30 ноября 2022

Видеокарты в руках хакеров или почему больше нельзя надеяться на восьмизначные пароли

Несмотря на то, что утечек информации с каждым годом становится все больше, пользователи по-прежнему используют простые пароли. Исследовав 170 млн учетных данных, утекших в сеть, эксперты в области информационной безопасности обнаружили 7 млн одинаковых паролей «123456». Следующими по популярности были «123456789», «password», «qwerty», «12345678». Подобные восьмизначные пароли позволяют хакерам очень быстро взламывать мощные видеокарты.

Одним из способов, который наиболее часто используют злоумышленники для взлома паролей, являются брутфорс, то есть перебор вариантов. Эти операции не требуют больших усилий, а необходимые автоматизированные утилиты можно легко найти в открытом доступе, поэтому количество атак этого типа только увеличивается. В брутфорс-атаках злоумышленники все активнее пользуются растущей производительностью видеокарт: с их помощью можно осуществить атаку проще и быстрее.

Первые сообщения об атаках с помощью графических процессоров появились еще в 2007 г., когда компания Elcomsoft, российский разработчик программного обеспечения, которое позволяет восстанавливать пароли, успешно взломала пароль программы Windows NT LAN Manager при помощи карт Nvidia. До этого специалисты компании использовали для взломов паролей карты других производителей. Но сегодня взломать за небольшое время можно уже даже восьмизначный пароль.

Яркий пример — использование недавно вышедшего флагмана NVIDIA GeForce RTX 4090. При помощи восьми таких видеокарт можно подобрать восьмизначный пароль всего за 48 минут, а не за 80 дней, как еще совсем недавно. Пятизначный пароль можно подобрать еще быстрее — за 24 секунды. Причем скорость подбора пароля, достигаемая при работе с GeForce RTX 4090, в два раза выше, чем при использовании его предшественника — видеокарты GeForce RTX 3090.

Выход из ситуации

Если изначально у пользователя установлен сложный многозначный пароль, это увеличит время взлома при помощи видеокарты — на то, чтобы добиться цели, у злоумышленника может уйти несколько месяцев, а то и больше. Как результат, его действия могут успеть выявить и остановить.

Составить надежный пароль помогут четыре простых правила.

  1. Первое — пароль должен составлять минимум девять символов. Лучше, чтобы он был многозначнее: каждый дополнительный знак в десятки раз увеличивает количество комбинаций перебора.
  2. Второе — пароль должен содержать буквы, цифры и специальные символы.
  3. Третье — пароль должен содержать буквы как в нижнем, так и верхнем регистре.
  4. Четвертое — пароли должны быть отличны друг от друга, если используются для входа в разные критичные информационные системы.

Советы по запоминанию паролей

  • завести несколько категорий паролей, примерно равных по длинепри взгляде на которые можно сразу понять, из какой они категории. В пределах категории придерживаться одной константной части и одного закона шифрованияможно, конечно, дробить и сильнее, но это уже чересчур сложно. Если паролей мало и сильно напрягаться не хочется — достаточно одной категории, но риски в таком случае, все же, будут.
  • для каждой категории придумать постоянную часть пароля. Пример: профессиональная деятельность — постоянная часть m2f~(kJB; социальные сети — постоянная часть 5O((eT!1;
  • для каждой категории придумать закон шифрования. Пример: профессиональная деятельность — закон шифрования — в начало и конец первый и последний символы доменного имени и число символов в каждой части доменного имени; социальные сети — закон шифрования — в начало — число символов в первой части доменного имени, в середину — во второй, в конец — в третьей, и в конец первые 2 символа доменного имени, стоящие прямо перед точкой, в обратном порядке;
  • понять, что такие пароли удобно вводить, сначала внося постоянную часть, затем шифруемые добавления к ней;
  • начать пользоваться схемой. Пересилить себя и начать генерировать пароли. Первое время, возможно, придется их восстанавливать, но менять нужно опять же на тот, который составляется по схеме. Примеры пароля с обозначенными выше постоянными частями и правилами шифрования: habrahabr.ru (профессиональная деятельность) — h92m2f~(kJBu92; vkontakte.ru (социальные сети) — (первой части доменного имени нет, считаем ее www) 35O((9eT!12et; facebook.com (социальные сети) — 35O((9eT!13ko;
  • попробовать мнемонический способ — создать пароль с использованием первых букв высказывания, которое легко запомнить, стихотворения или текста песни. Примером могут служить первые буквы каждого слова в такой фразе, как: «Наша Таня горько плачет, уронила в речку мячик», что в виде пароля будет выглядеть как «НТгпуврм».
  • Также можно заменить латинские буквы на похожие цифры и символы (язык Leet). Например, преобразование паролей «beerbash» и «catwoman» по этой схеме приведет к созданию таких паролейкак «b33rb4sh» и «c@w0m4n» соответственно.

Другие ценные советы

Важно периодически менять пароль. Рядовому пользователю его целесообразно менять раз в три месяца. В случае с информационными системами бизнеса, особенно относящимися к объектам критической инфраструктуры, требуется более частая смена пароля — его необходимо обновлять раз в месяц.

Стимулировать сотрудников ответственнее относится к составлению паролей можно, ограничив возможность регистрировать типовой пароль. Также имеет смысл ввести автоматическую проверку надежности пароля в форме регистрации учетной записи.

Еще большую безопасность обеспечит многофакторная аутентификация или использование для авторизации аппаратного обеспечения: смарт-карты, USB-накопителя или ключа-токена. В особенности для защиты критической инфраструктуры.

При многофакторной аутентификации злоумышленникам очень сложно получить доступ к данным пользователя, так как для этого им нужно знать, например, его электронную почту или номер телефона. Поэтому в большинстве случаев проникнуть в учетную запись пользователя у них не получается. В качестве первого фактора аутентификации можно использовать пароль, второго и третьего — пин-код и биометрию.

Авторизация при помощи аппаратного обеспечения пользуется меньшей популярностью, чем многофакторная аутентификация, так как является более дорогой. Также сказывается зависимость аппаратных средств от конкретных типов компьютеров. Однако такой способ защиты не менее эффективен. Риск потери аппаратных средств существует, но практически никакой опасности для владельца он не несет: нашедшему эти средства будет необходимо ввести специальный пароль прежде, чем воспользоваться ими.

Источник: InformationSecurity

Бизнес iFellow вырос в два раза в 2022 году

2 февраля 2023

Группа ИТ-компаний iFellow, специализирующаяся на разработке, тестировании и сопровождении ПО, подвела итоги работы за 2022 год. Выручка всех российских компаний в контуре iFellow по итогам года составила 2,3 млрд. рублей, что почти в два раз больше, чем в прошлом году.

 

MONT стал эксклюзивным дистрибьютором Яндекс 360 для бизнеса в России

2 февраля 2023

Группа компаний MONT стала первым официальным дистрибьютором Яндекс 360 для бизнеса в России. Это виртуальное рабочее пространство, которое теперь доступно в партнерском канале: заказчики могут воспользоваться экспертизой технологического партнера и приобрести программное обеспечение на выгодных условиях.

 

Navicon внедрил аналитическую платформу Дельта BI

2 февраля 2023

Системный интегратор и разработчик Navicon автоматизировал управленческую отчетность с помощью платформы Дельта BI. Решение смогло полноценно заменить систему визуальной аналитики от крупнейших глобальных поставщиков — Power BI, Qlik, Tableau.

 

Команда Utrace обновила решение для анализа данных маркировки

2 февраля 2023

Компания Utrace, разработчик решений для сериализации товаров, обновила облачную платформу Utrace Analytics, предназначенную для работы с данными маркировки. В платформе появилась поддержка системы хранения ClickHouse, а также была изменена архитектура связи баз данных.

 

Это не санкции, а кибервойна: как обновилась сфера информационной безопасности в России

2 февраля 2023

Импортозамещение в сфере информационной безопасности (ИБ) стартовало ещё в 2020 году, но на 2023-24 годы придётся пик реализации отечественных проектов в этой сфере. Российские производители полностью заместили ПО и защитные решения, но не оборудование и инфраструктуру.