригинала 12 августа 2014 года . Проверено 10 августа 2014 г.
  44. ^ Паули, Даррен (16 июля 2014 г.). «Microsoft: вам НУЖНЫ плохие пароли, и вам следует часто их использовать» . Регистр . Архивировано из оригинала 12 августа 2014 года . Проверено 10 августа 2014 г.
  45. Брюс Шнайер: Информационный бюллетень Crypto-Gram. Архивировано 15 ноября 2011 г. в Wayback Machine, 15 мая 2001 г.
  46. ^ «Десять мифов о паролях Windows» : Миф №7. Вы никогда не должны записывать свой пароль
  47. Котадиа, Мунир (23 мая 2005 г.) Гуру безопасности Microsoft: Запишите свои пароли . News.cnet.com. Проверено 20 мая 2012 г.
  48. ^ «Дилемма надежного пароля». Архивировано 18 июля 2010 года в Wayback Machine Ричардом Э. Смитом: «мы можем резюмировать классические правила выбора пароля следующим образом:Пароль должен быть невозможно запомнить и никогда не записывать».
  49. ^ Боб Дженкинс (11 января 2013 г.). «Выбор случайного пароля» . Архивировано из оригинала 18 сентября 2010 года.
  50. ^ «Запоминаемость и безопасность паролей - некоторые эмпирические результаты». Архивировано 19 февраля 2011 г. в Wayback Machine (pdf).
    «Ваш пароль... в безопасном месте, например, на задней стороне бумажника или сумочки».
  51. ^ "Должен ли я записать свою парольную фразу?" Архивировано 17 февраля 2009 года в Wayback Machine . World.std.com. Проверено 20 мая 2012 г.
  52. ^ Джаффери, Саман М. (17 октября 2011 г.). «Опрос: 11% британцев включают в завещание интернет-пароли» . ТОО «Халл энд Халл». Архивировано из оригинала 25 декабря 2011 года . Проверено 16 июля 2012 г.
  53. Двухфакторная аутентификация. Архивировано 18 июня 2016 г. на Wayback Machine.
  54. ^ Гудин, Дэн (3 июня 2019 г.). «Microsoft заявляет, что обязательная смена пароля — это «древно и устарело» » . Арс Техника . Проверено 1 ноября 2022 г.
  55. ^ Кристен Ранта-Хайкал Уилсон (9 марта 2020 г.). «Дебаты вокруг политики ротации паролей» . Институт САНС . Проверено 31 октября 2022 г.
  56. ^ Аль-Файяд, Бандер; Торсхайм, Пер; Йосанг, Аудун; Клевьер, Хеннинг. «Повышение удобства управления паролями с помощью стандартизированных политик паролей» (PDF) . Архивировано (PDF) из оригинала 20 июня 2013 года . Проверено 12 октября 2012 г.
  57. Перейти обратно: Перейти обратно: а б Тунг, Лиам (9 августа 2017 г.). «Ненавидите глупые правила паролей? То же самое делает и парень, который их создал» . ЗДНет . Архивировано из оригинала 29 марта 2018 года.
  58. ^ Макмиллан, Роберт (7 августа 2017 г.). «У человека, написавшего эти правила паролей, есть новый совет: N3v$r M1^d!» . Уолл Стрит Джорнал . Архивировано из оригинала 9 августа 2017 года.
  59. Перейти обратно: Перейти обратно: а б Робертс, Джефф Джон (11 мая 2017 г.). «Эксперты говорят, что мы наконец-то можем отказаться от этих дурацких правил паролей» . Удача . Архивировано из оригинала 28 июня 2018 года.
  60. ^ Вишневский, Честер (18 августа 2016 г.). «Новые правила паролей NIST – что вам нужно знать» . Голая охрана . Архивировано из оригинала 28 июня 2018 года.
  61. ^ П. Цоккис и Э. Ставру, «Инструмент генератора паролей для повышения осведомленности пользователей о стратегиях создания плохих паролей», Международный симпозиум по сетям, компьютерам и коммуникациям (ISNCC), 2018 г., Рим, 2018 г., стр. 1–5, дои : 10.1109/ISNCC.2018.8531061 .
  62. ^ "Пароль" . Архивировано из оригинала 23 апреля 2007 года . Проверено 20 мая 2012 г. {{cite web}}: CS1 maint: bot: исходный статус URL неизвестен ( ссылка ) . cs.columbia.edu
  63. ^ Шнайер, Пароли из реального мира. Архивировано 23 сентября 2008 г. в Wayback Machine . Шнайер.com. Проверено 20 мая 2012 г.
  64. ^ Пароли MySpace не такие уж и глупые. Архивировано 29 марта 2014 г. в Wayback Machine . Wired.com (27 октября 2006 г.). Проверено 20 мая 2012 г.
  65. ^ «СЕРТ ИН-98.03» . 16 июля 1998 года . Проверено 9 сентября 2009 г.
  66. Перейти обратно: Перейти обратно: а б Урбина, Ян; Дэвис, Лесли (23 ноября 2014 г.). «Тайная жизнь паролей» . Нью-Йорк Таймс . Архивировано из оригинала 28 ноября 2014 года.
  67. ^ «Наихудшие практики использования потребительских паролей (pdf)» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 года.
  68. ^ «Сайт НАТО взломан» . Регистр . 24 июня 2011 года. Архивировано из оригинала 29 июня 2011 года . Проверено 24 июля 2011 г.
  69. ^ «Anonymous утечка информации о 90 000 учетных записях военной электронной почты в ходе последней антибезопасной атаки» . 11 июля 2011 г. Архивировано из оригинала 14 июля 2017 г.
  70. ^ «Анализ военных паролей» . 12 июля 2011 г. Архивировано из оригинала 15 июля 2011 г.
  71. ^ «В результате взлома Linkedin в 2012 году было украдено 117 миллионов электронных писем и паролей, а не 6,5 миллионов — Новости безопасности» . www.trendmicro.com . 18 мая 2016 года . Проверено 11 октября 2023 г.
  72. ^ «12 лучших методов взлома паролей, используемых хакерами» . ЭТО ПРО . 14 октября 2019 г. Проверено 18 июля 2022 г.
  73. ^ «В поисках замены паролей (pdf)» (PDF) . IEEE. 15 мая 2012 г. Архивировано (PDF) из оригинала 19 марта 2015 г. . Проверено 11 марта 2015 г.
  74. Перейти обратно: Перейти обратно: а б «Гейтс предсказывает смерть пароля» . CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Проверено 14 марта 2015 г.
  75. ^ Архив криптологии ePrint: отчет 2005/434. Архивировано 14 июня 2006 г. в Wayback Machine . eprint.iacr.org. Проверено 20 мая 2012 г.
  76. ^ Т Мацумото. Х Мацумотот; К. Ямада и С. Хосино (2002). Ван Ренесс, Рудольф Л. (ред.). «Воздействие искусственных «клейких» пальцев на системы отпечатков пальцев». Процесс SPIE . Оптическая безопасность и методы защиты от подделок IV. 4677 : 275. Бибкод : 2002SPIE.4677..275M . дои : 10.1117/12.462719 . S2CID   16897825 .
  77. ^ Использование AJAX для паролей изображений — Безопасность AJAX, часть 1 из 3. Архивировано 16 июня 2006 г. на Wayback Machine . waelchatila.com (18 сентября 2005 г.). Проверено 20 мая 2012 г.
  78. ^ Батлер, Рик А. (21 декабря 2004 г.) Лицо в толпе. Архивировано 27 июня 2006 г. в Wayback Machine . mcpmag.com. Проверено 20 мая 2012 г.
  79. ^ графический пароль или графическая аутентификация пользователя (GUA). Архивировано 21 февраля 2009 г. на Wayback Machine . searchsecurity.techtarget.com. Проверено 20 мая 2012 г.
  80. ^ Эрика Чиковски (3 ноября 2010 г.). «Изображения могут изменить изображение аутентификации» . Мрачное чтение. Архивировано из оригинала 10 ноября 2010 года.
  81. ^ «Confident Technologies обеспечивает многофакторную аутентификацию на основе изображений для усиления паролей на общедоступных веб-сайтах» . 28 октября 2010 г. Архивировано из оригинала 7 ноября 2010 г.
  82. ^ Руководство пользователя по методу и системе ввода двумерного ключа (2D-ключа). Архивировано 18 июля 2011 г. на Wayback Machine . xpreeli.com. (8 сентября 2008 г.) . Проверено 20 мая 2012 г.
  83. ^ Кок-Ва Ли «Методы и системы для создания больших запоминающихся секретов и их применение», патент US20110055585 , WO2010010430 . Дата подачи: 18 декабря 2008 г.
  84. ^ Котадиа, Мунир (25 февраля 2004 г.). «Гейтс предсказывает смерть пароля» . ЗДНет . Проверено 8 мая 2019 г.
  85. ^ «IBM представляет пять инноваций, которые изменят нашу жизнь в течение пяти лет» . ИБМ. 19 декабря 2011 года. Архивировано из оригинала 17 марта 2015 года . Проверено 14 марта 2015 г.
  86. ^ Хонан, Мат (15 мая 2012 г.). «Убейте пароль: почему строка символов больше не может нас защитить» . Проводной . Архивировано из оригинала 16 марта 2015 года . Проверено 14 марта 2015 г.
  87. ^ «Отдел безопасности Google: «Пароли мертвы» » . CNET . 25 февраля 2004 г. Архивировано из оригинала 2 апреля 2015 г. Проверено 14 марта 2015 г.
  88. ^ «Аутентификация в масштабе» . IEEE. 25 января 2013 года. Архивировано из оригинала 2 апреля 2015 года . Проверено 12 марта 2015 г.
  89. ^ Мимс, Кристофер (14 июля 2014 г.). «Пароль наконец-то умирает. Вот мой» . Уолл Стрит Джорнал . Архивировано из оригинала 13 марта 2015 года . Проверено 14 марта 2015 г.
  90. ^ «Кража российских учетных данных показывает, почему пароль мертв» . Компьютерный мир . 14 августа 2014 года. Архивировано из оригинала 2 апреля 2015 года . Проверено 14 марта 2015 г.
  91. ^ «Глава NSTIC Джереми Грант хочет уничтожить пароли» . Федсовок. 14 сентября 2014 года. Архивировано из оригинала 18 марта 2015 года . Проверено 14 марта 2015 г.
  92. ^ «Обзор технических характеристик» . Альянс ФИДО. 25 февраля 2014 года. Архивировано из оригинала 15 марта 2015 года . Проверено 15 марта 2015 г.
  93. ^ «Программа исследований, подтверждающая устойчивость паролей» . Безопасность и конфиденциальность IEEE. Январь 2012. Архивировано из оригинала 20 июня 2015 года . Проверено 20 июня 2015 г.
  94. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации» . Технический отчет – Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. дои : 10.48456/tr-817 . ISSN   1476-2986 . Проверено 22 марта 2019 г.
  95. ^ Бонно, Джозеф; Херли, Кормак; Ооршот, Пол К. ван; Стахано, Франк (2012). «В поисках замены паролей: основа сравнительной оценки схем веб-аутентификации». Симпозиум IEEE 2012 по безопасности и конфиденциальности . Симпозиум IEEE 2012 по безопасности и конфиденциальности. Сан-Франциско, Калифорния. стр. 553–567. дои : 10.1109/СП.2012.44 . ISBN  978-1-4673-1244-8 .

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 212ec92f174b3f4a760412cc18d83fc3__1718766060
URL1:https://arc.ask3.ru/arc/aa/21/c3/212ec92f174b3f4a760412cc18d83fc3.html
Заголовок, (Title) документа по адресу, URL1:
Password - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)