Из Википедии, бесплатной энциклопедии
  (Перенаправлено из паролей )
Перейти к навигации Перейти к поиску
Чтобы узнать о других значениях, см. Пароль (значения) .
Чтобы получить помощь с паролем в Википедии, см. Справка: сброс пароля .
«Пароль» перенаправляется сюда. Информацию о японской айдол-группе см. В разделе Код доступа (японская айдол-группа) .
Поле пароля в форме входа.

Пароль , иногда называемый секретный код , [1] является секретные данные, как правило , строка символов, как правило , используются для подтверждения личности пользователя. [1] Традиционно предполагалось, что пароли запоминаются, но большое количество защищенных паролем служб, к которым получает доступ типичный индивидуум, может сделать запоминание уникальных паролей для каждой службы непрактичным. [2] Используя терминологию NIST Digital Identity Guidelines, [3] секрет хранится стороной, называемой заявителем, в то время как сторона, проверяющая личность заявителя, называется верификатором.. Когда заявитель успешно демонстрирует знание пароля к проверяющему через установленный протокол аутентификации , [4] верификатор может сделать вывод о личности заявителя.

В общем, пароль произвольная строка из символов , включая буквы, цифры и другие символы. Если допустимые символы ограничены числовыми значениями, соответствующий секрет иногда называют персональным идентификационным номером (PIN).

Несмотря на название, пароль не обязательно должен быть настоящим словом; действительно, неслово (в словарном смысле) может быть труднее угадать, что является желательным свойством паролей. Запомненный секрет, состоящий из последовательности слов или другого текста, разделенных пробелами, иногда называется парольной фразой . Парольная фраза похожа на пароль по использованию, но первая обычно длиннее для дополнительной безопасности. [5]

История [ править ]

Пароли использовались с древних времен. Часовые бросали вызов желающим войти в зону, чтобы сообщить пароль или лозунг , и позволяли пройти человеку или группе только в том случае, если они знали пароль. Полибий описывает систему распределения лозунгов в римской армии следующим образом:

Способ, которым они обеспечивают передачу лозунга на ночь, следующий: из десятого манипула каждого класса пехоты и кавалерии, манипула, расположенного лагерем в нижнем конце улицы, выбирается человек, который освобожден от караульной службы, и каждый день на закате он посещает палатку трибуны, и получив от него лозунг - деревянную табличку с начертанным на ней словом - прощается, и по возвращении в свои апартаменты передает лозунг и табличку перед свидетелями командиру следующего манипула, который, в свою очередь, проходит это к тому, что рядом с ним. Все делают то же самое, пока не дойдут до первых манипулов, стоящих лагерем у палаток трибун. Последние обязаны доставить табличку на трибуны до наступления темноты. Так что, если все выданные будут возвращены, трибун будет знать, что девиз был дан всем манипулам и прошел через все на своем пути к нему. Если какой-либо из них отсутствует, он сразу же делает запрос, поскольку он знает по отметкам, из какой стороны табличка не вернулась, и тот, кто виноват в остановке, получает заслуженное наказание.[6]

Пароли, используемые в военных целях, стали включать не только пароль, но и пароль, и контрпароль; например, в первые дни битвы за Нормандию десантники 101-й воздушно-десантной дивизии США использовали пароль - вспышку, - который представлялся как вызов и отвечал правильным ответом - громом . Пробу и ответ меняли каждые три дня. Известно, что американские десантники использовали устройство, известное как «сверчок», в День Д вместо системы паролей в качестве временного уникального метода идентификации; один металлический щелчок, издаваемый устройством вместо пароля, должен был быть встречен двумя щелчками в ответ. [7]

Пароли использовались с компьютерами с самых первых дней развития компьютеров. Совместимая система разделения времени (CTSS), операционная система , введенная в MIT в 1961 году, была первой компьютерной системы для реализации пароль входа в систему . [8] [9] В CTSS была команда LOGIN, которая запрашивала пароль пользователя. «После ввода ПАРОЛЯ система по возможности отключает механизм печати, чтобы пользователь мог ввести свой пароль в конфиденциальном порядке». [10] В начале 1970-х Роберт Моррис разработал систему хранения паролей для входа в систему в хешированной форме как часть Unix.Операционная система. Система была основана на смоделированной роторной крипто-машине Хагелина и впервые появилась в 6-м издании Unix в 1974 году. Более поздняя версия его алгоритма, известная как crypt (3) , использовала 12-битную соль и вызывала модифицированную форму DES. алгоритм в 25 раз снижает риск атак по заранее вычисленному словарю . [11]

В наше время, имена пользователей и пароли , которые обычно используются людьми во время войти в процесс , который контролирует доступ к защищенным компьютерным операционным системам , мобильные телефоны , кабельное телевидение декодеров, банкоматы (ATM) и т.д. Типичный пользователь компьютера имеет пароли множество целей: вход в учетные записи, получение электронной почты , доступ к приложениям, базам данных, сетям, веб-сайтам и даже чтение утренней газеты в Интернете.

Выбор надежного и запоминающегося пароля [ править ]

Чем проще пароль для запоминания владельцем, как правило, злоумышленнику будет легче его угадать. [12] Однако пароли, которые трудно запомнить, также могут снизить безопасность системы, потому что (а) пользователям может потребоваться записать или сохранить пароль в электронном виде, (б) пользователям потребуется частый сброс пароля и (в) пользователи будут с большей вероятностью повторно используют один и тот же пароль для разных учетных записей. Точно так же, чем более строгие требования к паролю, такие как «иметь сочетание прописных и строчных букв и цифр» или «менять его ежемесячно», тем в большей степени пользователи будут нарушать работу системы. [13] Другие утверждают, что более длинные пароли обеспечивают большую безопасность (например, энтропия), чем более короткие пароли с большим разнообразием символов. [14]

В запоминаемости и безопасности паролей , [15] Джефф Ян и соавт. изучить влияние рекомендаций, данных пользователям о правильном выборе пароля. Они обнаружили, что пароли, основанные на обдумывании фразы и взятии первой буквы каждого слова, так же запоминаются, как и наивно выбранные пароли, и так же сложно взломать, как и случайно сгенерированные пароли.

Комбинирование двух или более несвязанных слов и преобразование некоторых букв в специальные символы или числа - еще один хороший метод [16], но одно слово из словаря - нет. Еще один хороший метод - это иметь индивидуально разработанный алгоритм генерации непонятных паролей. [ необходима цитата ]

Однако просить пользователей запомнить пароль, состоящий из «сочетания символов верхнего и нижнего регистра», аналогично тому, как просить их запомнить последовательность битов: их трудно запомнить, и лишь немного сложнее взломать (например, только в 128 раз сложнее взломать 7-буквенные пароли, меньше, если пользователь просто использует одну из букв с большой буквы). Просьба к пользователям использовать «и буквы, и цифры» часто приводит к легко угадываемым заменам, таким как «E» → «3» и «I» → «1», заменам, которые хорошо известны злоумышленникам. Точно так же набор пароля на одну строку клавиатуры выше - распространенная уловка, известная злоумышленникам. [17]

В 2013 году Google выпустил список наиболее распространенных типов паролей, все из которых считаются небезопасными, потому что их слишком легко угадать (особенно после исследования человека в социальных сетях): [18]

  • Имя домашнего животного, ребенка, члена семьи или другого значимого лица.
  • Юбилейные даты и дни рождения
  • Место рождения
  • Название любимого праздника
  • Что-то связанное с любимой спортивной командой
  • Слово «пароль»

Альтернативы запоминанию [ править ]

Традиционный совет запоминать пароли и никогда не записывать их стал проблемой из-за огромного количества паролей, которые должны поддерживать пользователи компьютеров и Интернета. Одно исследование показало, что средний пользователь имеет около 100 паролей. [2] Чтобы управлять увеличением количества паролей, некоторые пользователи используют один и тот же пароль для нескольких учетных записей, что является опасной практикой, поскольку утечка данных в одной учетной записи может поставить под угрозу остальные. Менее рискованные альтернативы включают использование менеджеров паролей , систем единого входа и простое ведение бумажных списков менее важных паролей. [19] Такие методы могут уменьшить количество паролей, которые необходимо запомнить, например мастер-пароль менеджера паролей, до более управляемого числа.

Факторы безопасности системы паролей [ править ]

Безопасность системы, защищенной паролем, зависит от нескольких факторов. Вся система должна быть спроектирована так, чтобы обеспечивать надежную безопасность, с защитой от компьютерных вирусов , атак типа «злоумышленник в середине» и т.п. Проблемы физической безопасности также вызывают беспокойство, от сдерживания серфинга через плечо до более сложных физических угроз, таких как видеокамеры и анализаторы клавиатуры. Пароли следует выбирать так, чтобы злоумышленнику было трудно их угадать, а злоумышленнику - обнаружить с помощью любой из доступных схем автоматической атаки. См. Дополнительную информацию в разделе надежность пароля и компьютерная безопасность .

В настоящее время компьютерные системы часто скрывают пароли при их вводе. Цель этой меры - предотвратить чтение пароля посторонними лицами; однако некоторые утверждают, что такая практика может привести к ошибкам и стрессу, побуждая пользователей выбирать слабые пароли. В качестве альтернативы пользователи должны иметь возможность отображать или скрывать пароли по мере их ввода. [20]

Положения эффективного контроля доступа могут вынудить преступников принять крайние меры для получения пароля или биометрического токена. [21] Менее крайние меры включают вымогательство , криптоанализ с использованием резиновых шлангов и атаки по побочным каналам .

Ниже приведены некоторые конкретные вопросы управления паролями, которые необходимо учитывать при обдумывании, выборе и обращении с паролем.

Скорость, с которой злоумышленник может попробовать угаданные пароли [ править ]

Скорость, с которой злоумышленник может отправить системе угаданные пароли, является ключевым фактором в определении безопасности системы. Некоторые системы устанавливают тайм-аут в несколько секунд после небольшого количества (например, трех) неудачных попыток ввода пароля, также известного как регулирование. [3] : 63B Sec 5.2.2. При отсутствии других уязвимостей такие системы могут быть эффективно защищены с помощью относительно простых паролей, если они правильно выбраны и их нелегко угадать. [22]

Многие системы хранят криптографический хэш пароля. Если злоумышленник получает доступ к файлу хешированных паролей, угадывание может быть выполнено в автономном режиме, быстро проверяя возможные пароли на соответствие хеш-значению истинного пароля. В примере с веб-сервером онлайн-злоумышленник может угадать только скорость ответа сервера, в то время как автономный злоумышленник (который получает доступ к файлу) может угадать со скоростью, ограниченной только включенным оборудованием. на которую запущена атака.

Пароли, которые используются для генерации криптографических ключей (например, для шифрования диска или безопасности Wi-Fi ), также могут подвергаться высокоскоростному подбору. Списки общих паролей широко доступны и могут сделать атаки на пароли очень эффективными. (См. Взлом паролей .) Безопасность в таких ситуациях зависит от использования паролей или парольных фраз адекватной сложности, что делает такую ​​атаку вычислительно невыполнимой для злоумышленника. Некоторые системы, такие как PGP и Wi-Fi WPA , применяют к паролю хеш-код, требующий больших вычислений, для замедления таких атак. См. Растяжку клавиш .

Ограничения на количество подбираемых паролей [ править ]

Альтернативой ограничению скорости, с которой злоумышленник может угадывать пароль, является ограничение общего количества предположений, которые могут быть сделаны. Пароль можно отключить, потребовав его сброса, после небольшого количества последовательных неудачных попыток (скажем, 5); и от пользователя может потребоваться изменить пароль после большего кумулятивного числа неверных предположений (скажем, 30), чтобы злоумышленник не сделал сколь угодно большое количество неверных предположений, перемежая их между хорошими предположениями, сделанными законным владельцем пароля. [23] Злоумышленники, наоборот, могут использовать знание этого средства защиты для реализации атаки отказа в обслуживании.против пользователя, намеренно заблокировав доступ пользователя к собственному устройству; такой отказ в обслуживании может открыть для злоумышленника другие возможности манипулировать ситуацией в своих интересах с помощью социальной инженерии .

Форма сохраненных паролей [ править ]

Некоторые компьютерные системы хранят пароли пользователей в виде открытого текста , чтобы сравнивать попытки пользователей войти в систему. Если злоумышленник получит доступ к такому внутреннему хранилищу паролей, все пароли, а значит и все учетные записи пользователей, будут скомпрометированы. Если некоторые пользователи используют один и тот же пароль для учетных записей в разных системах, они также будут скомпрометированы.

Более безопасные системы хранят каждый пароль в криптографически защищенной форме, поэтому доступ к фактическому паролю по-прежнему будет затруднен для следящего, который получает внутренний доступ к системе, в то время как проверка попыток доступа пользователя остается возможной. Самые безопасные не хранят пароли вообще, а хранят односторонний вывод, такой как полином , модуль или расширенная хеш-функция . [14] Роджер Нидхэм изобрел распространенный ныне подход, заключающийся в хранении только «хешированной» формы пароля в виде открытого текста. [24] [25] Когда пользователь вводит пароль в такой системе, программа обработки паролей запускает криптографический хэш.алгоритм, и если значение хэша, сгенерированное из записи пользователя, совпадает с хешем, хранящимся в базе данных паролей, пользователю разрешается доступ. Хеш-значение создается путем применения криптографической хеш-функции к строке, состоящей из отправленного пароля и, во многих реализациях, другого значения, известного как соль . Соль не позволяет злоумышленникам легко создать список хеш-значений для общих паролей и предотвращает масштабирование усилий по взлому паролей для всех пользователей. [26] MD5 и SHA1 - часто используемые криптографические хеш-функции, но они не рекомендуются для хеширования паролей, если они не используются как часть более крупной конструкции, такой как PBKDF2 . [27]

Сохраненные данные - иногда называемые «верификатором пароля» или «хешем пароля» - часто хранятся в формате Modular Crypt или хеш-формате RFC 2307, иногда в файле / etc / passwd или файле / etc / shadow . [28]

Основные методы хранения паролей - это простой текст, хеширование, хеширование и соление, а также обратимое шифрование. [29] Если злоумышленник получает доступ к файлу паролей, то, если он хранится в виде простого текста, взлом не требуется. Если он хеширован, но не засолен, то он уязвим для атак с использованием радужной таблицы (которые более эффективны, чем взлом). Если он обратимо зашифрован, тогда, если злоумышленник получит ключ дешифрования вместе с файлом, взлом не потребуется, а если ему не удастся получить ключ, взлом невозможен. Таким образом, из распространенных форматов хранения паролей только после того, как пароли были обработаны и хешированы, взлом является необходимым и возможным. [29]

Если криптографическая хеш-функция хорошо спроектирована, невозможно с вычислительной точки зрения отменить функцию для восстановления пароля в виде открытого текста . Однако злоумышленник может использовать широко доступные инструменты, чтобы попытаться угадать пароли. Эти инструменты работают, хешируя возможные пароли и сравнивая результат каждого предположения с фактическими хэшами паролей. Если злоумышленник находит совпадение, он знает, что его предположение является действительным паролем для соответствующего пользователя. Инструменты для взлома паролей могут работать методом грубой силы (т. Е. Перебирать все возможные комбинации символов) или хешировать каждое слово из списка; большие списки возможных паролей на многих языках широко доступны в Интернете. [14] Существование взлома паролейtools позволяет злоумышленникам легко восстанавливать плохо подобранные пароли. В частности, злоумышленники могут быстро восстановить пароли, которые являются короткими, словарными словами, простыми вариациями словарных слов или используют легко угадываемые шаблоны. [30] Модифицированная версия алгоритма DES использовалась в качестве основы для алгоритма хеширования паролей в ранних системах Unix . [31] крипта алгоритма , используемым 12-битное значение соли , так что хэш каждого пользователя был уникальным и итеративен алгоритмом DES 25 раз для того , чтобы хеш - функция медленнее, оба этих меры предназначены , чтобы сорвать автоматизированные догадываясь атаками. [31] Пароль пользователя использовался как ключ для шифрования фиксированного значения. Более современные Unix или Unix-подобные системы (например, Linux или различные системы BSD ) используют более безопасные алгоритмы хеширования паролей, такие как PBKDF2 , bcrypt и scrypt , которые имеют большие значения и регулируемую стоимость или количество итераций. [32] Плохо спроектированная хеш-функция может сделать атаки возможными, даже если выбран надежный пароль. См. LM-хэш для широко распространенного и небезопасного примера. [33]

Способы проверки пароля по сети [ править ]

Простая передача пароля [ править ]

Пароли уязвимы для перехвата (т. Е. «Слежки») при передаче на аутентифицирующую машину или человека. Если пароль передается в виде электрических сигналов по незащищенной физической проводке между точкой доступа пользователя и центральной системой, управляющей базой данных паролей, он может быть отслежен методами прослушки . Если они передаются в виде пакетных данных через Интернет, любой, кто может наблюдать за пакетами, содержащими информацию о входе в систему, может отслеживать с очень низкой вероятностью обнаружения.

Иногда для рассылки паролей используется электронная почта, но, как правило, это небезопасный метод. Поскольку большая часть электронной почты отправляется в виде открытого текста , сообщение, содержащее пароль, легко читается во время передачи любым перехватчиком. Далее сообщение будет храниться в виде открытого текста как минимум на двух компьютерах: отправителя и получателя. Если он проходит через промежуточные системы во время своих путешествий, он, вероятно, также будет там храниться, по крайней мере, в течение некоторого времени, и может быть скопирован в файлы резервных копий , кеша или истории в любой из этих систем.

Использование шифрования на стороне клиента защитит только передачу с сервера системы обработки почты на клиентский компьютер. Предыдущие или последующие передачи электронной почты не будут защищены, и электронная почта, вероятно, будет храниться на нескольких компьютерах, особенно на исходном и получающем компьютерах, чаще всего в виде открытого текста.

Передача по зашифрованным каналам [ править ]

Риск перехвата паролей, пересылаемых через Интернет, можно снизить, среди прочего, с помощью криптографической защиты. Наиболее широко используется функция Transport Layer Security (TLS, ранее называвшаяся SSL ), встроенная в большинство современных интернет- браузеров . Большинство браузеров предупреждают пользователя о защищенном TLS / SSL обмене с сервером, отображая значок закрытого замка или какой-либо другой знак, когда TLS используется. Есть несколько других используемых техник; см. криптографию .

Методы "вызов – ответ" на основе хеша [ править ]

К сожалению, существует конфликт между хранимыми хешированными паролями и аутентификацией типа "вызов – ответ" на основе хешей ; последнее требует, чтобы клиент доказал серверу, что он знает, что такое общий секрет (т. е. пароль), и для этого сервер должен иметь возможность получить общий секрет из его сохраненной формы. Во многих системах (включая системы типа Unix ), выполняющих удаленную аутентификацию, общий секрет обычно становится хешированной формой и имеет серьезное ограничение, заключающееся в том, что пароли подвергаются атакам с предположением оффлайн. Кроме того, когда хеш используется в качестве общего секрета, злоумышленнику не нужен исходный пароль для удаленной аутентификации; им нужен только хеш.

Доказательства пароля с нулевым разглашением [ править ]

Вместо передачи пароля или передачи хэша пароля системы согласования ключей с аутентификацией по паролю могут выполнять проверку пароля с нулевым разглашением , которая подтверждает знание пароля, не раскрывая его.

Двигаясь дальше, расширенные системы для согласования ключей с аутентификацией паролем (например, AMP , B-SPEKE , PAK-Z , SRP-6 ) избегают как конфликта, так и ограничений методов на основе хеширования. Расширенная система позволяет клиенту подтвердить знание пароля серверу, где сервер знает только (не совсем) хешированный пароль и где нехешированный пароль требуется для получения доступа.

Процедуры смены паролей [ править ]

Обычно система должна обеспечивать способ изменения пароля либо потому, что пользователь считает, что текущий пароль был (или мог быть) скомпрометирован, либо в качестве меры предосторожности. Если новый пароль передается в систему в незашифрованном виде, безопасность может быть потеряна (например, путем прослушивания телефонных разговоров) еще до того, как новый пароль может быть установлен в базе данных паролей, и если новый пароль будет передан взломанному сотруднику, мало что будет получено. . Некоторые веб-сайты включают выбранный пользователем пароль в незашифрованное сообщение электронной почты с подтверждением, что явно повышает уязвимость.

Системы управления идентификацией все чаще используются для автоматизации замены утерянных паролей. Эта функция называется самостоятельным сбросом паролей . Личность пользователя проверяется путем задания вопросов и сравнения ответов с ранее сохраненными (например, когда была открыта учетная запись).

В некоторых вопросах для сброса пароля требуется личная информация, которую можно найти в социальных сетях, например девичья фамилия матери. В результате некоторые эксперты по безопасности рекомендуют либо придумывать собственные вопросы, либо давать ложные ответы. [34]

Долговечность пароля [ править ]

«Устаревание пароля» - это функция некоторых операционных систем, которая заставляет пользователей часто менять пароли (например, ежеквартально, ежемесячно или даже чаще). Такая политика обычно провоцирует протесты пользователей и их волочение в лучшем случае, а в худшем - враждебность. Часто увеличивается количество людей, которые записывают пароль и оставляют его там, где его можно легко найти, а также звонков в службу поддержки для сброса забытого пароля. Пользователи могут использовать более простые пароли или разрабатывать вариативные шаблоны на единую тему, чтобы их пароли были запоминающимися. [35] Из-за этих проблем ведутся споры относительно эффективности устаревания пароля. [36]Смена пароля в большинстве случаев не предотвратит злоупотребления, так как нарушение часто становится заметным сразу. Однако, если кто-то мог иметь доступ к паролю с помощью некоторых средств, таких как совместное использование компьютера или взлом другого сайта, изменение пароля ограничивает окно для злоупотреблений. [37]

Количество пользователей на пароль [ править ]

Назначение отдельных паролей каждому пользователю системы предпочтительнее, чем наличие одного пароля, совместно используемого законными пользователями системы, конечно, с точки зрения безопасности. Отчасти это связано с тем, что пользователи более охотно сообщают другому человеку (который может не иметь авторизации) общий пароль, чем пароль, предназначенный исключительно для их использования. [ необходима цитата ] Одинарные пароли также гораздо менее удобно менять, потому что об этом нужно говорить многим людям одновременно, и они затрудняют удаление доступа конкретного пользователя, как, например, при выпуске или увольнении. Отдельные логины также часто используются для подотчетности, например, чтобы узнать, кто изменил часть данных.

Архитектура защиты паролем [ править ]

Общие методы, используемые для повышения безопасности компьютерных систем, защищенных паролем, включают:

  • Отсутствие отображения пароля на экране дисплея при его вводе или его скрытие при вводе с помощью звездочек (*) или маркеров (•).
  • Разрешение паролей достаточной длины. (Некоторые устаревшие операционные системы, включая ранние версии [ какие? ] Unix и Windows, ограничивали пароли до 8 символов, [38] [39] [40] снижая безопасность.)
  • Требование от пользователей повторно вводить свой пароль после периода бездействия (политика полувыхода).
  • Применение политики паролей для повышения надежности и безопасности пароля .
    • Назначение случайно выбранных паролей.
    • Требуется минимальная длина пароля. [27]
    • В некоторых системах в пароле требуются символы из различных классов символов - например, «должен иметь хотя бы одну заглавную и хотя бы одну строчную букву». Однако пароли со строчными буквами более безопасны для каждого нажатия клавиши, чем пароли со смешанными заглавными буквами. [41]
    • Используйте черный список паролей, чтобы заблокировать использование слабых, легко угадываемых паролей.
    • Обеспечение альтернативы вводу с клавиатуры (например, голосовые пароли или биометрические идентификаторы).
    • Требование более чем одной системы аутентификации, например двухфакторной аутентификации (что-то, что есть у пользователя и что-то, что пользователь знает).
  • Использование зашифрованных туннелей или соглашения о ключах с аутентификацией паролем для предотвращения доступа к передаваемым паролям через сетевые атаки
  • Ограничение количества допустимых сбоев в течение заданного периода времени (для предотвращения повторного подбора пароля). После достижения лимита дальнейшие попытки (включая попытки ввода правильного пароля) завершатся неудачно до начала следующего периода времени. Однако это уязвимо для формы атаки отказа в обслуживании .
  • Введение задержки между попытками отправки пароля для замедления программ автоматического подбора пароля.

Некоторые из более строгих мер по обеспечению соблюдения политики могут создать риск отчуждения пользователей, что может привести к снижению безопасности.

Повторное использование пароля [ править ]

Пользователи компьютеров часто используют один и тот же пароль на нескольких сайтах. Это представляет значительный риск для безопасности, поскольку злоумышленнику необходимо взломать только один сайт, чтобы получить доступ к другим сайтам, которые использует жертва. Эта проблема усугубляется также повторным использованием имен пользователей и веб-сайтами, требующими входа по электронной почте, поскольку это упрощает злоумышленнику отслеживание одного пользователя на нескольких сайтах. Повторного использования паролей можно избежать или свести к минимуму, используя мнемонические методы , записывая пароли на бумаге или используя диспетчер паролей . [42]

Исследователи из Редмонда Диней Флоренсио и Кормак Херли вместе с Полом К. ван Оршотом из Карлтонского университета, Канада, утверждали, что повторное использование пароля неизбежно и что пользователи должны повторно использовать пароли для веб-сайтов с низким уровнем безопасности (которые содержат мало личных данных и никакой финансовой информации, например), и вместо этого сосредотачивают свои усилия на запоминании длинных сложных паролей для нескольких важных учетных записей, таких как банковские счета. [43] Аналогичные аргументы были выдвинуты Forbes, чтобы не менять пароли так часто, как советуют многие «эксперты», из-за тех же ограничений в человеческой памяти. [35]

Записывать пароли на бумаге [ править ]

Исторически сложилось так, что многие эксперты по безопасности просили людей запоминать свои пароли: «Никогда не записывайте пароль». В последнее время многие эксперты по безопасности, такие как Брюс Шнайер, рекомендуют людям использовать пароли, которые слишком сложны для запоминания, записывать их на бумаге и хранить в бумажнике. [44] [45] [46] [47] [48] [49] [50]

Программное обеспечение менеджера паролей также может относительно безопасно хранить пароли в зашифрованном файле, запечатанном одним мастер-паролем.

После смерти [ править ]

Согласно опросу Лондонского университета , каждый десятый человек теперь оставляет свои пароли в своем завещании, чтобы передать эту важную информацию после смерти. Согласно опросу, треть людей согласны с тем, что их данные, защищенные паролем, достаточно важны, чтобы их можно было передать по своему желанию. [51]

Многофакторная аутентификация [ править ]

Основная статья: Многофакторная аутентификация

В схемах многофакторной аутентификации пароли (как «факторы знания») сочетаются с одним или несколькими другими средствами аутентификации, чтобы сделать аутентификацию более безопасной и менее уязвимой для взломанных паролей. Например, простой двухфакторный вход в систему может отправлять текстовое сообщение, электронное письмо, автоматический телефонный звонок или подобное предупреждение при каждой попытке входа, возможно, с указанием кода, который необходимо ввести в дополнение к паролю. [52] К более сложным факторам относятся такие вещи, как аппаратные токены и биометрическая безопасность.

Правила паролей [ править ]

Дополнительная информация: Политика паролей

Большинство организаций определяют политику паролей, которая устанавливает требования к составу и использованию паролей, обычно диктуя минимальную длину, требуемые категории (например, верхний и нижний регистр, числа и специальные символы), запрещенные элементы (например, использование собственного имени, дата рождения, адрес, номер телефона). Некоторые правительства имеют национальные структуры аутентификации [53], которые определяют требования к аутентификации пользователей для государственных служб, включая требования к паролям.

Многие веб-сайты применяют стандартные правила, такие как минимальная и максимальная длина, но также часто включают правила композиции, такие как использование хотя бы одной заглавной буквы и хотя бы одного числа / символа. Эти последние, более конкретные правила были в значительной степени основаны на отчете Национального института стандартов и технологий (NIST) за 2003 год , автором которого является Билл Берр. [54] Первоначально предлагалось использовать числа, непонятные символы и заглавные буквы и регулярно обновлять. В статье Wall Street Journal за 2017 год Берр сообщил, что сожалеет об этих предложениях и совершил ошибку, когда рекомендовал их. [55]

Согласно переписанному в 2017 году отчету NIST, многие веб-сайты имеют правила, которые на самом деле оказывают противоположное влияние на безопасность их пользователей. Это включает в себя сложные правила композиции, а также принудительную смену пароля через определенные промежутки времени. Хотя эти правила давно получили широкое распространение, они также долгое время считались раздражающими и неэффективными как пользователями, так и экспертами по кибербезопасности. [56] NIST рекомендует людям использовать более длинные фразы в качестве паролей (и советует веб-сайтам увеличить максимальную длину пароля) вместо трудно запоминаемых паролей с «иллюзорной сложностью», таких как «pA55w + rd». [57]Пользователь, которому запрещено использовать пароль «пароль», может просто выбрать «Пароль1», если требуется, чтобы включить число и заглавную букву. В сочетании с принудительной периодической сменой пароля это может привести к созданию паролей, которые трудно запомнить, но легко взломать. [54]

Пол Грасси, один из авторов отчета NIST за 2017 год, уточнил: «Всем известно, что восклицательный знак - это 1, или I, или последний символ пароля. $ - это S или 5. Если мы правильно их используем. -известные уловки, мы не обманываем злоумышленников. Мы просто обманываем базу данных, в которой хранятся пароли, так, чтобы они думали, что пользователь сделал что-то хорошее ». [56]

Пиерис Цоккис и Элиана Ставру смогли определить некоторые стратегии построения неверных паролей в ходе своих исследований и разработки инструмента для генерации паролей. Они придумали восемь категорий стратегий создания паролей, основанных на открытых списках паролей, инструментах для взлома паролей и онлайн-отчетах со ссылкой на наиболее часто используемые пароли. Эти категории включают информацию, связанную с пользователем, сочетания клавиш и шаблоны, стратегию размещения, текстовый редактор, подстановку, использование заглавных букв, даты добавления и комбинацию предыдущих категорий [58]

Взлом пароля [ править ]

Основная статья: Взлом пароля

Попытка взломать пароли, испробовав столько возможностей, сколько позволяют время и деньги, является атакой грубой силы . Связанный метод, более эффективный в большинстве случаев, - это атака по словарю . При атаке по словарю проверяются все слова в одном или нескольких словарях. Списки общих паролей также обычно проверяются.

Надежность пароля - это вероятность того, что пароль невозможно угадать или обнаружить, и зависит от используемого алгоритма атаки. Криптологи и компьютерные ученые часто называют силу или «твердость» энтропией . [14]

Легко обнаруживаемые пароли называются слабыми или уязвимыми ; пароли, которые сложно или невозможно раскрыть, считаются надежными . Существует несколько программ для атаки на пароли (или даже аудита и восстановления системным персоналом), таких как L0phtCrack , John the Ripper и Cain ; некоторые из них используют уязвимости конструкции паролей (обнаруженные в системе Microsoft LANManager) для повышения эффективности. Эти программы иногда используются системными администраторами для обнаружения слабых паролей, предлагаемых пользователями.

Исследования производственных компьютерных систем неизменно показывают, что большая часть всех выбираемых пользователем паролей легко подбирается автоматически. Например, Колумбийский университет обнаружил, что 22% паролей пользователей можно восстановить без особых усилий. [59] По словам Брюса Шнайера , изучения данных о фишинг- атаке 2006 года , 55% паролей MySpace можно было бы взломать за 8 часов с помощью имеющегося в продаже набора инструментов для восстановления паролей, способного проверять 200 000 паролей в секунду в 2006 году. [60] Он также сообщил, что что самым распространенным паролем был пароль1, что еще раз подтверждает общее отсутствие осознанной осторожности при выборе паролей среди пользователей. (Тем не менее он утверждал, основываясь на этих данных, что общее качество паролей с годами улучшилось - например, средняя длина составляла до восьми символов из менее семи в предыдущих опросах, и менее 4% составляли словарные слова [61]. ] )

Инциденты [ править ]

  • 16 июля 1998 г. CERT сообщил об инциденте, когда злоумышленник обнаружил 186 126 зашифрованных паролей. На момент обнаружения злоумышленника уже было взломано 47 642 пароля. [62]
  • В сентябре 2001 года, после гибели 960 сотрудников в Нью-Йорке в результате атак 11 сентября , финансовая компания Cantor Fitzgerald через Microsoft взломала пароли умерших сотрудников, чтобы получить доступ к файлам, необходимым для обслуживания клиентских учетных записей. [63] Технические специалисты использовали атаки методом перебора, а интервьюеры связывались с семьями, чтобы собрать персонализированную информацию, которая могла бы сократить время поиска более слабых паролей. [63]
  • В декабре 2009 года произошло серьезное нарушение пароля на веб- сайте Rockyou.com, в результате которого было выпущено 32 миллиона паролей. Затем хакер передал в Интернет полный список из 32 миллионов паролей (без какой-либо другой идентифицирующей информации). Пароли хранились в открытом виде в базе данных и извлекались с помощью уязвимости SQL-инъекции. Центр защиты приложений Imperva (ADC) провел анализ надежности паролей. [64]
  • В июне 2011 года в НАТО (Организация Североатлантического договора) произошла брешь в системе безопасности, в результате которой были обнародованы имена и фамилии, имена пользователей и пароли для более чем 11 000 зарегистрированных пользователей их электронных книжных магазинов. Утечка данных произошла в рамках Operation AntiSec , движения, в которое входят Anonymous , LulzSec , а также другие хакерские группы и отдельные лица. Цель AntiSec - раскрыть миру личную, конфиденциальную и ограниченную информацию с использованием любых необходимых средств. [65]
  • 11 июля 2011 г. серверы Booz Allen Hamilton , консалтинговой фирмы, которая работает на Пентагон , были взломаны Anonymous, и в тот же день произошла утечка информации. «Утечка, получившая название« Военный кризис в понедельник », включает 90 000 логинов военнослужащих, включая персонал из USCENTCOM , SOCOM , морской пехоты , различных объектов ВВС , внутренней безопасности , сотрудников Госдепартамента и, похоже, подрядчиков из частного сектора». [66] Эти просочившиеся пароли хешировались в SHA1, а затем были расшифрованы и проанализированы командой ADC в Imperva., показывая, что даже военнослужащие ищут ярлыки и способы обойти требования к паролям. [67]

Альтернативы паролям для аутентификации [ править ]

Многочисленные способы взлома постоянных или полупостоянных паролей побудили к разработке других методов. К сожалению, некоторые из них не подходят на практике, и в любом случае немногие из них стали общедоступными для пользователей, ищущих более безопасную альтернативу. [ необходима цитата ] В статье 2012 года [68] исследуется, почему оказалось так трудно заменить пароли (несмотря на многочисленные прогнозы, что они скоро уйдут в прошлое [69] ); при изучении тридцати представительных предложенных замен в отношении безопасности, удобства использования и возможности развертывания они пришли к выводу, что «ни одна из них даже не сохраняет полный набор преимуществ, которые уже предоставляют устаревшие пароли».

  • Одноразовые пароли . Наличие паролей, которые действительны только один раз, делает многие потенциальные атаки неэффективными. Большинство пользователей находят одноразовые пароли крайне неудобными. Однако они широко используются в онлайн-банкинге для физических лиц , где они известны как номера аутентификации транзакции (TAN). Поскольку большинство домашних пользователей выполняют лишь небольшое количество транзакций каждую неделю, проблема одноразового использования в данном случае не привела к невыносимой неудовлетворенности клиентов.
  • Одноразовые пароли с синхронизацией по времени в некотором смысле похожи на одноразовые пароли, но вводимое значение отображается на небольшом (обычно карманном) элементе и меняется каждую минуту или около того.
  • Одноразовые пароли PassWindow используются как одноразовые, но вводимые динамические символы видны только тогда, когда пользователь накладывает уникальный напечатанный визуальный ключ на созданное сервером изображение запроса, отображаемое на экране пользователя.
  • Контроль доступа на основе криптографии с открытым ключом, например ssh . Необходимые ключи обычно слишком велики для запоминания (но см. Предложение Passmaze) [70] и должны храниться на локальном компьютере, токене безопасности или переносном запоминающем устройстве, таком как флэш-накопитель USB или даже гибкий диск . Закрытый ключ может храниться у поставщика облачных услуг и активироваться с помощью пароля или двухфакторной аутентификации.
  • Биометрические методы обещают аутентификацию, основанную на неизменяемых личных характеристиках, но в настоящее время (2008 г.) имеют высокий уровень ошибок и требуют дополнительного оборудования для сканирования, например, отпечатков пальцев , радужной оболочки глаза и т. Д. Их легко подделать в некоторых известных инцидентах, тестирующих коммерчески доступные системы. например, демонстрация подделки отпечатков пальцев мармеладки [71], и, поскольку эти характеристики неизменны, они не могут быть изменены в случае компрометации; это очень важное соображение при управлении доступом, поскольку скомпрометированный маркер доступа обязательно небезопасен.
  • Утверждается, что технология единого входа устраняет необходимость использования нескольких паролей. Такие схемы не освобождают пользователей и администраторов от выбора разумных единых паролей, а также не освобождают проектировщиков и администраторов систем от необходимости гарантировать, что информация управления частным доступом, передаваемая между системами, обеспечивающими единый вход, защищена от атак. Пока что удовлетворительный стандарт не разработан.
  • Технология Envaulting - это способ защиты данных на съемных запоминающих устройствах, таких как USB-накопители, без использования пароля. Вместо паролей пользователей контроль доступа основан на доступе пользователя к сетевому ресурсу.
  • Нетекстовые пароли, такие как графические пароли или пароли, основанные на движении мыши. [72] Графические пароли - это альтернативное средство аутентификации для входа в систему, предназначенное для использования вместо обычного пароля; они используют изображения , графику или цвета вместо букв , цифр или специальных символов . Одна система требует, чтобы пользователи выбирали серию лиц в качестве пароля, используя способность человеческого мозга легко вспоминать лица . [73]В некоторых реализациях пользователю требуется выбрать из серии изображений в правильной последовательности, чтобы получить доступ. [74] Другое решение с графическим паролем создает одноразовый пароль с использованием случайно сгенерированной сетки изображений. Каждый раз, когда пользователю требуется пройти аутентификацию, он ищет изображения, которые соответствуют их заранее выбранным категориям, и вводит случайно сгенерированный буквенно-цифровой символ, который появляется на изображении, чтобы сформировать одноразовый пароль. [75] [76] Пока что графические пароли многообещающи, но не получили широкого распространения. Были проведены исследования по этому вопросу, чтобы определить его применимость в реальном мире. Хотя некоторые считают, что графические пароли сложнее взломать, другие предполагают, что люди будут так же склонны выбирать общие изображения или последовательности, как и общие пароли. [ необходима цитата ]
  • Двумерный ключ (двумерный ключ) [77] - это метод ввода двумерного ключа, похожий на матрицу, имеющий ключевые стили многострочной кодовой фразы, кроссворда, ASCII / Unicode art, с дополнительными текстовыми семантическими шумами, для создания большого пароля / ключа длиной более 128 бит. реализовать MePKC (Memorizable Public-Key Cryptography) [78] с использованием полностью запоминаемого закрытого ключа на основе современных технологий управления закрытыми ключами, таких как зашифрованный закрытый ключ, разделенный закрытый ключ и перемещаемый закрытый ключ.
  • В когнитивных паролях используются пары «вопрос-ответ», «реплика / ответ» для подтверждения личности.

"Пароль мертв" [ править ]

То, что «пароль мертв» - повторяющаяся идея в области компьютерной безопасности . Приводимые причины часто включают ссылку на удобство использования, а также на проблемы безопасности паролей. Он часто сопровождается аргументами о том, что замена паролей более безопасными средствами аутентификации необходима и неизбежна. Это утверждение было сделано многими людьми, по крайней мере, с 2004 года. [69] [79] [80] [81] [82] [83] [84] [85]

Альтернативы паролей включают биометрические , двухфакторную проверку подлинность или единый вход , Microsoft «s CardSpace , то проект Higgins , то Liberty Alliance , NSTIC , то FIDO Alliance и различные удостоверения 2.0 предложений. [86] [87]

Однако, несмотря на эти прогнозы и попытки их заменить, пароли по-прежнему остаются доминирующей формой аутентификации в Интернете. В «Постоянстве паролей» Кормак Херли и Пол ван Оршот предлагают сделать все возможное, чтобы положить конец «совершенно неверному предположению» о том, что пароли мертвы. [88] Они утверждают, что «ни одна другая технология не может сравниться с их сочетанием стоимости, оперативности и удобства» и что «пароли сами по себе лучше всего подходят для многих сценариев, в которых они используются в настоящее время».

Вслед за этим Bonneau et al. систематически сравнивал веб-пароли с 35 конкурирующими схемами аутентификации с точки зрения их удобства использования, возможности развертывания и безопасности. [89] [90] Их анализ показывает, что большинство схем работают лучше, чем пароли, с точки зрения безопасности, некоторые схемы работают лучше, а некоторые хуже с точки зрения удобства использования, в то время как каждая схема работает хуже, чем пароли по возможности развертывания. Авторы делают вывод следующим наблюдением: «Предельной выгоды часто недостаточно для достижения энергии активации, необходимой для преодоления значительных затрат на переходный период, что может дать лучшее объяснение того, почему мы, вероятно, проживем значительно дольше, прежде чем увидим прибытие похоронной процессии для паролей. на кладбище ».

См. Также [ править ]

  • Код доступа (значения)
  • Аутентификация
  • CAPTCHA
  • Когнитивная наука
  • Diceware
  • Kerberos (протокол)
  • Ключевой файл
  • Кодовая фраза
  • Безопасный обмен паролями
  • Взлом пароля
  • Усталость паролей
  • Параметр длины пароля
  • Менеджер паролей
  • Электронная почта с уведомлением о пароле
  • Политика паролей
  • Психология паролей
  • Надежность Пароля
  • Синхронизация паролей
  • Соглашение о ключах с аутентификацией паролем
  • Общий ключ
  • Генератор случайных паролей
  • Радужный стол
  • Самостоятельный сброс пароля
  • Удобство использования систем веб-аутентификации

Ссылки [ править ]

  1. ^ a b «пароль» . YourDictionary . Дата обращения 17 мая 2019 .
  2. ↑ a b Уильямс, Шеннон (21 октября 2020 г.). «У обычного человека 100 паролей - учись» . NordPass . Проверено 28 апреля 2021 года .
  3. ^ a b Грасси, Пол А .; Гарсия, Майкл Э .; Фентон, Джеймс Л. (июнь 2017 г.). «Специальная публикация NIST 800-63-3: Рекомендации по цифровой идентификации» . Национальный институт стандартов и технологий (NIST). DOI : 10,6028 / NIST.SP.800-63-3 . Дата обращения 17 мая 2019 . Цитировать журнал требует |journal=( помощь )
  4. ^ "протокол аутентификации" . Центр ресурсов компьютерной безопасности (NIST) . Дата обращения 17 мая 2019 .
  5. ^ "Кодовая фраза" . Центр ресурсов компьютерной безопасности (NIST) . Дата обращения 17 мая 2019 .
  6. Полибий о римской армии. Архивировано 7 февраля 2008 г. в Wayback Machine . Ancienthistory.about.com (13 апреля 2012 г.). Проверено 20 мая 2012.
  7. ^ Марк Бандо (2007). 101-й воздушно-десантный: Кричащие орлы во Второй мировой войне . Издательская компания Мби. ISBN 978-0-7603-2984-9. Архивировано 2 июня 2013 года . Проверено 20 мая 2012 года .
  8. Макмиллан, Роберт (27 января 2012 г.). «Первый в мире компьютерный пароль? Он тоже был бесполезен» . Проводной журнал . Проверено 22 марта 2019 .
  9. Хант, Трой (26 июля 2017 г.). «Эволюция паролей: руководство по аутентификации в современную эпоху» . Проверено 22 марта 2019 .
  10. ^ Руководство программиста CTSS, 2-е изд., MIT Press, 1965
  11. ^ Моррис, Роберт; Томпсон, Кен (1978-04-03). «Защита паролем: история болезни». Bell Laboratories . CiteSeerX 10.1.1.128.1635 . 
  12. ^ Вэнс, Эшли (10.01.2010). «Если ваш пароль 123456, просто сделайте его HackMe» . Нью-Йорк Таймс . Архивировано 11 февраля 2017 года.
  13. ^ «Управление сетевой безопасностью» . Архивировано 2 марта 2008 года . Проверено 31 марта 2009 .CS1 maint: bot: original URL status unknown (link). Фред Коэн и партнеры. All.net. Проверено 20 мая 2012.
  14. ^ a b c d Лундин, Ли (2013-08-11). «ПИН-коды и пароли, часть 2» . Пароли . Орландо: SleuthSayers.
  15. ^ Запоминаемость и безопасности паролей архивации 2012-04-14 в Wayback Machine (PDF). ncl.ac.uk. Проверено 20 мая 2012.
  16. ^ Майкл Э. Уитмен; Герберт Дж. Мэтторд (2014). Принципы информационной безопасности . Cengage Learning. п. 162. ISBN. 978-1-305-17673-7.
  17. ^ Льюис, Дэйв (2011). Ctrl-Alt-Delete . п. 17. ISBN 978-1471019111. Проверено 10 июля 2015 года .
  18. ^ Techlicious / Фокс Ван Аллен @techlicious (2013-08-08). «Google раскрывает 10 наихудших идей для паролей | TIME.com» . Techland.time.com. Архивировано 22 октября 2013 года . Проверено 16 октября 2013 .
  19. ^ Флейшман, Гленн (24 ноября 2015). «Записывайте свои пароли для повышения безопасности - нелогичное представление делает вас менее уязвимыми для удаленных атак, а не больше» . MacWorld . Проверено 28 апреля 2021 года .
  20. ^ Блог Lyquix: нужно ли нам скрывать пароли? Архивировано 25 апреля 2012 года на Wayback Machine . Lyquix.com. Проверено 20 мая 2012.
  21. ^ Джонатан Кент Малайзийские угонщики автомобилей крадут палец. Архивировано 20 ноября 2010 г. в Wayback Machine . BBC (31 марта 2005 г.)
  22. ^ Стюарт Браун «Десять основных паролей, используемых в Соединенном Королевстве» . Архивировано из оригинала 8 ноября 2006 года . Проверено 14 августа 2007 .. Modernlifeisrubbish.co.uk (26 мая 2006 г.). Проверено 20 мая 2012.
  23. ^ Патент США 8046827 
  24. ^ Уилкс, М.В. Компьютерные системы с разделением времени. Американский Эльзевир, Нью-Йорк, (1968).
  25. Скофилд, Джек (10 марта 2003 г.). «Роджер Нидхэм» . Хранитель .
  26. ^ Буг Заклинатель: Пароли Matter архивации 2013-11-02 в Wayback Machine . Bugcharmer.blogspot.com (20.06.2012). Проверено 30 июля 2013.
  27. ^ a b Александр, Стивен. (2012-06-20) Заклинатель ошибок: Какой длины должны быть пароли? Архивировано 20 сентября 2012 года на Wayback Machine . Bugcharmer.blogspot.com. Проверено 30 июля 2013.
  28. ^ "passlib.hash - Схемы хеширования паролей". Архивировано 21 июля 2013 г. на Wayback Machine .
  29. ^ a b Florencio et al., Руководство администратора по исследованию паролей в Интернете, архивировано 14 февраля 2015 г. на Wayback Machine . (pdf) Проверено 14 марта 2015.
  30. ^ История взлома - Как я взломал более 122 миллионов хешированных паролей SHA1 и MD5 «Thireus 'Bl0g. Архивировано 30 августа 2012 г. на Wayback Machine . Blog.thireus.com (29 августа 2012 г.). Проверено 30 июля 2013.
  31. ^ а б Моррис, Роберт и Томпсон, Кен (1979). «Защита паролем: история болезни» . Коммуникации ACM . 22 (11): 594–597. CiteSeerX 10.1.1.135.2097 . DOI : 10.1145 / 359168.359172 . S2CID 207656012 . Архивировано из оригинала на 2003-03-22.  
  32. ^ Защита паролем для современных операционных систем. Архивировано 11 марта 2016 г. на Wayback Machine (pdf). Usenix.org. Проверено 20 мая 2012.
  33. ^ Как запретить Windows хранить хэш вашего пароля LAN-менеджера в Active Directory и локальных базах данных SAM. Архивировано 09 мая 2006 г. на Wayback Machine . support.microsoft.com (2007-12-03). Проверено 20 мая 2012.
  34. ^ «Почему вы должны лгать, задавая вопросы безопасности паролей» . Techlicious. 2013-03-08. Архивировано 23 октября 2013 года . Проверено 16 октября 2013 .
  35. ^ a b Джозеф Стейнберг (12 ноября 2014 г.). «Forbes: почему вы должны игнорировать все, что вам говорили о выборе паролей» . Forbes . Архивировано 12 ноября 2014 года . Проверено 12 ноября 2014 года .
  36. ^ «Проблемы с принудительным истечением срока действия обычного пароля» . IA Matters . CESG: подразделение информационной безопасности GCHQ. 15 апреля 2016 года Архивировано из оригинала 17 августа 2016 года . Дата обращения 5 августа 2016 .
  37. Шнайер, обсуждение вопросов безопасности при смене паролей. Архивировано 30 декабря 2010 г. на Wayback Machine . Schneier.com. Проверено 20 мая 2012.
  38. ^ Зельцер, Ларри. (09.02.2010) «American Express: надежный кредит, слабые пароли». Архивировано 12 июля 2017 г. в Wayback Machine . Pcmag.com. Проверено 20 мая 2012.
  39. ^ «Десять мифов о паролях Windows», заархивировано 28 января 2016 г. на Wayback Machine : «Диалоговые окна NT ... пароли ограничены до 14 символов»
  40. ^ «Вы должны ввести пароль длиной от 1 до 8 символов» . Jira.codehaus.org. Проверено 20 мая 2012. Архивировано 21 мая 2015 года на Wayback Machine.
  41. ^ "Использовать или не использовать заглавные буквы?" Архивировано 17 февраля 2009 года на Wayback Machine . World.std.com. Проверено 20 мая 2012.
  42. Томас, Кейр (10 февраля 2011 г.). «Повторное использование паролей - слишком распространенное явление, как показывают исследования» . Мир ПК . Архивировано 12 августа 2014 года . Проверено 10 августа 2014 года .
  43. Паули, Даррен (16 июля 2014 г.). «Microsoft: вам НУЖНЫ плохие пароли, и вы должны часто их использовать» . Реестр . Архивировано 12 августа 2014 года . Проверено 10 августа 2014 .
  44. Брюс Шнайер: Информационный бюллетень Crypto-Gram, архивированный 15 ноября 2011 г.на Wayback Machine 15 мая 2001 г.
  45. ^ «Десять мифов о паролях Windows». Архивировано 28 января 2016 г. на Wayback Machine : Myth # 7. Никогда не записывайте свой пароль
  46. ^ Котадиа, Мунир (2005-05-23) Гуру безопасности Microsoft: Запишите свои пароли . News.cnet.com. Проверено 20 мая 2012.
  47. ^ «Дилемма надежного пароля». Архивировано 18 июля 2010 г. в Wayback Machine Ричардом Э. Смитом: «Мы можем резюмировать классические правила выбора пароля следующим образом: пароль должен быть невозможным для запоминания и никогда не записываться».
  48. Боб Дженкинс (11 января 2013 г.). «Выбор случайных паролей» . Архивировано 18 сентября 2010 года.
  49. ^ «Запоминаемость и безопасность паролей - некоторые эмпирические результаты». Архивировано 19 февраля 2011 г. в Wayback Machine (pdf)
    «ваш пароль ... в безопасном месте, например, на задней стороне кошелька или кошелька».
  50. ^ "Следует ли мне записать кодовую фразу?" Архивировано 17 февраля 2009 года на Wayback Machine . World.std.com. Проверено 20 мая 2012.
  51. ^ Джаффери, Саман М. (17 октября 2011). «Опрос: 11% британцев включают Интернет-пароли в завещание» . ТОО "Халл энд Халл". Архивировано из оригинального 25 декабря 2011 года . Проверено 16 июля 2012 года .
  52. ^ Двухфакторная аутентификация. Архивировано 18 июня 2016 г. на Wayback Machine.
  53. ^ Повышение удобства использования управления паролями с помощью стандартизированных политик паролей. Архивировано 20 июня 2013 г. на Wayback Machine (pdf). Проверено 12 октября 2012.
  54. ^ a b Ненавидите глупые правила паролей? Как и парень, который их создал , ZDNet
  55. ^ У человека, который написал эти правила паролей, есть новый совет: N3v $ r M1 ^ d! , Wall Street Journal
  56. ^ a b Эксперты говорят, что мы наконец можем отказаться от этих глупых правил паролей , Fortune
  57. ^ Новые правила паролей NIST - что вам нужно знать , Naked Security
  58. ^ П. Цоккис и Э. Ставру, «Инструмент генерации паролей для повышения осведомленности пользователей о стратегиях построения неверных паролей», Международный симпозиум по сетям, компьютерам и коммуникациям (ISNCC) 2018 г., Рим, 2018 г., стр. 1-5, doi : 10.1109 / ISNCC.2018.8531061.
  59. ^ "Пароль" . Архивировано 23 апреля 2007 года . Проверено 20 мая 2012 .CS1 maint: bot: original URL status unknown (link). cs.columbia.edu
  60. Шнайер, Реальные пароли, заархивированные 23 сентября 2008 г. на Wayback Machine . Schneier.com. Проверено 20 мая 2012.
  61. ^ Пароли MySpace не такие уж и глупые. Архивировано 29 марта 2014 г. на Wayback Machine . Wired.com (27 октября 2006 г.). Проверено 20 мая 2012.
  62. ^ "CERT IN-98.03" . 1998-07-16 . Проверено 9 сентября 2009 .
  63. ^ а б Урбина, Ян; Дэвис, Лесли (23 ноября 2014 г.). «Тайная жизнь паролей» . Нью-Йорк Таймс . Архивировано 28 ноября 2014 года.
  64. ^ «Наихудшие методы использования пользовательских паролей (pdf)» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 года.
  65. ^ "Сайт НАТО взломан" . Реестр . 2011-06-24. Архивировано 29 июня 2011 года . Проверено 24 июля 2011 года .
  66. ^ "Анонимные утечки 90 000 военных учетных записей электронной почты в последней антисекционной атаке" . 2011-07-11. Архивировано 14 июля 2017 года.
  67. ^ «Анализ военного пароля» . 2011-07-12. Архивировано 15 июля 2011 года.
  68. ^ «В поисках замены паролей (pdf)» (PDF) . IEEE. 2012-05-15. Архивировано (PDF) из оригинала 19 марта 2015 года . Проверено 11 марта 2015 .
  69. ^ a b «Гейтс предсказывает смерть пароля» . CNET . 2004-02-25. Архивировано 2 апреля 2015 года . Проверено 14 марта 2015 .
  70. ^ Криптология Eprint Архив: Отчет 2005/434 архивации 2006-06-14 в Wayback Machine . eprint.iacr.org. Проверено 20 мая 2012.
  71. ^ Т. Мацумото. H Matsumotot; К. Ямада и С. Хосино (2002). «Воздействие искусственных« мармеладных »пальцев на системы отпечатков пальцев». Proc SPIE . Оптическая безопасность и методы защиты от подделки IV. 4677 : 275. Bibcode : 2002SPIE.4677..275M . DOI : 10.1117 / 12.462719 . S2CID 16897825 . 
  72. ^ Использование AJAX для паролей изображений - Безопасность AJAX Часть 1 из 3 Архивировано 16 июня 2006 г. на Wayback Machine . waelchatila.com (18 сентября 2005 г.). Проверено 20 мая 2012.
  73. Батлер, Рик А. (21 декабря 2004 г.) Лицо в толпе. Архивировано 27июня2006 г. в Wayback Machine . mcpmag.com. Проверено 20 мая 2012.
  74. ^ графический пароль или графическая аутентификация пользователя (GUA). Архивировано 21 февраля 2009 г. на Wayback Machine . searchsecurity.techtarget.com. Проверено 20 мая 2012.
  75. ^ Эрика Чиковски (2010-11-03). «Изображения могут изменить изображение для аутентификации» . Темное чтение. Архивировано 10 ноября 2010 года.
  76. ^ «Компания Confident Technologies обеспечивает многофакторную аутентификацию на основе изображений для усиления паролей на общедоступных веб-сайтах» . 2010-10-28. Архивировано 07 ноября 2010 года.
  77. ^ Руководство пользователя для метода и системы ввода двумерного ключа (2D Key). Архивировано 18 июля 2011 г. в Wayback Machine . xpreeli.com. (2008-09-08). Проверено 20 мая 2012.
  78. Kok-Wah Lee «Методы и системы для создания больших запоминаемых секретов и их применения» Патент US20110055585 Архивировано 13 апреля 2015 г. в Wayback Machine , WO2010010430 . Дата подачи: 18 декабря 2008 г.
  79. ^ Котадий Мунир (25 февраля 2004). «Гейтс предсказывает смерть пароля» . ZDNet . Дата обращения 8 мая 2019 .
  80. ^ «IBM раскрывает пять инноваций, которые изменят нашу жизнь в течение пяти лет» . IBM. 2011-12-19. Архивировано 17 марта 2015 года . Проверено 14 марта 2015 .
  81. ^ Хонан, Mat (2012-05-15). «Убей пароль: почему последовательность символов больше не может нас защитить» . Проводной . Архивировано 16 марта 2015 года . Проверено 14 марта 2015 .
  82. ^ "Служба безопасности Google: 'Пароли мертвы ' " . CNET . 2004-02-25. Архивировано 2 апреля 2015 года . Проверено 14 марта 2015 .
  83. ^ «Аутентификация в масштабе» . IEEE. 2013-01-25. Архивировано 2 апреля 2015 года . Проверено 12 марта 2015 .
  84. ^ Мимс, Кристофер (2014-07-14). «Пароль наконец умирает. Вот мой» . Wall Street Journal . Архивировано 13 марта 2015 года . Проверено 14 марта 2015 .
  85. ^ "Кража русских учетных данных показывает, почему пароль мертв" . Компьютерный мир . 2014-08-14. Архивировано 2 апреля 2015 года . Проверено 14 марта 2015 .
  86. ^ "Глава NSTIC Джереми Грант хочет убить пароли" . Fedscoop. 2014-09-14. Архивировано 18 марта 2015 года . Проверено 14 марта 2015 .
  87. ^ «Обзор спецификаций» . Альянс ФИДО. 2014-02-25. Архивировано 15 марта 2015 года . Проверено 15 марта 2015 .
  88. ^ «Программа исследования, подтверждающая стойкость паролей» . Безопасность и конфиденциальность IEEE. Янв 2012. Архивировано 20 июня 2015 года . Проверено 20 июня 2015 .
  89. ^ Бонно, Жозеф; Херли, Кормак; Оршот, Пол К. ван; Стаджано, Франк (2012). «Поиски замены паролей: основа для сравнительной оценки схем веб-аутентификации» . Технический отчет - Кембриджский университет. Компьютерная лаборатория . Кембридж, Великобритания: Компьютерная лаборатория Кембриджского университета. ISSN 1476-2986 . Проверено 22 марта 2019 . 
  90. ^ Бонно, Жозеф; Херли, Кормак; Оршот, Пол К. ван; Стаджано, Франк (2012). Поиски замены паролей: основа для сравнительной оценки схем веб-аутентификации . Симпозиум IEEE 2012 г. по безопасности и конфиденциальности. Сан-Франциско, Калифорния. С. 553–567. DOI : 10,1109 / SP.2012.44 .

Внешние ссылки [ править ]

  • Графические пароли: обзор
  • Большой список часто используемых паролей
  • Большой сборник статистики о паролях
  • Исследования по криптографии на основе паролей
  • Международная конференция паролей
  • Процедурные советы для организаций и администраторов (PDF)
  • Центр безопасности, коммуникаций и сетевых исследований , Плимутский университет (PDF)
  • Проект обновления стандартов паролей NIST для федерального правительства США от 2017 г.
  • Запоминающийся и безопасный генератор паролей