SecuRRity.Ru » Новости » Microsoft предложила альтернативу сложным паролям
Microsoft предложила альтернативу сложным паролям
автор: Administrator | 21 июля 2010, 16:10 | Просмотров: 4667теги: Информационная Безопасность, пароли, Microsoft
В отделе исследований Майкрософт придумали способ создавать пароли, которые легко запомнить, но при этом система, в которой будет использоваться новый подход не станет более уязвимой для хакеров.
Вместо того, чтобы использовать по настоящему сложные пароли, которые используются в системах большинства организаций, новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.
Повышение требований сложности паролей, например пароль должен быть не короче 14 символов длинной, содержать как минимум две прописных буквы, две строчных буквы и три символа, мешают взломщикам использовать технику перебора по словарю, когда последовательно перебираются все пароли из заранее составленного словаря типичных сочетаний.
Без этих ограничений, люди имеют тенденцию выбирать пароли, которые легко запомнить, просто набирать и естественно, легче подобрать. В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями. Люди, проанализировавшие списки, сообщают, что большинство из них были тривиальными, такими как последовательности цифр, словарные слова, общеизвестные названия и т.п, что собственно 'доказывает' список опасных паролей.
Требования того, чтобы пароль содержал цифры, символы и смешанный регистр букв, значительно увеличивают число возможных вариантов перебора. При таких условиях восстановление пароля по словарю зачастую неосуществимо, но с другой стороны такие сложные пароли трудно запомнить. Круг замкнулся.
Один из способов, с помощью которого проектировщики систем пытаются бороться с перебором по словарю – это временное отключение учетной записи, после нескольких попыток ввести неверный пароль. Это называют блокировкой учетной записи и не удивительно, что взломщики обнаружили простой способ обойти эту систему. Вместо того, чтобы перебирать тысячи или миллионы паролей для одной учетной записи, атакующая сторона пробует входить в систему с помощью нескольких наиболее распространенных паролей, но уже на тысячах и даже миллионах учетных записей пользователей.
Новая схема, предложенная Майкрософт предполагает отмену требований сложности пароля, при этом защищает учетные записи от взлома с помощью перебора. Система просто считает сколько раз пользователи используют один и тот же пароль, и когда несколько человек начинают использовать одинаковый пароль, такой пароль блокируется и больше никто не может его использовать в данной системе. Схема работает в системах с большим количеством пользователей, например в почтовых системах.
Этот подход описан в работе, написанной исследователями Стюартом Шетчером и Кормаком Херли из Майкрософт, и будет опубликован в сборнике статей и представлен на августовской конференции по безопасности в Вашингтоне.
Так как паролям не дают стать распространенными, атакующая сторона лишается возможности использовать популярные пароли для попытки взлома существенной части пользовательских аккаунтов. Однако пока не сообщается о планах по внедрению новой схемы в каких-то продуктах Майкрософт. А публикуется схема для того, чтобы получить обратную связь от специалистов по безопасности со всего мира.
В последние несколько лет исследователи находят недостатки в существующих системах безопасности. Например, довольно часто учетная запись блокируется, когда человек вводит свой пароль с ошибкой несколько раз. В основном число попыток равно трем. Но исследования показали, что увеличение этого числа до десяти резко сокращает число заблокированных легитимных пользователей без особого ущерба для безопасности системы в целом.
Зачастую, в погоне за удобством и простотой использования своих сервисов многие организации, включая банки, используют относительно примитивные требования к паролям. И новая система сможет помирить специалистов по безопасности, настаивающих на использовании сложных паролей и тех, кто заботится об удобстве пользователей при входе в систему.
Вместо того, чтобы использовать по настоящему сложные пароли, которые используются в системах большинства организаций, новая схема проверяет, чтобы один и тот же пароль был не более чем у нескольких пользователей системы одновременно, при этом пропадает необходимость использовать сложные пароли без ущерба для общей безопасности системы.
Повышение требований сложности паролей, например пароль должен быть не короче 14 символов длинной, содержать как минимум две прописных буквы, две строчных буквы и три символа, мешают взломщикам использовать технику перебора по словарю, когда последовательно перебираются все пароли из заранее составленного словаря типичных сочетаний.
Без этих ограничений, люди имеют тенденцию выбирать пароли, которые легко запомнить, просто набирать и естественно, легче подобрать. В прошлом году неоднократно сообщалось об утере базы паролей некоторыми социальными сетями. Люди, проанализировавшие списки, сообщают, что большинство из них были тривиальными, такими как последовательности цифр, словарные слова, общеизвестные названия и т.п, что собственно 'доказывает' список опасных паролей.
Требования того, чтобы пароль содержал цифры, символы и смешанный регистр букв, значительно увеличивают число возможных вариантов перебора. При таких условиях восстановление пароля по словарю зачастую неосуществимо, но с другой стороны такие сложные пароли трудно запомнить. Круг замкнулся.
Один из способов, с помощью которого проектировщики систем пытаются бороться с перебором по словарю – это временное отключение учетной записи, после нескольких попыток ввести неверный пароль. Это называют блокировкой учетной записи и не удивительно, что взломщики обнаружили простой способ обойти эту систему. Вместо того, чтобы перебирать тысячи или миллионы паролей для одной учетной записи, атакующая сторона пробует входить в систему с помощью нескольких наиболее распространенных паролей, но уже на тысячах и даже миллионах учетных записей пользователей.
Новая схема, предложенная Майкрософт предполагает отмену требований сложности пароля, при этом защищает учетные записи от взлома с помощью перебора. Система просто считает сколько раз пользователи используют один и тот же пароль, и когда несколько человек начинают использовать одинаковый пароль, такой пароль блокируется и больше никто не может его использовать в данной системе. Схема работает в системах с большим количеством пользователей, например в почтовых системах.
Этот подход описан в работе, написанной исследователями Стюартом Шетчером и Кормаком Херли из Майкрософт, и будет опубликован в сборнике статей и представлен на августовской конференции по безопасности в Вашингтоне.
Так как паролям не дают стать распространенными, атакующая сторона лишается возможности использовать популярные пароли для попытки взлома существенной части пользовательских аккаунтов. Однако пока не сообщается о планах по внедрению новой схемы в каких-то продуктах Майкрософт. А публикуется схема для того, чтобы получить обратную связь от специалистов по безопасности со всего мира.
В последние несколько лет исследователи находят недостатки в существующих системах безопасности. Например, довольно часто учетная запись блокируется, когда человек вводит свой пароль с ошибкой несколько раз. В основном число попыток равно трем. Но исследования показали, что увеличение этого числа до десяти резко сокращает число заблокированных легитимных пользователей без особого ущерба для безопасности системы в целом.
Зачастую, в погоне за удобством и простотой использования своих сервисов многие организации, включая банки, используют относительно примитивные требования к паролям. И новая система сможет помирить специалистов по безопасности, настаивающих на использовании сложных паролей и тех, кто заботится об удобстве пользователей при входе в систему.
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Панель управления
Настройки страницы
помощь: С помощью данных кнопок Вы можете изменить расположение информационных блоков по горизонтали, а также настраивать яркость и размер шрифта.
Для этого, в Вашем браузере должен быть включён JavaScript и браузер должен принимать файлы cookie нашего домена.
Все изменения автоматически сохраняются в cookie-файле Вашего браузера в течение 365 дней со дня изменений настроек.
Подписка на сайт
Календарь
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
Популярные новости
Облако тегов
Microsoft Windows Антивирус Атака БРАУЗЕР Безопасность ВРЕДОНОСНЫЕ Вредоносные программы ДАННЫЕ ЗАЩИТА ИНФОРМАЦИЯ Интернет КОМПЬЮТЕР НОВОСТИ ПО ПРОГРАММА САЙТ СТАТЬИ США Система Софт ТРОЯН Термины УЯЗВИМОСТИ Уязвимые сайты ФАЙЛ Хакер ЧЕРВЬ безопасности взлом вирус доступ злоумышленник программы сайты сервер спам уязвимость файлы хакеры
Последние комментарии
» Написал: Павел
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Катерина
в новости: Бесплатный ключ для ESET Smart Security 5 на 6 месяцев
» Написал: Administrator
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: Елена
в новости: K9 Web Protection: бесплатный родительский контроль
» Написал: kholod
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO
» Написал: Серега из Стрежевого
в новости: Бесплатный ключ на 1 год для Comodo Internet Security Pro 2012
» Написал: Akex
в новости: Бесплатный ключ на 1 год для IObit Malware Fighter PRO