Пароль

Материал из Википедии — свободной энциклопедии

Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.

Содержание 1 История паролей 2 Безопасность пароля пользователя 3 Альтернативные методы контроля доступа 4 Методы передачи пароля через сеть 4.1 Простая передача пароля 4.2 Передача через зашифрованные каналы 4.3 Базирующийся на хешах 5 Проектирование защищенного программного обеспечения 6 Взлом компьютерных паролей 7 См. также 8 Документы 9 Ссылки

[править] История паролей

Пароли использовались с древнейших времен. Полибий (?201 до н. э.) описывает применение паролей в Древнем Риме следующим образом:

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль — деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему. ^[1]

Пароли использовались в компьютерах с первых их дней. CTSS от MIT была одна из первых открытых систем, появившись в 1961 г. Она использовала команду LOGIN для запроса пароля пользователя.

Роберт Моррис предложил идею хранения паролей в хэш-форме для операционной системы Unix. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для изменения формы с алгоритмом DES, в 25 раз^{[источник не указан 48 дней]} снижая риск перебора по словарю.

[править] Безопасность пароля пользователя

Исследования показывают^{[источник не указан 48 дней]}, что около 40 % всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими.

[править] Альтернативные методы контроля доступа

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.

• Одноразовые пароли
• Биометрия
• Технология единого входа
• OpenID

[править] Методы передачи пароля через сеть

[править] Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

[править] Передача через зашифрованные каналы

Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.

[править] Базирующийся на хешах

Пароль передается на сервер уже в виде хэша (например, при отправке формы на web-странице пароль преобразуется в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.^{[источник не указан 48 дней]}

[править] Проектирование защищенного программного обеспечения

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

• Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
• Требование повторного ввода пароля после определенного периода бездействия.
• Требование периодического изменения пароля.
• Назначение случайных паролей.

[править] Взлом компьютерных паролей

Взлом паролей — ресурсоёмкая задача, обычно решаемая так называемым методом грубой силы (англ. Brute force) — то есть простым перебором.

Более эффективными в большинстве случаев является перебор по словарю или социальный метод.

По утверждению Брюса Шнайера, наиболее часто используемый пароль — «password1». ^[2]

Существуют специальные программы для подбора пароля по соответствующе хэшу, например: L0phtCrack, John the Ripper, Cain и PasswordsPro.

Также пароли получают, засылая «троянского коня», который в зависимости от своей функциональности может красть: — сохраненные на жестком диске пароли(которые могут быть сохраненны программами и без ведома пользователя) — пароли вводимые пользователем на клавиатуре — хэши паролей(в некоторых случаях дешифруя их локально на компьютере жертвы)

[править] См. также

• /etc/passwd
• Аутентификация
• Политика паролей
• Файл ключей

[править] Документы

1. ↑ http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm
2. ↑ http://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300

[править] Ссылки

• Рекомендации по составлению паролей
• Графические пароли : обзор (англ.)
• PassClicks (англ.)
• Генератор паролей (рус.) + Рекомендации администратору; Универсальные пароли к BIOS; Что делать если пароль забыт?
• Концепция одноразовых паролей в системе аутентификации
• Пароли для профессионалов