пятница, 25 февраля 2011 г.

Хорош ли DallasLock?

Многие организации для защиты персональных данных используют различные средства защиты информации. В большинстве реализаций защиты основным компонентом является средство защиты информации от несанкционированного доступа. Само понятие несанкционированный доступ (НСД) имеет две трактовки: узкую и широкую.


Согласно узкой трактовке НСД – это нелегитимный доступ к данным, результатом которого может стать их распространение, изменение ии уничтожение. Это трактовка используется в Приказе № 58, вводящее в действие Положение о ПДн. Меры и способы защиты приводятся в приложении к данному приказу.


Согласно широкой трактовке НСД охватывает не только программный уровень, но и физический уровень, сетевой уровень, уровень операционной системы, уровень инфраструктурного и прикладного ПО. НСД может быть осуществлен в результате вируса или методами социальной инженерии. Этот подход рассматривается в базовой модели ФСТЭК России.


В настоящее время на рынке средств защиты конфиденциальной информации и персональных данных есть ограниченное количество средств защиты, имеющих красивую формулировку в сертификате ФСТЭК: «… является средством защиты от несанкционированного доступа и может использоваться для защиты…». Если следовать логике, то использование таких продуктов совершенно не обязательно, если необходимый функционал «набирается» прочими продуктами: контроль доступа, протоколирование событий, контроль целостности, антивирус, VPN, контроль портов и интерфейсов, резервное копирование и др. Однако, следуя моде и традициям, компонент защиты от НСД часто является основой защиты. Один из таких продуктов, представленных на отечественном рынке, это средство защиты информации Dallas Lock версии 7.7 (DL77), разрабатываемый питерской компанией «Конфидент». Именно о нём и буду вести речь.


DL77 имеет сертификат соответствия, позволяющий его использовать для защиты конфиденциальной информации, класса до 1Б и персональных данных, класса до К1. DL77 пользуется спросом в банковской среде. Продукт РАБОТОСПОСОБНЫЙ, что само по себе является большой редкостью среди аналогичных средств защиты информации.


DL77 очень просто устанавливается, имеет клиент-серверную архитектуру, поддерживает Active Directory от Microsoft. Что полезного в этом продукте? При описании я буду придерживаться последовательности приведенной в описании применения DL77.


1.       В DL77 присутствует собственная реализация дискреционной модели доступа к файлам. Файловая система может быть как FAT, так и NTFS. Первая это уже пережиток прошлого и она используется, скорее на каких-нибудь старых ПК, однако DL77 поддерживает версию Windows XP только с SP3, что несколько не вяжется с FAT. Замечено, собственная реализация дискреционки никаким образом не влияет на штатный функционал. В своё время компания Microsoft рекомендовала при использовании сетевого доступа настраивать разрешения только на уровне NTFS, открывая полный доступ на уровне Share. Тут прослеживается точно такой же подход: придется или синхронизировать настройки или указывать большие привилегии  на уровне NTFS. К тому же при использовании сетевого доступа, наряду с технологией SSO от Microsoft, придется дважды настраивать уровни доступа в DL77. Недостатком является отсутствие механизма синхронизации собственной модели с моделью ОС.
 
2.      DL77 поддерживает аутентификацию с использованием iButton, eToken, RuToken. Вместо того, чтобы записывать в токен аутентификационные данные, проверка ограничивается только по серийному номеру устройства и поэтому не является строгой (iButton так и так не имеет перезаписываемой памяти). С таким же успехом можно ввести проверку по флешке, диску или дискете.
3.      В DL77 реализован собственный загрузчик, который проводит идентификацию и аутентификацию до загрузки ОС. Полезными являются функции по автоматическому заходу в ОС, принудительная перезагрузка при смене пользователя.
4.      В DL77 присутствует собственная реализация парольной политики. Данная реализация имеет расширенные возможности  по сравнению с политиками от Microsoft. Например, полезными настройками являются:  наличие цифр, спецсимволов, регистра символов, а также разность паролей. Однако всё удобство также сводится на нет отсутствием собственной реализации SSO. Скорее всего, при операциях с пользователями происходит запуск штатных консольных команд ОС типа net user или dsadd user. Недостатком является то, что подсистема встраивается последовательно с штатной, а не вытесняет её. Концепция разности паролей является не безопасной, так как для её реализации нужно хранить пароли в открытом виде.
5.      DL77 имеет собственную реализацию ограничений времени доступа пользователей. Основное отличие от штатной в том, что при наступлении запрещенного времени принудительно осуществляется выход пользователя из системы, в то время как в ОС Windows такой функционал не предусмотрен.
6.      В DL77 имеется возможность блокировки клавиатуры при загрузке ОС. Это полезная функция препятствует нажатию F8 и загрузке в безопасном или ином режимах.
7.      Про дискреционный механизм я описал выше, про мандатный принцип контроля доступа скажу лишь то, что удивило наличие 50 уровней доступа, а также то, что для защиты персональных данных этот функционал не требуется. Однако организациям, которым нужна именно эта модель доступа, а также реализация контроля информационных потоков полезным будет наличие «мягкого режима» контроля доступа и «режима обучения».
8.      Классически, при осуществлении  защиты должен обеспечиваться контроль целостности аппаратной, программной среды, а также данных. Некоторые компании для такого вида защит продвигают аппаратные решения, которые могут проводить контроль целостности ДО загрузки ОС и периодически в процессе работы. Я считаю, что это часто излишние меры и в большинстве случаев достаточно только программного решения. В DL77 есть механизм контроля целостности BIOS, CMOS, MBR, Boot record, а также любых определяемых файлов и/или папок. Контроль целостности может осуществляться либо сравнением контрольных сумм CRC32, либо алгоритмами хеширования: MD5 или ГОСТ 34.11-94. При правильных настройках последовательности загрузки в BIOS, использовании паролей на вход в BIOS и опечатывании системных блоков, использование аппаратных реализаций электронных замков выглядит явно избыточным.
9.      Реализованная в DL77 подсистема очистки остаточной информации в ОС является: во-первых, полезной, во-вторых, отсутствующей в ОС Windows, в-третьих, требуется с точки зрения compliance. Этот же функционал используется и для гарантированного уничтожения файлов и/или папок по требованию. Методы очистки затирание псевдослучайными последовательностями с указанием количества раз.
10.   Подсистема аудита в DL77 реализована в виде 6 журналов: входов, доступов, процессов, политик, учетных записей, печати. Сама по себе такая реализация мне видится весьма полезной, но она опять же не вытесняет, а дополняет штатный функционал.  Удобным является возможность задания прав доступа непосредственно из окна журнала.
11.  Принтерная подсистема позволяет вести аудит документов, отправляемых на печать, а также проставлять на них специальные метки. Имеется много разных полей, которые могут быть выведены вместе с документом при печати. Например, пройден тест печати графического файла.
12.  Очень полезная функция шифрования разделов дисков найдет применение для защиты разделов, содержащих конфиденциальную информацию или же целиком мобильных ПК. Конечно «полезность» алгоритма XOR чистая бутафория, так как A=XOR(XOR(A)), но можно использовать ГОСТ 28147-89, в том числе используя внешний и сертифицированный криптопровайдер. Любителям ОС Microsoft рекомендуется посмотреть в сторону Bitlocker To Go, противникам – классический TrueCrypt.
13.  Присутствует полезная возможность шифрования файлов. Для шифрования используется российский ГОСТ 28147-89, можно использовать внешний криптопровайдер. По функционалу это российский аналог EFS, а как недостаток можно шифровать файл неограниченное количество раз.
14.  Присутствует полезная возможность настраивать права доступа на съемные носители: дискеты, cd-диски, usb-диски. Можно настраивать права на конкретные экземпляры носителей информации. Можно отметить, что реализация очень простая, но и совершенно не гибкая, если сравнивать функции, присутствующие в специализированных решениях.
15.  Идея замкнутой среды весьма хороша, так как таким образом можно жестко ограничить  возможности запуска приложений. Этого же эффекта можно добиться, используя GPO.
16.  Установка СЗИ на ноутбуки выполняется точно также как и на обычные ПК. Стоило ли это указывать производителю как отдельную возможность?
17.  Сама идея установки чего-либо дополнительного на контроллеры домена, пусть даже не модифицируя для этого схему AD, весьма опасна. Контролеры домена нужно и так максимально оберегать от вторичных ролей. Можно привести много причин почему, главной же причиной будет отсутствие тестирования на совместимость компанией Microsoft.
18.  Установка на серверы терминального доступа весьма полезна, так как многие компании именно так организуют работу удаленных пользователей из филиалов. Стоит сказать, что в самой ОС Windows есть штатный функционал для настраивания такого доступа.
19.  Присутствует возможность делать снимки экранов, на которых установлен DL77. Это может быть полезно при параноидальном уровне безопасности в банках, однако реализация этого функционала сделана очень неудобно. Развивая эту мысль можно пожелать добавить функционал автоматического создания снимков для определенной группы пользователей/компьютеров с определением временного диапазона между ними или пределов рандомизации.
20.  Администрирование удаленными агентами очень отличается от локального администрирования и не в лучшую сторону. Лучше воздержаться от критики.
21.  В DL77 присутствует подсистема централизованного управления, которая позволяет практически полностью управлять функциями клиента. Лучше также воздержаться от критики.
22.  Самодиагностика это кот в мешке, так как совершенно не понятно, что происходит на самом деле, кроме отображение успеха или не успеха при эмуляции некоторых функций.
23.  Функционал по запрещению работы с определенными расширениями файлов совершенно не новый для ОС Windows и конечно же он присутствует в GPO. Вот если бы он реализовывался по структуре для определенных типов файлов, было бы весьма интересно.
24.  Создание отчетов по реальным уровням доступа для пользователя действительно полезная функция, так как можно самым простым способом сравнить права доступа, существовавшего в разные периоды времени.
25.  Фраза о ведение двух копий программных средств это некий сферический конь в вакууме, назначение которого не ясно никому, кроме ФСТЭК России (приказ № 58). Эта «возможность» конечно же должна «присутствовать» в продукте раз он «заточен» под выполнение соответствий.
26.  Добавление различных паролей для выполнения определенных действий чаще всего ведет к появлению стиккеров на рабочих местах администраторов, а вовсе не к повышению уровня защиты от НСД. К защищенности должны вести такие принципы как разделение обязанностей, ротация сотрудников, логирование их действий, ликвидация единственных точек отказа, а не простое наращивание количества паролей доступа.
27.  Запись всех настроек в единственный файл весьма полезная возможность, которая позволяет администратору упростить процесс переноса продукта на новый ПК, например при модернизации техники.
28.  «Мягкий режим» и «режим обучения» действительно полезные функции при настройке замкнутой программной среды. Это то, чего нет среди штатных возможностей ОС Windows.

Выявленные недостатки
·         Дублирование, а не замещение функционала ОС Windows.
·         Одностороннее, часто полностью не продуманное взаимодействие подсистем DL77 со штатными подсистемами ОС Windows.
·         В процессе предоставления прав доступа были выявлены ошибки, которые исчезали при повторном назначении прав..
·         Присутствуют некоторые недочеты по интерфейсу.
·         Достаточное количество орфографических ошибок в документации.
·         Явные сложности с получением полнофункциональной версии у производителя.

Вердикт
Продукт простой и понятный в эксплуатации, имеющий полезный, но не более того функционал, пока востребованный на рынке (пока закон о персональных данных до конца не превратился в миф), однако банкам я бы не стал рекомендовать данный продукт по следующим причинам:


·         Дублируется практически весь функционал, присутствующих в ОС Windows.
·         В СТО БР ИББС нет требований обязательного использования сертифицированных решений.
·         Подсистема централизованного управления вызывает большие нарекания. Лучше бегать от одного компьютера к другому, чем пользоваться такой.
·         По этой причине при количестве ПК в организации более 30, мне видятся, большие трудности с ПОСТОЯННОЙ технической поддержкой.

PS

Примерно такой рабочий стол можно настроить для сотрудников, работающих, например, в банке. Интересно как он скажется на лояльности этих же сотрудников?

пятница, 11 февраля 2011 г.

Мини-конспект для подготовки к CompTIA Security+

Аутентификация
PAP (Password Authentication Protocol) – логин и пароль передаются для сравнения в открытом виде. Безопасность отсутствует.
CHAP (Challenge Handshake Authentication Protocol) – Запрос входа, вызов, ответ, самостоятельный расчет, сравнение, вердикт.  Пароль не передается в открытом виде.
Kerberos - порт 88. Разработан в MTI. Обязательно должен быть KDC (Key Distribution Center), который за запрос входа присылает ticket (билет). По-умолчанию использует симметричное шифрование. Очень популярный для SSO, как недостаток Single point of failure (единственная точка отказа). Не боится replay атак.
Mutual Authentication – взаимная аутентификация. Используется перед передачей финансовой или медицинской информации.
Certifications (сертификаты) – Аутентификация по сертификатам. Сертификаты могут лежать локально на диске, на съемном носителе или выдаваться по запросу. Должен быть CA (Центр Сертификации), который выпускает сертификаты, а также регулярно выпускает CRL (Certificate Revocation List). On-line версия листаOCSP (Online Certificate Status Protocol). Если нужно приостановить на времяsuspension.
Security Token – Токен создается каждый раз при входе пользователя или процесса и уничтожается при выходе. Токен содержит информацию, о том, кто и куда должен получить доступ.
IAA – (Identification, Authentication, Authorization) - На примере mail.ru. Имя – идентификация, пароль – аутентификация, предоставление доступа к почтовому ящику – авторизация.
AAA (Authentication, Authorization, Accounting) –  см. выше + ведение протокола предоставления доступа – учетность.  И Радиус и Такакс являются AAA-технологиями.
RADIUS - порт UDP 1812. Открытый стандарт аутентификации. Есть как коммерческие, так и не коммерческие реализации под любые ОС. Поддерживает LDAP. Шифруется только пароль.
TACACS+ - порт TCP 49. Более совершенный протокол, разработанный Cisco. Более безопасный, т.к. шифруются все пакеты.
LDAP - порт 389, с инкапсуляцией в ssl порт 636.

Туннельные протоколы:
PPTP – порт 1723. Является как бы открытым, стал популярным благодаря поддержке Microsoft. Есть реализации под Linux.
L2F (Forwarding) – порт TCP 1701. Изначально разработан Cisco для dial-up, поддерживает аутентификацию, но не имеет шифрования.
L2TP – порт UDP 1701. Не смотря на название, работает на сеансовом уровне. Представляет гибрид PPTP и L2F. Открытый и кроссплатформенный. Шифрование, обычно, обеспечивается на сетевом уровне при помощи IPSec.

Вредоносный код:
Virus - с одной стороны общее название всех вирусов, с другой стороны также вредоносный код, но не подпадающие под  другие описания. Например, файловые вирусы.
Macro – код находится в макросах, например в приложениях MS Office.
Trojan Horse - под видом полезной программы содержит вредоносный код.
Spyware – шпионы: перехват или сбор данных.
Adware – содержит, в основном, рекламные функции.
Worm – главная задача распространение по любым каналам.
Logic Bomb - срабатывают при определенном условии.
Polymorphic - имеют алгоритм для изменения своего тела с сохранением вредоносных функций.
Stealth – полностью или частично скрывающийся в системе
Zombie – удаленно управляются, используются для DDOS-атак. Много зомби + управление = botnet.
Backdoor – имеет оставленный функционал для удаленного администрирования.
Retro/Antivirus -объектом нападения считаются антивирусные программы.
Armored – защищает себя от дебагеров, дисассемблеров, антивирусных программ,
Companion – Файловый вирус, например создающий себя с именем программы, но с расширением COM, что позволяет ему запускаться первым.
Multipartite – вирус, применяющий различные пути воздействия: файлы, загрузочный сектор, память и др.
Hoax - обман, мистификация.  Обычно не причиняющие какого-нибудь ущерба, хотя вводят пользователя  в недоразумение. Например «письма счастья».
Rootkit – инструментарий, позволяющий скрыть сам факт заражения, например почистить логи или скрыть процессы.  

Виды атак:
Dumpster Diving – поиск информации в корзинах для мусора и т.д.
Eavesdropping – подслушивание.
Snooping – поиск информации в файлах, как электронных, так и бумажных, в том числе и корзинах для мусора.
Interception – в пассивном режиме перенаправление копии трафика (sniffing) для исследования, в активном режиме встраивание между отправителем и получателем (MitM).
Deny of Service: TCP SYN, TCP ACK, Ping of death, Buffer overflow.
Backdoor  - цель, получить управление удаленной машиной: BackOrifice, Netbus.
Spoofingподмена \ маскарад. MAC spoofing, ARP spoofing, IP spoofing, DNS spoofing.
Domain name kitting – оплата за домен в течение 5 дней. Можно использовать аккаунт и не платить за него.
Man in the Middle – человек по середине. Старое название – TCP/IP hijacking.
Replay – сниффинг, а затем повтор.
Password – Brute-force attack, Dictionary attack. Дальнейшее развитие rainbow tables – списки уже вычисленных хэшей.
Smurf – пинг на широковещательный адрес с указанием IP жертвы в поле источника. В результате отвечают все хосту сети на адрес жертвы.

Восстановление работоспособности
Mirrored Site – всегда полная готовность (on-line), включая персонал.
Hot Site – всё готово к продолжению работы: железо, ПО, данные.
Warm Site – всё есть, кроме данных: железо и ПО.
Cold Site – есть помещения, есть сеть. Можно развернуть ИТ-инфраструктуру и так далее.

Жизненный цикл ключей шифрования:
Generation – создание.
Storage and distribution – хранение и распространение.
Escrow – передаче закрытого ключа «третьей» стороне!
Expiration – истечение срока действия.
Revocation – компрометация.
Suspension – временное приостановление.
Recovery and archival – восстановление и архивирование.
Renewal – создание новых ключей.
Destruction – уничтожение.
Usage – использование. 

Алгоритмы хеширования:
SHA, SHA-1 – 160 bit.
MD4, MD5 – 128 bit. MD быстрее, чем SHA, но больше коллизий.
Сюда же ГОСТ 34.11-94 – 256 bit. При обработке использует алгоритм ГОСТ 28147-89.
LM (LAN Manager) - изобретение Microsoft: поднимаем в верхний регистр, добиваем или укорачиваем до 14, делим на 2 части, шифруем DES, соединяем. Безопасность отсутствует.
NTLM 1 и 2 – дальнейшее развитие LM. Интереса также не представляют.
CRC – только контрольная сумма.

Симметричные алгоритмы:
AES – ключ 128, 192, 256 bit - американский стандарт.
DES, 3DES -  эффективный ключ 56 bit.
Сюда же ГОСТ 28147-89 – ключ 256 bit - российский стандарт.
Достоинства – скорость, низкие требования к ресурсам.
Недостатки – сложность с распространением ключей и чем больше абонентов, тем больше сложность в обеспечении конфиденциальности ключей.

Асимметричные алгоритмы:
RSA – используется как для шифрования, так и для цифровой подписи. Типичная длина ключа 1024. И именно начиная с этой длинны алгоритм является стойким.
ECC – используются эллиптические кривые. Алгоритм нересурсоёмкий, поэтому часто используется в мобильных устройствах.
DH (Диффи Хеллман) - процесс выработки общего ключа шифрования, если стороны имеют свои ключи. Чувствителен к атаке (MitM).
Сюда же ГОСТ 34.10-2001 – ЭЦП на эллиптических кривых.
El Gamal – ЭЦП на дискретных логарифмах.
Достоинства – легко организовать ЭЦП, возможность целостности и неотказуемости.
Недостатки – требуются большие ресурсы, теоретическая надежность до сих пор не доказана.

Биометрия:
Физиологические: отпечатки руки пальцев, распознавание лица, сетчатка глаза, запах.  В перспективе ДНК.
Поведенческие: походка, голос, манера письма.
FRR (False Rejection Rate) – ложный отказ в доступе. Ошибка 1-го типа.
FAR (False Acceptation Rate) – ложное предоставление доступа. Ошибка 2-го типа.
 Если увеличивать FRR, будет уменьшаться FAR и наоборот. EER или CER – это когда FRR=FAR.
Алгоритм названий следующий: анализ действия, ошибка? ДА – False, НЕТ – True
Кого-то пропустили? ДА - False Acceptation или True Positive. НЕТ – False Rejection или True Negative.

Прочее:
Зоны безопасности: Internet, Intranet, Extranet (для клиентов или партнеров, которым нужен доступ к внутренним ресурсам), DMZ.
Протоколы динамической маршрутизации: RIP, BGP, OSPF, IGRP. EIGRP.
HVAC (Heating, Ventilation, & Air Conditioning) – климат-контроль.  

среда, 9 февраля 2011 г.

Что такое хеш и для чего он нужен?

Что такое хеш? Хеш-функцией называется математическое преобразование информации в короткую, определенной длины строку.
Зачем это нужно? Анализ при помощи хеш-функций часто используют для контроля целостности важных файлов операционной системы, важных программ,  важных данных.  Контроль может производиться как по необходимости, так и на регулярной основе.
Как это делается? Вначале определяют, целостность каких файлов нужно контролировать. Для каждого файла производится вычисления значения его хеша по специальному алгоритму с сохранением результата. Через необходимое время производится аналогичный расчет и сравниваются результаты. Если значения отличаются, значит информация содержащаяся в файле была изменена.
Какими характеристиками должна обладать хеш-функция?
  •  должна уметь выполнять преобразования данных произвольной длины в фиксированную;
  • должна иметь открытый алгоритм, чтобы можно было исследовать её криптостойкость;
  • должна быть односторонней, то есть не должно быть математической возможности по результату определить исходные данные;
  • должна «сопротивляться» коллизиям, то есть не должна выдавать одинаковых значений при разных входных данных;
  • не должна требовать больших вычислительных ресурсов;
  • при малейшем изменении входных данных результат должен существенно изменяться.
Какие популярные алгоритмы хеширования? В настоящее время используются следующие хеш-функции:
  • CRC – циклический избыточный код или контрольная сумма. Алгоритм весьма прост, имеет большое количество вариаций в зависимости от необходимой выходной длины. Не является криптографическим!
  • MD5 – очень популярный алгоритм. Как и его предыдущая версия MD4 является криптографической функцией. Размер хеша 128 бит.
  • SHA-1 – также очень популярная криптографическаяфункция. Размер хеша 160 бит.
  • ГОСТ Р 34.11-94 – российский криптографический стандарт вычисления хеш-функции. Размер хеша 256 бит.
Когда эти алгоритмы может использовать системный администратор? Часто при скачивании какого-либо контента, например программ с сайта производителя, музыки, фильмов или другой информации присутствует значение контрольных сумм, вычисленных по определенному алгоритму. Из соображений безопасности после скачивания необходимо провести самостоятельное вычисление хеш-функции и сравнить значение с тем, что указано на сайте или в приложении к файлу. Делали ли вы когда-нибудь такое?
Чем удобнее рассчитывать хеш? Сейчас существует большое количество подобных утилит как платных, так и свободных для использования. Мне лично понравилась HashTab. Во-первых, утилита при установке встраивается в виде вкладки в свойства файлов, во-вторых, позволяет выбирать большое количество алгоритмов хеширования, а в третьих является бесплатной для частного некоммерческого использования.

Что есть российского? Как было сказано выше в России есть стандарт хеширования ГОСТ Р 34.11-94, который повсеместно используется многими производителями средств защиты информации. Одним из таких средств является программа фиксации и контроля исходного состояния программного комплекса «ФИКС». Эта программа является средством контроля эффективности применения СЗИ.

Производитель - Центр безопасности информации. Привожу краткое описание возможностей программы.
ФИКС (версия 2.0.1) для Windows 9x/NT/2000/XP
  • Вычисление контрольных сумм заданных файлов по одному из 5 реализованных алгоритмов.
  • Фиксация и последующий контроль исходного состояния программного комплекса.
  • Сравнение версий программного комплекса.
  • Фиксация и контроль каталогов.
  • Контроль изменений в заданных файлах (каталогах).
  • Формирование отчетов в форматах TXT, HTML, SV.
  • Изделие имеет сертификат ФСТЭК по НДВ 3 № 913 до 01 июня 2013 г.
А как на счет ЭЦП? Результат вычисления хеш-функции вместе с секретным ключом пользователя попадает на вход криптографического алгоритма, где и рассчитывается электронно-цифровая подпись. Строго говоря, хеш-функция не является частью алгоритма ЭЦП, но часто это делается специально, для того, чтобы исключить атаку с использованием открытого ключа.
В настоящее время многие приложения электронной коммерции позволяют хранить секретный ключ пользователя в закрытой области токена (ruToken, eToken) без технической возможности извлечения его оттуда. Сам токен имеет весьма ограниченную область памяти, измеряемую в килобайтах. Для подписания документа нет никакой возможности передать документ в сам токен, а вот передать хеш документа в токен и на выходе получить ЭЦП очень просто.

пятница, 4 февраля 2011 г.

Что делать с паролями?

Часто ли вы используете сложные пароли? Используете ли вы у себя в организациях парольные политики? Используете ли для каждого ресурса уникальные пароли? Клеят ли ваши пользователи цветные стикеры с написанными паролями на свои мониторы? Думаю, можно не отвечать на эти вопросы.
 В настоящее время для раскрытия паролей существуют следующие технологии.
Атака по словарю (Dictionary attack). Из слов, содержащихся в словаре, используя необходимый алгоритм (LM, NTLM, MD5, SHA-1), вычисляется хеш-функция. Вычисленное значение сравнивается с оригиналом. Это очень быстрый метод, но он позволяет подобрать пароль, только если он присутствует в словарях. Этим методом можно выявить, например, пароль – Wizard.
Полный перебор (Brute Force attack). Выбирается максимальная длина предполагаемого пароля, определяются символы, регистр символов, цифры, специальные символы из которых может состоять пароль и производится полный перебор всех возможных значений. Это метод наиболее долгий (речь может идти о тысячах лет), зато он позволяет гарантированно подобрать любой пароль. Этим методом можно выявить, например, пароль – 1WiuRhn@.
Смешанная атака (Hybrid attack). Для подбора используются слова из словарей, но к ним добавляются по совершенно «немыслимым» алгоритмам дополнительные символы или же в словах производится замена некоторых букв, например «A» на «@», «O» на «0» и т.д. Этот метод относится к быстрым, длительность же перебора определяется фантазиями, заложенными в алгоритм изменений и дополнений словарных слов. Этим методом можно выявить, например, пароль – Wiz@rd555.
Радужные таблицы (Rainbow Tables attack). Процесс хеширования занимает 99.9% машинного времени, тогда как операция сравнения занимает всего 0.1%. В настоящее время уже существуют вычисленные значения всех вариантов комбинаций вплоть до 14 символов для любых хеш-функций. Занимать такие таблицы могут десятки и сотни гигабайт, но зато они позволяют крайне быстро подобрать любой пароль вида – wH7Ui@$kjH40%b.
Что новенького? Соль в студию! Для того, чтобы защититься от полного перебора, который уже не представляет никакой сложности, при условии что длина пароля не велика, используется соль.  Соль представляет из себя дополнительный набор символов, который добавляется к основному паролю для того, чтобы увеличить длину и тем самым усложнить его. Для каждой системы алгоритм вычисления соли уникальный, но в пределах одной системы он одинаковый для всех учетных записей. Это позволяет не хранить соль для каждого пароля, а хранить только сам алгоритм. После того как соль добавлена к паролю производится вычисление хеша. Хочу заметить, что хеш можно рассчитывать дважды, вначале для пароля, а потом для хеша с солью. Получается следующая функция: Хеш=Function(Function(пароль)+соль).

Меры
Длина пароля. Пароль должен быть как можно длиннее. Оптимально использовать пароль более 15 символов. Для того, чтобы запомнить такой пароль можно использовать целые фразы или предложения из книг. Предположу, что скоро со всей мировой литературы будут сделаны радужные таблицы, но это уже ближе к юмору, чем к правде.
Сложные пароли. Используем большие, маленькие буквы, цифры, а также специальные символы. Если использовать большее число различных символов, то количество возможных комбинаций существенно возрастает. Есть метод создания и запоминания сложного пароля по первым нескольким символам слов входящих в фразу. Например, фраза «Зимний лес вырастил нам Ёлочку» может быть превращена в пароль «ЗимлесвырнамЁло», что с учетом транслитерации даст нам пароль «Pbvktcdshyfv~kj». Как раз 15 символов. В неё же можно добавить цифр и специальных символов по вкусу.
Время действия паролей. Пароли необходимо периодически менять. Для этого используется максимальный срок действия пароля. Однако пользователь может тут же вернуться к своему прежнему паролю, поэтому для исключения такой возможности устанавливается минимальный срок действия пароля.
           История паролей. Для того, чтобы новый пароль не повторял ранее использовавшийся существует архив хешей, с которыми сравнивается хеш нового пароля.
Отличие пароля. Чтобы последующий пароль не был очень похож на предыдущий определяется количество символов, на которые должен отличаться новый пароль от старого. Если бы его не было, можно было бы менять пароли примерно так: Password1, Password2, Password3 и т.д. Также не следует использовать одинаковые пароли для разных ресурсов.
Замечание. Данный метод совершенно не безопасен, так как для того, чтобы контролировать такие отличия, пароли нужно хранить в открытом виде, что сводит на нет всю безопасность! Похоже, что этим грешит, например, компания Конфидент в своем продукте DallasLock!
Блокировки учетных записей. Чтобы исключить возможность атак методом перебора при работающей ОС используется блокировка учетных записей, после определяемого числа неверных попыток.  Учетная запись может разблокироваться автоматически или же разблокировать ее может только администратор.
Журнал. Все попытки входа, особенно неудачного должны протоколироваться. В журнал можно записывать предлагаемое имя и предлагаемый пароль.

Дополнительные меры к ОС от Microsoft
Как отключить LM? Отключение LM-хеширования необходимо всегда, если только в сети не используются старые версии Windows 9x. Эта политика доступна в разделе «Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности». Нужно установить для политики «Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля» значение «Включено». Эта настройка присутствует  как в локальной политики безопасности, так и в доменной.
Шифрование базы данных паролей. База данных паролей SAM (Security Account Manager), начиная с Windows 2000, шифруется 128-битным ключом при помощи утилиты Syskey. По умолчанию пароль для генерации ключа создается автоматически, ключ хранится в файле System в той же папке, что и база данных SAM. При необходимости можно изменять пароль и указывать на дискету при выборе местоположения.
Права доступа. В ОС Windows база данных, в которой содержатся хеши паролей учетных записей называется SAM. По умолчанию путь к этой базе находится в «C:\WINDOWS\system32\config». Доступ к данной папке должен быть обязательно ограничен на уровне NTFS.
Блокировка загрузки другой ОС. Для того, чтобы усложнить копирование файлов SAM и System из ОС, необходимо запретить загрузку с других диском и/или носителей в BIOS, а также не использовать мультизагрузку. На BIOS лучше поставить пароль, а корпус системного блока опечатать.

Российский compliance
Особенно хотелось бы кинуть камень в огород ФСТЭК России по поводу того, что в каждом третьем их документе повторяется требование о длине пароля не менее 6 буквенно-цифровых символов. Стойкость такого пароля, даже при всей возможной сложности оставляет желать лучшего.
В среде виртуализации, при использовании среднего по мощности компьютера, атака методом Brute Force пароля в 6 символов, при максимальном наборе символов была оценена в 1.3 суток. Стоит ли говорить о мощной и распределенной вычислительной сети с использованием графических сопроцессоров? Ответ очевиден.

Где хранить пароли?
Все рано или поздно задаются этим вопросом. Я предложу лишь несколько вариантов:
·         в голове
·         в программах для хранения паролей
·         в зашифрованном архиве
·         в почтовом ящике типа gmail.com