Рекомендации по парольной защите
Поработав с ПО от компании Elcomsoft, понял, что рекомендации по парольной защите нуждаются в существенных дополнениях и обновлениях Отсюда и родилась данная статья.
Парольная аутентификация в Windows
1.Длина пароля не менее 15 символов для обычного пользователя и 20 для администратора.
2.В пароле должно быть не менее 3 наборов символов из 4-х
3.Каждая учетная запись (почта, ПК, домашняя почта, сайты в интернет) должны иметь не повторяющиеся пароли
4.Пароль ни в коем случае не должен быть словарным словом.
К чему это приведет? Пользователь сегодня должен помнить минимум 8-10 паролей. Вывод напрашивается уже давно. Необходимо использовать многофакторную аутентификацию.
Дорого? Да! А что делать? Не знаю!
Парольная защита документов Office
В связи с тем, что в документах Office 2007/2010 реализовано шифрование по алгоритму AES с длиной ключа 128 символов, рекомендуется документы шифровать именно в формате docx. Хотелось бы отметить, что пароли в файлах, созданных в формате Office 2010 перебираются медленнее чем в Office 2007. Средняя скорость перебора – 200 паролей в секунду (без применения технологий подбора паролей с помощью ресурсов видеокарт). Следовательно – длина пароля не менее 10 символов и формат Office 2010.
Парольная защита архивов
Наиболее часто употребляемые форматы архивов (на мой взгляд) – .zip, .rar. В архиваторе WinZip реализовано три алгоритма шифрования:
1.Standard Zip 2.0 encryption – используется по умолчанию.
2.128-bit AES encryption – криптографический алгоритм AES с длиной ключа 128 бит.
3.256-bit AES encryption – криптографический алгоритм AES с длиной ключа 256 бит (усиленный алгоритм шифрования).
Выбираем шифрование с помощью 128-bit AES encryption (256-bit AES encryption) при условии, что распаковываем с помощью WinZip.
В архиваторе WinRAR используется алгоритм шифрования AES с длиной ключа 128 бит. Стоит отметить, что файлы, зашифрованные в WinRAR, будут открываться и в WinZip. Однако обратное будет работать лишь для алгоритма шифрования Zip 2.0.
К недостаткам шифрования WinZip стоит также отнести то, что WinZip не шифрует комментарии zip-файлов и такие свойства зашифрованных файлов как наименования, даты и т.д. А ведь это весьма ценная информация для аналитика. Ведь далеко не всякий пользователь переименовывает архивируемые файлы, а уж тем более изменяет остальные атрибуты (дата создания, изменения, размер и т.д.). Длина пароля не менее 10 символов. Пароль содержит 3 набора символов из 4-х.
Пароли к сайтам
Ни в коем случае не сохранять пароли к сайтам в браузерах!
Пароль к Windows Live
Ни в коем случае не сохранять! Пароль хранится в реестре и легко извлекается оттуда
Заключение
Надеюсь эти не сложные рекомендации помогут вам.
Russia Усть-Илимск
cybercop, что за параноидальные советы? Зачем рядовому пользователю нужен пароль в 20 символов? А в браузере пароли не сохранять это вообще что-то. Да я на третьем вводе пароля прокляну всех на свете. Может вы и куки удаляете?
Russia Екатеринбург Johny-electric, самый шик - работать с livecd, чтобы при вообще личные данные не хранились
Johny-electric писал:
Я всегда рекомендую хранить пароли, используя специальное ПО - хранители паролей. В частности использую Kaspersky Password Manager. Есть и какое-то бесплатное, но я использую это.
Кстати, о cookies.
Я работаю в Internet Explorer 8 в режиме InPrivate. Он автоматически затирает и cookies и историю 
Т.е. я на машине был, но меня тут не было
Lico писал:
Могу еще раз повторить InPrivate
Seychelles cybercop,
Пароль к Windows Live
Ни в коем случае не сохранять! Пароль хранится в реестре и легко извлекается оттуда
Давайте рассмотрим этот пункт поподробнее, в каких программах и в каких ключах реестра?!
Windows Live Mail: все настройки и зашифрованные пароли учеток хранятся WinProfile\Local Settings\Application Data\Microsoft\Windows Live Mail\Account Name
файл учетной записи в *.xml
У меня ошибка. Спасибо что обратили внимание
Он практически мгновенно может быть восстановлен ПО от компании Elcomsoft. Если нужно название ПО, сейчас поищу
Advanced IM Password Recovery от Elcomsoft
Восстановление пароля из 12 символов в 4 кодировках практически мгновенно
Где windows хранит пароли популярных программ.
Internet Explorer 4.00 – 6.00: Пароли находятся в реестре,ветка: “HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider”.Вы можете их просмотреть,но не сможете их использовать,ибо они зашифрованы и их нельзя переносить на др. комп как обычные ключи реестра.
Internet Explorer 7.00 – 8.00: Эти же ИЕ,хранят пароли в двух разных местах.первое тут:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2,если не ошибаюсь пароли от автозаполнения.auth пассы тут: Documents and Settings\Application Data\Microsoft\Credentials
Firefox: В лисичке пассы должны болтаться примерно вот в таких файлах signons.txt, signons2.txt, and signons3.txt и т.д. Путь до них WinProfile\Application Data\Mozilla\Firefox\Profiles\Profile Name\.Так же файл key3.db,находящийся там же, шифрует все пароли
Google Chrome : тоже недалеко лежат WinProfile\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data файл баз данных sqlite ,там пассы,ессно зашифрованные.
Opera: пароли должны быть в этом файле wand.dat, расположенный WinProfile\Application Data\Opera\Opera\profile
Outlook Express / Outlook 98/2000: там же где и пассы ИЕ,см.выше
Outlook 2002-2008: где-то здесь HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Profile Name\9375CFF0413111d3B88A00104B2A6676\Account Index
Windows Live Mail: все настройки и зашифрованные пароли учеток тут WinProfile\Local Settings\Application Data\Microsoft\Windows Live Mail\Account Name
файл учетной записи в *.xml
ThunderBird: пассы находятся WinProfile\Application Data\Thunderbird\Profiles\Profile Name название файла с расширением *.s
Google Talk: все настройки учетной записи,включая зашифр.пароли сохранены в реестре HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts\Account Name
Google Desktop: так же в реестре HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\Account Name
MSN/Windows Messenger version 6.x и ниже: пароли сохранены где-т здеся:
1.HKEY_CURRENT_USER\Software\Microsoft\MSNMessenger
2.HKEY_CURRENT_USER\Software\Microsoft\MessengerServ ice
MSN Messenger version 7.x: HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\C reds\Account Name
Windows Live Messenger version 8.x/9.x: пароли сохранены в файле учетки,имя которого начниается с “WindowsLive:name=”.
Yahoo Messenger 6.x: в реестре HKEY_CURRENT_USER\Software\Yahoo\Pager
Yahoo Messenger 7.5 и выше: HKEY_CURRENT_USER\Software\Yahoo\Pager – “ETS” значение
AIM Pro: HKEY_CURRENT_USER\Software\AIM\AIMPRO\Account Name
AIM 6.x: HKEY_CURRENT_USER\Software\America Online\AIM6\Passwords
ICQ Lite 4.x/5.x/2003: HKEY_CURRENT_USER\Software\Mirabilis\ICQ\NewOwners \ICQ Number (значение MainLocation)
ICQ 6.x: WinProfile\Application Data\ICQ\[User Name]\Owner.mdb (в бд access)
Взято
И все же я был прав
После долгих поисков. Имя пользователя хранится HKEY_Current_User/Software/Microsoft/MSN/Toolbar/WLServices/Identity
Russia Усть-Илимск cybercop, это всего лишь имя пользователя, но не пароль. Честно говоря, я всё равно так и не понял, ради чего я должен так мучаться, вводя пароль каждый раз? У меня на компе нет такой важной информации, за которую я бы переживал (разве что игры и 3 тб фильмов в 1080р). Антивирь стоит, UAC включен, руки откуда надо растут. За последние несколько лет не видел вирусов нигде, кроме чужих флешек.
Russia
Johny-electric
У меня на компе нет такой важной информации, за которую я бы переживал
-------
- Пал Андреич, Вы шпион?
- Видишь ли, Юра...
Seychelles
cybercop, не думаю что мгновенно, если пароль зашифрован банальным MD5
А по поводу безопасности, скорее создателям ПО нужно обратить внимание на сохранность данных которые вводит пользователь, а не пользователю, который из-за ленивости программистов обязан каждый раз вводить пароль, храня его в уме
Если восстановление пароля из 12 символов (на себе проверял) занимает менее 1 секунды - это как?
netRunner писал:
netRunner писал:А по поводу безопасности, скорее создателям ПО нужно обратить внимание на сохранность данных которые вводит пользователь, а не пользователю, который из-за ленивости программистов обязан каждый раз вводить пароль, храня его в уме
Как вы думаете, кого больше должна волновать безопасность? Программистов? Не-а. Пользователя! Ибо не данные програмеров уйдут, а его собственные!
PS
Потому я использую SPB Wallet на своем коммуникаторе. Там хранится база паролей, зашифрованная по AES 128 и помню ОДИН пароль к этой базе.
Или вариант 2 - менеджер паролей. Тот же Kaspersky Password Manager или другой, который будете использовать вы.
Seychelles
cybercop, я тоже использую программу для хранений паролей, однако ничего не мешает мне хранить пароли в Opera (коих уже там более 100кб), в IE и т.п. Не использую я и антивирус, только фаервол на блокирование всех исх подкл.
И пока что, я нчиего и нигде не потерял..
Дак вот, есть ли смысл то так подстраховываться?
Russia Екатеринбург
netRunner, вот сломают мне аську, пришлют тебе под видом чего-нибудь хорошего - чего-нибудь плохое, узнаешь
Seychelles Lico, пока что отличаю спам от реальных сообщений))) Вот будем мне за 80...
netRunner, это намек на то что мне уже за 50?
Правда из них за компьютером 37 и ИТ-безопасностью занимаюсь последние лет 20, если не больше
Seychelles
cybercop, без намеков, про себя говорил
По поводу безопасности. NAP, IKEv2, SSTP, D.A., IPSec?
