8 июня 2023

Проверка паролей по словарям и базам утекших данных

«Не менее 8 символов, включая цифры и заглавные буквы», — требует очередной сервис. «Gfhjkm2023», — набирает пользователь, не задумываясь, что он уже взломан.

Привет! Мы — RooX, российский разработчик веб-решений. У нас есть своя система аутентификации и авторизации RooX UIDM. И мы умеем проверять пароли по словарям и базам утекших данных.

Зачем вообще проверять пароли по базам? Чтобы вовремя предложить или даже заставить пользователя сменить пароль на более безопасный.

В чем опасность паролей? Опасность не в паролях, а в дизайне человека. Чтобы защитить что-то паролем, человек должен этот пароль а) придумать и б) помнить. Сервисов, в которые нужно логиниться, у современного пользователя, не один и не два. Придумывать и помнить много разных сложных паролей человеку трудно, он оптимизирует эти процессы — массово сочиняет простые пароли, а также использует одинаковые или малоотличающиеся комбинации символов для нескольких сервисов. А то, что просто придумать, просто и взломать.

Что такое проверка пароля по словарям и базам утекших данных? Если коротко, это сверка паролей и/или логинов со списком часто используемых или скомпрометированных. Алгоритмы поиска на совпадение со словарными паролями могут быть не 1-к-1 (например, без учета регистра или без учета цифр и спецсимволов).

Откуда берутся словари и базы утекших данных? Их составляют специально обученные и мотивированные люди ) Например, эксперт по безопасности из Microsoft Трой Хант создал и поддерживает сервис утекших паролей Have I Been Pwned. Есть и другие подобные сервисы: Firefox MonitorDeHashedGhostProjectLeakCheck. Это не просто и не все такие сервисы выживают, например, BreachAlarm остановил работу после 10 лет.

Некоторые компании создают и поддерживают свои непубличные базы.

Полный текст на сайте VC.ru

Клиенты iTrend — в числе лучших ИТ-работодателей России

13 февраля 2024

Клиенты коммуникационного агентства iTrend вошли в рейтинг лучших ИТ-работодателей страны по версии HeadHunter. В сегменте «IT и интернет» были отмечены технологическая корпорация VK, консалтинговая компания Axenix (ранее Accenture), а также компании IT_ONE, Innostage и «Эдит Про» (группа «Борлас»).

 

iTrend начал работу с одним из лидеров в области высокотехнологичных разработок для Интернет-рекламы — компанией Hybrid

16 января 2024

Компанией Hybrid занимает 2 место в рейтинге Программатических закупок в интернете от AdIndex.

 

iTrend займется личным брендингом ИТ-предпринимателей

15 января 2024

Мы запустили новое направление в агентстве — личный брендинг топ-менеджеров и предпринимателей в ИТ.

 

Российские ИТ в эпоху санкционных войн - точки роста и проблемы: вышла наша обзорная статья

7 января 2024

Материал подготовлен специально для авторитетного журнала "Россия в глобальной политике".

 
Все новости iTrend