Введение пароля

Первая часть практического руководства по созданию эффективных паролей от коллектива иностранных авторов, переведённого экспертами Origin Security специально для наших читателей

Примечание переводчика

Пароли повсеместно используются в современном мире. Если у вас есть учетная запись на компьютере, то наверняка будет хотя бы один пароль. Пароли использовались в компьютерах с момента появления вычислительной техники. Первой операционной системой с реализованным механизмом аутентификации на основе пароля стала Compatible Time-Sharing System (CTSS), представленная в Массачусетском технологическом институте в 1961 году.

Пароли — это самая простая форма реализации информационной безопасности. В течение многих лет эксперты пробовали сделать пароли более сложными для взлома, применяя различные правила создания и использования паролей (т. парольные политики).

Однако, при всей технической простоте реализации, парольная политика нередко оказывает спорное влияние на уровень безопасности информационных систем. Необоснованно завышенные требования к сложности и сменяемости паролей часто приводят к тому, что пользователи их просто забывают, после чего надоедливо отвлекают безопасников просьбами сменить пароль. Распространенными среди пользователей практиками являются также запись сложного пароля на стикере, который виден всем окружающим, или изменение только последнего символа пароля при появлении требования об установке нового пароля.

Поэтому, чтобы эффективно противодействовать злоумышленнику, парольная политика должна иметь реальное обоснование и не приводить пользователей в замешательство и расстройство. Некоторые крупные игроки в области стандартизации информационных технологий (NIST, Microsoft и пр. ) недавно разработали новые парольные политики, основанные на двух базовых принципах:

• Использование данных о техниках и тактиках действий злоумышленников.
• Облегчение пользователям создания, запоминания и использования надежных паролей (учет человеческого фактора).

Цель этого документа — не изобретать велосипед, но объединить новые руководства по парольной политике в одном месте. Создать универсальную парольную политику, которую можно использовать везде, где это потребуется.

1 Обзор лучших практик

Каким бы стойким ни был пароль, эффективная защита может быть достигнута только при комплексном подходе с применением разнообразных механизмов. Подходы к реализации парольной политики можно ранжировать следующим образом (от более предпочтительных к менее):

Многофакторная аутентификация (МФА)

МФА — это самый эффективный метод защиты, и, хотя в руководстве ему посвящён отдельный раздел, здесь он заслуживает особого упоминания. МФА должна быть приоритетным вариантом при проектировании системы аутентификации для всех пользователей и везде, где это возможно. Особенно она необходима для безопасности доступа администраторов и других привилегированных учетных записей. Понятно, что МФА сама по себе не является панацеей хотя бы потому, что далеко не во всех информационных системах возможна её техническая реализация. Кроме того, даже при использовании МФА иметь стойкий пароль полезно, поскольку он используется как один из факторов.

2 Менеджер паролей

Инструмент позволяет создавать и хранить уникальные и сложные пароли для каждой учетной записи. Использование менеджеров паролей может значительно повысить безопасность и удобство авторизации пользователей.

3 Политика создания и применения паролей пользователями

Этот подход наиболее полно описан в данном руководстве, поскольку он является самым распространенным в настоящее время. Вместе с тем, большая часть рекомендаций актуальна для всех трех методов.

Обзор рекомендаций

Краткое описание рекомендаций по парольной политике представлено в таблице ниже. Детальная информация по каждой рекомендации раскрыта в главе 5.

Общая цель эффективной парольной политики — позволить пользователям легко создавать достаточно надежные пароли для доступа к системе, а затем отслеживать и ограничивать попытки доступа для обнаружения/предотвращения их несанкционированного использования.

Насколько важен пользовательский пароль?

Ввиду повсеместного использования паролей для доступа к компьютерным системам всех типов, очевидно, что пароли очень важны. Но существует ли компромисс между безопасностью и удобством использования? Не привели ли попытки разработать политику, чтобы сделать более безопасными применяемые пароли, к фактическому снижению уровня безопасности системы из-за человеческого фактора? В известной статье Алекса Вайнерта (Microsoft) «Your Pa$word doesn’t matter» приведено описание реальных атак на пользовательские пароли, развеяны распространенные мифы о надежности паролей и поведении пользователей. Обобщенная информация представлена в следующей таблице:

Из всех распространенных атак, перечисленных выше, надежность пароля имеет значение только в двух случаях:

• проводимые онлайн: перебор учетных записей (password spraying, password guessing);.
• проводимые офлайн: перебор паролей, взлом (brute force, database extraction, cracking).

Давайте рассмотрим их подробнее.

1 Атаки, проводимые онлайн

Password Guessing или Hammering — это систематический подбор пароля злоумышленником к одной целевой учетной записи. Перебор проводится преимущественно по словарям и по утечкам, найденным в Интернете.

Password Spraying — это вариант атаки, при котором злоумышленник использует те же списки паролей, но нацеливается на множество общедоступных или легко определяемых (например, общий формат имени учетной записи) учетных записей пользователей.

В случае с Password Guessing кажется, что здесь важна надежность пароля, но на самом деле гораздо важнее мониторинг и ограничение неудачных попыток входа. При наличии разумных ограничений и мониторинга тот факт, что современные технологии позволяют перебирать миллиарды паролей в секунду, не имеет значения, поскольку учетная запись будет заблокирована, а администратор безопасности — уведомлен об инциденте. Именно поэтому более распространенной формой атаки стал Password Spraying, но чтобы он был эффективным, злоумышленнику необходимо избегать блокировки учетных записей. Добиться этого можно, если узнать формат имени учетной записи, принятый в целевой организации. В таком случае атака заключается в переборе ограниченного словаря паролей, но в отношении множества учетных записей, что не приводит к их блокировке и позволяет злоумышленнику не попадать в поле зрения команды защитников.

Даже в этих случаях более сложный пароль не является лучшим решением. Гораздо более эффективным и простым для пользователей вариантом будет использование более длинных, сложных и разнообразных имен учетных записей. Действенным способом обнаружения атак типа Password Spraying является использование специальных сигнальных учетных записей. Это действительные аккаунты с минимальными привилегиями, которые соответствуют принятой парольной политике, но не предназначены для доступа. Попытки авторизации с их помощью свидетельствуют о компьютерной атаке, расследование которой позволяет администраторам информационной безопасности заранее обнаружить угрозу и не допустить компрометации паролей настоящих учетных записей.

2 Атаки, проводимые офлайн

Это единственный вариант, когда сложность пароля по-настоящему имеет значение. При такой атаке злоумышленник уже завладел базой данных учетных записей/паролей целевой компании, в которой пароли хранятся в хэшированном виде (вместо обычных текстовых паролей, что было бы слишком просто). В дальнейшем злоумышленник восстанавливает настоящие пароли из найденных хэш-сумм методом перебора с применением одного из множества свободно распространяемых инструментов (например, John the Ripper или L0phtCrack) или специальной программой, разработанной для этого самим злоумышленником.

Мы не будем подробно описывать принцип работы этих программ (существует множество открытых источников по взлому паролей), но в общем случае злоумышленник может сделать следующее:

• Создать «брут-машину»: стандартное компьютерное оборудование с высокопроизводительной видеокартой, которое может вычислять и проверять несколько миллиардов несложных хэшей (MD5, SHA1, NTLM и т.д.) в секунду. Легкодоступные установки для добычи криптовалют (майнеры) могут без труда достичь скорости перебора в 100 миллиардов хэшей в секунду, а хорошо финансируемые злоумышленники (прогосударственные группировки) могут достичь скорости и в 100-1000 раз выше.
• Перебрать все возможные пароли. При использовании майнера и предположении, что мощность словаря пароля составляет 96 символов, бездумное перебирание всех вариантов пароля займёт следующее время:

Ускорить перебор, используя дополнительные техники и знания:

• изучив целевую организацию, злоумышленник может выяснить алгоритм хэширования и специфичные для неё правила генерации паролей (минимальная/максимальная длина, сложность и т. д.);.
• использовать списки паролей, полученные в результате предыдущих взломов (огромное количество паролей уже находятся в свободном доступе). После хеширования проводится проверка на совпадение с хэшами в целевой базе данных. По статистике, это позволяет взломать около 70% паролей пользователей;.
• если это не сработает, злоумышленник может составить список всех популярных фраз, текстов песен, заголовков новостей, частых запросов поисковых систем, википедии, популярных статей и т.д. Или взять готовый — подобные списки доступны в различных сообществах «хэшбрейкеров». Таким образом можно подобрать еще 5-7% паролей пользователей;.
• наконец, злоумышленник может использовать предугаданные шаблоны (например, пароль всегда начинается с заглавной буквы, затем 3-6 строчных букв, 2-4 цифры и восклицательный знак в конце) и подобрать более длинные пароли (до 12 символов). Это позволяет вскрыть еще 5-7% пользовательских паролей.

Здесь стоит отметить следующее:

• данный метод перебора работает только в том случае, когда у атакующего есть база учетных записей/паролей. Как злоумышленник получил ее? Если уровень доступа атакующего достаточен, чтобы получить базу данных, то целью он, скорее всего, уже владеет;
• если база данных учетных записей/паролей, полученная злоумышленником, не относится к цели, то взломанный пароль все равно нужно попробовать на реальной учетной записи в целевой системе;
• человек вряд ли сможет создать надежный пароль, который выдержит описанные попытки взлома. Если противодействие им необходимо, используйте длинный и сложный пароль, сгенерированный автоматически. Например, созданный и управляемый менеджером паролей;

Таким образом, необходимости использования паролей со сложностью выше определенного разумного уровня нет. Так почему бы не разработать политику, поощряющую достаточно надежные пароли, которые легко создавать, запоминать и использовать? Данное руководство призвано помочь с этим, и мы продолжим в следующей части

Перевод: Аделина Любимова, Origin Security

15 Ноября 2020

arrow-right
Created with Sketch. Андрей МареевВ избр. СохраненоЧитайте, как отключить обязательное требование вводить пароль при загрузке Windows 10, 8 или 7. Как удалить пароль учётной записи, чтобы Windows загружалась автоматически, напрямую к рабочему столу без необходимости дополнительного подтверждения.

Введение

Операционная система «Windows» производства корпорации «Microsoft» является самой распространенной и наиболее массово представленной программной платформой в мире на компьютерных устройствах пользователей. «Windows» оснащена разнообразными функциями, направленными на обеспечение бесперебойного и безошибочного функционирования, учета и полноты использования на максимальном уровне потенциала компьютерных устройств, предоставление сверхскоростной среды для разнообразных сторонних программ и приложений, стремясь обеспечить их много потоковое использование без снижения производительности. Одной из причин, по которой операционная система «Windows», представленная как популярными версиями «Windows 7» и «Windows 8», так и новейшей версией «Windows 10», собравшей все лучшие и востребованные функции, лидирует среди пользователей и занимает значительную долю рынка цифрового программного обеспечения, является удачный и дружественный пользовательский интерфейс системы. С первых шагов при запуске операционной системы «Windows» на персональном компьютере или другом вычислительном устройстве, система старается идентифицировать пользователя, предлагая ему использовать, соответственно заданные при установке или при последующей настройке операционной системы, учетные данные пользователя, запуская предварительный фильтр при непосредственном запуске системы, именуемый экраном приветствия «Windows».

Данный экран заставляет пользователя в обязательном порядке при каждом входе в операционную систему указывать собственный пароль, который позволяет его идентифицировать, ограждает систему от стороннего несанкционированного доступа нежелательных пользователей и применяет соответствующие разрешения и допуски к различным приложениям и системным службам «Windows».

Окно приветствия в операционной системе «Windows» появляется в автоматическом режиме, если учетная запись пользователя содержит парольную фразу или персональным компьютерным устройством пользуются совместно сразу несколько пользователей, используя для входа в систему собственные уникальные учетные данные.

Постоянно всплывающее окно приветствия может повышать утомляемость пользователей, отвлекая их от непосредственных действий и снижать общую производительность. Поэтому, часто пользователи стремятся отключить экран приветствия «Windows», особенно когда персональный компьютер или ноутбук используется в личных целях одним пользователем, или учетные записи других пользователей можно удалить, предоставив им возможность осуществлять периодическое использование компьютера под единой учетной записью собственника (например, для членов своей семьи).

Существуют простые способы добиться желаемого результата и отключить постоянное требование вводить в соответствующее поле на странице приветствия парольную фразу пользователя каждый раз, когда происходит первичный запуск операционной системы «Windows» или выполняется вход после непродолжительного отсутствия, и заставить систему загружаться сразу напрямую. И далее в нашей статье мы представим такие способы. Также пользователь, при желании, может полностью отключить пароль учетной записи простым способом, подробное описание которого также будет представлено далее.

Простой способ отключить требование вводить пароль в экране приветствия «Windows» в настройках учетных записей

Чтобы избавиться от экрана приветствия и предотвратить его постоянное отображение в операционной системе «Windows» пользователям придется выполнить простой пошаговый алгоритм действий.

Нажмите совместно сочетание клавиш «Windows + R» и откройте диалоговое окно «Выполнить». Затем в поле «Открыть» введите команду «netplwiz» и нажмите на кнопку «ОК» или щелкните клавишу «Ввод» на клавиатуре для исполнения введенной команды.

Операционная система предоставит пользователям доступ к настройкам учетных записей, отобразив соответствующий список в системном окне «Учетные записи пользователей», которые используются для предоставления или отказа в доступе к личному компьютеру, смены паролей и ряда других параметров. Во вкладке «Пользователи» снимите в ячейке строки «Требовать ввод имени пользователя и пароля» индикатор выбора («галочку») и нажмите на кнопку «Применить» в правом нижнем углу окна.

Система отобразит новое всплывающее окно «Автоматический вход в систему», в котором предложит пользователю указать определенное имя и парольную фразу, чьи учетные данные будут непосредственно использоваться для постоянного входа в систему «Windows» в автоматическом режиме без обязательной активации промежуточного экрана приветствия. Заполните соответствующие поля «Пользователь», «Пароль» и «Подтверждение», затем нажмите на кнопку «ОК» и повторно нажмите в предыдущем окне кнопку «ОК» для сохранения внесенных изменений параметров учетной записи.

Для применения установленных настроек потребуется выполнить перезагрузку операционной системы. Нажмите на кнопку «Пуск», расположенную на «Панели задач» в нижнем левом углу рабочего стола, и в левой боковой панели нажмите на кнопку «Выключение». Затем во всплывающем меню, из списка вариантов доступных действий, выберите раздел «Перезагрузка», и система будет перезапущена.

И вход в операционную систему «Windows» при последующем включении компьютера будет выполнен автоматически без отображения экрана приветствия.

Способ устранить потребность вводить пароль при входе в систему путем его обнуления

В большинстве случаев, для полнофункционального использования возможностей операционной системы «Windows 10, 8 или 7», используется учетная запись, обладающая правами администратора. Можно удалить пароль данной записи, что позволит выполнять выход в систему напрямую, минуя экран приветствия.

Предупреждение: Мы настоятельно не рекомендуем пользователям удалять пароль учетной записи с правами администратора, так как такое действие значительно снизит защищенность системы, позволит вирусным программам и любому виду нежелательного программного обеспечения беспрепятственно проникать в систему или получать к ней неограниченный доступ.

Если такой вариант полностью устраивает пользователей и риски заражения системы не страшны, то необходимо выполнить следующий алгоритм действий.

Примечание: Порядок удаления пароля учетной записи с правами администратора в версиях операционной системы «Windows», обладающей системным приложением «Параметры» и без него, отличается. И далее мы представим способы обнуления пароля для различных версий системы «Windows».

Удаление пароля учетной записи администратора через приложение «Параметры»

Откройте приложение «Параметры», которое обладает подавляющим большинством настроек ресурсов операционной системы «Windows» любым удобным, из множества доступных, способом.

Например, нажмите правой кнопкой мыши на кнопку «Пуск», расположенную на «Панели задач» в нижнем левом углу рабочего стола. Затем во всплывающем меню, из списка доступных вариантов, выберите раздел «Параметры», и приложение будет незамедлительно открыто.

Или нажмите на кнопку «Пуск» и откройте главное пользовательское меню «Windows». При помощи бегунка полосы прокрутки перемещайтесь по списку и выберите искомый раздел «Параметры». Либо в левой боковой панели главного меню нажмите на кнопку с изображением шестеренки для непосредственного доступа к приложению.

Также можно использовать наиболее легкий и быстрый способ открыть приложение «Параметры». Выполните совместное нажатие комбинации клавиш «Windows + I», и приложение будет запущено мгновенно.

На главной странице параметров «Windows» выберите раздел «Учетные записи», щелкнув его один раз левой кнопкой мыши. Теперь в левой панели нового окна выберите вкладку «Параметры входа», а в правой панели, использую бегунок полосы прокрутки, перейдите в раздел «Пароль» и нажмите на кнопку «Изменить».

Система контроля учетных записей инициирует открытие окна «Учетная запись Microsoft», которая в целях обеспечения безопасности системы потребует подтвердить личность пользователя, обладающего правами на внесение изменений в данную учетную запись. Введите в соответствующую строку «ПИН-код» доступа, установленный в параметрах входа в систему.

Служба контроля сверит соответствие введенного кода и отобразит окно смены пароля, в котором необходимо указать в первой строке свой текущий пароль, а строку «Новый пароль» оставить без изменений.

Нажмите кнопку «Далее» и следуйте инструкциям системы для сохранения внесенных изменений. По окончанию, перегрузите компьютер и вход в операционную систему произойдет автоматически без вызова экрана приветствия «Windows».

Удаление пароля учетной записи администратора в приложении «Панель управления»

В операционной системе «Windows 7» отсутствует приложение управления основными настройками «Параметры», в отличие от более поздних версий, и удалить пароль можно из системного приложения «Панель управления».

Для доступа в приложение «Панель управления» нажмите на кнопку «Пуск» и в представленном меню выберите в правой панели соответствующий раздел.

В открывшемся окне панели управления настройками параметров компьютера в правом верхнем углу окна в строке «Просмотр» нажмите на стрелку отображения вложенного меню, и выберите из возможных вариантов раздел «Категория».

Способ представления разделов будет изменен. Выберите в разделе «Учетные записи пользователей и семейная безопасность», отвечающим за настройку параметров учетных записей, паролей и организацию родительского контроля, текстовую ссылку «Добавление и удаление учетных записей пользователей».

В новом окне управления в разделе «Выберите учетную запись для изменения» щелкните левой кнопкой мыши запись администратора.

На странице, ответственной за внесение изменений в отмеченную учетную запись, нажмите на текстовую ссылку «Изменение пароля».

Система отобразит страницу изменения пароля, содержащую несколько необходимых полей. Заполните поле «Текущий пароль», указав в нем установленный существующий действующий пароль, а поля «Новый пароль» и «Подтверждение пароля» оставьте пустыми без изменений. Потом нажмите на кнопку «Сменить пароль» и указанные настройки будут применены к системе незамедлительно.

Теперь закройте окно управления настройками, перезагрузите свой компьютер и убедитесь, что вход в систему осуществляется сразу напрямую без экрана приветствия «Windows».

Как выключить требование вводить пароль при выходе из режима сна

Равно как и в предыдущем разделе, способ отключения требования обязательного ввода пароля при выходе их режима сна в операционных системах «Windows», оснащенных приложением «Параметры» и не обладающих им, несколько разниться. Поэтому далее мы представим способ отключения пароля на примере операционной системы «Windows 10» и «Windows 7», используя разные системные приложения.

Как отключить пароль при выходе из режима сна в операционной системе «Windows 10»

Откройте ранее описанным способом системное приложение «Параметры» и перейдите в раздел «Учетные записи». Затем в левой боковой панели выберите раздел «Параметры входа», а в правой панели в разделе «Требуется вход» отметьте во вложенном всплывающем поле режим «Никогда».

Теперь при выходе из спящего режима пароль для загрузки операционной системы вводить не требуется.

Также, иногда, когда пользователи имеют связанные с компьютером устройства, обладающие пределом допустимого диапазона использования (например, подключенные к компьютеру при помощи «Bluetooth»), система «Windows» может блокироваться, когда такие устройства покидают область соединения, и требовать последующего ввода пароля. Поэтому, чтобы исключить подобную ситуацию, отыщите при помощи бегунка полосы прокрутки раздел «Динамическая блокировка» и снимите индикатор выбора («галочку») в ячейке строки «Разрешить Windows автоматически блокировать устройство в ваше отсутствие».

Дополнительно стоит проверить настройки экранной заставки, активное положение ответственного параметра которой может принудительно вызывать запуск экрана приветствия с последующим требованием ввода парольной фразы.

Данная команда инициирует открытие окна «Параметры экранной заставки», в котором необходимо снять индикатор выбора («галочку») в ячейке «Начинать с экрана входа в систему», а затем нажать на кнопки «Применить» и «ОК» для сохранения установленных настроек.

Как отключить пароль при выходе из режима сна в операционной системе «Windows 7»

Чтобы отключить постоянное требование ввода пароля при выходе из режима сна, пользователям в операционной системе «Windows 7» потребуется использовать системное приложение «Панель управления». Откройте окно приложения ранее представленным способом, переместитесь в низ окна, посредством бегунка полосы прокрутки, и выберите раздел «Электропитание».

На странице «Выбор плана электропитания» в строке плана, используемого по выбору пользователя, нажмите на текстовую ссылку «Настройка плана электропитания».

На связанной странице настроек конкретного плана нажмите на текстовую ссылку «Изменить дополнительные параметры питания».

Всплывающее окно дополнительных параметров отобразит все настройки, ответственные за управление питанием компьютера. Нажмите на текстовую ссылку «Изменить параметры, которые сейчас недоступны» для доступа к полному списку настроек.

Потом в главном окне в разделе «Требовать введение пароля при пробуждении» установите для всех вложенных строк значение «Нет», а затем нажмите на кнопки «Применить» и «ОК» для сохранения изменений параметров электропитания компьютера.

Теперь система не будет требовать пароль при выходе из режима сна и переход в рабочее состояние будет выполняться автоматически.

Заключение

Разработчики операционной системы «Windows» постоянно работают над ее улучшением и дополняют систему различными новыми функциями, напрямую влияющими на повышение привлекательности «Windows» и увеличение общей производительности устройств на ее основе. Система «Windows» имеет дружественный интерфейс и предоставляет возможность изменять его настройки непосредственно под конкретные пожелания пользователей.

Одним из стандартных элементов операционной системы является активация по умолчанию экрана приветствия «Windows», который, исходя из настроек безопасности, каждый раз требует вводить для входа в систему парольную фразу. Используя представленные в нашей статье способы прямого отключения экрана приветствия при запуске компьютера, а также устранение обязательного требования повторного ввода пароля при выходе из режима сна, позволят пользователям выбрать для себя приемлемый вариант использования компьютера и уберут отвлекающие факторы в случае такой необходимости. А также помогут быстро вернуть обратно экран безопасности, если такая потребность возникнет.

Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях

Продвигайте свои услуги или личный бренд через интересные кейсы и статьи