1. ProgrammeringNetarbeidForhåndsinntasting av hacking med passordkrakkende tiltak

Av Kevin Beaver

Hvis du tar noen generelle tiltak, kan du forhindre hacking av viktige passord. Et passord for ett system tilsvarer vanligvis passord for mange andre systemer fordi mange bruker de samme passordene på hvert system de bruker. Av denne grunn kan det være lurt å vurdere å instruere brukerne om å lage forskjellige passord for forskjellige systemer, spesielt på systemene som beskytter informasjon som er mer sensitiv.

Den eneste ulempen med dette er at brukere må oppbevare flere passord, og derfor kan bli fristet til å skrive dem ned, noe som kan eliminere fordelene.

Lagring av passord

Hvis du må velge mellom svake passord som brukerne dine kan huske og sterke passord som brukerne dine må skrive ned, må du få leserne til å skrive ned passord og lagre informasjonen sikkert. Tren brukere å lagre de skrevne passordene sine på et sikkert sted - ikke på tastaturer eller i lett sprukne passordbeskyttede datafiler. Brukere bør lagre et skriftlig passord på noen av disse stedene:

  • Et låst filskap eller kontorsafe Full (hel) diskkryptering som kan forhindre at en inntrenger noensinne får tilgang til OS og passord som er lagret i systemet. Et sikkert passordhåndteringsverktøy som Lastpass Password Safe, en åpen kildekode-programvare som opprinnelig ble utviklet av Counterpane

Retningslinjer for passord

Som etisk hacker bør du vise brukerne viktigheten av å sikre passordene sine. Her er noen tips for hvordan du gjør det:

  • Demonstrer hvordan du oppretter sikre passord. Henvis til dem som passordfraser fordi folk har en tendens til å ta passord bokstavelig og bare bruker ord, som kan være mindre sikre. Vis hva som kan skje når svake passord brukes eller passord deles. Bygg flittig brukerbevissthet om angrep fra sosialt ingeniørarbeid.

Håndhev (eller i det minste oppfordrer til bruk av) en sterk policy for oppretting av passord som inkluderer følgende kriterier:

  • Bruk store og små bokstaver, spesialtegn og tall. Bruk aldri bare tall. Slike passord kan knuses raskt. Feile staveord eller lag akronymer fra et sitat eller en setning. For eksempel er ASCII et forkortelse for American Standard Code for Information Interchange som også kan brukes som en del av et passord. Bruk tegnsettingstegn for å skille ord eller akronymer. Endre passord hver 6. til 12. måned eller umiddelbart hvis de er mistenkt for å bli kompromittert. Alt som er hyppigere introduserer en ulempe som bare tjener til å skape flere sårbarheter. Bruk forskjellige passord for hvert system. Dette er spesielt viktig for nettverksinfrastrukturverter, for eksempel servere, brannmurer og rutere. Det er greit å bruke lignende passord - bare gjør dem litt forskjellige for hver type system, for eksempel SummerInTheSouth-Win7 for Windows-systemer og Linux + SummerInTheSouth for Linux-systemer. Bruk passord med variabel lengde. Dette trikset kan kaste angripere fordi de ikke kjenner den nødvendige minimums- eller maksimale lengden på passord og må prøve alle passordlengdekombinasjoner. Ikke bruk vanlige slangord eller ord som er i en ordbok. Ikke stol helt på karakterer med lignende utseende, for eksempel 3 i stedet for E, 5 i stedet for S, eller! i stedet for 1. Passordsprekkerprogrammer kan se etter dette. Ikke bruk det samme passordet innen minst fire til fem passordendringer. Bruk passordbeskyttede skjermsparere. Opplåste skjermer er en fin måte for systemer å bli kompromittert selv om harddiskene deres er kryptert. Ikke del passord. Til hver sin egen! Unngå å lagre brukerpassord på et usikret sentralt sted, for eksempel et ubeskyttet regneark på en harddisk. Dette er en invitasjon til katastrofe. Bruk passordsikkert eller et lignende program for å lagre passord for brukere.

Andre mottiltak

Her er noen andre passordhackende tiltak:

  • Aktiver sikkerhetsrevisjon for å overvåke og spore passordangrep. Test applikasjonene dine for å forsikre deg om at de ikke lagrer passord på ubestemt tid i minnet eller skriv dem til disk. Et godt verktøy for dette er WinHex. Hold systemene lappet. Passord tilbakestilles eller blir kompromittert under bufferoverløp eller andre forhold med denial of service (DoS). Kjenn dine bruker-ID-er. Hvis en konto aldri har blitt brukt, kan du slette eller deaktivere kontoen før den er nødvendig. Du kan bestemme ubrukte kontoer ved manuell inspeksjon eller ved å bruke et verktøy som DumpSec, et verktøy som kan oppregne Windows-operativsystemet og samle bruker-IDer og annen informasjon.

Som sikkerhetsadministrator i organisasjonen din kan du aktivere sperring av kontoen for å forhindre forsøk på sprekker av passord. Kontoutlåsning er muligheten til å låse brukerkontoer i en viss tid etter at et visst antall mislykkede påloggingsforsøk har skjedd. De fleste operativsystemer har denne muligheten.

Ikke sett det for lavt, og ikke sett det for høyt til å gi en ondsinnet bruker større sjanse for å bryte seg inn. Et sted mellom 5 og 50 kan fungere for deg. Tenk på følgende når du konfigurerer kontoutlåsning på systemene dine:

  • Hvis du vil bruke kontoutlåsing for å forhindre noen muligheter for en bruker-DoS-tilstand, må du kreve to forskjellige passord og ikke angi en sperretid for den første hvis den funksjonen er tilgjengelig i operativsystemet ditt. Hvis du tillater autoreset av kontoen etter en viss periode - ofte referert til som inntrenger-lockout - må du ikke angi en kort periode. Tretti minutter fungerer ofte bra.

En mislykket innloggingsteller kan øke passordssikkerheten og minimere de samlede effektene av kontoutlåsning hvis kontoen opplever et automatisert angrep. En påloggingsteller kan tvinge en passordendring etter et antall mislykkede forsøk. Hvis antallet mislykkede påloggingsforsøk er høyt og skjedde over en kort periode, har kontoen sannsynligvis opplevd et automatisert passordangrep.

Andre passordbeskyttelsesmessige tiltak inkluderer

  • Sterkere autentiseringsmetoder. Eksempler på disse er utfordring / respons, smartkort, symboler, biometri eller digitale sertifikater. Automatisk tilbakestilling av passord. Denne funksjonaliteten lar brukere håndtere de fleste av passordproblemene sine uten å bli involvert. Ellers blir dette støtteproblemet dyrt, spesielt for større organisasjoner. Passordbeskytte systemet BIOS. Dette er spesielt viktig på servere og bærbare datamaskiner som er mottakelige for fysiske sikkerhetstrusler og sårbarheter.