Удаленный доступ
Защита от подбора паролей "в лоб"
Наилучшим способом защиты от подбора пароля является использование трудно угадываемых паролей. В идеальном случае желательно использовать механизм одноразовых паролей. Существует ряд бесплатных утилит (табл. 8.1), с помощью которых решение задачи подбора пароля можно значительно затруднить.
Таблица 8.1. Бесплатные утилиты, которые позволяют защититься от подбора паролей "в лоб".
| Инструмент | Описание | Адрес |
|---|---|---|
| S/Key | Система генерации одноразовых паролей | http://www.yak.net/skey/ |
| One Time Passwords In Everything (OPIE) | Система генерации одноразовых паролей | ftp.nrl.navy.mil/pub/security/opie |
| Cracklib | Средство генерации паролей | ftp://ftp.cert.org/pub/tools/cracklib/ |
| Npasswd | Утилита, которую можно использовать вместо команды passwd | http://www.utexas.edu/cc/unix/software/npasswd/ |
| Secure Remote Password | Новый механизм для выполнения безопасной аутентификации с помощью пароля и обмена ключами в сети любого типа | http://srp.stanford.edu/srp/ |
| SSH | Замещает r-команды и позволяет выполнять те же функции с поддержкой шифрования и аутентификации RSA | http://www.cs.hut.fi/ssh |
Помимо этих средств, необходимо реализовать хорошие процедуры управления паролями, соответствующие следующим основным требованиям.
- Обеспечение того, чтобы все пользователи применяли пароли.
- Принудительная смена паролей один раз в 30 дней для привилегированных пользователей и один раз в 60 дней для обычных пользователей.
- Минимальная длина пароля должна составлять шесть символов, а еще лучше – восемь.
- Регистрация неудачных попыток аутентификации.
- Настройка служб таким образом, чтобы после трех неудачных попыток регистрации выполнялся разрыв соединения.
- Реализация режима блокировки учетных записей везде, где это возможно (не забывайте при этом о возможных проблемах, связанных с отказом в обслуживании, специально вызываемых действиями взломщика).
- Отключение неиспользуемых служб.
- Использование средств генерации паролей, не позволяющих пользователям выбирать легко угадываемые пароли.
- Не использовать один и тот же пароль для доступа к разным системам.
- Не допускать, чтобы пользователи записывали свои пароли.
- Не допускать разглашения паролей посторонним.
- Использовать при возможности одноразовые пароли.
- Обеспечение того, чтобы встроенными учетными записями вида setup и admin не использовались пароли, установленные для них по умолчанию.
Дополнительную информацию по выбору паролей можно найти в документе AusCERT SA-93:04.