хранение паролей

Чукча не дурак! Базы данных и сам web сайт надо хранить на CD диске!

Добавлено в 18.11.03, 22:17
Шутю, конечно... Но всегда и во всём можно найти слабое место, можно ведь то же самое "доверенное лицо" положить под утюг предварительно связав и ждать пока он сам не расскажет все пароли

...который сломать пополам, половинку отдать жене и срочно с ней развестись, уехав в другое полушарие. Тады да, не сломают
--
Аха, я и сам периодически повторяю -- универсальный способ взлома нечитаемых шифров имеет константную сложность и стоимость 64 рубля. Ето паяльник, размещенный в ЖОзефине ПалнЕ

Сообщение отредактировано: Visitor - 18.11.03, 22:43

99% взломов проводятся следующими способами:

1) Технологический: Находится дырка в существующем ПО, или засылается вирус/троян через какую-то дыру, выкачиваются неаккуратно защищённые данные
2) Криминальный: забрасывается "вражеский агент" на фирму или подкупается сотрудник, или подкупается бывший сотрудник, или находится невинно обиженный и оскорблённый бывший программист, оставивший ему одному известную дыру, или утюг на грудь админу, или менты с корочками и тотальной проверкой и т.п.
3) Психологический - телефонный звонок админу крупной корпорации: "Здраствуйте, я Иван Иванович с производственного отдела. Что-то с моим логином случилось, никак не могу зайти в систему, вы там пароль мне не подскажите?". Вариаций возможно много - но схема такая-же простая как и с подсовыванием денежной куклы - нужно найти лоха, а дальше небольшой спектакль типа любительская инсценеровка и дело в шляпе. Другой пример, кто-нибудь из Вас имеет таблицы с паролями (от любой программы или сайта)? Не поленитесь, напишите кверю:

Уверяю Вас, что не меньше 20% паролей будут следующие слова (если разрешён только английский): password, ivan, maria, anton, russia, moskva, frodo, lord и т.д. Наиболее частым паролем идёт слово password, на втором месте: имя или фамилия того кто пароль пользует, или его супруга, ребёнка, на третьем месте - название сайта, продукта, компании, на четвёртом - имя кошки, собаки, любимого фильма, героя, книги, города, страны....

А вот когда хакер сидит неделями, кроптит над кодами, дешефрует криптованные пароли, дизасемблирует коды... в общем занимается серьёзной научной работой - это редкость, очень большая редкость, разве что спецслужбы какие выкачивают секреты других спецслужб...

Итого что мы видим - во всех трёх способах главный прокол - человеческий фактор, в первом - это халатность, небрежность, неаккуратность и некомпетентность, во втором - это коррумпированность, жадность, ненависть и другие человеческие чуства, в третьем - простая глупость. Т.е. даже если Вы умудритесь построить совершеннейшую защиту, поставить самый непробиваемый софт, нераскалываемые пароли и т.д. вы снизите вероятность взлома лишь на 20-30%. Увы это так, самыми уязвимыми были и остаются люди, а не алгоритмы криптования и навороченные системы защиты.

Так давно известно по вражестким фильмам, что в серьезных военных системах

Login: login
Password: password

Фильмы фильмами, а Вы сами их "серьезные военные системы" видели? Так вот отмечу что в них, такой логин и пароль Вам никогда не дадут установить. Подобные слова, как и многие другие просто входят в словарь запрещенных (в простейшем случае). Более того, в более-менее серьезных системах, даже далеко не военных, пароль контролируется соответствие на массы критериев, таких как: длинна не менее ...; обязательно должен включать символы нижнего, верхнего регистров и цифры; естественно должен быть уникальным в системе; и т.п.
А во многих системах просто нет места самодеятельности - пароль генерется системой, и будьте добры эту абракадабру запомнить. Я даже нехочу упоминать о других средствах аутентификации (роговица, папилярные линии и пр.)

Vit
Мы не обсуждаем взломы
Вынеси в отдельную тему, если вопрос обсуждаем.

Да, это тоже хорошо реализовать. Надо об этом помнить и делать блокировки на такие пароли как "password". Однако опять-таки не надо забывать о человеческом факторе. Например, сколько средний сотрудник имеет паролей:

1) Пароль в Windows
2) Пароль к почтовому ящику
3) Пароль к бизнес приложению с которым он работает

Это минимум, кроме того если человек минимально продвинутый то у него есть штуки 3 паролей к любимым форумам, пара паролей к он-лайновым магазинам, парачка паролей к почтовым ящикам на yahoo и mail.ru и т.д. У меня в активе используется примерно 15 паролей. У сисадминов количество паролей может легко переваливать за пять десятков. Если в качестве каждого пароля можно будет использовать совершенно незапоминающюся и непроизносимую мешанину из знаков, букв и цифр в разном регистре, то скорее всего челоловек просто запишет их все в свой блокнот, в файл на диске, в письмо в почтовом ящике и т.п. откуда этот список будет очень легко украсть или подсмотреть и получить доступ ко всем системам. Поэтому здесь палку перегибать нельзя - может быть обратный эффект. Кроме того такая ситуация - у тебя есть программа, ты делаешь свой account и в итоге занимаешься 20 минут тем что придумываешь пароль, продираясь через сообщения: "Ваш пароль слишком короткий", "Ваш пароль не содержит цифр" и т.д. велика вероятность что через 10 минут Вам вообще расхочется иметь какое-либо отношение с этой системой, и вместо того чтобы заплатить деньги, клиент матерно ругаясь пошлёт Вас и Ваш софт оччень далеко.

2 Song - я понимаю, это обсуждение очень похоже на флейм и офтоп, но это не совсем так. Хранение паролей и их защита это действительно очень сложная и важная тема, причём далеко выходящая за рамки алгоритмики. Мне самому пришлось заниматься дизайном и реализацией ни одной системы защиты, и кроме того пришлось ознакомится с требованиями к защите информации нескольких очень крупных корпораций США и всемирных банков, для которых мы пишем софт и выполняем некоторые виды сервиса. Без понимания путей и способов взлома трудно говорить о корректной защите информации и хранении паролей в частности. Естественно что обсуждать детали взлома здесь не имеет ни малейшего смысла, но упомянуть об основных стратегиях злоумышленников надо. Я предлагаю ещё немного по-обсуждать здесь всё что касается защиты хранения очень важной информации и паролей в частности и когда топик себя изживёт на его основе сделать статью в FAQ, потому что в том или ином качестве такой вопрос всплывает практически ежемесячно.

Значит ты их фильмы не смотрел, ну а насчет остального, у меня нет самодеятельности с параолями, я их выдаю примерно на таких условиях и они постоянно меняются.