Пароль
Материал из Википедии — свободной энциклопедии
Пароль (фр. parole — слово) — секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для опознавания друг другом людей, или для защиты информации от несанкционированного доступа средствами авторизации.
Согласно руководящему документу «Защита от несанкционированного доступа к информации» от 30 марта 1992 г., Пароль (Password) — это идентификатор субъекта доступа, который является его (субъекта) секретом.
Пароли бывают хорошими и плохими:
| ХОРОШИЙ ПАРОЛЬ | ПЛОХОЙ ПАРОЛЬ |
|---|---|
| 1) длинный (8-12-15 символов) | 1) короткий (меньше 8 символов) |
| 2) содержит как заглавные так и прописные латинские буКвЫ | 2) все в одном регистре (все БОЛЬШИЕ плохо как и все маленькие) |
| 3) содержит цифры и/или спецсимволы | 3) не содержит цифр и/или спецсимволы |
| 4) не найдется в словаре, это не имя и не русское слово(ckjdj) набранное в латинской раскладке | 4) найдется в словаре или это имя или русское слово(ckjdj) набранное в латинской раскладке |
| 5) никак не связан с владельцем | 6) как-либо связан с владельцем |
| 6) меняется периодически или по мере надобности или в рамках политики безопасности | 6) не меняется годами ни при каких обстоятельствах |
| 7) не является любимым — разные пароли для разных входов | 7) может быть любимым — один пароль на все |
| 8) его возможно запомнить | 8) его невозможно забыть |
Взломы из-за плохо выбранного или плохо сохраняемого в тайне пароля происходят намного чаще, чем из-за неправильной конфигурации или ошибок в ПО. Существует три способа ломать парольную защиту:
1) Узнавание пароля — Социальная инженерия
2) Подбор по словарю — Словари бывают разные
3) Полный перебор возможных комбинаций — BruteForce — метод Грубой Силы
Противодействие взлому требует чтобы пароль был как можно длинее. Чем больше символов тем больше вариантов — перебор всех займет больше времени. Использование больших и маленьких букв вперемежку, а также цифр увеличивает количество вариантов каждого символа — полный перебор будет еще более затруднен. Любые слова из словарей не годятся.
Управление пользовательскими паролями: В настоящее время пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Назначение паролей необходимо контролировать посредством формального процесса управления, требования к которому должны быть следующими:
а) Потребовать от пользователей подписания обязательства по хранению персональных паролей и паролей рабочих групп в секрете.
б) В тех случаях, когда пользователи дожны сами выбирать свои пароли, выдать им надежные временные пароли, которые они обязаны немедленно сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя.
в) Передавать временные пароли пользователям надежным способом. Следует избегать передачу паролей через посредников или посредством незащищенных (незашифрованных) сообщений электронной почты. Пользователи должны подтвердить получение паролей.
Пользователи должны знать свои обязанности по обеспечению эффективного контроля доступа, особенно что касается использования паролей и защиты пользовательского оборудования.
Использование паролей: Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения полномочий доступа пользователей к компьютерным системам. Предлагаются следующие рекомендации по выбору и использованию паролей:
- а) Назначать индивидуальные пароли для обеспечения подотчетности.
- б) Хранить пароли в секрете.
- в) Не записывать пароли на бумаге, если не представляется возможным ее хранение в защищенном месте.
- г) Изменять пароли всякий раз, когда есть указания на возможную компрометацию систем или паролей.
- д) Выбирать пароли, содержащие не менее шести символов.
- е) При выборе паролей не следует использовать:
- месяцы года, дни недели и т.п.;
- фамилии, инициалы и регистационные номера автомобилей;
- названия и идентификаторы организаций;
- номера телефонов или группы символов, состоящие из одних цифр;
- пользовательские идентификаторы и имена, а также идентификаторы групп и другие системные идентификаторы;
- более двух одинаковых символов, следующих друг за другом;
- группы символов, состоящие из одних букв.
- ж) Изменять пароли через регулярные промежутки времени (приблизительно через 30 суток) и избегать повторного или "циклического" использования старых паролей.
- з) Чаще изменять пароли для привилегированных системных ресурсов, например, пароли доступа к определенным системным утилитам.
- и) Изменять временные пароли при первом входе в системы.
- и) Не включать пароли в сценарии автоматического входа в системы, например, в макросы или функциональные клавиши.
Если пользователям необходим доступ ко многим сервисам и платформам и от них требуется поддержание нескольких паролей, то им следует рекомендовать использовать один единственный надежный пароль (см. Система управления паролями) для входа во все системы, которые обеспечивают минимальный уровень защиты для хранения паролей.
Система управления паролями: Для аутентификации пользователей необходимо использовать эффективную систему управления паролями. Пароли являются основным средством подтверждения полномочий доступа пользователя к компьютерной системе. Системы управления паролями должны предоставлять эффективное, интерактивное средство обеспечения надежных паролей.
Примечание. Некоторые приложения требуют назначения пользовательских паролей независимым лицом, наделенным соответствующими полномочиями. В большинстве случаев пароли выбираются и поддерживаются самими пользователями.
Хорошая система управления паролями должна:
- а) по необходимости принуждать пользователей к применению индивидуальных паролей для обеспечения подотчетности;
- б) по необходимости позволять пользователям выбирать и изменять свои собственные пароли, а также включать процедуру их подтверждения, чтобы избежать ошибок при их наборе;
- в) задать минимальное количество символов в паролях;
Примечание. Рекомендуется шесть символов.
- г) принуждать пользователей к изменению паролей через регулярные промежутки времени в тех случаях, когда они сами поддерживают свои пароли;
Примечание. Рекомендуется интервал в несколько дней по умолчанию.
- д) по необходимости принуждать привилегированных пользователей, например тех, кто имеет доступ к системным утилитам, к более частому изменению паролей;
- е) заставлять пользователей изменять временные пароли при первом входе в систему в тех случаях, когда они сами выбирают свои пароли (см. Управление пользовательскими паролями);
- ж) вести учет предыдущих пользовательских паролей, например, за последние 12 месяцев и предотвращать их повторное использование пользователями;
- з) не выводить пароли на экран при их наборе на клавиатуре;
- и) хранить файлы паролей отдельно от основных данных прикладной системы;
- и) хранить пароли в зашифрованном виде, использовать односторонний алгоритм шифрования;
- к) изменять пароли, заданные поставщиком программного обеспечения по умолчанию, после его инсталляции;
- л) в идеале проверять, выбрал ли пользователь надежный пароль, например, посредством проверки, не основан ли пароль на следующих данных:
- месяцы года, дни недели и т.п.;
- названия и идентификаторы организаций;
- пользовательские идентификаторы, имена пользователей, идентификаторы групп и другие системные идентификаторы;
- более чем два одинаковых символа, следующие друг за другом;
- группы символов, состоящие из одних цифр или одних букв.
По материалам http://jetinfo.ru и http://phormula.nm.ru
[править] См. также
 |
Это незавершённая статья. Вы поможете проекту, исправив и дополнив её. Это примечание следует заменить более точным. |
