Хакване на пароли 2 – Заобикаляне на паролата
September 16th, 2008 от singu
Продължаваме с втората част на серията “Как се хаква достъп”, което повечето хора наричат “Как се хаква парола”. Не забравяйте да погледнете част 1 и част 1.5 на серията.
В историята, която споделих наскоро става въпрос за използване именно на този метод – не отгатване на самата парола, а намиране на начин за заобикалянето и. Най-честият начин за заобикаляне на паролата е всъщност механизмите, които повечето сайтове предлагат за възстановяване на забравена парола. Най-често това включва отговаряне на стандартен набор от въпроси, след което на електронната поща се изпраща линк за ресетване на паролата, или още по-лошо – на атакуващия се предоставя възможността направо да напише новата парола. Типичен пример е например abv.bg – ако щракнете на линка “Забравена парола”, ще ви попитат дали искате да ви изпратят линка за ресетване на алтернативна поща или направо да ви дадат възможност да промените паролата. Следват въпрос за рожденната дата ( информация, която определено е лесно да бъде намерена ), след което следва таен въпрос, който сами сте задали. Последното е нож с две остриета. От една страна се избягват стандартните въпроси, чиито отговори са доста лесни за намиране ( моминското име на майка ви, град в който сте родени, основното ви училище и т.н. ), но от друга страна повечето хора подценяват важността на въпроса и задават нещо лесно ( вече споделих за “кой номер обувки нося” ). Всъщност този въпрос трябва да бъде третиран по същият начин, по който третирате и паролата си, защото на практика представлява алтернативна парола за достъп. Още по-лошо – дори и да сменяте паролата си за достъп на известен период от време, изключително малко хора сменят тайният си въпрос. Друг проблем е, че отговорите на някои въпроси се сменят ( например “Кой е любимият ви филм” ) или още по-зле – забравят се. Във всички случаи тайните въпроси и отговори не са толкова сигурни, колкото комбинацията потребител+парола. Също така някои от сайтовете имат практиката при грешен отговор на въпрос да ви зададат друг от набора тайни въпроси – по този начин се увеличава вероятността атакуващ да се натъкне на въпрос на който може да отговори.
Същестува още един момент – в уеб формите полето за въвеждане на парола е тип “password” и се предполага, че браузъра ще се постарае да се отнесе подобаващо към това поле. Тайният въпрос и отговор обаче обикновено са си в полета от тип “текст” и съответно браузъра се опитва да улесни потребителя, като по подразбиране ги записва в базата си данни за автоматично попълване на форми ( или поне така прави Firefox, за IE не съм 100% сигурен ). Оттам нататък е необходим само инструмент от рода на dumpautocomplete и всички тези данни могат да бъдат извадени.
Има няколко възможни решения на този проблем – един от вариантите е уеб сайтовете да се откажат напълно от т.нар “тайни въпроси” и да ги заменят с нещо от рода на BlueMoon. Тази аутентификация се базира на факта, че предпочитанията на хората не се променят, а от друга страна системата може да бъде настроена гъвкаво и в зависимост от нивото на сигурност да има по-висок или по-нисък толеранс към грешни отговори. За съжаление опциите пред потребителите не са много, докато чакат уеб девелопърите да се сетят да направят нещо такова. За съжаление, като се има в предвид средното ниво на “писачите” в България, ще има да почакаме още доста време. Алтернативите не са много – един от вариантите е да си направите списък с тайни въпроси и отговори и да го запазите в любимия си мениджър на пароли ( вече съм препоръчвал KeePass, нали ? ). Имам в предвид списък от рода на:
Въпрос 1 – Отговор:Самоуби се български служител на ОССЕ във Виена
Въпрос 2 – Отговор:Google пусна корпоративна версия на своята видео услуга
Въпрос 3 – Отговор:Изключително важни находки открити при разкопки край Минерални бани
Въпрос 4 – Отговор:Футбол: Робин Ван Перси пропусна днешната тренировка на Холандия
Въпрос 5 – Отговор:Четири от четири отново на червено
Отговорите са случайно подбрани заглавия на новини. Разбира се, можете да ги замените със случайни заглавия на статии от Wikipedia, глави или заглавия на книги или дори напълно случаен текст. Въпросът е, че когато забравите паролата си, и сайтът ви попита за “Въпрос 1″, ще можете да отворите мениджъра си на пароли и да намерите верният отговор. Дори и да държите списъка на хартия в сейфа вкъщи ( което е малко по-бавно и неудобно ) пак ще можете да възстановите достъпа си до сайта, без да правите компромис със сигурността. В края на краищата не си забравяте паролите всеки ден, нали ? Друг вариант ( особено когато сайта ви предоставя фиксиран набор от въпроси ) е да поставите случайни отговори, които да не и опитате да запомните ( според съвета на Bruce Schneier ). В случай, забравите/загубите паролата за достъп да търсите друг начин да смените паролата си – ако става въпрос за онлайн банкиране например, просто се обадете на центъра по поддръжка. Е, възможно е да ви се наложи да се разходите до офис на банката, но пък отново не правите компромис със сигурността на парите си.
Проблемът е класическата аксиома, че правопропорционално на повишаването на сигурността, намалява комфорта на потребителите. И обратно разбира се – в опит да се повиши комфорта, и да се предостави лесен начин на потребителите да се справят с проблема “Забравена парола”, се прави компромис, който всъщност драстично намалява сигурността на цялата система.
Ако статията ви е харесала, гласувайте за нея в Svejo.net:
Снимката е дело на Xurble
Подобни статии:
