Журнал "Information Security/ Информационная безопасность" #6, 2022

Одним из способов, который наиболее часто используют злоумышленники для взлома паролей, является брутфорс, то есть перебор вариантов. Эти операции не требуют больших усилий, а необхо- димые автоматизированные утилиты можно легко найти в открытом доступе, поэтому количество атак этого типа только увеличивается. В брутфорс-ата- ках злоумышленники все активнее поль- зуются растущей производительностью видеокарт, с их помощью можно осуще- ствить атаку проще и быстрее. Первые сообщения об атаках с помо- щью графических процессоров появи- лись еще в 2007 г., когда компания Elcomsoft, российский разработчик про- граммного обеспечения, позволяющего восстанавливать пароли, успешно взло- мала пароль программы Windows NT LAN Manager при помощи карт NVIDIA. До этого специалисты компании исполь- зовали для взломов паролей карты дру- гих производителей. Но сегодня взло- мать за небольшое время можно уже даже восьмизначный пароль. Яркий пример – использование недав- но вышедшего флагмана NVIDIA GeForce RTX 4090. При помощи восьми таких видеокарт можно подобрать восьми- значный пароль всего за 48 минут, а не за 80 дней, как еще совсем недавно. Пятизначный пароль можно подобрать еще быстрее – за 24 секунды. Причем скорость подбора пароля, достигаемая при работе с GeForce RTX 4090, в два раза выше, чем при использовании его предшественника – видеокарты GeForce RTX 3090. Выход из ситуации Если изначально у пользователя уста- новлен сложный многозначный пароль, это увеличит время взлома при помощи видеокарты: на то, чтобы добиться цели, у злоумышленника может уйти несколь- ко месяцев, а то и больше. Как резуль- тат, его действия могут успеть выявить и остановить. Составить надежный пароль помогут четыре простых правила. Первое: пароль должен составлять минимум девять символов. Лучше, чтобы он был многозначнее: каждый дополни- тельный знак в десятки раз увеличивает количество комбинаций перебора. Второе: пароль должен содержать буквы, цифры и специальные символы. Третье: пароль должен содержать буквы как в нижнем, так и верхнем регистре. Четвертое: пароли должны быть отличны друг от друга, если исполь- зуются для входа в разные критичные информационные системы. Советы по запоминанию паролей 1. Завести несколько категорий паро- лей, примерно равных по длине, при взгляде на которые можно сразу понять, из какой они категории. В пределах категории придерживаться одной кон- стантной части и одного закона шифро- вания; можно, конечно, дробить и силь- нее, но это уже чересчур сложно. Если паролей мало и сильно напрягаться не хочется – достаточно одной категории, но риски в таком случае все же будут. 2. Для каждой категории придумать постоянную часть пароля. 3. Для каждой категории придумать закон шифрования. Пример: в начало и конец первый и последний символы доменного имени и число символов в каждой части доменного имени; соци- альные сети – закон шифрования – в начало – число символов в первой части доменного имени. 4. Понять, что такие пароли удобно вводить, сначала внося постоянную часть, затем шифруемые добавления к ней. 5. Начать пользоваться схемой. Пере- силить себя и начать генерировать паро- ли. Первое время, возможно, придется их восстанавливать, но менять нужно опять же на тот, который составляется по схеме. 6. Попробовать мнемонический спо- соб – создать пароль с использованием первых букв высказывания, которое легко запомнить, стихотворения или текста песни. Можно заменить латинские буквы на похожие цифры и символы (язык Leet). Например, преобразование паролей beerbash и catwoman по этой схеме при- ведет к созданию таких паролей, как b33rb4sh и c@w0m4n соответственно. Другие ценные советы Важно периодически менять пароль. Рядовому пользователю его целесооб- разно менять раз в три месяца. В случае с информационными системами бизнеса, особенно относящимися к объектам кри- тической инфраструктуры, требуется более частая смена пароля – его необхо- димо обновлять раз в месяц. Еще большую безопасность обеспечит многофакторная аутентификация или использование для авторизации аппа- ратного обеспечения – смарт-карты, USB-накопителя или ключа-токена, в особенности для защиты критической инфраструктуры. Авторизация при помощи аппаратного обеспечения пользуется меньшей популярностью, чем многофакторная аутентификация, так как является более дорогой. Сказывается также зависи- мость аппаратных средств от конкретных типов компьютеров. Однако такой способ защиты не менее эффективен. Риск потери аппаратных средств существует, но практически никакой опасности для владельца он не несет: нашедшему эти средства будет необходимо ввести спе- циальный пароль, прежде чем восполь- зоваться ими. l 46 • УПРАВЛЕНИЕ Видеокарты в руках хакеров, или Почему больше нельзя надеяться на восьмизначные пароли есмотря на то что утечек информации с каждым годом становится все больше, пользователи по-прежнему используют простые пароли. Исследовав 170 млн учетных данных, утекших в Сеть, эксперты в области информационной безопасности обнаружили 7 млн одинаковых паролей 123456. Следующими по популярности были 123456789, password, qwerty, 12345678. Подобные восьмизначные пароли очень быстро взламываются мощными видеокартами. Н Антон Кузьмин, руководитель Центра предотвращения киберугроз CyberART ГК Innostage Ваше мнение и вопросы присылайте по адресу is@groteck.ru