Надежный пароль должен отвечать следующим требованиям:

1. пароль должен содержать не менее 8 символов;

2. пароль должен включать хотя бы 1 цифру и 1 латинскую букву (в любом регистре);

3. пароль не должен содержать более 3-х одинаковых символов подряд;

4. пароль не должен содержать более 3-х символов, расположенных рядом в одном ряду клавиатуры;

5. пароль не может совпадать с вашим логином;

6. пароль может и даже должен содержать такие символы, как: “!”,  “@”,  “#”,  “$”,  “%”,  “^”,  “&”,   “*”,   “(”,   “)”,   “_”,    “-”,    “+”,    “:”,    “;”,    “,”,    “.”.

Инженер-энтузиаст Виджей Девакумар (Vijay Devakumar) продемонстрировал, что современные видеокарты с относительной легкостью взламывают даже сложные и длинные пароли. В сочетании с новыми программными средствами графические процессоры превращают взлом паролей в рамках протокола NTLM, используемого в Windows-сетях, из невыполнимой задачи в очень даже реалистичную. В качестве примера он взял видеоадаптер Radeon HD 5770, относящийся к средней ценовой категории, и доказал, что для взлома считающегося надежным пароля из девяти символов требуется не 43 года, как предполагалось ранее, а всего 48 дней. Если же в качестве объекта взять пятизначный пароль из букв и цифр, то для его подбора методом «грубой силы» требуется всего 24 секунды.

Разумеется, более продвинутые решения вроде Radeon HD 6970 решают данную задачу еще быстрее. Дальнейшее развитие графических чипсетов еще больше усугубит ситуацию, поскольку недорогие видеокарты и видеоадаптеры уровня ноутбуков смогут осуществлять взлом за аналогичное время. Да и сегодня на рынке присутствует множество чипов, чья мощность существенно превосходит скромную HD 5770. Большинство современных чипсетов от AMD и NVIDIA построено на мультиядерной архитектуре, которая подходит для обработки не только графических задач, но и задач общего назначения, например, для кодирования видео. При этом крупные настольные платформы вроде Mac OS X Snow Leopard и Windows 7 с DirectX 11 имеют встроенную поддержку обработки данных графическими процессорами, и технология эта будет только усовершенствоваться.
Поэтому разработчикам систем безопасности, да и самим пользователям следует помнить, что сегодня угроза нависла даже над теми средствами защиты, которые прежде считались надежными. Пароли, которые так трудно запомнить человеку, взламываются видеокартами за относительно короткое время. Поэтому необходимо внедрение дополнительных степеней защиты, которые задействуют не только пароли, но и другие средства; это могут быть, например, сканеры отпечатков пальцев или аутентификация по аппаратной части машины.
Источник информации: 3DNews

Разработчик программного обеспечения из Великобритании, компания Winfrasoft, продвигают визуальные образы в качестве альтернативы традиционным паролям.
Пользователям будет предложен макет, состоящий из квадратов, составляющий сетку 6×6. Каждый раз при входе в систему им будет предложен ряд чисел (как показано здесь), из которых им надо будет выбрать те, которые входят в визуальную картину, запомненную ими.

Числа в сетке, которые предлагаются пользователям, меняются каждые 60 секунд, в то время как местонахождение квадратов в исходной запомненной визуальной картине не меняется. Управляющие Winfrasoft сказали, что для людей запомнить визуальные картины еще проще, чем запомнить пин-коды и пароли, что похоже на правду, даже учитывая то, что фирма не представила никаких доказательств своей точки зрения. «Многие люди – визуалы и запоминают визуальные изображения лучше, чем пароли или коды», — сказал директор Winfrasoft Стивен Хоуп.
Фирма утверждает, что система предлагает защиту от фишинга, взлома визуальных изображений, отслеживания движений курсора и взломов защиты путём замещения оригинала без нужды в дорогостоящем оборудовании и устройствах считывания карт. «Перехватчику не будет известна та визуальная картинка, которую выбрал пользователь».
Winfrasoft изначально ориентированы на рынок удаленного доступа с его технологией аутентификации по матрице-шаблону, выполняемого с помощью продукта под названием AuthCentral и родственного ему продукта для входа в систему мобильных телефонов, называемого ActiveSync Gateway. При запуске эта мобильная технология работает только с телефонами, работающими на базе Windows, но фирма также работает над версиями, поддерживающими iPhone, Blackberry и Android.
Технология существует в различных вариантах и конфигурациях. Размеры матрицы по умолчанию 6х6 могут быть увеличены до 10х10. Технология может быть использована в качестве средства входа в систему в веб-пространстве или, для повышения уровня безопасности, входы в систему могут быть выполнены с помощью предварительно уполномоченного устройства.
Winfrasoft подала заявку на получение патента на их технологию и надеется создать «экосистему проверки подлинности на основе использования шаблонов». В частности, она готова лицензировать свою технологию компаниям, предоставляющим программное обеспечение как услугу, которые будут перепродавать её предприятиям с целью обеспечения их безопасным доступом к серверам обмена сообщениями электронной почты или, например, SSL VPN.
Источник информации: Хакер

Компьютерные ученые хотят разработать безопасную альтернативу паролю для регистрации на сайтах и выполнения других функций.
У большинства пользователей десятки онлайн аккаунтов, и в силу человеческой природы многие из них часто используют легкие для запоминания пароли. Применение одинаковых паролей на многочисленных сайтах также является распространенной проблемой. Большинство сайтов достаточно защищены, чтобы хранить пароли в виде хешей. Но если эти хеши раскрываются при наличии на веб-сайте уязвимости, тогда во многих случаях при помощи радужных таблиц можно распознать и пароли. Это само по себе опасно, но становится еще хуже, если человек использует в социальных сетях тот же пароль, что и на более важных сайтах, таких как почта или сервер интернет-банкинга.
Исследователи безопасности давно знали, что клиентам нельзя доверять подержание безопасности при использовании паролей на многочисленных сайтах. Недавний взлом HBGary, во время которого были частично использованы недостатки одинаковых паролей, еще раз продемонстрировал, что слабая защищенность паролей, также является проблемой для компаний.
В новой статье компьютерных ученых из института Макса Планка в Дрездене, Германия, предлагается устранить проблему со слабыми паролями не посредством отражения атак с применением полного перебора, а путем преодоления нежелания людей выбирать безопасные, но трудно запоминаемые пароли. Новый подход предполагает разделение пароля на две части, одну — запоминаемую человеком, а другую — хранящуюся на самом сайте, как поясняется в отрывке из статьи, представленном ниже.
«Основная идея нашего метода заключается в разделении длинного и безопасного пароля на два компонента. Первый компонент запоминается пользователем. Второй компонент трансформируется в изображение CAPTCHA и затем защищается при помощи развитой двумерной динамической системы, похожей на фазовый переход, в такой ситуации полный перебор становится неэффективным».
Это интересная идея, но неизвестно, сможет ли данный метод противостоять некоторым модифицированным атакам с использованием полного перебора.
Компьютерные ученые из Кембриджского университета, занимающиеся поиском решения этой извечной проблемы безопасности, предлагают даже более радикальную идею: положить конец паролям.
В докладной записке «Pico: no more passwords», Франк Стайано из Кембриджского университета предлагает покончить с прошлым и «повсеместно избавиться от паролей, не только онлайн». Вместо паролей, безопасность логинов должны будут обеспечивать токены. Идея достаточно сомнительная в свете совершенного в прошлом месяце и широко освещенного в прессе взлома RSA, поставившего под угрозу SecurID.
Стайано принимает это во внимание и говорит, что он в большей степени заинтересован в открытых дебатах. «Возможно, ваша незамедлительна реакция на Pico будет такова: «Это никогда не сработает» — но я считаю, что мы обязаны придумать что-то более приемлемое, нежели пароли», написал он в блоге Кембриджского университета Light Blue Touchpaper. По крайней мере, статья четко подводит итог, почему пользователям надоели пароли.
«С точки зрения юзабилити, пароли и PIN-коды подошли к концу своей жизни. Даже несмотря на то, что они удобны для внедрения, пользователям становится все труднее управлять ими. Требования, предъявляемые к пользователям (сложные пароли, причем все разные) становятся все более неприемлемыми, когда каждому из них приходится справляться с десятками паролей. Тем не менее, мы не можем избавиться от них до тех пор, пока не создадим более пригодный и безопасный альтернативный метод аутентификации пользователей».
Источник информации: Хакер

Компания RSA, известный поставщик систем двухфакторной аутентификации стала жертвой изощренной хакерской атаки, в результате которой с корпоративных серверов была похищена конфиденциальная информация по продуктам и технологиям одноразовых паролей SecureID. Информация о взломе была на днях опубликована в блоге Арта Ковелло (Art Coviello), бывшего генерального директора компании RSA, которая в 2006 году была приобретена корпорацией EMC.
Топ-менеджер не делится техническими подробностями, однако признается, что хакерам удалось добыть с атакованных серверов некоторую информацию о системе двухфакторной аутентификации SecureID. Фундаментом данной технологической разработки являются небольшие электронные брелоки, генерирующие каждые 30 секунд новый одноразовый пароль, который пользователь должен указать при подключении к корпоративной сети. Эти персональные устройства, а также их программные варианты для смартфонов широко используются частными компаниями и госучреждениями для защиты ИТ-инфраструктур. По данным RSA в 2009 году брелоками пользовались 40 миллионов человек, а еще 250 миллионов пользователей установили на свои смартфоны программное обеспечение от RSA.
По словам Арта Ковелло, на данный момент у компании RSA нет доказательств того, что система SecureID была скомпрометирована. Тем не менее, сведения, оказавшиеся в распоряжении злоумышленников, могут значительно упростить проведение последующих атак на инфраструктуры, защищенные с помощью данной технологии. «Располагая этой информацией злоумышленники смогут значительно снизить эффективности существующей реализации системы двухфакторной аутентификации, — объясняет Арт Ковелло. — Мы довели эту информацию до сведения наших клиентов и предлагаем набор рекомендаций и советов, следование которым поможет минимизировать угрозу».
В том числе сотрудники компании RSA рекомендуют клиентским предприятиям:
— Минимизировать вероятность утечки конфиденциальной информации через социальные сети.
— Ликвидировать уязвимости в защитных приложениях и операционных системах, путем своевременного развертывания новых патчей и обновлений.
— Установить более жесткий контроль над изменением уровней привилегий пользователей и предоставлением прав доступа.
— Позаботиться о развертывании новых политик, обеспечивающих повышенную безопасность пользовательских паролей.
— Организовать непрерывный мониторинг и ограничить удаленный и физический доступ к элементам инфраструктуры, отвечающим за работу систем безопасности.
— Провести дополнительный инструктаж среди персонала.
— Сотрудники организации должны игнорировать подозрительные почтовые сообщения, ни в коем случае не сообщать имена пользователей и другие реквизиты доступа по телефону или электронной почте и немедленно сообщать о попытках получения указанной информации.
По мнению экспертов RSA, осуществленная атака относится к категории APT (Advanced Persistent Threat). В ИТ-отрасли этим термином обозначаются весьма серьезные проблемы безопасности, для решения которых требуется помощь со стороны государства.
Источник информации: Софт@Mail.Ru

Разработчики из Platform45 придумали, как можно стимулировать интернетчиков придумывать себе секьюрные пароли к учётным записям онлайн-сервисов. Они предлагают веб-мастерам бесплатный и простой в использовании скрипт под завлекательным названием Naked Password («Голый Пароль»).
Идея проста: рядом с полем ввода располагается рисованная дамочка в джинсах и кофточке. Чем надёжнее пароль, который набирает в этом поле пользователь, тем больше предметов одежды эта дамочка с себя скидывает.

Всего этих предметов, надо заметить, четыре, и полностью избавиться от них можно, если пароль достаточно длинный и включает не только строчные, но и прописные буквы, а также цифры. Впрочем, пытливые эксперты по безопасности уже обнаружили в алгоритме, отвечающем за раздевание пиксельной девушки, некоторые странности.
«Например, простого пароля вроде «123456789» было достаточно, чтобы девушка осталась топлесс — но я точно никому не рекомендовал бы его в качестве сильного или целесообразного пароля», — говорит аналитик Sophos Грэм Клули (Graham Cluley).
Действительно, пара минут испытаний «Голого пароля» легко выявили, что кофточку девушка снимает уже при появлении пятой строчной буквы, независимо от того, какая строка при этом получается (то есть, для этого годится даже qwert), а девяти маленьких букв достаточно для того, чтобы избавить её от бремени джинсов. Первый предмет одежды исчезает также при комбинации строчной и прописной букв, но особую слабость эта дама питает к цифрам, положительно реагируя уже на первую.
В общем, алгоритм Naked Password нуждается в некоторой доработке. Не говоря уже о том, что не все интернетчики заинтересованы в раздевании особей женского пола, тем более таких крохотных. Тем не менее, независимые эксперты высоко оценили эту идею с учетом возможного развития (ничто не мешает подключить более мощную графику или даже живую веб-камеру).
Источник информации: ВебПланета

Сервис PasswordCard предлагает интересное и оригинальное решение для хранения паролей, которое в первую очередь может заинтересовать пользователей недоверяющих программам средствам, а также пользователей с плохой памятью.
Суть предлагаемого решения заключается в следующем. Сервис PasswordCard позволяет пользователю сгенерировать уникальную карточку по размеру не более пластиковой кредитной карты, позволяющую выбирать очень надежные пароли на все случаи жизни, без необходимости запоминать весь пароль целиком.
Верхняя строка карточки состоит из набора самых разных символов, а ниже её расположены пронумерованные строки с фоном определенной цветовой окраски, которые заполнены случайным набором букв и цифр.

Для формирования пароля и последующего его использования пользователю достаточно на основании личных ассоциаций запомнить комбинацию двух значений — символа, обозначенного в верхней строке, и номера или цвета соответствующей строки (белый, серый, красный, зеленый, желтый, голубой, пурпурный и бирюзовый). В месте пересечения направляющих, установленных заданной пользователем комбинации, можно прочесть буквы и цифры, которые и определят искомый пароль. При этом направление прочтения пароля от «узловой точки» не обязательно должно быть слева-направо, можно его прочитать и справа-налево, вверх или вниз, и даже по диагонали. Конечно, лучше использовать какое-то одно направление и одинаковое длину пароля (восемь символов — оптимальное надежное значение), даже если вы используете карточку для хранения множества паролей.
Например, в верхней строке выберем символ «смайлик» и выберем «желтую» строку (строку №5), что ассоциативно может восприниматься как «желтый смайлик». Для комбинации «желтый смайлик» ваш пароль должен формироваться по направляющим, обозначенным двумя красными стрелками изображенными на представленной картинке. Стрелки указывают на узловую точку, в которой расположена буква «Р».
Получаем следующие пароли: при прочтении слева на право: PQ8JYsdF; при прочтении справа налево: P4Hrw7NE; при прочтении снизу вверх: PXsRc; при прочтении сверху вниз: RQY4. 5-ти символьный пароль при прочтении снизу вверх и 4-х символьный пароль при прочтении сверху вниз предоставляют значительно более низкую защищенность чем 8-ми символьные пароли пароли при прочтении слева направо и справо налево, поэтому из них и надо выбрать искомый пароль.
Стоит отметить, что каждая сгенерированная сервисом PasswordCard карточка уникальна, в самом её низу указан код генерации. На представленной карте код генерации: 2f3bcc2f7995c507. Этот код рекомендуется записать и хранить в надежном месте. В случае потери или кражи карточки сервис PasswordCard позволяет её восстановить по этому коду. После восстановления карточкой можно будет пользоваться дальше, в противном случае можно сгенерировать новую карточку и заменить пароли со старой карточки на пароли с новой.
Даже при пользовании такой карточкой нужно выполнять определенные меры предосторожности. Обязательно очищайте кэш и историю вашего веб-браузера после распечатки карточки. Не водите пальцем по карточке когда пользуетесь паролем, и не подчеркивайте их, чтобы не дать вору возможность узнать ваши настоящие пароли (лучше карточку заламинировать). Держите карточку при себе, не оставляйте ее у компьютера.
Для пользователей зацикленных на своей безопасности сервис PasswordCard предоставляет зашифрованное SSL-соединение. Если зайти на сервис PasswordCard по этой ссылке, можно быть уверенным, что никто не сможет перехватить никаких данных о вашей карточке.

Как показал опрос, проведенный компанией Check Point, среди разработок которой — известный пакет для обеспечения безопасности компьютера ZoneAlarm, 79% пользователей в качестве одного из составных элементов паролей употребляют слова, числа и фразы, имеющие отношение к их личной жизни. Более 26% опрошенных специалистами компании признались, что используют одни и те же пароли для почты, онлайн-банкинга или аккаунтов социальных сетей. Еще 8% рассказали, что копируют пароли из списков «хороших» паролей.
При таком подходе к составлению паролей, отмечают организаторы опроса, нет ничего удивительного в том, что 29% участников опроса уже сталкивались со взломом своих учетных записей электронной почты или социальной сети, а больше, чем у половины опрошенных нашлись знакомые с такой проблемой.
«Особенно сейчас, когда онлайн-магазины на подъеме в период праздников, потребители должны быть в курсе важности паролей и того факта, что хакеры становятся все более и более изощренными во взломе», — сказал Бари Абдул, вице президент Check Point по потребительским товарам — «Создавая уникальный пароль для каждого важного аккаунта, потребители создают первую линию защиты против хакеров, которые не смогут получить доступ к критическим данным для осуществления финансовых афер».
Надежный и уникальный для каждого сервиса пароль является первой линией обороны против взломщиков, указывают специалисты Check Point. Длиной он должен быть по крайней мере в 8-10 символов и не содержать никакой личной информации — ни инициалов или имени пользователя или члена его семьи, ни дат рождения, ни телефонных номеров.
Источник информации: Открытые системы

Более 670 человек из 1000 случайно выбранных респондентов, проживающих в 16 странах, средний возраст которых составил 29,5 лет, признались, что пользуются более чем тремя службами в сети, которые требуют пару логин-пароль для доступа, сообщила компания BitDefender по результатам собственного исследования. Кроме того, 73% респондентов отметили, что используют один и тот же пароль для разных учетных записей.
«Эти результаты с очевидностью показывают, что тот, кто взломает или подберет пароль хотя бы к одной учетной записи, сразу же получит доступ ко всем учетным записям скомпрометированного пользователя. Иными словами, стоит злоумышленнику узнать ваш пароль к программам мгновенного обмена сообщений, которыми вы пользуетесь, как он тут же сможет пользоваться вашим почтовым ящиком, электронным банком, писать за вас в блог и социальные сети», — подчеркнула Сабина Датку, специалист по анализу электронных угроз компании BitDefender.
Четверть респондентов подтвердили, что используют минимальный шестисимвольный пароль и только 10 человек из 1000 применяют в качестве пароля цифробуквенную комбинацию длиной более пятнадцати знаков.
«И самое удивительное даже не то, что пользователи не любят запоминать длинные пароли – это как раз понятно. Поражает, что они с легкостью передают настоящие пароли для проверки их стойкости абсолютному незнакомцу, в данном случае исследователю – компании BitDefender. Это все равно, что иметь связку дубликатов ключей от квартиры и раздавать их каждому, кто вас попросит», — добавила Сабина Датку. По результатам исследования, 12% респондентов с готовностью раскрыли BitDefender свои учетные данные.
Источник информации: SecurityLab

73% интернет-пользователей не утруждают себя запоминанием разных паролей для доступа к различным ресурсам во Всемирной сети и используют одни и те же аутентификационные данные. Таковы результаты исследования, проведенного экспертами компании BitDefender.
«Данная статистика свидетельствует о том, что любой, кто взломает или подберет пароль хотя бы к одной учетной записи, сразу же получит доступ ко всем аккаунтам скомпрометированного пользователя, — комментирует Сабина Датку (Sabina Datcu), аналитик сетевых угроз в BitDefender. — Иными словами, стоит злоумышленнику узнать ваш пароль к программам мгновенного обмена сообщений, которыми вы пользуетесь, как он тут же сможет получить доступ к почтовому ящику, писать за вас в блог и социальные сети — если вы используете для них один и тот же пароль».
Исследование также выявило посредственное отношение пользователей к стойкости паролей. Четверть респондентов подтвердили, что используют минимальный шестисимвольный пароль, и только 10 человек из тысячи заявили о том, что применяют в качестве кодовой фразы цифробуквенную комбинацию длиной более пятнадцати знаков.
Специалисты по информационной безопасности BitDefender напоминают пользователям, что к аутентификационным данным — логинам и паролям — следует относиться предельно серьезно и ни в коем случае не раскрывать их незнакомым людям.
Источник информации: 3DNews