На недавно прошедшей Cyber Security Conference Билл Чесвик (Bill Cheswick), исследователь из компании AT&T Research предложил интересный метод генерации длинного и сложного пароля, который при этом почти невозможно забыть.
Он предлагает выбрать какое-нибудь место в мире и взять его координаты с Google Maps. Поскольку сервис обеспечивает 10-значную точность по долготе и широте, то вы получаете отличный 20-значный пароль. Желательно выбирать место, где вы никогда не были, чтобы добавить дополнительную степень защиты.
20 символов [0-9] обеспечивают количество вариантов 1020, что примерно равно 2*6211, то есть даже лучше пароля длиной 11 символов из 62-символьного набора [a-z A-Z 0-9].
По словам исследователя, систему проверки «координатного пароля» можно специально адаптировать для удобства пользователей, то есть вместо текстового поля ввода сделать карту мира, на которой человек должен найти, зуммировать и мышкой указать задуманное место. В таком случае даже клавиатурный сниффер не сможет перехватить информацию.
Источник информации: SecurityLab

Ученые из Georgia Tech Research Institute считают, что пароли длиной менее семи символов, используемые для авторизации на веб-сайтах, уже в ближайшее время будут считаться абсолютно ненадежными. Исключением не станут даже самые хитроумные комбинации цифр, букв и специальных знаков. Опираясь на результаты проведенных исследований, специалисты рекомендуют современным Интернет-пользователям использовать пароли, состоящие как минимум из 12 символов.
По мнению исследователей, угроза связана с появлением программных инструментов для аудита и восстановления паролей, которые используют ресурсы современных графических процессоров для повышения производительности. Ричард Бойд (Richard Boyd) из Georgia Tech Research Institute утверждает, что по скорости «перемалывания» чисел современные видеокарты вполне можно сравнивать с суперкомпьютерами, сконструированными всего лишь 10 лет назад. Можно с большой степенью вероятности предположить, что эти технологии рано или поздно привлекут к себе внимание кибер-преступников.
Длинные пароли более устойчивы к атакам типа «brute force», которые заключаются в переборе всех возможных символьных комбинаций, однако надежность пароля далеко не всегда определяется его длиной. Многие вредоносные программы используют встроенный словарь для перебора вариантов и с легкостью угадывают осмысленные пароли, состоящие из двух десятков символов. И ни один из паролей не может считаться надежным в случае заражения компьютера вредоносным приложением-кейлоггером.
Практические проблемы, связанные с использованием паролей для аутентификации интернет-пользователей, стали достаточно популярной темой академических исследований. В прошлом месяце Джозеф Бонно (Joseph Bonneau) и Серен Прейбух (Soren Preibusch) из Кембриджа выступили на конференции WEIS 2010 с любопытным докладом. Темой выступления стали распространенные ошибки и недочеты, обнаруженные в системах защиты современных сайтов. В отличие от своих коллег из Georgia Tech, кембриджские исследователи обеспечили взгляд на актуальную проблему со стороны веб-администраторов.
Подвергнув анализу защитные механизмы, присутствующие на 150 популярных коммерческих, новостных и почтовых ресурсах, ученые пришли к выводу, что многие сайты пренебрегают даже повсеместно распространенными мерами предосторожности, такими как использование хэша паролей и блокирование пользователя после нескольких неудачных попыток ввода ключевого слова.
Эксперты также уверены, что сайты с неэффективной защитой могут скомпрометировать даже хорошо защищенные ресурсы, если принимать во внимание любовь современных интернет-пользователей к универсальным паролям, которые используются для входа на большинство защищенных сайтов.
Источник информации: SecurityLab

Утечка паролей для входа в социальные сети дает доступ к электронной почте пользователей. К такому выводу пришли специалисты компании BitDefender, в течение недели проводившие исследования в Интернете, позволившие получить email-адреса, учетные записи и пароли к ним более чем 250 тыс. беспечных пользователей. Личные данные были опубликованы в блогах, системах совместной работы, торрентах и прочих открытых источниках.
Выборочный анализ аккаунтов показал, что 87% из них до сих пор активны и могут быть вскрыты с использованием полученной информации. Более того, оказалось, что у 75 процентов случайно отобранных пользователей совпадают пароли электронной почты и учетных записей в социальных сетях.
«Получение такого количества персональной информации всего за несколько минут работы с поисковой системой просто пугает. Пользователям стоит напомнить, что к созданию пароля для аккаунта в социальной сети нужно подходить не менее серьезно, чем к выбору замка для двери в квартиру», — комментирует результаты исследования Сабина Датку (Sabina Datcu), аналитик сетевых угроз в BitDefender и автор эксперимента. Последствия вскрытия учетных записей социальных сетей и почтовых ящиков многочисленны и далеко не безобидны — от дальнейших краж чужих учетных данных, рассылки спама и вредоносных программ, до значительно более серьезных преступлений.
С подробным описанием эксперимента можно ознакомиться на сайте malwarecity.com, созданном компанией BitDefender в качестве площадки для общения профессионалов и пользователей, заинтересованных вопросами информационной безопасности.
Источник информации: 3DNews

Светлые умы из Microsoft изобрели новый способ защиты от взломов и подбора паролей. Оказывается, эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.
В августе два специалиста по сетевой безопасности – Стюарт Шехтер (Stuart Schechter) и Кормак Херли (Cormac Herley) — представлят свое исследование об этой технике на конференции по безопасности в Вашингтоне.
Как правило, для защиты компьютеров или сервисов от взломов пользователям предлагают придумать сложные пароли: с 14 символами, некоторые из которых должны быть буквами, другие – цифрами, с использованием как прописных, так и заглавных букв. Такие пароли, во-первых, сложно придумать, а ещё сложнее – запомнить, особенно в тех ситуациях, когда пользователи вынуждены регистрироваться в нескольких системах. Хотя, конечно, хакерам такие проблемы безусловно доставляют неудобства и вынуждают попотеть.
В ситуациях, когда система не требует от пользователей изобретения сложных комбинаций, люди используют примитивные пароли – например, большой процент пользователей социальных сетей не волнуется, используя пароль «123456». И, по-хорошему, стремление к простоте можно понять, если оно не доведено до абсурда.
Есть и такой способ защиты от взломов, как блокирование аккаунтов после того, как пользователь вводит пароль неправильно несколько раз подряд. Хакеры, конечно, научились обходить этот метод защиты, подбирая один пароль одновременно сразу к большому количеству (тысячам и миллионам) аккаунтов – попасть в цель таким способом гораздо проще.
Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, кто-то, не желающий оригинальничать, может использовать в качестве пароля слово «password», но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического — система должна предупретить пользователя, что такой пароль использовать нельзя.
Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты. Да и в продукты Microsoft новые схемы внедряться пока не будут – их предполагается обсудить с другими специалистами по безопасности.
Источник информации: ВебПланета

Управление паролями – это очень скучно, но это та проблема, которая имеет отношение ко всем, кто прикасается к компьютеру. Люди вынуждены создавать монструозные пароли, когда они регистрируются в социальной сети или делают покупки в Интернете. Однако методы кражи паролей постоянно совершенствуются.
Как защитить свои пароли? Вот несколько советов, которые могут помочь сохранить свои пароли в тайне.
Эксперт по криптографии Брюс Шнайер (Bruce Schneier) писал свои пароли на листке бумаги и держал их в своем бумажнике. В настоящее время он использует бесплатное ПО для Windows под названием Password Safe – он разработал его пять лет назад и выпустил в сообщество open-source. Это приложение для ПК предлагает пользователям запомнить только один мастер-пароль для доступа к своему списку паролей. Но Шнайер по-прежнему рекомендует «бумажный метод» для людей, у которых нет своих компьютеров. «Либо написать пароли и положить их в свой кошелек, либо использовать что-то вроде Password Safe», — сказал он.
Создатель PGP Фил Циммерман (Phil Zimmermann) хранит свои пароли в зашифрованном текстовом файле, который он описывает как «громоздкую ручную систему управления паролями».
Метод хакера Карстена Нола (Karsten Nohl) гораздо проще и при этом труднее: он хранит все свои пароли в голове. «Я использую нетривиальные функции по диверсификации паролей для любой задачи, — сказал Нол. — Раскрытие пароля должно стать практически невозможным. «Безопасность-через-незнание» – но только потому, что никто не может раскрыть столько шифров в моей голове».
Неформальный опрос дюжины специалистов по безопасности показывает, что некоторые из них по-прежнему полагаются на бумагу и ручку. Один из респондентов даже допускает хранение всех паролей на листочке под клавиатурой!
Буквально на прошлой неделе Mozilla отключила плагин для Firefox, который крал пароли пользователя и отсылал их на удаленный сервер.
Есть целый ряд решений для людей, которые хотят перевести свою систему типа «бумага-ручка» на современный уровень. Для тех, чей компьютер всегда под рукой, менеджер паролей, запускающийся на рабочем столе, может быть хорошим вариантом. В дополнение к Password Safe источники рекомендуют другие программы с открытым исходным кодом – например, KeePass. Для Macintosh есть 1Password ($ 39,95), о котором говорят как о «лучшем в своем классе для Mac».
Интересны менеджеры паролей на основе USB-ключа, например, MyKey ($ 29,99). Он работал хорошо, однако, у него есть некоторые недостатки — он запускается только на Windows-ПК с соответствующим программным обеспечением MyKey. Это значит, что его нельзя использовать его на домашнем Mac, если у вас на работе ПК, или на компьютерах друзей. Yubikey ($ 25), еще один аппаратный менеджер паролей, отличается тем, что работает на любом компьютере или крупной системной платформе и не требует клиентского программного обеспечения. «Это примерно как если бы вы положили пароли в ваш бумажник – вы кладете их во что-то физическое, что вы защищаете, — говорит Шнайер. — Люди могут потерять ключи или кошелек. Подумайте, что вы потеряете сначала».
Если хотите использовать менеджер паролей, который не привязан к конкретному компьютеру, то есть, например, сервисы, где хранятся пароли. Этот вариант удобнее предыдущих, но это означает, что вы предоставлены на милость системы безопасности компьютера, который используете – так что будьте осторожны при использовании интернет-киосков и других компьютеров свободного доступа. Вы также должны доверять хостеру и быть уверенным, что сервис не будет взломан или иным образом скомпрометирован. Если вы заинтересованы в бесплатных онлайн-менеджерах паролей, обратите внимание на RoboForm.
Многие люди считают, что лучше всего сохранять пароли в браузерах, чтобы они всегда были под рукой, но они не могут понять, что хакеры, получившие физический или удаленный доступ к компьютеру, могут легко увидеть, где хранятся пароли. Бесплатное расширение для Firefox, Chrome и Internet Explorer под названием LastPass шифрует пароли и сохраняет их на жестком диске. Оно работает на основных операционных системах, синхронизирует данные между несколькими браузерами, и вы можете автоматически войти на сайт одним щелчком мыши. И если вы используете какой-то еще компьютер помимо основного, то можно получить логин напрямую с сайта LastPass.
Независимо от того, как вы управляете вашими паролями, эксперты говорят, что вы должны быть осторожны: желательно выбрать такие пароли, которые имеют соответствующий уровень безопасности для использования их в зависимости от назначения на том или ином сайте. Например, вы можете сделать простой пароль для сайта, где вам нужно прочитать новости и откомментировать их. Но вы обязательно должны выбрать более сильные пароли, такие, чей смысл гораздо труднее угадать или обнаружить с помощью брутфорса, для банковских и им подобных сайтов, работающих с вашей секретной информацией, например, кредитные карты. И обязательно нужно использовать разные пароли для разных сайтов так, что если один пароль будет скомпрометирован, это не будет грозить безопасности информации на других сайтах или счетах. «Пароли работают до тех пор, пока вы правильно их используете», — заключает Шнайер.
Источник информации: Руформатор

Каждый пользователь должен завести как минимум четыре разных пароля, чтобы чувствовать себя в относительной безопасности, причем менять пароли нужно раз в три месяца.
Самым слабым звеном в безопасности компьютерной системы по-прежнему остается человек, мозг которого, во-первых, генерирует чрезвычайно примитивные пароли и, во-вторых, не способен их запоминать в большом количестве. По статистике CompTIA, в прошлом году причиной 84% всех взломов систем безопасности компаний были человеческие ошибки. Во многих случаях это была слабая парольная защита.
Конечно, в идеале нужно заводить отдельный пароль для каждого сайта/сервиса, и каждый пароль должен состоять из случайного набора символов максимально возможной длины, причём весь набор паролей должен храниться в зашифрованном файле на отдельной дискете в сейфе или банковской ячейке. Но это абсолютно нереальный идеал. Поэтому эксперты по компьютерной безопасности, насколько это возможно, упрощают правила.
Ассоциация CompTIA опубликовала список рекомендаций, которые позволяют чувствовать себя хотя бы в минимальной безопасности. Это минимальные требования, которые настоятельно рекомендуется соблюдать каждому пользователю.
Ни в коем случае нельзя пользоваться одним-единственным паролем на все случаи жизни. Эксперты CompTIA рекомендуют завести как минимум четыре.
1. Легкий для запоминания пароль для использования на обычных веб-сайтах. Этот же пароль можно использовать в других некритичных приложениях, для которых компрометация парольной защиты не будет иметь существенных последствий.
2. Более сложный пароль, с набором букв и цифр, для электронной коммерции, онлайн-магазинов и прочих сайтов, которые требуют введения номера кредитной карточки. В случае компрометации этого пароля могут быть незначительные финансовые потери.
3. Очень сложный пароль для онлайнового банкинга, торговли акциями и других финансовых сайтов. Этот пароль должен включать заглавные и строчные буквы, цифры и знаки пунктуации (как минимум три из перечисленных четырех категорий).
4. Отдельный пароль для использования только на работе. Рабочий пароль не должен иметь сходство ни с одним из трех личных паролей, и его никогда нельзя записывать. Из всех четырех паролей это самый важный, потому что от него зависит безопасность не одного человека, а всей фирмы. Последствия его компрометации могут быть катастрофическими.
Для большинства паролей рекомендуется использовать комбинации из букв, цифр и знаков препинания. Пароли не рекомендуется записывать, но можно записывать подсказки, которые помогут вспомнить пароль, если вы его вдруг забудете. Например, если пароль «0range1242», то можно записать у себя в блокноте такие подсказки: «Ющенко» и «Ливон». (т.е. цвет оранжевой революции и год Ледового побоища, в котором участвовал Ливонский орден).
Все пароли, кроме легкого пароля для обычных сайтов, следует менять каждые 90 дней.
Источник информации: ВебПланета

Похоже, хакеры решили переориентировать свою деятельность. В связи с тем, что компании защищают собственные сети все эффективней, злоумышленники переключились на выявление паролей. И опасность в данном случае увеличивается от того, что конечные пользователи до сих пор остаются слабым местом корпоративной защиты. Особенно, когда дело касается «всего-навсего пароля».
Специалисты по компьютерной безопасности провели в интернете исследование и получили такой результат: 15% представителей опытной аудитории без колебаний выдавали сетевой пароль, когда взамен им обещали включение в число участников розыгрыша призов.
Пол Влиссидис (Paul Vlissidis), глава одного из отделов в консультационной фирме NCC Group, которая и занималась проведением эксперимента, еще раз в беседе с корреспондентом Silicon.com подчеркнул, что основная проблема — это работники предприятий, в том числе и в IT-секторе, хотя здесь люди, казалось бы, должны быть более осведомленными и поэтому более осторожными.
Влиссидис убежден, что ценность паролей для хакеров сейчас увеличилась — в связи с укреплением защиты локальных сетей. При этом в некоторых компания все еще сохраняются общие пароли на отдел. Ничем не лучше так называемые популярные или очевидные пароли, повторяющие название футбольных клубов, например.
Влиссидис предлагает всем пользователям совет: никогда не используйте в качестве пароля слово, имеющееся в словаре. Такой пароль нетрудно подобрать при помощи соответствующей программы. Лучше всего взять комбинацию из букв и цифр. Есть и другой, более удобный метод: в качестве основы нужен куплет какой-нибудь песни или строфа из любимого стихотворения. Начальные буквы строк составляют пароль, который не потеряется, пока пользователь помнит, какая это была песня (или стихотворение).
Источник информации: ВебПланета

Twitter запустил специальный сайт с обратным отсчетом времени до того момента, когда компания окончательно изменит политику подключения сторонних приложений к своему сервису. Через 9 недель, 2 дня и некоторое количество часов ни один клиент Twitter, ни одно приложение, не сможет потребовать пароля пользователя. Отныне приложениям придется пользоваться только механизмом OAuth.
Это небольшое событие на самом деле означает окончательную победу одной модели над другой. Twitter, Facebook, «В Контакте» — со всеми этими ресурсами можно интегрироваться, но нельзя просить пользователя вводить пароль от них на своем сайте.
Только за последнюю неделю случилось несколько без сомнения важнейших событий одного и того же рода. «В Контакте» и «Мой мир@Mail.ru» открыли свои API для внешних сайтов. Facebook же анонсировал новое поколение Open Graph API — интерфейса, предназначенного для обмена со сторонними сайтами самой различной информацией. А несколько крупнейших западных интернет-компаний — Google, Yahoo, MySpace и Meebo — анонсировали новый протокол XAuth, который расширит действие cookies и позволит сайтам узнавать, на каких соцсетях бывает пользователь, чтобы потом его при помощи OAuth (и подобных технологий) идентифицировать.
Сейчас уже нередки сайты, которые вообще не пытаются регистрировать своих пользователей — например, на прошлой неделе «Руформатор» обозревал именно такой сайт Go Try It On. Идея проста: с увеличением количества предложений по аутентификации пользователей и по мере того, как буквально каждый пользователь Сети обзаводится аккаунтом в социальной сети, регистрировать его, заставлять еще раз рассказывать имя-фамилию-дату рождения, загружать фотографию — это трата его времени и своих ресурсов.
Источник информации: Руформатор

Брюс Шнайер из Wired News провел небольшой анализ используемых на блог-платформе MySpace пользовательских паролей, в результате чего выяснилось, что подобрать пароли ко многим аккаунтам системы не составит труда.
Знакомый передал Брюсу логины и пароли от 34 000 аккаунтов, которые были получены в результате обмана пользователей с помощью поддельной страницы авторизации, данные с которой отправлялись злоумышленникам. По сообщению самого MySpace не менее 100 000 пользователей стали их жертвами.
Основная часть полученных паролей примитивна — люди доверяют защиту своего аккаунта имени кумира, названию любимой группы или вида спорта. Топ-20 паролей выглядит следующим образом: password1, abc123, myspace1, password, blink182, qwerty1, fuckyou, 123abc, baseball1, football1, 123456, soccer, monkey1, liverpool1, princess1, jordan23, slipknot1, superman1, iloveyou1 and monkey. На лидера, password1, приходится 0.22% аккаунтов. Подростки, составляющие ядро аудитории сервиса, не хотят мучаться с запоминанием длинного и сложного пароля из набора случайших цифр, букв и спецсимволов и поэтому используют хорошо знакомое им слово и добавляют в его конец несколько цифр по требованию системы, считая, что так они помешают злоумышленникам.
Чаще всего длина пароля составляет 7-8 символов, при этом используются как буквы, так и цифры (81%). Исключительно цифровые пароли, столь популярные в России, на MySpace используются лишь в 1.3% случаев.
На первый взгляд кажется, что ситуация ужасна. Но на самом деле не все так плохо — по сравнению с подобными анализами, проведенными в 1989 и 1992 годах сейчас пользователи используют куда более изощренные наборы символов. Тогда средняя длина пароля составляла 6.8 символов, а буквы использовались только в одном регистре. В 1992 году Гин Спаффорд (Gene Spafford ) с помощью словаря в 63 000 слов мог подобрать до 20% паролей, а на MySpace лишь 3.8% могут быть подобраны с помощью одного, пускай даже очень большого словаря.
Источник информации: ВебПланета

Западные интернет-пользователи, как и рунетчики, не утруждают себя сочинением сложных паролей. Об этом свидетельствует анализ украденных паролей Hotmail, проведенный специалистом по безопасности компании Acunetix Богданом Калином (Bogdan Calin).
На прошлой неделе более 10 тысяч паролей пользователей @hotmail.com, @msn.com и @live.com были украдены фишерами и опубликованы в открытом доступе на сайте pastebin.com. Позднее выяснилось, что пострадали не только сервисы Microsoft, но и Gmail, Yahoo! и другие почтовые сервисы. Публикация дала возможность специалистам провести исследование предпочтений пользователей при выборе паролей.
Выяснилось, что у некоторых товарищей фишеры пароли могли и не красть, а подобрать вручную. Самым популярным паролем (64 случая из 9843) является набор цифр «123456», на втором месте — более изобретательное сочетание «123456789». Кроме того, хозяева почтовых ящиков используют пароли «1234567» и «12345678».
На 11-ом месте в двадцатке самых популярных паролей стоит пароль «iloveyou», а на 4-ом — волшебное «111111». Многие пользователи выбирают в качестве паролей свои (или чужие) имена, причем эти имена тоже входят в список повторяющихся паролей — например, «alejandra», «alberto», «alejandro», «sebastian» и «roberto». Опираясь на эти данные, исследователь предположил, что, возможно, фишеры атаковали преимущественно латиноамериканцев. Кстати, нашлись и такие люди, которые используют в качестве пароля одну цифру или букву. Самый длинный пароль — «lafaroleratropezoooooooooooooo» состоит из 30 букв.
Напомним, что эта аналитика фактически повторяет иссследование «Вебпланеты», которое мы проводили летом — после того, как были опубликованы украденные пароли нескольких десятков тысяч пользователей «ВКонтакте». Оказалось, что российские пользователи тоже очень любят пароли вроде «123456» или «qwerty».
Источник информации: ВебПланета