Matematikçi olmayanlara şifre güvenliğini kanıtlamanın standart bir yöntemi var mı?

İstemcim, bir botnet'ten gelen kaba-kuvvetli giriş denemelerine maruz kalan bir sunucuya sahip. Sunucunun ve istemcinin istemcisinin değişkenleri nedeniyle, güvenlik duvarı, bağlantı noktası değişikliği veya giriş hesabı adı değişikliği yoluyla girişimleri kolayca engelleyemeyiz.

Karar, saldırıyı açık bırakmaya karar verildi, ancak şifreyi güvende tutmanın bir yöntemini buldu. Yönetim ve diğer bazı danışmanlar, yapılacak en iyi şeyin parolayı on dakikada bir döndürmek ve oturum açması gereken kullanıcılara yeni parola sağlamak için parola döndürme yazılımı yüklemek olduğunu belirlemiştir.

Kaba kuvvet denemeleri saniyede iki kez gerçekleşiyor.

12-15 karakterli güçlü bir şifre uygulamanın daha kolay ve ücretsiz bir çözüm olduğunu göstermem gerekiyor. Bunu matematikle nasıl kanıtlayacağımı biliyorum, ama sadece "şifremizin olası birçok permütasyonu var ve saldırgan günde sadece n denemeyi deneyebilir, böylece x / Şifremizi tahmin etmeden önce ortalama 2 gün. " Bunun daha standart bir "kanıtı" var mı?

Iptables ile fail2ban kullanmak harika bir yoldur.

İşte sizin için matematik:

Karışık büyük ve küçük harf alfabe ve 8 karakter uzunluğunda ortak semboller, 2.9 katrilyon dolaşım verir ve saniyede 10.000 deneme ile 9,488 yıl sürer. Bu tabii ki maksimum - şifrenizin 4000 yıl içinde kırılmasını bekleyin. Şanslı hissetmiyorsanız 1000 yıl.

Gördüğünüz gibi 15 karakterlik bir şifre yaparsanız herhangi bir sorun yaşamamalısınız:

dJ&3${bs2ujc"qX

Fail2ban'a ek olarak,

Herhangi bir modern UNIX çalıştırıyorsanız, kötü parola girişi uyku süresini 5 saniyeye kadar değiştirebilir ve saldırı hızını% 2000 oranında yavaşlatabilirsiniz. [Solaris 10, / etc / default / login dizinine sahiptir, SLEEPTIME araması yapar] Hangi aynı toleransların kullanılması şifreyi her 3 saatte bir 20 dakikada bir döndürebileceğiniz anlamına gelir.

Ayrıca, şifre kilitleme önce geçerli bir seçenek olacaktır çalışır, ancak bir hesap paylaşan birden fazla kullanıcı var ve her zaman kilitli olmasını istemiyorum çünkü bunun sizin için değil şüpheli.

12-15 karakterlik bir parola istemek yardımcı olur, ancak sürekli saldırıya uğrarsanız başka bir çözüm muhtemelen daha iyidir. Şirketinizin bu konuda bütçe toleransının ne olduğunu bilmiyorum, ancak bu hesaba giriş yapması gereken herkes için RSA anahtar kartları da onu çözecektir. İki faktörlü kimlik doğrulama, olasılığı kuantum hesaplama süresine iter.

Bu tahtaya yazman için yeterince uzun süren kaba kuvvet yaklaşımı oldukça şaşırtıcı. Genel olarak konuşursak, oldukça alçakgönüllüdür ve en iyi ihtimalle gerçek bir saldırı devam ederken bir günlük dolgu maddesidir.

Otoriteye itiraz etmeye ne dersiniz? DoD Güvenliği Teknik Uygulama Yönergeleri'ne (iase.disa.mil/stigs/stig) başvurabilir ve "Savunma Bakanlığı için yeterince iyi ise, bizim için yeterince iyi" diyebilirsiniz.

Dikkate alınması gereken bir şey: Değişmeyen bir parolanız varsa ve kaba kuvvet saldırıları sizinkini içeren bir şifre evrenini test ediyorsa, kaba kuvvet saldırısının sonunda vurulması garanti edilir ve bundan sonra savunmasız kalabilirsiniz.

Rastgele bir seçimin şifrenizi vurma şansı, önerdiğiniz gibi hesaplanabilir, ancak bu tüm hikayeyi anlatmayabilir.

Örneğin kaba kuvvet denemelerine bakarsanız ve denedikleri en uzun parolanın 10 karakter olduğunu görürseniz, 12'de bir şey seçtiğinizde hiçbir zaman vurulmayacaksınız.

Belirli bir duruma istatistik uygulamaya çalışırken çok dikkatli olun; genel davranışı sadece çok sayıda örnekle tahmin ederler.

Bu bir yana, eğer matematik birini ikna etmezse (ya da ikna edemezse), meydana gelme şansı olan ama belki piyangolar ya da trafik kazaları gibi ya da yıldırım çarpması gibi tanıdık bir şey bulmaya çalışın. Eğer " bu şifreyi vurma şansı, altı hafta süren piyangoyu kazanmakla neredeyse aynı " diyebilirseniz, onlara daha iyi bir his verebilir.

Dikkate alınmayan bir şey, botnet'in Bruteforce için kullandığı kullanıcı adıdır. Kaba güçlerin yönetici ve kök varyasyonları için olduğunu ve nadiren de olsa corp web sitesinden çıkarılan kullanıcı adlarını gördüm.

Ayrıca, root hesabınızın devre dışı bırakılması (tercih edilen) veya yerel alt ağınız veya benzer adres aralığınızla kısıtlanması için etkileşimli giriş kısıtlamalarını da değiştirirdim.

Saniyede iki kez kötü değil. Hatalı 2ban'ı uygulamadan önce, binlerce başarısız denemeyi, bir çok başarısız denemeden sonra belirli bir IP'yi belirli bir süre boyunca kilitleyecekti (hepsi yapılandırılabilir).

Bu bizim için çok işe yaradı.

Aslında, iptables kullanarak kaba kuvvet ssh saldırılarına karşı seçici tarama yapabilirsiniz, eğer bu sizin için çalışıyorsa.

Bu iki dize:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

SSH'ye 60 saniyelik aralıklarla 5 kereden fazla bağlanmaya çalışan herkese erişimi engelleyecektir. Saniyede 5'ten daha büyük bir sayıya izin verilmesini istiyorsanız "--hitcount" numarasını değiştirebilirsiniz.

Şifreyi her 10 dakikada bir değiştirmenin biraz aşırı göründüğünü kabul ediyorum. Bu noktada sorun, yeni şifreyi güvenli bir şekilde nasıl ilettiğiniz ve sistemleri birbirinizle nasıl senkronize edeceğiniz haline gelir.

Bu makalede, çatlama hızları hakkında bazı ilginç istatistikler bulunmaktadır:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking

Kaç kişinin üstel eğrileri anlamadığı şaşırtıcıdır, ancak herkes 10, 100 ve 1000 arasındaki farkı bilir, bu yüzden karşılaştırma yapmaya başlamak için iyi bir yer olabilir.

Başka bir taktik, insanlara 6 karakterlik bir parolayı kaba zorlamanın ne kadar sürdüğünü göstermek olabilir . Herhangi bir programlama bilginiz varsa, bunu yapan hızlı bir araç oluşturabilirsiniz.

Ayrıca onlara gökkuşağı tablolarının ne kadar kolay kullanılabilir olduğunu da gösterebilirsiniz:

http://project-rainbowcrack.com/table.htm

Bu biraz oftopik olabilir, ama denyhosts kullanıyorum ve Linux kutularımdaki kaba kuvvet girişimlerini büyük ölçüde azalttı.