Взлом паролей

Как крекеры могут добыть ваш пароль? Это не так сложно, как вы могли бы подумать. Как вы можете предотвратить раскрытие своего пароля? Это еще проще. Вот два совета, которые сделают ваш пароль практически недоступным для раскрытия (конечно, при условии достаточно надежного шифрования пароля). Во-первых, регулярно меняйте свой пароль. Во-вторых, выбирайте себе пароль, не имеющий ничего общего с вашей личной жизнью или профессиональной деятельностью, и убедитесь в отсутствии вы- бранного пароля в словаре.

Если вы будете часто менять свой пароль, его запоминание усложнится. Одна- ко если то, к чему вы получаете доступ по этому паролю, важно для вас (а раз вы прибегли к парольной защите, то, по всей видимости, все это имеет для вас какую-то важность), то стоит приложить некоторые усилий. Если вы за- были свой пароль, то у вас всегда остается возможность связаться с систем- ным администратором и получить новый временный пароль, созданный специ- ально для вас. Этот временный пароль следует немедленно изменить, получив доступ к системе. Некоторые онлайновые группы могут даже отсылать вам пароль по электронной почте, если вы сумеете правильно ответить на вопрос, содержащий некий намок на ответ. Скажем, вас могут попросить ввести клич- ку вашей собаки, марку вашего холодильника, название города, в котором вы живете, и так далее. Или же вам могут выделить новый временный пароль. Частая смена пароля гарантированно защитит вас от попыток крекеров взпо- мать ваш пароль, пользуясь какими-либо методами - не успеют крекеры взломать ваш пароль, как вы уже обзаведетесь новым, блокировав тем самым попытки крекеров добраться до вашей учетной записи.

Аналогично, если вы требуете от своих заказчиков или разрешаете им выполнять вход- ную регистрацию на вашем сайте, обязательно предоставьте им возможность смены па- роля. Предложите своим посетителям почаще менять свой пароль и облегчите им реше- ние такой задачи. Гарантируйте посетителям легкий доступ к их учетным записям в слу- чае, если они забудут свой пароль, но гарантируйте также, чтобы адрес электронной почты, по которому вы посылаете новый пароль, совпадал с адресом в файле учетной записи данного пользователя. Или же обеспечьте своим пользователям возможность ответить на ключевой вопрос, удостоверяющий их подлинность, перед отправкой им нового пароля.

Что касается требования использовать пароли, отсутствующие в словаре, то тому есть простое объяснение. Некоторые алгоритмы шифрования, например, те, которые исполь- зуются в системах Unix, являются односторонними. Это означает, что шифрованная с их помощью информация практически не может быть дешифрована. Поэтому в системах Unix файл с паролями хранится в общедоступном месте, и любой пользователь может запросто открыть этот файл. И это вовсе не означает чего-то плохого, поскольку очеред- ной любопытный пользователь увидит всего лишь бессмысленный набор слов - ведь все пароли шифрованы. Поэтому он не сможет выявить, где в этом файле находится ваш пароль и что он собой представляет, чтобы воспользоваться шифрованной версией ва- шего пароля для получения доступа к вашей учетной записи. Но все это не так, если ваш пароль представляет собой слово, взятое из словаря. Допустим, вы использовали в каче- стве пароля слово «security)) (безопасность). В файле паролей это пароль может быть представлен, например, шифрованной строкой «z!54oP1h». Крекеры могут с помощью специальной программы зашифровать все слова в словаре, используя тот же самый ал- горитм шифрования, что и в системе Unix, и далее сравнить полученные шифрованные версии слов со словами в файле паролей. Если программа сравнения обнаружит в вашем файле паролей шифрованную версию слова «security», т.е. строку «z!54oP1h», она сразу же уведомит крекера о найденном соответствии - и ваш пароль будет раскрыт,

Для противодействия такой возможности используйте буквенно-цифровые пароли, содер- жащие, в том числе, различные специальные символы, например, восклицательные зна- ки или звездочки. Можно, например, составить строку наподобие «computersr2cool», Повторяем, поощряйте своих посетителей использовать пароли, которые нельзя встре- тить в словаре. Обязательно создайте средства для проверки корректности выбранного ими пароля, применение которых гарантирует достаточную длину пароля, а также нали- чие в нем цифр и специальных символов.

Продолжение темы:

Полезная информация