28/5/2012
Na stronie Trustwave dostępny jest Trustwave 2012 Global Security Report, polecamy do lektury (należy podać swoje dane by pobrać). Raport zawiera zarówno analizę incydentów bezpieczeństwa z 2011 jak i zalecenia na rok 2012. Trustwave przedstawia m.in. TOP 10 zagrożeń sieciowych, TOP 10 podatności w webaplikacjach, czy problemy z bezpieczeństwem urządzeń mobilnych (dużo mówiący tytuł “Blind Faith in Mobile”).
W raporcie sporo miejsca poświęcono hasłom – przypomniano, że “ToJestMojeTrudneHasloKtoregoNiktNiePokona” jest najczęściej lepszy rozwiązaniem niże “lay%1P3” :) Aktualnie, według Trustwave, najbardziej popularny hasłem jest Password1…ponieważ spełnia domyślne wymagania Microsoft Active Directory. Możecie przeczytać o
statystykach stosowania poprawnych certyfikatów vs. self-signed dla SSL albo dlaczego antywirus nie powinien być traktowany jako jedyna warstwa ochrony przed malware.
Dokument powstał na podstawie m.in. ponad 2 tys. testów penetracyjnych, na samym jego końcu znajdziecie omówienie czym jest test penetracyjny, czym różni się od skanu podatności, no i oczywiście kto potrzebuje testu penetracyjnego. Jeżeli ktoś z Was byłby
zainteresowany takimi testami Waszej sieci firmowej/webaplikacji przypominamy, że Niebezpiecznik z chęcią je dla Was wykona :)
Dla zainteresowanych podobnymi materiałami polecamy również raport CERT PL za rok 2011 oraz Microsoft Security Intelligence Report“
Niebezpiecznik nie myślał nad publikacją takich raportów podsumowujących jakieś okresy czasowe?
sa instytucje w polsce ktore publikuja takie raporty i maja dostep do szerszych danych niz my. my z naszymi klientami mamy popodpisywane NDA.
tajemnica zawodowa. nie mogą.
“ToJestMojeTrudneHasloKtoregoNiktNiePokona” jest najczęściej lepszy rozwiązaniem niże “lay%1P3″
Poproszę o rozwinięcie?
Hasło z każdym dodatkowym znakiem staje się znacznie trudniejsze do zbrutowania, im bardziej rośnie długość, tym bardziej kompensuje nawet słownikowość hasła. Człowiekowi znacznie łatwiej jest zapamiętać jakiś złożony zlepek wyrazów, niż dziwaczne hasło z masą znaków specjalnych. Statystyki mówią, że jeśli cywil zostanie *zmuszony* (jak robi to wiele idiotycznych systemów) do użycia w haśle cyfry lub znaku specjalnego, to często po prostu zastosuje tzw. common substitution.
Jeżeli masz do wyboru dwie opcje:
1) Długie hasło, łatwe do zapamiętania, składające z mniejszego zbioru znaków np. tylko małe i duże litery
2) Krótkie hasło, trudne do zapamiętania, składające się z dużego zbioru znaków np. duże/małe litery, cyfry i znaki specjalne
to pewnie najczęściej opcja nr 1 jest lepsza – ataki typu brute force będę potrzebować więcej czasu na jego złamanie. Co nie oznacza, że to zawsze najlepsze rozwiązanie :) Można sobie wyobrazić atak słownikowy specjalnie przygotowany pod kątem passphrase, a tym bardziej pod kątem możliwych passphrase dla danej osoby.
Dobry rozwiązaniem jest stosować długie hasła, składające się z dużego zbioru znaków, których…nigdy nie zapamiętasz, ponieważ masz je zapisane np. w Keepass-ie ;) Ale pani Jadzia z księgowości może mieć problem z jego obsługą – jak zwykle coś za coś ;)
A tak na zakończenie
http://xkcd.com/936/
ToJestMojeTrudneHasloKtóregoNiktNiePokona – muszę zmartwić, ale to hasło należało by traktować jako 9 znakowe (traktując słowa ze słownika jako znaki alfabetu). Zakładając, że atakujący użyje brute-force na hash (własny sprzęt, np. konsola PS3). Złamanie dokładnie tego hasła przy użyciu zwykłego słownika (takiego jaki jest np w openoffice) zajmie maksymalnie kilka dni
Dzięki za wyjaśnienia!
Wystarczy użyć jakiegoś zabawnego neologizmu, fachowego terminu z jakiejś dziedziny lub nietypowej odmiany. Typowy atak słownikowy nie da rady. Tym bardziej, że hasło ma sporo składników.
Można dorzucić jeszcze raporty Cert.gov.pl
http://cert.gov.pl/download/3/137/Raport_roczny_2011_.pdf
http://cert.gov.pl/download/3/136/Raport_CERT_GOV_PL_za_I_kwartal_2012.pdf