Одним из основных механизмов обеспечения информационной безопасности в организации (на предприятии) является использование парольной защиты операционных систем (ОС). Согласно международному стандарту ISO/IEC 27001-2005 (приложение А, пункт А.11.5) должна существовать процедура безопасного входа в операционную систему, все пользователи должны иметь уникальный идентификатор для их индивидуального опознавания, система управления паролями должна гарантировать качественные пароли.
Однако анализ ситуации в этой области информационной безопасности показывает ряд проблем с использованием данного механизма защиты. Так, по информации securitylab в 2008 году 84% случаев взломов систем безопасности компаний и персональных страниц причиной была именно слабая парольная защита. Это обусловлено низкой компьютерной грамотностью пользователей, а также их нежеланием использовать сложные пароли. Тяга пользователей к простым и незамысловатым паролям объясняется просто. По данным компании Protocom Development Systems, 35% пользователей приходится запоминать от одного до пяти паролей, а 38% – от шести до десяти. При этом четверть пользователей регулярно забывает свои пароли, поэтому большинство людей пренебрегают советами специалистов, пользуясь самыми простыми паролями. По данным компании Positive Technologies наиболее распространенными паролями у российских пользователей являются пароли, состоящие только из цифр (53% от числа всех проанализированных паролей), используемые пароли в большинстве случаев не превышают 8-ми символов и лишь единицы пользователей используют пароли длиннее 12-ти символов. Администраторами информационных систем зачастую используются незамысловатые пароли низкой стойкости, которые могут содержаться в публично распространяемых словарях (15%), полностью совпадать с логином (10%) или вовсе отсутствовать (2%). Поэтому актуальным вопросом является внедрение такой системы управления парольной защиты, которая бы обеспечивала необходимый уровень защиты, а также была доступна для пользователя простыми пользователями.
Вопросам парольной защиты посвящено большое количество публикаций и исследований. Так в своей книге Марк Барнетт рассматривает проблемы парольной защиты. В данном источнике описаны современные методы взлома паролей, рассматриваются проблемы человеческого фактора, а так же предлагаются методы повышения защищенности пароля. Однако проблемы внедрения парольной защиты в современных организациях (предприятиях), а также свободное распространение программ взлома паролей в сети Интернет, делает необходимым дальнейшее проведение исследований в этой сфере.
Существуют следующие механизмы подбора пароля:
Метод прямого перебора (англ. Brute-Force). Требует очень много времени для подбора, тем не менее, приносит 100% результат.
Подбор по словарю (англ. Dictionary attack). Данный метод позволяет быстро подобрать простые «словарные» пароли.
Радужная таблица (англ. rainbow table). Данный метод был предложен Филиппом Окслином в 2003 году и стал первой существенной ступенью в увеличении скорости подбора паролей. Данный метод это специальный вариант таблиц поиска, использующий механизм разумного компромисса между временем поиска по таблице и занимаемой памяти (time-memory tradeoff). Радужная таблица создается построением цепочек возможных паролей. Каждая цепочка начинается со случайного возможного пароля, затем подвергается действию хеш-функции и функции редукции. Функция редукции преобразует результат хеш-функции в некоторый возможный пароль. Затем к этому пароля снова применяется хеш-функция и цепочка повторяется вновь. В цепочку записываются лишь начальное и конечное значения. Все остальные значения порождаются в процессе обработки цепочки. Единственный недостаток радужных таблиц состоит во времени генерации самих таблиц.
В начале 2010 года компания Objectif Sеcuritе создала специальную радужную таблицу для подбора паролей на Windows XP. Данная радужная таблица, весом в 90 Гб, была помещена на новый SSD диск (англ. SSD, solid-state drive). За счет большой скорости диска (до 3 Гбит/с) и усовершенствованной таблицы любой пароль на Windows XP может быть взломан всего за 5,3 секунды, что в 174000 раз быстрее, чем взлом такого пароля методом прямого перебора на компьютере с процессором Pentium Dual Core T4500 (2,3 ГГц.) и 2 Гб ОЗУ.
Еще одним весомым шагом на пути ускорения анализаторов паролей стало использование графических процессоров. CUDA (англ. Compute Unified Device Architecture) – программно-аппаратная архитектура, позволяющая производить вычисления с использованием графических процессоров NVIDIA, поддерживающих технологию GPGPU (произвольных вычислений на видеокартах). Первоначальная версия CUDA SDK была представлена 15 февраля 2007 года. Уже в 2008 году Elcomsoft использовала данную разработку для ускорения своих продуктов по восстановлению паролей. Данная технология позволяет производить параллельные вычисления, что ускоряет работу в 20-50 раз, по сравнению с методом прямого перебора.
Существуют также другие методы взлома парольной защиты, основанные на социальной инженерии, использовании вредоносного программного обеспечения и другие.
Безопасная длина пароля. Опытным путем было вычислено, что грамотно-подобранный пароль (должен содержать: буквы малого и большого регистра, цифры, дополнительные символы) не менее чем из 9 знаков, что на данный момент, является достаточно стойким. Описание методов взлома 9-тизначного пароля:
1. С применением радужных таблиц.
2. Метод полного перебора (Brute Force).