Чи існує стандартний метод доведення безпеки паролів для не-математиків?

У мого клієнта є сервер, який піддається грубій спробі входу з ботнету. Через капризи сервера та клієнта клієнта, ми не можемо легко заблокувати спроби через брандмауер, зміну портів або зміну імені акаунта входу.

Було прийнято рішення залишити його відкритим для атаки, але знайти спосіб збереження пароля. Керівництво та деякі інші консультанти визначили, що найкраще зробити це встановити програмне забезпечення для обертання пароля, щоб обертати пароль кожні десять хвилин та надавати новий пароль користувачам, які потребують входу.

Спроби грубої сили відбуваються двічі щосекунди.

Мені потрібно продемонструвати, що реалізація міцного пароля з 12-15 символами - простіше і вільне рішення. Я знаю, як це довести математикою, але я б просто написав щось на кшталт "існує багато можливих перестановок нашого пароля, і зловмисник може спробувати лише п спроб на день, тому ми очікуємо, що вони перейдуть x / В середньому за 2 дні до того, як вони вгадають наш пароль ". Чи є більш стандартний "доказ" цього?

Використання fail2ban з iptables - чудовий спосіб.

Ось математика для вас:

Змішаний верхній і нижній регістр алфавіту та загальні символи довжиною 8 символів дає 2,9 квадрильйона комбінацій, а з 10 000 спроб в секунду знадобиться 9 488 років. Це максимум, звичайно - очікуйте, що ваш пароль буде зламаний через 4000 років. 1000 років, якщо вам не пощастить.

Як бачите, у вас не повинно виникнути жодних проблем, якщо ви робите пароль з 15 символів, наприклад:

dJ&3${bs2ujc"qX

На додаток до fail2ban,

Якщо ви працюєте з будь-яким сучасним UNIX, ви, як правило, можете змінити час сну для введення неправильного пароля до 5 секунд, уповільнивши швидкість атаки на 2000%. [Solaris 10 має його в / etc / default / login, шукайте SLEEPTIME] Що з використанням однакових допусків означатиме, що ви можете обертати пароль кожні 3 години 20 хвилин.

Крім того, спроби паролів перед блокуванням були б життєздатним варіантом, але я підозрюю, що це не для вас, оскільки у вас є кілька користувачів, які діляться одним обліковим записом, і не хочете, щоб він весь час був закритий.

Вимога пароля 12-15 символів допомагає, але якщо на вас постійно нападають інші рішення, можливо, краще. Я не знаю, що таке толерантність до бюджету вашої компанії, але ключові картки RSA для всіх, кому потрібно ввійти в цей рахунок, вирішили б і це. Двофакторна аутентифікація виштовхує ймовірність у квантовий час обчислення.

Підхід грубої сили триває досить довго, щоб ви могли розміщувати на цій дошці досить дивно. Взагалі кажучи, це досить низькоросло, і в кращому випадку - це заповнення колоди, а реальна атака триває.

Як щодо звернення до влади? Ви можете посилатися на Керівні принципи технічного впровадження безпеки DoD (iase.disa.mil/stigs/stig) і сказати: "Якщо це достатньо добре для Міністерства оборони, це нам достатньо"

Що слід врахувати: якщо у вас пароль, який не змінюється, і напади грубої сили випробовують всесвіт паролів, що включає ваші, атака грубої сили гарантовано вдарить зрештою, і ви будете залишатися вразливими після цього.

"Шанс", що випадковий вибір потрапить на ваш пароль, можна обчислити, як ви запропонували, але це може не розповісти про всю історію.

Наприклад, якщо ви подивитеся на спроби грубої сили і побачите, що найдовший пароль, який вони намагаються, становить 10 символів, вибираючи що завгодно в 12, ви гарантуєте, що ви ніколи не потрапите.

Будьте дуже обережні, намагаючись застосувати статистику до конкретного випадку; вони лише прогнозують загальну поведінку з великою кількістю зразків.

Що ж убік, якщо математика не переконує когось, спробуйте знайти щось, що має такий самий шанс виникнення, але знайоме, як, можливо, лотереї чи автомобільні аварії або поразки блискавкою. Якщо ви можете сказати, що "шанс когось потрапити на цей пароль приблизно такий самий, як виграти в лотерею шість тижнів під керуванням", це може дати їм більше відчути.

Одне, що не враховувалося, - це те, яке ім’я користувача ботнет використовує для Bruteforce. У всіх випадках, коли я бачив, грубі сили були призначені для варіантів адміністратора та root, і в одному рідкісному випадку імена користувачів скребли з веб-сайту corp.

Я також змінив б обмеження щодо інтерактивного входу, щоб ваш кореневий обліковий запис було вимкнено (бажано) або обмежено для вашої локальної підмережі чи подібного діапазону адрес.

Двічі за секунду - це не погано. Ми раніше бачили тисячі спроб на хвилину, перш ніж впровадити fail2ban , який заблокує певний IP з мережі протягом певного часу після стількох невдалих спроб (все налаштовується).

Це чудово спрацювало для нас.

Насправді, ви можете вибірково сканувати на захист ssh-грубої сили за допомогою iptables, якщо це працює для вас.

Ці два рядки:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

заблокує доступ для кожного, хто намагається підключитися до SSH більше 5 разів за інтервал 60 секунд. Ви можете змінити номер "--ititcount", якщо ви хочете, щоб було дозволено більше, ніж 5 за секунду.

Я згоден, що зміна пароля кожні 10 хвилин здається трохи надмірною. У цей момент проблема стає в тому, як ви надійно передаєте новий пароль і підтримуєте системи в синхронізації одна з одною.

У цій статті є кілька цікавих статистичних даних щодо швидкості розтріскування:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking

Дивно, що багато людей не розуміють експоненціальні криві, але всі знають різницю між 10, 100 та 1000, так що це може бути гарним місцем для порівняння.

Ще одна тактика може полягати в тому, щоб фактично показати людям, скільки часу потрібно, щоб змусити 6-символьний пароль. Якщо у вас є якісь знання програмування, ви можете зібрати швидкий інструмент, який це робить.

Ви також можете показати їм, як легко доступні столики з веселки:

http://project-rainbowcrack.com/table.htm

Це може бути трохи офтопіком, але я використовую denyhosts, і це значно зменшує грубі спроби на моїх скриньках Linux.