Change your password: тестирование парольных политик веб-сервисов

Содержание:

Битовый порог сложности
Рекомендации по созданию сложного пароля
- Общие рекомендации
- Примеры слабых паролей
Рекомендации по созданию сложного пароля
- Общие рекомендации
- Примеры слабых паролей
Длина — это главное
Вариант 2.
Использование
Политика паролей
Правильно генерируем пароль
HTML
Использование
Рекомендации по созданию сложного пароля
- Общие рекомендации
- Примеры слабых паролей
Политика паролей
Как узнать пароль для входа в Windows?
Первые выводы о надежном пароле

Битовый порог сложности

Для практических целей пароли должны быть одновременно обоснованной сложности и функциональными для конечного пользователя, но и достаточно сложными, чтобы защитить от умышленной атаки. Сложные пароли можно легко забыть, и их с большей вероятностью будут записывать на бумаге, что подразумевает собой некоторый риск. С другой стороны, если требовать от пользователей запоминать пароли наизусть, то они будут придумывать более лёгкие пароли, что серьёзно увеличит риск взлома.

Некоторые критерии надёжности были найдены при поиске ключа, используемого для шифрования данных, методом полного перебора. Эта проблема не та же самая, так как эти методы включают в себя астрономическое количество попыток, но результаты могут помочь определиться с выбором пароля. В 1999 году участники проекта Electronic Freedom Foundation взломали 56-битный шифр DES меньше чем за сутки, используя специально спроектированное аппаратное оборудование. В 2002 году участники сообщества distributed.net окончили взлом 64-битного ключа, затратив 4 года, 9 месяцев и 23 дня. А 12 октября 2011 года сообщество distributed.net оценило, что для взлома 72-битного ключа с использованием тогдашних возможностей потребуется 124,8 года. Ввиду огромной сложности и из-за ограничений, связанных с нашим пониманием законов физики, нельзя ожидать, что какой-либо цифровой компьютер (или их комбинация) был способен взломать 256-битный шифр с помощью метода полного перебора. Так или иначе, в теории существует возможность (алгоритм Шора), что квантовые компьютеры смогут решать такие задачи, однако возможно ли это будет на практике — неизвестно.

Как результат — нельзя дать точный ответ на в некоторой степени другую проблему, проблему оптимальной сложности пароля. Национальный институт стандартов и технологий (США) (NIST) рекомендует использовать пароль с 80-битной энтропией для наилучшей защиты, который может быть достигнут с помощью 95-символьного алфавита (то есть, набор символов из ASCII) 12-символьным паролем (12 * 6,5 бита = 78).

Длина — это главное

Программы для ремонта usb флешек, sd карт (диагностика и тестирование, форматирование, восстановление)

В отличие от многих других случаев, для пароля длина — это главное. Пароли длиной до шести символов включительно, составленные из 95 ASCII-символов (26 букв латинского алфавита в обоих регистрах, 10 цифр и 33 служебных символов), взламываются методом полного перебора («грубой силы») на обычном персональном компьютере при помощи «числодробилки» современной видеокарты буквально за считанные минуты. Но добавление даже одного–двух символов уже серьёзно усложняет задачу, удлиняя время перебора до нескольких дней и даже месяцев.

Однако длина — пусть и главный, но далеко не единственный критерий оценки стойкости пароля. Принципиальное значение имеет отсутствие какого-то предсказуемого шаблона в самом наборе и неслучайности в последовательности символов пароля. Мера непредсказуемости появления таких символов носит название «информационной энтропии», и эта величина, рассчитываемая в битах энтропии, позволяет со значительной степенью точности оценить сложность пароля. Так, энтропия на один символ для пароля из всех ASCII-символов составит порядка 6,56 бит; таким образом, сложность 6-символьного пароля будет составлять 39,36 бита энтропии, 7-символьного — уже 45,95 бит, а 8-символьного — 52,48 бит.

Чтобы взломать пароль 52-битной сложности методом перебора, потребуется количество попыток, равное 2 в 52-й степени. При использовании пары современных видеокарт класса GeForce GTX 570, способных подбирать по 1,5 миллиарда паролей в секунду, перебор всех возможных комбинаций займёт примерно пару месяцев непрерывной работы, что, в общем, и даёт представление о стойкости такого пароля.

Однако это касается исключительно паролей, не содержащих каких-то предсказуемых шаблонов, то есть сгенерированных машинно, с теоретически максимальной энтропией. Для поведения же человека типична предсказуемость, поэтому при составлении пароля он подсознательно будет использовать какие-то знакомые сочетания и комбинации цифр, символов и букв. Непроизвольно вспоминаются памятные даты, дни рождения, имена дорогих людей, названия знакомых мест и предметов.

На деле это означает значительно большую уязвимость, поскольку метод «грубого подбора» всегда применяется в комбинации с другими способами взлома, в частности со словарным подбором. При этом использование известных масок и шаблонов значительно упрощает задачу. Помимо обычных словарей и словарей реальных пользовательских паролей, «утёкших» со взломанных сайтов, широко известны маски на подстановку отдельных букв или добавление чисел, популярные числовые последовательности — шаблоны дат, телефонов, индексов, номеров социального страхования, а также многие другие уловки, напрасно кажущиеся их авторам чрезвычайно оригинальными.

По оценкам Национального института стандартов и технологий США (NIST), энтропия первого символа из букв нижнего регистра и цифр в паролях, придуманных человеком, составляет 4 бита, последующих семи — 2 бита, а применение верхнего регистра и служебных символов добавляет ещё 6 битов, что в сумме даёт всего 24 бита, то есть в два с лишним раза меньше по сравнению с теоретическим максимумом для заданного набора символов и длины. То есть время подбора такого пароля даже методом «грубой силы» уменьшается вдвое, в реальности же «гибридная» атака позволит злоумышленнику добиться успеха намного быстрее.

И здесь мы снова возвращаемся к длине: сложность пароля длиной 14 символов теоретически составит 91,84 бита, а длиной 20 символов — уже 131,2 бита, и на взлом таких паролей только методом перебора при существующих вычислительных мощностях уйдёт несколько десятков, а то и сотен лет. Гибридные методики, разумеется, значительно снижают стойкость подобных кодов, а «человеческий фактор» делает их ещё уязвимее. Тем не менее длина делает своё дело: для обычного пользовательского пароля, даже если в нём есть не слишком явные шаблоны, рекомендуемое количество символов на сегодня должно быть не менее 14. Такой пароль будет намного безопасней, чем «суперстойкие» когда-то пароли из 6–8 символов.

Вариант 2.

Воспользуюсь простой логикой. В каких случаях функция должна вернуть False?

Если входные данные содержат только цифры.
Если входные данные содержат только буквы.
Если входные данные в верхнем регистре.
Если входные данные в нижнем регистре.
Если длина входных данных меньше 10.

Это все можно проверить строчными методами и встроенными функциями Пайтона без импорта модулей стандартной библиотеки.

def password(data):
return not(len(data) < 10 or
           data.isdigit() or
           data.isalpha() or
           data.islower() or
           data.isupper()) \
        and data.isalnum()

1
2
3
4
5
6
7

defpassword(data)

returnnot(len(data)<10or

data.isdigit()or

data.isalpha()or

data.islower()or

data.isupper())\

anddata.isalnum()

Думаю, излишне напоминать о том, что после каждых изменений в функции, необходимо ее снова проверять подготовленными тестами.

Аналогично еще один вариант:

def password(data):
if len(data) < 10:
       return False
if data.upper() == data:
       return False
if data.lower() == data:
       return False
return any(c.isdigit() for c in data)

1
2
3
4
5
6
7
8

defpassword(data)

iflen(data)<10

returnFalse

ifdata.upper()==data

returnFalse

ifdata.lower()==data

returnFalse

returnany(c.isdigit()forcindata)

Использование

Использование сложных паролей увеличивает время, необходимое взломщику для подбора пароля, не отменяет необходимости использования других мер безопасности. Эффективность пароля заданной силы зависит от проектирования и реализации программного обеспечения систем аутентификации, в частности, от того, насколько быстро система аутентификации будет отвечать атакующему при его попытках подобрать пароль, и как надёжно хранится и передаётся информация о пароле. Риски также представлены некоторыми способами взлома безопасности компьютера, не относящимися к сложности пароля. Это такие методы как фишинг, кейлоггинг, телефонная прослушка, социальная инженерия, поиск полезной информации в мусоре, атака по сторонним каналам, уязвимости в программном обеспечении, бэкдоры, эксплойты.

Политика паролей

Политика создания паролей — набор правил, призванных:

помочь пользователям сочинить пароль, который сложно подобрать;
гарантировать то, что пароли будут подходить целевой аудитории;
давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
любой пароль содержал определённые в шаблоне символы.

Установка интервала времени, в течение которого пароль может использоваться, служит для предоставления гаратий того, что:

атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем

Труднее всего взломать пароль, состоящий из случайных символов, даже если известны длина пароля и набор допустимых символов. Случайный пароль благодаря высокой энтропии не только трудно запомнить, но и долго подбирать методом полного перебора. Требование сочинять сложные пароли может способствовать тому, что забывчивые пользователи станут записывать пароли на бумажках, в мобильных телефонах, на КПК, будут делиться ими с другими пользователями. Брюс Шнайер рекомендует записывать свои пароли.

Техники запоминания

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Правильно генерируем пароль

С теоретической частью мы разобрались, теперь перейдём непосредственно к генерации стойкого и надёжного пароля.
При создании сложного и стойкого пароля существенную роль играет человеческий фактор. Трудности возникают на самом начальном этапе – придумывании сложного пароля, а после – его запоминания. Ведь комбинация разрозненных символов едва ли предрасполагает к скорому запоминанию.
С проблемой генерации стойкого пароля нам помогут он-лайн сервисы. Их довольно много, из популярных русскоязычных сервисов можно отметить:Passwordist.com Online-Generators.ru PassGen.ru
Работают представленные сервисы по одному принципу, от вас лишь требуется указать какие символы необходимо использовать и выбрать длину генерируемого пароля.
Отдельной особенностью сервиса Passwordist.com можно отметить возможность задать количество создаваемых паролей и генерировать варианты с лучшей читабельностью за счёт исключения похожих символов, к примеру, B и 8.

HTML

Мы начнем рассматривать из базовой HTML5 разметки, которая будет отображать форму регистрации пользователя. Эта форма будет служить примером практического применения индикатора сложности пароля. Если вы хотите использовать эту форму, как форму регистрации, нужно будет дописать серверную сторону кода, то есть PHP.

index.html

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>Проверка сложности пароля на jQuery</title>
        
        <!-- Стили -->
        <link rel="stylesheet" href="assets/css/styles.css" />
        
        <!-->
          <script src="http://html5shiv.googlecode.com/svn/trunk/html5.js"></script>
        <!-->
    </head>
    
    <body>

        <div id="main">
        	
        	<h1>Регистрируйтесь, это БЕСПЛАТНО!</h1>
        	
        	<form class="" method="post" action="">
        		
        		<div class="row email">
	    			<input type="text" id="email" name="email" placeholder="Email" />
        		</div>
        		
        		<div class="row pass">
        			<input type="password" id="password1" name="password1" placeholder="Пароль" />
        		</div>
        		
        		<div class="row pass">
        			<input type="password" id="password2" name="password2" placeholder="Повторите пароль" disabled="true" />
        		</div>
        		
        		<!-- The rotating arrow -->
        		<div class="arrowCap"></div>
        		<div class="arrow"></div>
        		
        		<p class="meterText">Надежность пароля</p>
        		
        		<input type="submit" value="Регистрация" />
        		
        	</form>
        </div>
        
        <footer>
	        <h2><i>Урок:</i> Написание скрипта проверки пароля на сложность</h2>
            <a class="tzine" href="http://sitear.ru/material/proverka-nadezhnosti-parolya-jquery"> Перейдите на SiteAR.ru чтобы скачать этот пример</a>
        </footer>
        
        <!-- JavaScript подключения - jQuery, complexify плагин и наш script.js -->
		<script src="http://code.jquery.com/jquery-1.7.2.min.js"></script>
		<script src="assets/js/jquery.complexify.js"></script>
		<script src="assets/js/script.js"></script>
		     
    </body>
</html>

Мы подключаем последнюю версию jQuery, плагин Complexify и наш файл скриптов script.js перед тем как закроется тег body, для корректности загрузки элементов страницы.

Использование

Политика паролей

Политика создания паролей — набор правил, призванных:

помочь пользователям сочинить пароль, который сложно подобрать;
гарантировать то, что пароли будут подходить целевой аудитории;
давать пользователям рекомендации в отношении обращения с их паролями.

Некоторые политики требуют, чтобы:

любой пароль, который был потерян или дискредитирован и, возможно, использовался дольше определённого времени, был изменён;
любой пароль содержал определённые в шаблоне символы.

атакующему не хватит времени на взлом пароля; например, если время взлома пароля оценивается в 100 дней, то срок годности пароля устанавливается равным менее 100 дней;
время доступа атакующего к системе в случае, если пароль был дискредитирован, будет ограничено.

Создание и обращение с паролем

Техники запоминания

Политики паролей иногда предлагают техники, помогающие людям запоминать пароли:

сочинение мнемонических паролей — придумывание мнемонических фраз и использование их при составлении пароля; например, составление пароля из первых букв слов запомнившейся фразы; вместо первых букв, можно использовать, например, слоги; пользователь может вспомнить пароль, вспомнив мнемоническую фразу;
мнемоника постфактум — придумывание случайного пароля и придумывание фразы, с помощью которой пароль можно вспомнить; фраза необязательно должна быть разумной, только запоминающейся;
составление пароля по шаблону; при этом следует помнить о том, что любые шаблоны облегчают угадывание пароля (автоматичное или нет) атакующим.

Защита паролей

Как узнать пароль для входа в Windows?

Случается, что забыт главный пароль, который только может быть – от учетной записи компьютера. Чтобы не потерять важные данные, пароль необходимо восстановить. Как? Рассмотрим один из способов.

Шаг 1. При включении/перезагрузке ПК нажмите клавишу «F8».

Во время перезагрузки или включения компьютера нажимаем клавишу «F8»

Шаг 2. Выберете «Безопасный режим». Вы загрузитесь в Виндовс, но с ограниченным функционалом. Такой формат загрузки придуман для устранения неполадок и тестирования системы. Он не подойдет для обычной ежедневной работы, но нашу проблему решить поможет.

С помощью стрелок переходим на пункт «Безопасный режим», нажимаем «Enter»

Шаг 3. Заходим в «Панель управления», ищем учетные записи пользователей («Пуск» -> «Панель управления»).

Открываем «Пуск», затем «Панель управления»

Шаг 4. Затем выбираем первый параметр из блока настройки учетных записей (смотрите скриншот).

В режиме «Просмотр» выставляем «Категория», находим и открываем подраздел «Добавление и удаление учетных записей пользователей»

Шаг 5. Выбираем ваш аккаунт.

Левой кнопкой мышки щелкаем по нужному аккаунту

Шаг 6. Кликните по параметру «Изменение своего пароля».

Шаг 7. Задайте новый код и сохраните изменения. Теперь просто перезагрузите компьютер и все – проблема решена за каких-то несколько щелчков.

Первые выводы о надежном пароле

— нельзя составлять пароль из своих личных данных(имя, фамилия, дата и т.д.)

Примеры: иванворонин; иваныч; 28061992; ванек1992; ваня280692;

— нельзя составлять пароль методом логического ввода.

Примеры: 12345; 987654321;йцукен; qwerty; фывапр; ячсмит; 123454321;000;111

(Обратите внимание, все эти пароли так или иначе упорядоченное нажатие клавиш друг за другом, поэтому подобрать их будет очень легко.). А если данные пароли будут подбираться с помощью программ брута, которые обладают огромной пропускной способностью, ваши пароли будут подбираться примерно с такой скоростью:

А если данные пароли будут подбираться с помощью программ брута, которые обладают огромной пропускной способностью, ваши пароли будут подбираться примерно с такой скоростью:

— Пароль «28061992» (дата рождения) будет подобран за 1-2 секунды;
— Пароль «сергей» будет подобран за 4 секунды

Как видите это какие то мгновения и ваш пароль в «лапах» злоумышленника. Не смотря на все дальше нужно иметь понимание , что регистр при вводе паролей всегда учитывается, если совсем по простому то базы данных понимают когда вы вводите заглавную букву, а когда прописную.