Мифы о паролях

Мифы о паролях Миф №1: Dj#wP3M$c — наилучший пароль
Общепринят миф, что полностью случайные пароли, полученные с помощью генератора паролей — наилучшие. Это не совсем так. Хотя они и могут быть действительно устойчивыми, такие пароли обычно сложны для запоминания, медленно набираются и иногда уязвимы к атакам на алгоритм генерации паролей. Легко создать пароли, которые будут устойчивы к взлому, но труднее сделать такие пароли запоминаемыми. Для этого существует несколько простых приемов. Например, рассмотрим пароль Makeit20@password.com . Этот пароль использует буквы в верхнем и нижнем регистрах, две цифры и два символа. Длина пароля 20 символов, но он может быть запомнен с минимумом усилий — возможно, вы его уже непроизвольно запомнили. Более того, этот пароль очень быстро набирается. В части Makeit20 чередуются на клавиатуре клавиши левой и правой руки, что увеличивает скорость набора, сокращает количество опечаток и уменьшает шанс того, что кто-либо сможет подсмотреть ваш пароль, наблюдая за движениями ваших пальцев (давно созданы списки английских слов, чередующих клавиши под правую и левую руку, которые удобно использовать как часть своего пароля; к примеру, список из восьми тысяч таких слов можно найти ЗДЕСЬ ).
Лучшая техника для создания сложных, но легко запоминаемых паролей — использование структур, которые мы привыкли запоминать. Такие структуры также упрощают включение знаков препинания в пароль, как в примере адреса e-mail, использованном выше. Другие структуры, которые легки для запоминания — это телефонные номера, адреса, имена, пути к файлам и т.д. Обратите внимание на некоторые элементы, которые позволяют нам упростить запоминание. Например, включение шаблонов, повторений, рифм, юмора и даже грубых (в том числе и матерных) слов создает пароли, которые мы никогда не забудем.
Миф №2. 14 символов — оптимальная длина пароля
В LM (LanManager) хэши паролей разделены на два 7-символьных хэша. Это фактически делает пароли более уязвимыми, поскольку атака грубой силы (brute-force) может быть применена к каждой половине пароля одновременно. То есть, пароли длиной 9 символов разделены на один 7-символьный хэш и один 2-символьный. Очевидно, что взлом 2-символьного хэша не займет много времени, а 7-символьная часть обычно взламывается за несколько часов. Часто короткая часть может существенно облегчить взлом длинного фрагмента. Из-за этого многие профессионалы безопасности определили оптимальную длину пароля в 7 или 14 символов, соответствующую двум 7-символьным хэшам.
NTLM несколько улучшил ситуацию за счет использования всех 14 символов для сохранения хэшей паролей. Хотя это действительно и облегчает жизнь, но диалоговое окно NT ограничивает пароль максимумом в 14 символов; таким образом определяя пароли длиной ровно в 14 символов оптимальными для безопасности.
Но все иначе в более новых версиях Windows. Пароли в Windows 2000 и XP могут иметь длину до 127 символов, таким образом, 14 символов уже не будет ограничением. Более того, есть одно маленькое обстоятельство, открытое Urity на SecurityFriday.com: если длина пароля 15 символов или более, Windows даже не сохраняет корректно LanMan-хэши. Если ваш пароль состоит из 15 или более символов, Windows сохраняет константу AAD3B435B51404EEAAD3B435B51404EE в качестве LM-хэша, что эквивалентно нулевому паролю. А так как ваш пароль, очевидно, не нулевой, попытки взломать этот хэш ни к чему не приведут.
Принимая это во внимание, можно было бы посоветовать использовать пароли длиной более 14 символов. Но если вы захотите сделать обязательным использование таких длинных паролей при установлении политики групп или шаблонов безопасности, то столкнетесь с затруднением — установить минимальную длину пароля более 14 символов невозможно.
Миф №3. J0hn99 — Хороший пароль
Хотя пароль «J0hn99» проходит по требованиям сложности Windows 2000, он не столь сложен, как кажется на первый взгляд. Многие программы-взламыватели паролей перебирают миллионы вариантов слов в секунду. Замена буквы «o» на цифру «0» и добавление пары цифр — сущая ерунда для таких программ. Некоторые программы-взламыватели даже проверяют наборы методов, которые обычно используют пользователи, что позволяет им подбирать даже довольно длинные и, на первый взгляд, удачные пароли.
Лучший подход — быть менее предсказуемым. Вместо того чтобы заменять «o» на «0», попробуйте заменить «o» на два символа «()», как в «j()hn». И конечно, удлиняя пароль, вы увеличиваете его устойчивость.