Обща информация за управление на пароли за споделени акаунти

Администраторът може да бъде принуден да промени тези пароли, за да отговаря на приложимите насоки или технически изисквания, като Sarbanes-Oxley (SOX), Payment Card Industry (PCI) или HIPAA (Закон за преносимост и отчетност на здравното осигуряване). Понякога действията на администратора се дължат на експулсиране на бивш администратор или техник, който знае пароли от компанията, риск от разкриване на пробиви в сигурността или загуба на възможност за работа с кредитни карти. Въпреки тези фактори, всичко се свежда до факта, че администраторът трябва да промени тези пароли поради простата причина да гарантира сигурността на компанията и данните, които компанията трябва да защити.

Въведение в задачата

Има няколко фактора, които трябва да имате предвид, когато работите с тези идентификационни данни и пароли.

  1. Колкото по-стари стават паролите, толкова по-малко сигурни са те.
  2. Като цяло по-дългите пароли са по-трудни за разбиване.
  3. Начинът, по който компютрите се удостоверяват, не се променя само защото принадлежат към домейн. Всеки домейн съдържа ядрото на работна група.

Твърдението „колкото по-стари стават паролите, толкова по-малко сигурни са те“ е подвеждащо. Това означава само, че отнема само време за хакване на компютър. На въпроса: „Колко време отнема разбиването на парола?“ Обикновено отговарям, че няма конкретен отговор, и давам съвети, които да ви помогнат да получите отговора за конкретна система:

  • Колко души знаят паролата?
  • Всички тези хора все още ли работят за компанията?
  • Ако някой от хората, които знаят паролата за акаунта, вече не работи за компанията, напуснал ли е компанията приятелскинастройка?
  • Забранили ли сте възможността за зареждане от флопи диск, CD-ROM устройство или DVD, или от мрежата?
  • Потребителите на компютри също ли са локални администратори?
  • Всички ваши системи използват ли една и съща парола за привилегировани акаунти?

Започвайки от върха на списъка, е безопасно да се каже, че колкото повече хора знаят една тайна, толкова по-вероятно е тайната да бъде разкрита. Работил съм в компании, където администраторите намираха за по-удобно да зададат една споделена парола и да я споделят с ИТ специалисти и техните асистенти, вместо да се налага да въвеждат пароли за тях, както се изисква. Разбира се, с течение на времето на компютрите започнаха да се появяват различни неодобрени настройки и тези идентификационни данни станаха достъпни за обикновените потребители на мрежата.

Ако всички хора, които знаят паролата, все още работят в компанията и са надеждни и ефективни служители, тази опасност от достъп е леко намалена. Но никога не знаете кога ще трябва да се сблъскате със злонамерен потребител. Ако някой от тези потребители напусне компанията и остане в лоши отношения с нея, те стават свободни враждебни лица, които знаят как да влязат в мрежата с непроследим акаунт.

Въпреки че не е забранено да стартирате от устройства, различни от твърдия диск, вие също така позволявате на потребителите да стартират от неоторизирани изображения, като Windows PE или различни Linux системи, които могат да четат директно от файловата система на компютъра и да имат достъп до защитеното хранилище на компютъра. (Трябва да се отбележи, че вътрешните елементи са причината за много дупки в сигурността. Дори ако всичкислужителите и техните асистенти все още са наети от компанията, паролите и системите не могат да бъдат защитени.)

Познавам много хора, които са останали в мрежата на бивш работодател, само защото са имали възможност. Странно е, че просто са забелязали грешния подход - оставяйки системните пароли непроменени - но щетите, които могат да нанесат, ако са налице злонамерени намерения, могат да бъдат плашещи.

Разрешаването на възможността за зареждане от DVD устройство или през мрежа може да направи невъзможно наблюдението на потребителската активност, което означава, че диск за зареждане на Linux или мрежово изображение често позволява директен достъп до файловата система. Ако вашите системи използват едни и същи потребителски имена и пароли за привилегировани акаунти, конфигурацията на системите прави възможен голям компромис. Това обаче ще бъде разгледано малко по-късно.

Правилната дата на изтичане и дължината на паролата се определят от това как паролата е разбита. Ако се използва груба сила за определяне на пароли, всичко се свежда до времето. Колкото по-рядко се променя паролата, толкова повече време се дава на атакуващия да получи паролата.

По-дългите пароли имат експоненциално по-голям брой комбинации от символи и следователно отнемат повече време за разбиване. Ето защо е важно да се вземе предвид дали паролите са по-малко от 7 знака, от 8 до 14 знака или повече от 15 знака. И ако паролите са с дължина под 15 знака и се използва операционна система Windows, деактивирано ли е хеширането на LAN Manager (LM) като част от процеса на системна конфигурация или в резултат на групови правила?

Как дължината на паролата влияе върху нещо? В случая с Windows отговорът е прост. В допълнение към дневника на хеш процеса, корпорациятаMicrosoft прилага два вида хешове на пароли, хешове LM и хешове MD4. По подразбиране Microsoft използва LM хешове и стойностите се съхраняват за всички пароли с дължина до 14 знака, освен ако съхранението на тези хешове не е умишлено деактивирано. Тези пароли са разделени на две седемцифрени стойности - първата стойност за първите 7 знака и втората стойност за вторите 7 знака, както е показано нафиг. 1.