Существует ли стандартный метод доказательства безопасности пароля нематематикам?
Что Вы подразумеваете "под соответствующим именем пользователя и адресом"? Действительно ли адрес является интернет-адресом, адресом локальной сети, или добрый день? Вы попытались выключить все брандмауэры, чтобы видеть, возможно ли это затем? Вы могли бы хотеть играть с Утилитой Утилит/Сети.
Я вижу из ответа, что Вы находитесь на двух различных интернет-соединениях. Вы уверены, что отдельным маршрутизаторам/кабельным модемам не встроили брандмауэры?
Используя fail2ban с iptables отличный способ.
Вот математика для Вас:
Смешанный алфавит верхнего регистра и алфавит нижнего регистра и обычные символы, 8 символов в длину, дают Вам, 2,9 квадрильона conbinations и с 10 000 попыток в секунду займут 9 488 лет. Это - максимум, конечно - ожидают, что Ваш пароль будет взломан через 4 000 лет. 1 000 лет, если Вы не чувствуете себя удачливыми.
Поскольку Вы видите, что у Вас не должно быть проблем, если Вы делаете 15 символьных паролей как:
dJ&3${bs2ujc"qX
-
1Как fail2ban помог бы против ботнета? – innaM 29 May 2009 в 23:34
-
2единственная проблема you' ll имеют, то, что никто не может помнить их пароли.. – Jeff Atwood 21 July 2009 в 11:53
-
3Это - действительно интересная ссылка, но я заметил (внизу страницы), что их время атаки базируется вокруг Pentium 100 с! Возможно, немного устаревший теперь, но все еще хорошее чтение. – Coops 21 July 2009 в 14:44
В дополнение к fail2ban,
При выполнении какого-либо современного UNIX можно обычно изменять время сна записи неверного пароля максимум на 5 секунд, замедляя скорость атаки на 2 000%. [Солярис 10 имеет его в/etc/default/login, поиск SLEEPTIME], Который использование тех же допусков означало бы, что Вы могли повернуть пароль каждые 3 часа 20 минут.
Кроме того, попытки пароля перед локаутом были бы жизнеспособным вариантом, но я подозреваю, что это не для Вас, потому что Вы имеете многочисленных пользователей, совместно использующих одну учетную запись, и не хотите заблокированный все время.
Требование символьного пароля 12-15 помогает, но если Вы постоянно подвергаетесь нападению, другое решение, вероятно, лучше. Я не знаю, каков бюджетный допуск Вашей компании на этом, но ключ-карты RSA для всех, кто должен войти в ту учетную запись, решил бы его также. Двухфакторная аутентификация выставляет вероятность во время квантовых вычислений.
Метод решения "в лоб", продолжающийся достаточно долго, чтобы Вы опубликовали на этом форуме, довольно удивителен. Вообще говоря, это довольно низкопробно и в лучшем случае является заполнителем журнала, в то время как реальное нападение продолжается.
Что-то для рассмотрения: если у Вас будет пароль, который не изменяется, и атаки перебором тестируют вселенную паролей, которая включает Ваш, то атака перебором, как гарантируют, совершит нападки в конечном счете, и Вы останетесь уязвимыми после этого.
"Шанс", что случайный выбор поразит Ваш пароль, может быть вычислен, как Вы предположили, но это не может рассказать целую историю.
Если Вы будете смотреть на попытки грубой силы, например, и видеть, что самый долгий пароль, который они пробуют, является 10 символами, то выбирание чего-либо в 12 гарантирует, что Вы никогда не будете поражаться.
Будьте очень осторожны при попытке применить статистику к особому случаю; они только предсказывают полное поведение с большим количеством образцов.
То, что в стороне, если математика не делает (или не может) убеждают кого-то, попытайтесь найти что-то, что имеет о том же шансе появления, но знакомо, как, возможно, лотереи или автокатастрофы или пораженный молнией. Если можно сказать, что "шанс кого-то поражающего этот пароль о том же как победа в лотерее шесть недель, работая", это может дать им лучшее чувство.
-
1Для почему бы не выбора пароля, взломщик уже попробовал? Просто ребячество. – innaM 29 May 2009 в 23:35
Одна вещь, которую не рассмотрели, - то, какое имя пользователя ботнет использует для "В лоб". Во всех экземплярах я видел, что грубые силы для изменений администратора и корня, и в именах пользователей редкого случая, очищенных с веб-сайта корпорации.
Я также изменил бы интерактивные ограничения входа в систему так, чтобы Ваша корневая учетная запись была или отключена (предпочтенная) или ограниченная Вашей локальной подсетью или подобным диапазоном адресов.
Дважды в секунду не плохо. Мы раньше видели тысячи попыток в минуту, прежде, чем реализовывали fail2ban, который заблокирует конкретный IP из сети для количества времени набора после такого количества неудачных попыток (все настраивающиеся).
Это работало отлично для нас.
На самом деле Вы можете выборочное сканирование против грубой силы ssh нападения с помощью iptables, если это работает на Вас.
Эти две строки:
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP
блокирует доступ к любому, кто пытается соединиться с SSH больше чем 5 раз в 60-секундном интервале. Можно измениться "-hitcount" число, если Вы хотите, чтобы большее количество, чем 5 в секунду было позволено.
Я соглашаюсь, что изменение пароля каждые 10 минут кажется немного чрезмерным. В этой точке проблема становится, как Вы надежно передаете новый пароль и сохраняете системы в синхронизации друг с другом.
Эта статья имеет некоторую интересную статистику о раскалывающихся скоростях:
Удивительно, сколько людей не понимает экспонент, но все знают различие между 10, 100, и 1000, так, чтобы могло бы быть хорошее место, чтобы начать делать сравнения.
Другая тактика могла бы быть, чтобы на самом деле показать людям, сколько времени требуются к "в лоб" 6 символьных паролей. Если у Вас есть знание программирования, можно соединить быстрый инструмент, который делает это.
Вы могли также показать им, как легко доступные таблицы радуги:
-
1Только полезный, если они получают хэши пароля, хотя, и с надлежащим солением, угроза может быть уменьшена. – skitzot33 2 June 2009 в 15:48