Prévenir le piratage des contre-mesures de craquage de mots de passe
Prenant quelques contre-mesures générales peut empêcher le piratage de vos mots de passe importants. Un mot de passe pour un système est généralement l'équivalent des mots de passe pour de nombreux autres systèmes parce que beaucoup de gens utilisent les mêmes mots de passe sur tous les systèmes qu'ils utilisent. Pour cette raison, vous pourriez envisager de demander aux utilisateurs de créer des mots de passe différents pour différents systèmes, en particulier sur les systèmes qui protègent l'information qui est plus sensible.
Le seul inconvénient à ceci est que les utilisateurs doivent garder plusieurs mots de passe et, par conséquent, pourraient être tentés de les écrire, ce qui peut réduire à néant tous les avantages.
Stockage des mots de passe
Si vous avez à choisir entre des mots de passe faibles que vos utilisateurs peuvent mémoriser et mots de passe forts que vos utilisateurs doivent écrire, avoir des lecteurs écrivent des mots de passe et stocker les informations en toute sécurité. Former les utilisateurs de stocker leurs mots de passe écrits dans un endroit sûr - pas sur les claviers ou dans des fichiers informatiques protégés par un mot de passe facilement fissurés. Les utilisateurs doivent stocker un mot de passe écrit dans un de ces endroits:
Un classeur verrouillé ou sécuritaire bureau
Chiffrement complet (entier) de disque qui peut empêcher un intrus de jamais accéder à l'OS et les mots de passe stockés sur le système.
Un outil de gestion de mot de passe sécurisé tel que
LastPass
Password Safe, un logiciel open source développé initialement par Counterpane
Politiques de mot de passe
Comme un hacker éthique, vous devez montrer aux utilisateurs l'importance de la sécurisation de leurs mots de passe. Voici quelques conseils sur la façon de le faire:
Démontrer comment créer des mots de passe sécurisés. Reportez-vous à eux comme passphrases parce que les gens ont tendance à prendre les mots de passe littéralement et utiliser seulement des mots, qui peuvent être moins sécurisé.
Montrer ce qui peut arriver lorsque des mots de passe faibles sont utilisés ou les mots de passe sont partagés.
Diligemment construire la sensibilisation des utilisateurs des attaques d'ingénierie sociale.
Appliquer (ou au moins encourager l'utilisation de) une politique de passe-forte création qui inclut les critères suivants:
Utilisez des lettres majuscules et minuscules, caractères spéciaux, et des chiffres. Ne jamais utiliser que des chiffres. Ces mots de passe peuvent être craquées rapidement.
Misspell mots ou créer des acronymes à partir d'un devis ou une phrase. Par example, ASCII est un acronyme pour American Standard Code for Information Interchange qui peut également être utilisé comme partie d'un mot de passe.
Utilisez les caractères de ponctuation pour séparer les mots ou les acronymes.
Changer les mots de passe tous les 6 à 12 mois ou immédiatement si ils sont soupçonnés d'être compromise. Rien de plus fréquent présente un inconvénient qui ne sert qu'à créer plus de vulnérabilités.
Utilisez des mots de passe différents pour chaque système. Ceci est particulièrement important pour les hôtes de l'infrastructure de réseau, tels que les serveurs, pare-feu et les routeurs. Il est normal d'utiliser des mots de passe similaires - il suffit de les faire légèrement différente pour chaque type de système, tels que SummerInTheSouth-Win7 pour les systèmes Windows et Linux +SummerInTheSouth pour les systèmes Linux.
Utilisez des mots de passe de longueur variable. Cette astuce peut jeter les attaquants parce qu'ils ne sauront pas le minimum requis ou longueur maximale des mots de passe et doivent essayer toutes les combinaisons de longueur de mot de passe.
Ne pas utiliser des mots ou des mots d'argot communes qui sont dans un dictionnaire.
Ne pas se fier entièrement à caractères similaires prospectifs, tels que 3 au lieu de E, 5 au lieu de S, ou ! au lieu de 1. Programmes par mot de passe fissuration peuvent vérifier.
Ne pas réutiliser le même mot de passe dans au moins quatre à cinq changements de mot de passe.
Utilisez économiseurs d'écran protégé par mot de passe. Écrans débloqués sont un excellent moyen pour les systèmes à être compromise, même si leurs disques durs sont cryptés.
Ne pas partager les mots de passe. Pour chaque son propre!
Evitez de stocker les mots de passe de l'utilisateur dans un emplacement central non garanti, comme une feuille de calcul sans protection sur un disque dur. Ceci est une invitation à la catastrophe. Utilisez Password Safe ou un programme similaire pour stocker les mots de passe des utilisateurs.
Autres contre-
Voici quelques autres contre le piratage de mots de passe:
Activez l'audit de sécurité pour aider à surveiller et suivre les attaques de mot de passe.
Testez vos applications pour vous assurer qu'ils ne sont pas les mots de passe stockent indéfiniment en mémoire ou de leur écriture sur le disque. Un bon outil pour cela est WinHex.
Gardez vos systèmes patché. Les mots de passe sont réinitialisés ou compromises lors de dépassements de tampons ou autre déni de service (DoS) conditions.
Connaissez vos identifiants d'utilisateur. Si un compte n'a jamais été utilisé, supprimer ou désactiver le compte jusqu'à ce qu'il soit nécessaire. Vous pouvez déterminer les comptes inutilisés par inspection manuelle ou en utilisant un outil tel que DumpSec, un outil qui peut énumérer le système d'exploitation Windows et de recueillir les ID utilisateur et d'autres informations.
Comme l'administrateur de la sécurité dans votre organisation, vous pouvez activer verrouillage de compte de prévenir les tentatives de craquage de mots de passe. Le verrouillage de compte est la capacité de verrouiller les comptes d'utilisateurs pendant un certain temps après un certain nombre de tentatives de connexion infructueuses est produite. La plupart des systèmes d'exploitation ont cette capacité.
Ne pas réglé trop bas, et ne pas le mettre trop élevé pour donner une plus grande chance de briser dans un utilisateur malveillant. Quelque part entre 5 et 50 pourraient travailler pour vous. Considérez ce qui suit lors de la configuration de verrouillage de compte sur vos systèmes:
Pour utiliser le verrouillage de compte pour éviter toute possibilité d'un utilisateur DoS état, nécessite deux mots de passe différents, et ne fixe pas de délai de verrouillage pour le premier si cette fonctionnalité est disponible dans votre système d'exploitation.
Si vous autorisez autoreset du compte après une certaine période - souvent désigné comme blocage des intrus - ne pas régler une période de temps courte. Trente minutes fonctionne souvent bien.
Un compteur des échecs de connexion peut augmenter la sécurité par mot de passe et de minimiser les effets globaux de verrouillage de compte si le compte subit une attaque automatisée. Un compteur de connexion peut forcer un changement de mot de passe après un certain nombre de tentatives infructueuses. Si le nombre de tentatives de connexion infructueuses est élevé et sur une courte période, le compte a probablement connu une attaque de mot de passe automatisé.
D'autres contre-mot de passe de protection comprennent
Renforcement des méthodes d'authentification. Des exemples en sont challenge / response, cartes à puce, jetons, biométrie, ou des certificats numériques.
Réinitialisation de mot de passe automatisé. Cette fonctionnalité permet aux utilisateurs de gérer la plupart de leurs problèmes de mot de passe sans avoir d'autres personnes impliquées. Sinon, cette question de soutien devient cher, surtout pour les grandes organisations.
Mot de passe-protéger le BIOS du système. Ceci est particulièrement important sur les serveurs et les ordinateurs portables qui sont sensibles à des menaces et des vulnérabilités de sécurité physiques.