Microsoft спасет людей с короткими паролями

​

Светлые умы из Microsoft изобрели новый способ защиты от взломов и подбора паролей. Оказывается, эффективная защита корпоративных систем и компьютеров сотрудников крупных компаний может осуществляться путем ограничения количества одинаковых паролей внутри системы.

В августе два специалиста по сетевой безопасности - Стюарт Шехтер (Stuart Schechter) и Кормак Херли (Cormac Herley) - представлят свое исследование об этой технике на конференции по безопасности в Вашингтоне.


Как правило, для защиты компьютеров или сервисов от взломов пользователям предлагают придумать сложные пароли: с 14 символами, некоторые из которых должны быть буквами, другие - цифрами, с использованием как прописных, так и заглавных букв. Такие пароли, во-первых, сложно придумать, а ещё сложнее - запомнить, особенно в тех ситуациях, когда пользователи вынуждены регистрироваться в нескольких системах. Хотя, конечно, хакерам такие проблемы безусловно доставляют неудобства и вынуждают попотеть.

В ситуациях, когда система не требует от пользователей изобретения сложных комбинаций, люди используют примитивные пароли - например, большой процент пользователей социальных сетей не волнуется, используя пароль «123456». И, по-хорошему, стремление к простоте можно понять, если оно не доведено до абсурда.

Есть и такой способ защиты от взломов, как блокирование аккаунтов после того, как пользователь вводит пароль неправильно несколько раз подряд. Хакеры, конечно, научились обходить этот метод защиты, подбирая один пароль одновременно сразу к большому количеству (тысячам и миллионам) аккаунтов - попасть в цель таким способом гораздо проще.

Поэтому Microsoft советует: пусть система регистрации сама подсчитывает количество повторяющихся в ней паролей. Например, кто-то, не желающий оригинальничать, может использовать в качестве пароля слово «password», но таких аккаунтов не должны быть тысячи и десятки тысяч. Поэтому дублирование простых паролей должно ограничиваться самой системой. Когда число одинаковых паролей достигло критического - система должна предупретить пользователя, что такой пароль использовать нельзя.Однако такая схема уместна только для сервисов с большим, как минимум в несколько миллионов, количеством пользователей, отмечают эксперты. Да и в продукты Microsoft новые схемы внедряться пока не будут - их предполагается обсудить с другими специалистами по безопасности.

22 июля 2010
http://www.newsland.ru/News/Detail/id/536157/cat/69/​

 

если человек ставит лёгкий пароль, значит мучаться с набором не хочет, значит пароль всё равно будет лёгким, пусть и уникальным...
ИМХО бред

 

КЭП работает на Microsoft.

 

Полезный способ спасения:
человек напишет 123456 - ему скажут "нельзя" - напишет 1234567 и не будет парится....

 

ага регистрируешься с разными простыми паролям. когда тебе говорят нельзя значит можно смело брутить по этому пасу все аки).

 

это наверное билли гейтс в роли супер мена спасителя надумал сделать майкрософта спасителем мира.

 

функция бред, смысл этого..

то есть я не смогу написать пароль который я хочу, если он будет стоять у другого пользователя..
бред.

 

если послушать Microsoft, то каждый ачатовец хакер =\

 

у меня на шестизнаке пароль 12341234 и не сбрутили еще ))

 

через 20-30 лет в онлайн базах будет 80-90% всех используемых паролей, так что придётся таки переходить на биометрическую идентификацию хотят этого или нет... т.е. система авторизации логин:пароль отомрёт ввиду своей неудобности и не эффективности защиты.

 

Лет 15 может быть даже еще продержится авторизация такая...
А менять начнут лет через 10...

 

Вспоминается древняя цитата с баша

 

Эм... чё за бред.
Это получается ты регишься - тебе пишет иди нах, такой пароль уже есть, а ты его записываешь. Так ты регишь на много паролей которые есть и записываешь их. По каждому из нихесть ровно 1 учётная запись: запускатся брут на 1й пароль - когда находит учётку с этим паролем её записывает в гуд, пароль удаляет и брутит этот диапазон дальше под следущим паролем или вообще сначала.
В 1 случае ты пробрутишь весь диапазон быстро относительно, но количество гудов с каждым новым будет падать в среднем в логарифмической последовательности (а на деле как повезёт)
Во 2 случае ты заебёшься брутить и получишь по учётке к каждому паролю. Кароче хуета как не крути идея.

 

значит я вхожу в 10-20% остальных
говноцифровойпароль стоит на ресурсы которые не важны и в которых можно еще раз регнуться. на всем серьезном стоят пароли больше 15 знаком с цифрами, капсом и знаками ))

 

в основном пароль из цифер и букв 12 символов. без регистра. пока не взломали)

 

Если вы свой бложек подняли про который никто не знает, на него можно пароль хоть "god" ставить или "sex".

А будущее за другим. Просто вместо пароля будут просить дополнительно загрузить ключ с вашего компьютера на удаленный, чтобы он подтвердился. То же самое что в криптографическом ПО, где есть привязка к внешним ключам. Вбили пароль на gmail, затем сообщение "Загрузите уникальный ID-ключ для данного ресурса" и кнопка Upload как на всех файлообменниках. А затем подсчет хэша SHA-512 от пароля и загруженного файла. Если совпадает, доступ разрешен. Не совпадает - идите к черту.

 

Ок. В мелкософте дефицит мозгов :-0

 

ну билл может вообще запретить юзать простые пароли, и свести всю систему к использованию разнорегистровых сложных паролей, да еще и чтобы все разные были)

 

хы. не будет в одной сети 2х лохов с паролем qwerty на RDP

будет один admin с этим паролем на весь домен