Пароль

Материал из Википедии — свободной энциклопедии

Пароль (фр. parole — слово, англ. password) — это идентификатор субъекта доступа, который является его (субъекта) секретом. Обычно, пароль, это секретная комбинация цифр, знаков, слов, или осмысленное предложение, служащие для опознавания друг другом людей, или для защиты информации от несанкционированного доступа средствами авторизации. Комбинация логин/пароль в рамках многих систем безопасности является достаточной для идентификации пользователя.

Содержание 1 История паролей 2 Факторы в области обеспечения безопасности личного пароля 3 Альтернативные методы контроля доступа 4 Методы проверки пароля через сеть 4.1 Простая передача пароля 4.2 Передача через зашифрованные каналы 4.3 Базирующийся на хешах 5 Проектирование защищенного программного обеспечения 6 Взлом паролей 7 См. также 8 Документы 9 Ссылки

[править] История паролей

Пароли, использовались с древнейших времен. Полибий (?201 до н. э.) описывает применение паролей в Древнем Риме следующим образом (свободный перевод):

То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль - деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему. ^[1]

Пароли были использованы в компьютерах с первых их дней. MIT's CTSS, была одна из первых открытых систем, появившись в 1961г. Она использовала команду LOGIN для запроса пароля пользователя.

Роберт Моррис изобрел идею хранения паролей в хеш форме для операционной системы Unix. Его алгоритм, известный как crypt, использует 12-битный salt и связывается для измененния формы с алгоритмом DES в 25 раз снижая риск перебора по словарю.

[править] Факторы в области обеспечения безопасности личного пароля

Исследования производства компьютерных систем уже несколько десятилетий последовательно показали, что около 40% всех пользователей выбрали пароли, которые легко угадать автоматически. Пароли легко угадываемые (123, admin), называют слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать считают сильными и правильными.

[править] Альтернативные методы контроля доступа

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе.

• Одноразовые пароли
• Биометрия
• Технология единого входа
• OpenID

[править] Методы проверки пароля через сеть

[править] Простая передача пароля

Пароль передаётся в открытом виде. В этом случае он может быть перехвачен при помощи простых средств отслеживания сетевого трафика.

[править] Передача через зашифрованные каналы

Риск перехвата паролей через Интернет можно уменьшить, помимо прочих подходов, с использованием Transport Layer Security TLS, которая ранее называлась SSL, такие функции встроены во многие браузеры Интернета.

[править] Базирующийся на хешах

Пароль передается на сервер уже в виде хэша (например, при отправке формы на web-странице пароль преобразуется в md5-хэш при помощи JavaScript), и на сервере полученный хэш сравнивается с хэшем, хранящимся в БД. Такой способ передачи пароля снижает риск получения пароля при помощи сниффера.

[править] Проектирование защищенного программного обеспечения

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

• Ограничение длины пароля (некоторые системы Unix ограничивают пароли 8 символами).
• Требование повторного ввода пароля после определенного периода бездействия.
• Требование периодического изменения пароля.
• Назначение случайных паролей.

[править] Взлом паролей

Взлом паролей — ресурсоёмкая задача, обычно решаемая так называемым методом грубой силы (англ. Brute force) — то есть простым перебором.

Более эффективными в большинстве случаев является перебор по словарю или социальный метод.

По утверждению Брюса Шнайера, наиболее часто используемый пароль — «password1». ^[2]

Существуют специальные программы для подбора пароля, например: L0phtCrack, John the Ripper, Cain и PasswordsPro.

Также пароли получают, засылая вирус (троян), который локально на чужом компьютере расшифровывает пароли, и скрыто отсылает их создателю вируса.

[править] См. также

• /etc/passwd
• Аутентификация
• Политика паролей
• Файл ключей

[править] Документы

1. ↑ http://ancienthistory.about.com/library/bl/bl_text_polybius6.htm
2. ↑ http://www.wired.com/politics/security/commentary/securitymatters/2006/12/72300

[править] Ссылки

• Графические пароли : обзор (англ.)
• PassClicks (англ.)
• Генератор паролей (русск.) + Рекомендации администратору; Универсальные пароли к BIOS; Что делать если пароль забыт?
• Концепция одноразовых паролей в системе аутентификации

Это незавершённая статья. Вы можете помочь проекту, исправив и дополнив её. Это примечание следует заменить более точным