Криптографические методы — традиционный и эффективный способ защиты информации от перехвата, модификации или подмены внешним нарушителем; если данные в канале связи предварительно были подвергнуты криптографическим преобразованиям, то злоумышленнику придется искать уязвимости в существующей системе защиты информации, что может представлять собой непростую задачу.
Очевидно, однако, что незачем пробивать стену, когда можно воспользоваться дверью: получить доступ к информационной системе от имени пользователя, уполномоченного выполнять операции с содержащимися в ней данными. Наиболее уязвимое место у любой крепости — ворота, и у автоматизированной информационной системы такими воротами являются точки доступа к ней. На них установлена защита в виде протоколов аутентификации (проверки подлинности пользователя); а наиболее распространенная на сегодня форма аутентификации — парольная защита. Отсюда, чтобы войти в дверь, нужно получить ключ к ней: пользовательский пароль.
Основные способы атаки на пароль
Брутфорс-атака (полным перебором)
Наиболее простая концептуально «лобовая» атака, сводящаяся к систематическому перебору всех возможных комбинаций допустимых символов. Современные информационные системы нередко защищены от брутфорса ограничением на количество попыток аутентификации за некоторый отрезок времени (вплоть до полной блокировки учетной записи). Также результативность брутфорс-атак падает геометрически по мере увеличения длины пароля.
Словарная атака (перебором по словарю)
Вариант брутфорс-атаки; перебор осуществляется не подряд, а по комбинациям с наибольшей вероятностью употребления, т.к. в качестве пароля часто выбирается какая-то значимая комбинация (номер телефона, дата рождения и т.д).
Составляется словарь на основе данных, известных о владельце учетной записи, а затем следует автоматический перебор паролей, сгенерированных на основе такого словаря. Верный способ помочь злоумышленнику — использовать в качестве пароля общедоступные и/или легко ассоциируемые с вами данные; надежный пароль должен нести нулевую смысловую нагрузку для внешнего наблюдателя и не допускать возможности соотнести его с владельцем.
Сбор паролей из общедоступных мест
Во многих организациях пароли централизованно создает и распределяет системный администратор, и пользователи часто хранят их под рукой в записанном виде. Пароль не должен храниться в общедоступном месте, равно как любым образом фиксироваться посредством видеоконференц-связи (также необходимо учитывать наличие отражающих поверхностей вокруг пользователя, включая стекла очков).
Фишинг
Процедура «выуживания» (phishing) паролей через подставные сайты-имитаторы, которые обманом вынуждают пользователя ввести учетные данные, используемые в имитируемой информационной системе. Всегда следует проверять адрес сайта, прежде чем вводить важный пароль, а также отказаться от политики использования одного и того же пароля для доступа к разным ресурсам.
