Легальное применение программы

По ходу главы мы не раз говорили о том, что программа Crack выполняется довольно долго. Это особенно справедливо, если использовать программу в стандартной конфигурации. А причем здесь моральные аспекты, спросите вы? Но выясняется, что это основная проблема, связанная с применением утилиты системными администраторами.

Если учесть, что, имея достаточно времени, программа Crack способна отгадать практически любой пароль, то где же проходит та грань, за которой системный администратор из контролера превращается во взломщика? Совершенно очевидно, что нет никакого смысла взламывать все пароли (по крайней мере, в целях контроля). Тогда на какой уровень сложности должна быть настроена программа? Как отличить приемлемые пароли от неприемлемых?

Кстати...

В одном из проведенных тестов компьютеру с процессором Pentium II частотой 333 МГц потребовалось 2 часа на взлом пароля "simple", хешированного по алгоритму MD5. А на взлом того же самого пароля, хешированного с помощью стандартной функции crypt (), ушло 10 минут. В обоих тестах использовались одинаковые файлы паролей, словари и файлы правил. Результат отражает усилия, вложенные в оптимизацию библиотеки libdes, которая является предпочтительным средством DES-хеширования в программе Crack. Следует также заметить, что алгоритм MD5 является более медленным с вычислительной точки зрения, чем DES.

К сожалению, простого ответа на эти вопросы не существует. Теоретически такая ситуация должна быть оговорена в стратегии безопасности организации (см. главу 2), но теория не всегда эффективно воплощается на практике, к тому же компьютерные технологии не стоят на месте, постоянно развиваясь, что приводит к росту вычислительных мощностей, доступных хакерам. Короче говоря, решение проблемы является сугубо организационным.

Предупреждение

Попытка применить программу Crack к файлу паролей может вызвать серьезное (и оправданное) недовольство пользователей. Рекомендуется письменно регламентировать использование программы.

Эффективные способы применения

Если абстрагироваться от моральных аспектов и вопросов, связанных со стратегией безопасности, то программа Crack может оказаться весьма эффективным средством обнаружения "слабых" паролей. Собственно говоря, злоумышленнику достаточно найти всего один такой пароль, чтобы получить несанкционированный доступ в систему.

Эффективнее всего выяснять с помощью программы Crack, на взлом каких паролей уходит достаточно много времени. Но насколько много? Час, день, неделя? Решать вам. Мы уже рассматривали способы реализации такого подхода, например путем использования модуля pam_cracklib, который проверяет пароли перед записью в файл паролей. Можно применять алгоритмы хеширования MD5 и Bigcrypt, повысить минимально допустимую длину паролей, включить режим устаревания паролей, переместить хешированные пароли в файл /etc/shadow и т.д.

Но, несмотря на все меры предосторожности, плохие пароли все равно есть. Сконфигурируйте словари и правила программы Crack так, чтобы они отражали предпочтения пользователей системы (хакеры наверняка попытаются выяснить то же самое).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок