क्या गैर-गणितज्ञों को पासवर्ड सुरक्षा साबित करने का एक मानक तरीका है?


16

मेरे मुवक्किल के पास एक सर्वर है जो बॉटनेट से ब्रूट-फोर्स लॉगिन प्रयासों के अधीन है। सर्वर और क्लाइंट के ग्राहक की योनि के कारण, हम फ़ायरवॉल, पोर्ट परिवर्तन या लॉगिन डेटा परिवर्तन के माध्यम से प्रयासों को आसानी से ब्लॉक नहीं कर सकते हैं।

इसे हमले के लिए खुला छोड़ने का फैसला किया गया है, लेकिन पासवर्ड को सुरक्षित रखने का एक तरीका खोजें। प्रबंधन और कुछ अन्य सलाहकारों ने निर्धारित किया है कि हर दस मिनट में पासवर्ड को घुमाने के लिए पासवर्ड रोटेशन सॉफ़्टवेयर स्थापित करने के लिए सबसे अच्छी बात यह है कि उन उपयोगकर्ताओं को नया पासवर्ड प्रदान करें जिन्हें लॉग इन करने की आवश्यकता है।

ब्रूट बल के प्रयास हर सेकंड में दो बार हो रहे हैं।

मुझे यह प्रदर्शित करने की आवश्यकता है कि 12-15 अक्षरों के साथ एक मजबूत पासवर्ड लागू करना एक आसान और मुफ्त समाधान है। मुझे पता है कि गणित के साथ यह कैसे साबित करना है, लेकिन मैं कुछ लिखूंगा जैसे कि "हमारे पासवर्ड के एक्स कई संभावित क्रमपरिवर्तन हैं, और हमलावर केवल प्रति दिन n प्रयास कर सकता है, इस प्रकार हम उनसे x / जाने की उम्मीद करेंगे हमारे पासवर्ड का अनुमान लगाने से पहले औसतन 2 दिन। " क्या इसका अधिक मानक "प्रमाण" है?

जवाबों:


14

Iptables के साथ fail2ban का उपयोग करना एक शानदार तरीका है।

यहाँ आपके लिए गणित है:

मिश्रित ऊपरी और निचले मामले के वर्णमाला और सामान्य प्रतीकों, 8 वर्ण लंबे, आपको 2.9 क्वाड्रिलियन संयोजन प्रदान करते हैं और 10,000 प्रयासों के साथ एक सेकंड में 9,488 साल लगेंगे। पाठ्यक्रम की अधिकतम सीमा - आपके पासवर्ड को 4000 वर्षों में क्रैक होने की उम्मीद करती है। 1000 साल अगर आप भाग्यशाली महसूस नहीं कर रहे हैं।

जैसा कि आप देख सकते हैं कि आपको कोई समस्या नहीं होनी चाहिए यदि आप 15 वर्ण का पासवर्ड करते हैं जैसे:

dJ&3${bs2ujc"qX

विफलता 2 बॉटन एक बोटनेट के खिलाफ कैसे मदद करेगा?
इन्नाएम

2
आपके पास एकमात्र मुद्दा यह होगा कि कोई भी उनके पासवर्ड को याद नहीं रख सकता है ..
जेफ एटवुड

यह वास्तव में एक दिलचस्प कड़ी है, लेकिन मैंने देखा है (पृष्ठ के निचले भाग में) कि उनका हमला समय पेंटियम 100 के आसपास है! शायद थोड़ा पुराना है, लेकिन अभी भी एक अच्छा पढ़ा है।
कोप्स

8

इसके अलावा, फेल 2बान,

यदि आप कोई आधुनिक UNIX चला रहे हैं, तो आप आम तौर पर खराब पासवर्ड प्रविष्टि नींद के समय को 5 सेकंड तक बदल सकते हैं, 2000% तक हमले की गति को धीमा कर सकते हैं। [Solaris 10 में इसे / etc / default / login, SLEEPTIME के ​​लिए खोज] है जो समान सहिष्णुता का उपयोग करते हुए इसका मतलब होगा कि आप हर 3hrs 20 मिनट में पासवर्ड को घुमा सकते हैं।

इसके अलावा, लॉकआउट से पहले पासवर्ड का प्रयास एक व्यवहार्य विकल्प होगा, लेकिन मुझे संदेह है कि यह आपके लिए नहीं है, क्योंकि आपके पास एक से अधिक उपयोगकर्ताओं को एक खाता साझा करने और इसे हर समय लॉक करने की इच्छा नहीं है।

12-15 कैरेक्टर के पासवर्ड की आवश्यकता होती है, लेकिन अगर आप पर लगातार हमला किया जा रहा है तो दूसरा समाधान शायद बेहतर है। मुझे नहीं पता कि इस पर आपकी कंपनी की बजट सहिष्णुता क्या है, लेकिन सभी के लिए आरएसए कुंजी कार्ड जिन्हें उस खाते में लॉग इन करने की आवश्यकता है, साथ ही इसे हल करेंगे। दो कारक प्रमाणीकरण क्वांटम कंप्यूटिंग समय में संभावना को बाहर धकेलते हैं।

इस बोर्ड पर आपके लिए पोस्ट करने के लिए लंबे समय तक चलने वाला जानवर बल दृष्टिकोण काफी आश्चर्यजनक है। आम तौर पर बोलना बहुत कम होता है और असली हमला होने पर सबसे अच्छा लॉग फिलर होता है।


6

प्राधिकरण के लिए एक अपील के बारे में कैसे? आप DoD सुरक्षा तकनीकी कार्यान्वयन दिशानिर्देश (iase.disa.mil/stigs/stig) का संदर्भ दे सकते हैं और कह सकते हैं कि "यदि यह रक्षा विभाग के लिए पर्याप्त है, तो यह हमारे लिए काफी अच्छा है"


5

कुछ विचार करने के लिए: यदि आपके पास एक पासवर्ड है जो नहीं बदलता है, और जानवर बल के हमले पासवर्ड के एक ब्रह्मांड का परीक्षण कर रहे हैं जिसमें आपका भी शामिल है, जानवर बल का हमला अंततः हिट करने की गारंटी है और आप उसके बाद कमजोर रहेंगे।

"मौका" कि एक यादृच्छिक पिक आपके पासवर्ड को हिट करेगी, जैसा कि आपने सुझाव दिया है, गणना की जा सकती है, लेकिन यह पूरी कहानी नहीं बता सकती है।

उदाहरण के लिए, यदि आप जानवर बल के प्रयासों को देखते हैं, और देखते हैं कि वे जो सबसे लंबा पासवर्ड है, वह 10 वर्णों का है, तो 12 पर कुछ भी उठाकर सुनिश्चित करें कि आप कभी भी हिट नहीं होंगे।

किसी विशेष मामले में आंकड़े लागू करने की कोशिश करते समय बहुत सावधान रहें; वे केवल बड़ी संख्या में नमूनों के साथ समग्र व्यवहार की भविष्यवाणी करते हैं।

एक तरफ, यदि गणित किसी को मना (या नहीं) कर सकता है, तो ऐसा कुछ खोजने की कोशिश करें, जो होने की समान संभावना के बारे में हो, लेकिन परिचित है, जैसे शायद लॉटरी या कार दुर्घटना या बिजली से मारा। यदि आप कह सकते हैं "किसी को इस पासवर्ड को मारने का मौका लगभग उसी तरह है जैसे छह सप्ताह चलने वाली लॉटरी जीतना" यह उन्हें बेहतर अनुभव दे सकता है।


3
पासवर्ड क्यों न लें हमलावर ने पहले ही कोशिश की है? मजाक कर रहा हूं।
इन्नाएम

4

एक बात जिस पर विचार नहीं किया गया है वह है कि बॉटनेट को ब्रूटफोर्स का उपयोग करने वाला उपयोगकर्ता नाम क्या है। सभी उदाहरणों में मैंने देखा है कि क्रूर सेनाएँ प्रशासन और जड़ की विविधताओं के लिए हैं, और एक दुर्लभ मामले में उपयोगकर्ता नाम कॉर्प वेबसाइट से स्क्रैप किए गए हैं।

मैं इंटरेक्टिव लॉगिन प्रतिबंधों को भी बदलूंगा ताकि आपका रूट खाता या तो अक्षम (पसंदीदा) हो या आपके स्थानीय सबनेट या समान पता सीमा तक सीमित हो।


2

दो बार प्रति सेकंड बुरा नहीं है। हम प्रति मिनट हज़ारों प्रयासों को देखते थे, fail2ban को लागू करने से पहले , जो इतने सारे असफल प्रयासों (सभी विन्यास योग्य) के बाद एक विशेष आईपी को नेटवर्क की एक निर्धारित अवधि के लिए लॉक कर देगा।

इसने हमारे लिए बहुत अच्छा काम किया है।


2

वास्तव में, आप iptables का उपयोग करके brute force ssh हमलों के खिलाफ चुनिंदा स्कैन कर सकते हैं, अगर यह आपके लिए काम करता है।

ये दो तार:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

60 सेकंड के अंतराल में 5 बार से अधिक एसएसएच से कनेक्ट करने का प्रयास करने वाले किसी भी व्यक्ति तक पहुंच को रोक देगा। आप "--hitcount" संख्या को बदल सकते हैं यदि आप 5 प्रति सेकंड से बड़ी संख्या की अनुमति चाहते हैं।


2

मैं मानता हूं कि हर 10 मिनट में पासवर्ड बदलना थोड़ा अधिक लगता है। इस बिंदु पर समस्या यह हो जाती है कि आप नए पासवर्ड को सुरक्षित रूप से कैसे संचारित करते हैं और सिस्टम को एक दूसरे के साथ सिंक करते रहते हैं।

इस आलेख में क्रैकिंग स्पीड के बारे में कुछ दिलचस्प आँकड़े हैं:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking


2

यह आश्चर्य की बात है कि कितने लोग घातीय घटता को नहीं समझते हैं, लेकिन हर कोई 10, 100 और 1000 के बीच का अंतर जानता है, ताकि तुलना शुरू करने के लिए एक अच्छी जगह हो।

एक और रणनीति वास्तव में लोगों को यह दिखाने के लिए हो सकती है कि 6 वर्ण वाले पासवर्ड को ब्रूट-फोर्स करने में कितना समय लगता है। यदि आपके पास कोई प्रोग्रामिंग ज्ञान है, तो आप एक त्वरित उपकरण एक साथ रख सकते हैं जो ऐसा करता है।


2

आप उन्हें यह भी दिखा सकते हैं कि इंद्रधनुष तालिकाएँ कितनी आसानी से उपलब्ध हैं:

http://project-rainbowcrack.com/table.htm


केवल तभी उपयोगी है जब उन्हें पासवर्ड हैश मिल जाता है, और उचित सलामी के साथ, खतरे को कम किया जा सकता है।
skitzot33

2

यह थोड़ा अपमानजनक हो सकता है, लेकिन मैं denyhosts का उपयोग कर रहा हूं और यह मेरे लिनक्स बक्सों पर क्रूर बल प्रयासों को बहुत कम कर रहा है ।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.