Kniga-Online.club
» » » » Компьютерра - Журнал «Компьютерра» № 5 от 06 февраля 2007 года

Компьютерра - Журнал «Компьютерра» № 5 от 06 февраля 2007 года

Читать бесплатно Компьютерра - Журнал «Компьютерра» № 5 от 06 февраля 2007 года. Жанр: Прочая околокомпьютерная литература издательство неизвестно, год 2004. Так же читаем полные версии (весь текст) онлайн без регистрации и SMS на сайте kniga-online.club или прочесть краткое содержание, предисловие (аннотацию), описание и ознакомиться с отзывами (комментариями) о произведении.
Перейти на страницу:

Недавно Шнайер проанализировал (и в середине декабря 2006 года опубликовал результаты на www.wired.com/news/columns) 34 тысячи паролей пользователей MySpace, которые ему переслали «коллеги» (вероятно, по невидимому фронту). Эти пароли были захвачены некими злодеями в результате простейшей фишинговой атаки, после чего попали к коллегам Шнайера. Вот двадцать самых популярных:

password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1, monkey

На первый взгляд — где же прогресс? А прогресс, например, усматривается в том, что хотя «password1» и самый популярный пароль, но его использовали все-таки лишь 0,22% пользователей (добавим, что данные относятся лишь к тем, кто попался на простейший фишинг, а значит, от менее доверчивых можно ожидать и большей серьезности в паролях). Средняя длина пароля довольно велика — восемь символов, и это тоже шаг к надежности. Шнайер оптимистически сопоставляет нынешние результаты с исследованиями 1989 и 1992 годов — тогда фантазии пользователей хватило всего на 6,4 и 6,8 символа соответственно. Защищенность повышается и от того, что 81% паролей содержат и буквы, и цифры, и лишь менее 4% — просто слова из словаря.

Однако прогресс во вскрытии паролей гораздо более ярок. В ситуации, когда взломщик может работать в офлайновом режиме, то есть подбирать на своем компьютере пароль к защищенному файлу, пароль уже нельзя рассматривать как сколько-нибудь серьезную защиту, утверждает Шнайер и приводит цифры: коммерческая программа для подбора паролей Password Recovery Toolkit (PRTK) могла бы в таком режиме взломать 23% паролей MySpace за 30 минут, а 55% — за 8 часов. Подобные продукты тестируют десятки миллионов паролей в секунду. Причем это далеко не тупой перебор — PRTK пытается интеллектуальными методами угадывать более вероятную структуру пароля, используя современные математические методы и исходя из грамматики и фонетики (английского языка, заметим в скобках).

К счастью, подбирать таким способом ПИН-коды карточек прямо на месте, у банкомата, невозможно. Поэтому на эти четырехзначные коды еще вполне можно положиться, пишет Шнайер в другой интересной колонке, уже январской, которая посвящена методам борьбы против взлома в офлайновом режиме — точнее, приемам замедления взлома до иногда непрактичной скорости. Но к нашей теме, мнемонике, это имеет уже косвенное отношение.

В своей краткой заметке мы не стремимся дать полный обзор современных мнемонических технологий, помогающих запоминать трудные пароли. Мы лишь хотим вместе с читателем составить некоторое представление о них. Поэтому прежде, чем перейти к финальной части, мнемоническим технологиям ИПИБ, — посмотрим, что говорит о роли мнемоники в парольном деле еще один классик теории ИБ, кембриджский профессор Росс Андерсон (Ross Anderson) с соавторами [The Memorability and Security of Passwords (Some Empirical Results), Jianxin Yan, Alan Blackwell, Ross Anderson, Alasdair Grant, Cambridge University Computer Laboratory (download.lawr.ucdavis.edu/pub/CambridgePWStudy.pdf)]. В 1999—2000 гг. они провели вот какое исследование: трем большим группам студентов было дано задание создать разными способами пароль для входа в ОС. Первая группа должна была использовать прямое запоминание случайного набора символов. Вторая — мнемонику: набор символов генерировался как последовательность первых букв запоминаемой фразы. Контрольная группа создавала пароль на основе «нейтральной» рекомендации: любое слово из не менее чем семи символов, содержащее хотя бы одну «не-букву». После того как пароли были введены в действие, исследователи атаковали их несколькими способами, включая полный перебор (если было не более шести символов), использование информации о пользователе, подбор слов из словаря и др. Проверялась как устойчивость к атакам, так и запоминаемость паролей. Результаты таковы:

— народное поверье (термин авторов исследования), что случайные пароли запоминаются хуже, подтвердилось;

— поверье, что пароли из мнемонических фраз труднее угадать, чем наивно выбранные слова, подтвердилось;

— поверье, что случайные пароли прочнее, чем созданные из мнемонических фраз, не подтвердилось;

— поверье, что мнемонические пароли труднее запомнить, чем наивные, не подтвердилось;

— наконец, самое главное «поверье»: использование случайных или мнемонических паролей существенно повышает безопасность. Оно, хоть и с большими оговорками, но все-таки, по мнению авторов, скорее не подтвердилось, чем подтвердилось.

Тем не менее авторы заканчивают свой отчет об исследовании четкой рекомендацией — использовать мнемонические пароли. Ведь они запоминаются так же легко, как наивные, но так же устойчивы, как рандомные. Несомненно, с тех пор проводились и другие исследования подобного рода. Но с одной стороны, классика есть классика, а с другой — в свете последних достижений по подбору паролей вся эта проблематика предстает в совсем ином свете… Поэтому отметим лишь высокую оценку мнемоники в этой широко цитируемой работе и перейдем, наконец, к мнемоническим системам, рассчитанным на задачу запоминания готовых ПИН-кодов.

Главная идея систем, описанных в [4], — избавить пользователя от необходимости помнить не только сам ПИН-код, но даже ключевую фразу или иной словесный «образ пароля». Вот как действует одна из них (находящаяся сейчас в процессе патентования)— по замыслу, особенно удобная как раз для ПИН-кодов. Пусть нам надо запомнить код «1945». Посмотрим на таблицу 3.

Отмеченные слова образуют образ пароля — в данном случае четырехзначного ПИН-кода. Восстановление происходит мгновенно и без всяких манипуляций с цифровыми алфавитами. Просто номера строк, в которых стоят выделенные слова, образуют искомый код.

Но как запомнить эти слова? Это происходит на этапе «ввода пароля в эксплуатацию». Глядя на таблицу, вы запоминаете по слову из каждого столбца. В данном случае из списка деревьев — дуб, из видов дружб — «тесную», из видов начальников — начальника порта, а из Александров — Можайского. По замыслу разработчиков, даже если вы и забыли эти слова по дороге к банкомату, то, взглянув там на таблицу, — вспомните их. Только ни в коем случае нельзя их обводить карандашом в таблице! Во-первых, вся секретность тут же пропадет, а во-вторых, это уже будет неспортивно [Шутка].

Для пользователей разработана целая система таблиц. Точнее, заготовок для них — столбцов, состоящих из заголовка и десяти слов, которые вместе с заголовком образуют связный текст (скажем, Александр [Попов, Пушкин, Суворов, … ]). Из этих столбцов можно набрать массу таблиц, причем нужной ширины (для запоминания более длинных кодов, чем четырехзначные). Наконец— и это намек на некий дополнительный потенциал такой мнемоники, — можно не писать в столбцах слова, а ставить туда, например, картинки (как в детских садах маркируют шкафчики в раздевалках: клубника, яблоко и т. д.), фотографии людей, логотипы компаний.

Разумеется, эффективность этого подхода может подтвердить или опровергнуть только массовое тестирование на практике. На взгляд — идея симпатичная, и судя по поверхностному знакомству с литературой, незаезженная. Для контраста — в недавно выложенной в свободный доступ классической книге Андерсона [1] по ИБ (см. «КТ» ##652, 658) за легкость взламывания критикуется такая рекомендация по мнемонике ПИН-кодов: вписать осмысленное слово в столбцы таблицы 10х4 с номерами из этого ПИН-кода, остальные клетки заполнив случайными буквами (рис. 1). Андерсон оценивает среднее количество осмысленных четырехбуквенных слов в такой таблице в пару дюжин. Поэтому шансы угадать за три попытки нужное слово довольно велики — 1 к 8 (против 1 к 3333, если угадывать сам ПИН-код).

Очевидно, что система, разработанная в ИПИБ, не страдает этим недостатком, так как там все комбинации слов в таблице равнозначны и никак не выделены большей или меньшей осмысленностью или другими признаками.

ЛИТЕРАТУРА

[1] Ross Anderson, «Security Engineering», www.cl.cam.ac.uk/~rja14/book.html.

[2] Васильева Е.Е., Васильев В.Ю. «Суперпамять, или Как запомнить, чтобы вспомнить?» — М.: «Астрель», 2006.

[3] Васильева Е.Е., Васильев В.Ю. Секреты запоминания чисел. — М.: «Астрель», 2006.

[4] О. Логачев, Е. Молодцов, В. Ященко, «Способ запоминания персональных цифровых паролей, основанный на использовании линеек ключевых символов», Отчет ИПИБ.

РЫНКИ: Доигрались: Виртуальные дома азарта уходят в подполье

Автор: Родион Насакин

Российские власти на новый год преподнесли онлайн-гемблингу Рунета неприятный подарочек. С первого января вступил в силу федеральный закон «О государственном регулировании деятельности по организации и проведению азартных игр и о внесении изменений в некоторые законодательные акты Российской Федерации», согласно которому запрещается организация азартных игр «с использованием информационно-телекоммуникационных сетей, в том числе сети Интернет, а также средств связи, в том числе подвижной связи» (то есть власти сходу поставили вне закона и мобильный гемблинг).

Перейти на страницу:

Компьютерра читать все книги автора по порядку

Компьютерра - все книги автора в одном месте читать по порядку полные версии на сайте онлайн библиотеки kniga-online.club.


Журнал «Компьютерра» № 5 от 06 февраля 2007 года отзывы

Отзывы читателей о книге Журнал «Компьютерра» № 5 от 06 февраля 2007 года, автор: Компьютерра. Читайте комментарии и мнения людей о произведении.


Уважаемые читатели и просто посетители нашей библиотеки! Просим Вас придерживаться определенных правил при комментировании литературных произведений.

  • 1. Просьба отказаться от дискриминационных высказываний. Мы защищаем право наших читателей свободно выражать свою точку зрения. Вместе с тем мы не терпим агрессии. На сайте запрещено оставлять комментарий, который содержит унизительные высказывания или призывы к насилию по отношению к отдельным лицам или группам людей на основании их расы, этнического происхождения, вероисповедания, недееспособности, пола, возраста, статуса ветерана, касты или сексуальной ориентации.
  • 2. Просьба отказаться от оскорблений, угроз и запугиваний.
  • 3. Просьба отказаться от нецензурной лексики.
  • 4. Просьба вести себя максимально корректно как по отношению к авторам, так и по отношению к другим читателям и их комментариям.

Надеемся на Ваше понимание и благоразумие. С уважением, администратор kniga-online.


Прокомментировать
Подтвердите что вы не робот:*
Подтвердите что вы не робот:*