Парольний захист персональних даних. Захист даних з використанням пароля Злом комп'ютерних паролів

Вітаю всіх, хто дивиться дане відео!
Це не первои моя стаття, але в області навчання користувачів не робити дурниць перша.

В даному відео і тексті статті я розповім і покажу, що слід робити а чого не слід, при введенні пароля, або ж його виборі.

Паролі бувають різні, хтось зберігає їх в голові, хто щось записує на папірці, хто то в текстові документи.
Зберігати паролі в голові означає наступне:
паролі будуть:
1. невеликої довжини;
2. на різних ресурсах однакові,
а отже якщо ви входите на пошті, а потім в чаті, то людина після злому чату отримає доступ до вашої пошти, що не їсти гуд ...

зберігати паролі на папірці, то ж не варіант, хоча він і краще першого, але так як навіть від книг на паперових носіях ми йдемо в сторону,

електронних носіїв інформації, то пропоную зберігати паролі в текстовому вигляді.

У цього методу теж є недолік як і плюси.
Недолік: зловмисник отримавши доступ до вашого файлу з паролями дізнається все ресурси і може отримати доступ від вашого імені.

Переваги: \u200b\u200bотримати дотуп до ресурсів (стороннім складніше) так як можна створювати складні паролі і не боятися забути їх
Можна поліпшити даний метод, запам'ятавши 1 складний 10 значний пароль або того більше,
і просто використовувати його для Рассшифровка запаролений архіву з паролями.
Покажу пізніше ...

А тепер покажу на скільки складно може бути розшифрувати нормальний пароль.

В даний час придумано досить багато алгоритмів для шифрування. Найпопулярнішим на мій погляд є MD5 і його модифікації.

Візьмемо для прикладу різні паролі і їх хеши, і спробуємо рассшіфровать, і наочно подивимося, скільки на це піде часу.

І так, тепер будемо рассшіфровивать і дивитися на час ...

спочатку будемо використовувати тільки цифри, а потім збільшувати складність ...

Частки секунди ...
Теж саме…
Те ж саме, але ми знаємо що пароль містить лише цифри, а якби він містив і знаки то пішло б куди більше часу ...
Наступний пароль ...
Пароль за цифрами не знайшли ... підключимо символи ... нижній регістр ...
додали 1 символ (не цифри і ось як це уложніло процес)
На досить таки не слабкій машині, пароль в 8 символів з імпользованіем букв верхнього та нижнього регістру буде рассшіфровиваться дуже і дуже довго, і це за умови що МД5 немодифікована ...
Шкода нема на кожному сайті / сервісі / сервер можна використовувати додаткові символи ...

Увага на екран, ось як вони їх використання ускладнило б процес прямого перебору ...
З їх використанням пароль практично не уразливий, якщо звичайно для його Рассшифровка не використовують суперкомп'ютери

І як обіцяв показую як можна зберігати паролі для доступу до ресурсів знаючи один пароль:

Такий пароль звичайно складно запам'ятати, тому трохи спростимо його ... трохи пізніше
w1W4W5a $ 4PYi

При використанні такого пароля ваші паролі будуть в безпеці.
Можна скоротити як я і говорив до 10 символів ... Ну або так ...
Запам'ятати легше, власне як і зламати, але не думаю що спеціально ваші паролі будуть зламувати
Так, і ім'я файлу «Паролі» приверне увагу, тому змініть ім'я на яке-небудь менш помітне ...

Ось власне і все!

Які вимоги пред'являються до організації парольного захисту інформації в освітньому закладі?

Організаційне та технічне забезпечення процесів використання, зміни та припинення дії паролів, а також контроль роботи з паролями в освітньому закладі доцільно доручити системного адміністратора.

особисті паролі бажано генерувати і розподіляти централізовано. Однак користувачі інформаційної системи можуть вибирати їх самостійно з урахуванням таких вимог:

1. довжина пароля повинна бути не менше 8 символів;
2. серед символів обов'язково повинні бути присутніми букви (у верхньому і нижньому регістрах) і цифри;
3. пароль не повинен містити легко обчислювані поєднання символів (імена, прізвища, відомі назви, жаргонні слова і т. д.), послідовності символів і знаків, загальноприйняті скорочення, абревіатури, клички домашніх тварин, номери автомобілів, телефонів і інші поєднання букв і знаків, які можна вгадати, грунтуючись на інформації про користувача;
4. особистий пароль користувач не має права повідомляти нікому.

У разі якщо формування особистих паролів користувачів здійснюється централізовано, відповідальність за їх правильність покладається на системного адміністратора навчального закладу.

При наявності технологічної необхідності використання пароля працівника в його відсутність, рекомендується при першій же можливості поміняти пароль і передати його на зберігання особі, відповідальній за інформаційну безпеку, в запечатаному конверті. Опечатані конверти з паролями повинні зберігатися в сейфі.

У разі припинення повноважень користувача (звільнення, перехід на іншу роботу і т. П.) системний адміністраторповинен видалити його обліковий запис відразу ж після закінчення останнього сеансу роботи з інформаційною системою.

Термінова (позапланова) зміна паролів повинна проводитися в разі припинення повноважень адміністраторів інформаційної системи і інших співробітників, яким були надані повноваження з управління пральний захистом.

В освітньому закладі рекомендується розробити інструкцію з організації парольного захисту інформації, з якою власники паролів повинні бути ознайомлені під розпис. В інструкції необхідно визначити заходи безпеки, дотримання яких дозволить не допустити витоку інформації. Наведемо можливу формулювання.
Забороняється записувати паролі на папері, у файлі та інших носіях інформації. При введенні пароля користувач не повинен вимовляти його вголос.

Забороняється повідомляти іншим користувачам особистий пароль і реєструвати їх в системі під своїм паролем.
Зберігання пароля на паперовому носії допускається тільки в сейфі.

Власники паролів повинні бути попереджені про відповідальність за використання паролів, які не відповідають встановленим в установі вимогам, а також за розголошення пральний інформації.

Офіційне джерело

Яким чином здійснюється моніторинг інформаційної безпеки автоматизованих систем, що обробляють персональні дані в освітньому закладі?Моніторинг працездатності апаратних компонентів автоматизованих систем, що обробляють персональні дані, здійснюється в процесі їх адміністрування і при проведенні робіт з технічного обслуговування обладнання. Найбільш суттєві компоненти системи (сервери, активне мережеве обладнання) повинні контролюватися постійно в рамках роботи адміністраторів відповідних систем.

Моніторинг пральний захисту передбачає: встановлення термінів дії паролів (не більше 3 місяців); періодичну (не рідше 1 разу на місяць) перевірку користувальницьких паролів на кількість символів і очевидність з метою виявлення слабких паролів, які легко вгадати або дешифрувати за допомогою спеціалізованих програмних засобів (зломщиків паролів).

Моніторинг цілісності програмного забезпечення включає наступні дії:

1. перевірку контрольних сум і цифрових підписів каталогів і файлів сертифікованих програмних засобів при завантаженні операційної системи;
2. виявлення дублікатів ідентифікаторів користувачів;
3. відновлення системних файлів адміністраторами систем з резервних копій при розбіжності контрольних сум.

Попередження і своєчасне виявлення спроб несанкціонованого доступу здійснюється з використанням засобів операційної системи і спеціальних програмних засобів і передбачає:

1. фіксацію невдалих спроб входу в систему в системному журналі;
2. протоколювання роботи мережевих сервісів;
3. виявлення фактів сканування певного діапазону мережевих портів в короткі проміжки часу з метою виявлення мережевих аналізаторів, які вивчають систему і виявляють її уразливості.

Моніторинг продуктивності автоматизованих систем, що обробляють персональні дані, проводиться за зверненнями користувачів, в ході адміністрування систем і проведення профілактичних робіт для виявлення спроб несанкціонованого доступу, які спричинили істотне зменшення продуктивності систем.

системний аудит проводиться щоквартально і в особливих ситуаціях. Він включає проведення оглядів безпеки, тестування системи, контроль внесення змін до системне програмне забезпечення.

Офіційне джерело

• Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональних даних" (ред. Від 25.07.2011)
• Положення про забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, затв. постановою Уряду РФ від 17.11.2007 № 781
• Положення про методи та способи захисту інформації в інформаційних системах персональних даних, затв. наказом ФСТЕК від 05.02.2010 № 58

У сучасному світі все більше особистих даних потрапляє в інтернет. У їх числі різні фінансові сервіси та додатки. Ці дані повинні перебувати під надійним захистом.

Захист власних даних забезпечуєте Ви самі, використовуючи різні паролі, від яких і залежить безпека різноманітних облікових записів. Отже, як же зробити Ваш пароль таким, щоб він легко запам'ятовувався і був важкодоступним для злому?

поширені помилки

Багато користувачів по всьому світу не приділяють особливої \u200b\u200bуваги при підборі безпечного пароля, завдяки чому виявляються жертвами інтернет-шахраїв, які з 5-6 спроб зламують їх акаунти. Багато років користувачі використовують найпростіші комбінації - 1234567, 12345554321, 1q2w3e4r5t6y: тим самим піддаючи себе загрозі злому.

Більшість експертів кібер-безпеки відзначають два головні критерії безпечного пароля - складність і довжина. На їхню думку, при створенні пароля потрібно використовувати довгу комбінацію з використанням різних знаків - цифри, букви, символи, знаки пунктуації.

Як правильно створювати паролі

• Використовуйте більше 8-ми знаків
• Для кожної облікового запису використовуйте свій унікальний пароль, так як при використанні одного і того ж пароля на всіх акаунтах, при зломі одного з них, шахрай зможе так само відкрити і інші облікові записи
• Слід періодично міняти паролі - хоча-б раз в 3 місяці. Для цього встановіть автоматичне нагадування, щоб не забути про настільки важливу процедуру
• Різноманітність символів в паролі - запорука надійності. Але не використовуйте поширені останнім часом заміни букв на цифри або символи, наприклад, «FOR» на «4».
• Використовуйте весь спектр символів, що є в розпорядженні клавіатура

Так само не забувайте - паролі потрібно зберігати в місці, до якого доступ є лише у Вас.

Якнайбільше уникайте використовувати в створенні паролів:

• Словникових слів на будь-якій мові
• Повторень або символів, розміщених послідовно один за одним. Наприклад: 1234567, 55555, АБВГД і т.п.
• Паролів з використанням особистих даних: ПІБ, дата народження, серійні номери документів і так далі.

Загалом, ставитеся до створення пароля з усією серйозністю, так як від того, що вони захищають, може залежати ваше фінансове благополуччя або репутація.

Автор статті

Компанієць Єлизавета, учениця МБОУ ЗОШ №28, 11 класу А

цілі

Яка історія паролів?

Як паролі захищають дані на комп'ютерах і дисках?

Як хакери зламують паролі?

Як зробити пароль стійкий до зломів?

гіпотеза

Пароль є найбільш прийнятним і тому найбільш часто використовуваним засобом встановлення автентичності, заснованим на знаннях суб'єктів доступу.

Захист даних з використанням комп'ютера

Історія паролів

пароль (Фр. Parole - слово) - це секретне слово або набір символів, призначений для підтвердження особи або повноважень. Паролі часто використовуються для захисту інформації від несанкціонованого доступу. У більшості обчислювальних систем комбінація «ім'я користувача - пароль» використовується для посвідчення користувача Паролі використовувалися з найдавніших часів.

Полібій описує застосування паролів в Стародавньому Римі в такий спосіб:

Те, яким чином вони забезпечують безпечне проходження вночі виглядає наступним чином: з десяти манипул кожного роду піхоти і кавалерії, що розташоване в нижній частині вулиці, командир вибирає, хто звільняється від несення вартової служби, і він щоночі йде до трибуну, і отримує від нього пароль - дерев'яну табличку зі словом. Він повертається в свою частину, а потім проходить з паролем і табличкою до наступного командувачу, який в свою чергу передає табличку з наступних підстав.

Для запобігання несанкціонованого доступу до даних, що зберігаються на комп'ютері, використовуються паролі. Комп'ютер дозволяє доступ до своїх ресурсів тільки тим користувачам, які зареєстровані і ввели правильний пароль. Кожному конкретному користувачеві може бути наданий доступ тільки до певних інформаційних ресурсів. При цьому може проводитися реєстрація всіх спроб несанкціонованого доступу.

Захист доступу до комп'ютера.

Захист налаштувань є в операційній системі Windows (При завантаженні системи користувач повинен ввести свій пароль), однак такий захист легко переборна, так як користувач може відмовитися від введення пароля. Вхід за паролем може бути встановлений в програмі BIOS Setup , Комп'ютер не почне завантаження операційної системи, якщо не введений правильний пароль. Подолати такий захист нелегко, більш того, виникнуть серйозні проблеми доступу до даних, якщо користувач забуде цей пароль.

Захист даних на дисках.

Кожен диск, папка і файл локального комп'ютера, а також комп'ютера, підключеного до локальної мережі, може бути захищений від несанкціонованого доступу. Для них можуть бути встановлені певні права доступу (повний, тільки читання, по паролю), причому права можуть бути різними для різних користувачів.

Злом комп'ютерних паролів

Злом пароля є одним з поширених типів атак на інформаційні системи, що використовують аутентифікацію за паролем або парі «ім'я користувача-пароль». Суть атаки зводиться до заволодіння зловмисником паролем користувача, що має право входити в систему. Привабливість атаки для зловмисника полягає в тому, що при успішному отриманні пароля він гарантовано отримує всі права користувача, обліковий запис якого була скомпрометована, а крім того вхід під існуючої обліковим записом зазвичай викликає менше підозр у системних адміністраторів. Технічно атака може бути реалізована двома способами: багаторазовими спробами прямий аутентифікації в системі, або аналізом хеш паролів, отриманих в інший спосіб, наприклад перехопленням трафіку. При цьому можуть бути використані такі підходи:

Прямий перебір. Перебір всіх можливих поєднань допустимих в паролі символів. Наприклад, нерідко зламується пароль «qwerty» так як його дуже легко підібрати по першим клавішах на клавіатурі.

Підбір за словником. Метод заснований на припущенні, що в паролі використовуються існуючі слова будь-якої мови або їх поєднання.

Метод соціальної інженерії. Заснований на припущенні, що користувач використовував в якості пароля особисті відомості, такі як його ім'я або прізвище, дата народження і т. П. Напр. Вася Пупкін, 31.12.1999 р.н. нерідко має пароль типу «vp31121999» або «vp991231». Для проведення атаки розроблено безліч інструментів, наприклад, John the Ripper.

Критерії стійкості пароля

Виходячи з підходів до проведення атаки можна сформулювати критерії стійкості пароля до неї. Пароль не повинен бути занадто коротким, оскільки це спрощує його злом повним перебором. Найбільш поширена мінімальна довжина - вісім символів. З тієї ж причини він не повинен складатися з одних цифр.

Пароль не повинен бути словниковим словом або простим їх поєднанням, це спрощує його підбір за словником.

Пароль не повинен складатися тільки з загальнодоступної інформації про користувача.

Як рекомендацією до складання пароля можна назвати використання поєднання слів з цифрами і спеціальними символами (#, $, * і т. Д.), Використання малопоширених або неіснуючих слів, дотримання мінімальної довжини.

висновок

Паролі використовуються з перших днів їх створення до цього дня. Вони успішно допомагають нам захищати інформацію від несанкціонованих доступів.