пятница, 23 июля 2010 г.

Новая схема защиты пароля требует новой схемы защиты схемы защиты пароля :)

Специалисты Microsoft предлагают новый способ защиты от взлома паролей

http://www.securitylab.ru/news/395967.php

Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, пользователь может использовать в качестве пароля слово "password", но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.

Собственно - мысль здравая, но учитывая, что идентификатор пользователя секретом не является, такая схема предлагает злоумышленнику интересный способ подбора паролей - путем попытки смены его на словарные значения. Если изменение пароля запрещено, то пароль у кого-то используется. В словарик его. А дальше с ним по списку аккаунтов.

Таким образом, придется вводить новый параметр безопасности - "Количество неудачных изменений пароля в единицу времени". Естественно при наличии минимального срока жизни пароля, что редкость в online сервисах, поддерживающих процедуру сброса.


PS.


 "Ошибка! Этот пароль уже использует пользователь Masha."

1 комментарий:

Анонимный комментирует...

В криптографии такие штучки называются оракулами.

Мне казалось, что в микрософте таки работают местами толковые люди, ан нет. Там все такие же обычные инженеры, кодеры и т.п. И уж совсем не специалисты по информационной безопасности.

Все вернулось на круги своя. Как в старые добрые времена до Windows NT.

Сергей, это похоже на последствия кризиса, или аномальной жары.