.
Des mots de passe et les "expressions de passage" sont employés pour tout qui s'étend de la notation dans des bornes à vérifier des comptes d'email, de la protection excellent des bilans à fixer les clefs de chiffrage pour les réseaux PKI-permis d'entreprise. Leur utilisation à l'entreprise est répandue, pour indiquer les mineurs.
Les biscuits de mot de passe sont des programmes qui facilitent la découverte des mots de passe protégés, habituellement par une certaine méthode d'estimation automatisée. Bien que des applications et de l'équipement mal conçu d'infrastructure chiffrent ou codent des mots de passe, la plupart des logiciels d'exploitation et dispositifs de jour moderne créent des informations parasites du mot de passe à la place.
Bien que quelques mécanismes faibles de chiffrage puissent être facilement renversés, les méthodes modernes de brouillage de jour sont à sens unique—c'est-à-dire, elles ne peuvent pas être renversées et donc le déchiffrage n'est pas une option. Bien que l'utilisation des algorithmes à sens unique puisse ressembler à d'une solution roche-pleine, elle rend simplement le charger actuel peu un plus long. Pour éviter les défis créés par le brouillage, les biscuits de mot de passe utilisent simplement le même algorithme employé pour chiffrer le mot de passe original. Les outils exécutent l'analyse comparative, et essayent simplement d'assortir leurs conjectures avec les informations parasites chiffrées originales d'expression ou de mot de passe.
Beaucoup de biscuits de mot de passe ne sont rien mais devinant des moteurs, les programmes qui essayent le mot après mot, souvent aux vitesses élevées. Ces programmes se fondent sur la théorie que par la suite vous rencontrerez le bon mot ou expression. Cette théorie est saine parce que les humains sont les créatures paresseuses. Elles prennent rarement l'ennui pour créer des mots de passe forts. Cependant, cette imperfection n'est pas toujours le défaut de l'utilisateur :
Les utilisateurs sont rarement, si jamais, instruit quant à ce qui sont des choix sages pour des mots de passe. Si un mot de passe est dans le dictionnaire, il est extrêmement vulnérable à être criqué, et des utilisateurs ne sont pas simplement donnés des leçons particulières quant aux choix "sûrs" pour des mots de passe. À ces utilisateurs qui sont si instruits, beaucoup pensent cela simplement parce que leur mot de passe n'est pas dans/usr/dict/mots, il est sûr de la détection. Beaucoup d'utilisateurs disent également que parce qu'ils n'ont pas les dossiers privés en ligne, ils ne sont pas concernés par la sécurité de leur compte, se rendant compte peu qu'en fournissant un point d'entrée au système ils permettent à des dommages d'être travaillés sur leur système entier par un biscuit malveillant.
Il devrait noter, cependant, que l'approche crue d'"-NON-DANS-LE-DICTIONNAIRE" trompe maintenant légèrement aussi bien. les dictionnaires Mot de passe-fendants contiennent maintenant des centaines de milliers des noms populaires, des caractères, des bandes musicales, de l'argot, des jurons, et d'un assortiment des limites culturelement populaires qui pourraient ou ne pourraient pas être dans un dictionnaire classique. Nous explorerons la profondeur et la polyvalence du mot de passe devinant plus tard, mais le nouveau principe de base doit éviter n'importe quel genre de mot tout ensemble. Par exemple, "808state" est facilement deviné par la plupart des biscuits de mot de passe, non seulement parce qu'il est basé sur un mot (état) et un nombre (808), mais également parce que c'est le nom d'une bande populaire hors de Manchester, Angleterre. Des mots de passe plus forts peuvent être créés en employant une combinaison des lettres, des nombres, et des caractères prolongés. Les acronymes fonctionnent merveilleusement, par exemple, "j'essaye d'apprendre des techniques de sécurité de l'information rapidement!" a pu être "IT2LISTQ traduit!". C'est un mot de passe BEAUCOUP plus dur à deviner, mais être pas tout ce difficile à se rappeler.
Le problème simple de mot de passe est persistant malgré le fait que il est facile de fournir l'éducation de mot de passe-sécurité. Il embarasse comment une question concernant la sécurité si critique (qui peut facilement être adressée) est souvent négligée. L'issue va au noyau même de la sécurité :
L'exploitation des mots de passe malade-choisis et pauvre-protégés est l'une des attaques les plus communes sur la sécurité de système employée par des biscuits. Presque chaque système à utilisateurs multiples emploie des mots de passe pour se protéger contre des ouvertures non autorisées, mais comparativement peu d'installations les emploient correctement. Le problème est universel en nature, système-non spécifique ; et les solutions sont simples, peu coûteuses, et applicables à n'importe quel ordinateur, sans se soucier de logiciel d'exploitation ou de matériel. Elles peuvent être comprises par n'importe qui, et il ne prend pas un administrateur ou un programmeur système pour les mettre en application.
Bout
Un piège additionnel de mot de passe qui est fréquemment négligé est le scénario de surcharge de mot de passe. Si les utilisateurs ont une multitude de mots de passe à se rappeler, il y a une plus grande chance qu'ils les écriront pour avaler, employer des mots de passe plus faibles, ou présenter un assortiment de l'autre mot de passe peu sûr pratique dans votre environnement. C'est où les systèmes d'authentification, les services d'annuaire, et les solutions centralisés de single-connecter peuvent vous aider. Non seulement réduisent-ils des frais d'exploitation et complexité, ils vous aident finalement avec votre maintien global de sécurité.
La racine étymologique de la cryptographie de mot est instructive. Le mot crypto provient des kryptos grecs de mot. Kryptos décrit tout ce qui est caché, obscurci, voilé, secret, ou mystérieux. Le graphique de mot est dérivé du graphia, qui signifie l'écriture. Ainsi, la cryptographie est l'art de l'écriture secrète. Yaman Akdeniz, dans sa Cryptographie et chiffrage de papier, donne une excellente et concise définition de cryptographie :
La cryptographie, définie comme "science et étude de l'écriture secrète," concerne les manières dont des communications et les données peuvent être codées pour empêcher la révélation de leur contenu par l'écoute clandestine ou l'interception de message, en utilisant des codes, des chiffres, et d'autres méthodes, de sorte que seulement certaines personnes puissent voir le vrai message.
Une autre méthode légèrement plus complexe est de faire chaque lettre devenir une autre lettre, basée sur une opération par accroissement ou décrémentale standard. Un système qui fonctionne cette manière est le codage ROT-13. Dans ROT-13, une lettre de remplacement est employée. Déplacer 13 lettres en avant dans l'alphabet choisi dérive la lettre de remplacement.
Ce, aussi, est une méthode inefficace de coder ou de chiffrer un message (bien que cela a fonctionné dans les périodes romaines pour César, qui a employé a décaler-par-trois la formule). Quelques programmes identifient rapidement ce modèle. Cependant, ceci ne signifie pas que les techniques telles que ROT-13 sont inutiles. J'illustrerai pourquoi, et dans le processus, je peux démontrer le premier point important au sujet du chiffrage :
N'importe quelle forme de chiffrage peut être utile, donné des circonstances particulières. Ces circonstances pourraient dépendre du temps, la sensibilité d'information, et de qui vous souhaitez cacher des données.
En d'autres termes, les techniques telles que ROT-13 peuvent être tout à fait utiles dans les bonnes circonstances. Voici un exemple : Supposez que un biscuit veut signaler une nouvelle technique fendante au USENET. Il est trouvé un trou et veut lui donner de la publicité tandis qu'il est encore exploitable. Pour empêcher des spécialistes en sécurité de découvrir ce trou aussi rapidement que les biscuits, le biscuit emploie ROT-13 pour coder son message.
Il y a un certain nombre d'organismes qui téléchargent le trafic de USENET sur une base en gros. De cette façon, ils recueillent des informations sur la communauté de biscuit. Quelques organismes utilisent même les moteurs de recherche populaires pour fureter hors des techniques de biscuit. Ces moteurs de recherche utilisent des recherches de regex (expression régulière) (c'est-à-dire, elles recherchent par mot ou expression). Par exemple, la partie de recherche écrit une combinaison des mots comme
· fente
· entaille
· vulnérabilité
· exploit
Quand cette combinaison des mots est écrite correctement, une richesse d'information émerge. Cependant, si le biscuit emploie ROT-13, les moteurs de recherche manqueront le poteau. Par exemple, le message
Pbqvat de la Virginie EBG-13 de rapbqrq de jnf de zrffntr de Guvf. Obl, fperjl de ybbx de vg de qvq hagvy
haeniryrq vg de jr !
est au delà de l'extension du Search Engine moyen. À ce qu'il ressemble vraiment est ceci :
Ce message a été codé dans le codage ROT-13. Garçon, il a semblé screwy jusque à
nous l'avons démêlé !
La plupart des courrier et newsreader modernes soutiennent le codage ROT-13 et le décodage (l'agent libre par Forte est un ; Le paquet du courrier du Netscape Communicator Est un autre). Encore, c'est une forme rudimentaire de coder quelque chose, mais il démontre le concept. Maintenant, laissez-nous obtiennent un peu plus spécifique.
Aujourd'hui, les serveurs de l'information d'Internet exploitent beaucoup de différents logiciels d'exploitation. Cependant, pendant beaucoup d'années, UNIX était le seul jeu en ville. Le nombre plus grand de biscuits de mot de passe ont été conçus pour fendre des mots de passe d'UNIX. Commençons par UNIX, puis, et travaillez notre manière en avant.
Dans UNIX, tous les identifications d'ouverture d'utilisateur et mots de passe sont centralement stockés dans l'un ou l'autre un de deux dossiers : le dossier de passwd, habituellement trouvé dans l'annuaire/etc.., ou un dossier a appelé l'ombre, également située dans l'annuaire/etc... Ces dossiers contiennent de divers champs. De ceux, nous sommes concernés par deux : l'identification d'ouverture et le mot de passe haché.
Bout
Employer des "mots de passe d'ombre" est la manière préférée de stocker le mot de passe hache. / etc../dossier d'ombre est seulement accessible par les services de compte et de système de racine, par opposition à/etc../passwd, qui est lisible par chacun. Si vous avez n'importe quels systèmes qui stockent toujours mot de passe hache dans/etc../passwd, améliorez-les pour ombrager des mots de passe ou pour les enlever de votre environnement aussitôt que possible.
L'identification d'ouverture est stockée dans le texte plat, ou l'anglais humainement lisible. Le mot de passe est stocké sous la forme chiffrée. Le procédé de chiffrage est effectué en utilisant Crypt(3), un programme basé sur l'unité de chiffrement américaine (DES).
IBM a développé la version la plus tôt du DES ; aujourd'hui, il est employé sur toutes les plateformes d'UNIX pour le chiffrage de mot de passe. Le DES est approuvé conjointement par le bureau national des normes et de l'agence de sécurité nationale. En fait, depuis 1977, le DES a été la méthode généralement admise pour sauvegarder des données sensibles.
Le DES a été développé pour protéger certain nonclassified l'information qui pourrait exister dans les bureaux fédéraux, comme déterminé en publication fédérale 74, directives de normes de traitement de l'information pour mettre en application et usage de l'unité de chiffrement américaine de NBS :
En raison de l'indisponibilité de la technologie cryptographique générale en dehors de l'arène de sécurité nationale, et parce que des dispositions de sécurité, y compris le chiffrage, étaient nécessaires dans des applications non classifiées impliquant les systèmes informatiques de gouvernement fédéral, NBS lancent un programme de degré de sécurité d'ordinateur dans 1973 qui ont inclus le développement d'une norme pour le chiffrage de données d'ordinateur. Puisque les normes fédérales effectuent sur le secteur privé, NBS a sollicité l'intérêt et la coopération de l'industrie et des communautés d'utilisateur en cela travail.
Les informations sur le développement mécanique original du DES sont rares. Censément, à la demande de l'agence de sécurité nationale, IBM a assuré les documents classifiés. Cependant, le code source pour Crypt(3) (l'exécution courante du DES dans UNIX) est largement disponible. C'est significatif parce qu'en toutes les années que la source a été disponible pour la crypte, personne n'a encore trouvé une manière renversé-de coder facilement l'information chiffrée avec lui.
Il y a plusieurs versions de crypte, et elles fonctionnent légèrement différemment. En général, cependant, le processus est comme suit :
1. Votre mot de passe est pris en texte plat (ou, en jargon cryptographique, texte clair).
2. Votre mot de passe est employé comme une clef pour chiffrer une série de zéros (64 en tout). Le texte codé résultant désigné ensuite sous le nom du texte de chiffre, le code illisible que des résultats après texte plat est chiffrés. Ce texte de chiffre désigné parfois sous le nom des informations parasites, aussi bien, mais la limite s'adapte seulement lâchement dans ce cas-ci.
Note
Des fonctions à sens unique d'informations parasites sont fréquemment employées comme alternative aux mots de passe réellement de chiffrage. En employant des algorithmes de brouillage tels que MD5 ou SHA-1, une empreinte de pas numérique peut être créée du mot de passe qui ne contient pas le mot de passe réel lui-même. Ceci change du processus du chiffrage parce que le rendement ne contient l'entrée originale sous aucune forme, et il est donc impossible de dériver l'entrée originale du rendement. Beaucoup de systèmes modernes d'UNIX se déplacent vers l'utilisation de MD5 hache au lieu de compter sur le processus de la crypte/DES. Si vous êtes intéressé par des techniques à sens unique de brouillage, ou la cryptographie en général, Cryptographie appliquée de Bruce Schneier (John Wiley et fils, ISBN 0-471-12845-7) est un devoir-avoir.
Certaines versions de la crypte, notamment Crypt(3), prennent des mesures additionnelles. Par exemple, après être passé par ce processus, le texte chiffré est de nouveau chiffré, de nombreuses périodes, en utilisant le mot de passe comme clef. C'est une méthode assez forte de chiffrage ; il est extrêmement difficile de se casser. On l'estime, par exemple, que le même mot de passe peut être codé de 4.096 manières différentes. L'utilisateur moyen, sans n'importe quelle connaissance du système, pourrait passer probablement son vie entière essayant de fendre le DES et d'être jamais réussi. Pour obtenir cela dans la perspective appropriée, voici une évaluation du National Institute of Standards and Technology :
L'algorithme cryptographique [ DES ] transforme une valeur binaire 64-bit en valeur binaire 64-bit unique basée sur une variable 56-bit. Si l'entrée 64-bit complète est employée (c.-à-d., rien le peu d'entrée devrait être prédéterminé du bloc au bloc) et si la variable 56-bit est aléatoirement choisie, aucune technique autre qu'essayer toutes les clefs possibles employer l'entrée et le rendement connus pour le DES garantira trouver la clef choisie. Car il y a plus de 70.000.000.000.000.000 (quadrillion soixante-dix) clefs possibles de 56 bits, la praticabilité de dériver une clef particulière de cette façon est extrêmement peu probable dans les environnements typiques de menace.
L'on a pourrait penser que le DES est entièrement infaillible. Il n'est pas. Bien que l'information ne puisse pas renversé-être codée, des mots de passe chiffrés par l'intermédiaire du DES peuvent être indiqués par un processus comparatif. Le processus fonctionne comme suit :
1. Vous obtenez un dossier de dictionnaire, qui n'est vraiment pas plus qu'une liste de dossier plat (texte plat) de mots (généralement désignés sous le nom des listes de mots).
2. Ces mots sont chiffrés en utilisant le DES.
3. Chaque mot chiffré est comparé au mot de passe de cible. Si une allumette se produit, il y a une chance de 98% que le mot de passe était criqué.
Le processus lui-même est simple et bête, pourtant tout à fait efficace. Cependant, les programmes mot de passe-fendants faits à cette fin sont chronomètre souvent peu un plus intelligent. Par exemple, un tel fendre programme souvent le sujet chaque mot à une liste de règles.
Une règle pourrait être quelque chose, n'importe quelle façon dont un mot pourrait apparaître. Les règles typiques pourraient inclure
· Lettrage majuscule et minuscule alternatif.
· En avant et puis orthographiez le mot vers l'arrière et fondez alors les deux résultats (par exemple, le bidon devient cannac).
· Ajoutez le numéro 1 au commencement ou à la fin de chaque mot.
Naturellement, plus que vous appliquez règles, plus le processus fendant dure. Cependant, plus de règles garantissent également une probabilité plus élevée de succès pour un certain nombre de raisons :
· Le système de fichiers d'UNIX est cas sensible (le POSTE DE TRAVAIL est interprété différemment que le poste de travail ou le poste de travail est).
· Alterner des lettres et des nombres dans les mots de passe est une pratique courante.
Les biscuits de mot de passe ont eu un impact énorme sur la sécurité d'Internet, principalement parce qu'ils sont si efficaces :
La crypte emploie la résistance du DES à l'attaque plate connue des textes et la rend [ sic ] informatique impraticable de déterminer le mot de passe original qui a produit un mot de passe chiffré donné par recherche approfondie. La seule technique publiquement connue qui peut indiquer certains mots de passe est mot de passe devinant : passant les grandes listes de mots par la crypte fonctionnent pour voir si n'importe quelle allumette les entrées chiffrées de mot de passe dans/etc../passwd classent. Notre expérience est que ce type d'attaque est réussi à moins que des mesures explicites soient prises pour le contrecarrer. Généralement nous trouvons 30 pour cent des mots de passe sur les systèmes précédemment sans garantie.
les programmes Mot de passe-fendants s'améliorent dans leur efficacité, aussi. Les programmes plus nouveaux incorporent des règles plus étendues et des listes de mots diverses. La plupart des listes de mots sont les dossiers plats des textes avec un mot par la ligne. Ces dossiers s'étendent dans la taille de 1MB à plus qu'20mb. Beaucoup de listes de mots sont disponibles sur l'Internet ; elles viennent dans une grande variété de langues (ainsi dans un biscuit américain d'expression anglaise peut fendre une machine italienne, et vice versa).
Online: 453 users browsing the articles directory
. |