Парольний захист персональних даних Надійний пароль – гарант захисту персональних даних Забув пароль захисту особистих даних

Вітаю всіх, хто дивиться це відео!
Це не перша моя стаття, але в галузі навчання користувачів не робити дурниць перша.

У даному відео та тексті статті я розповім і покажу, що слід робити, а чого не слід, при введенні пароля, або його виборі.

Паролі бувають різні, хтось зберігає їх у голові, хтось записує на папірці, хтось у текстові документи.
Зберігати паролі в голові означає:
паролі будуть:
1. невелика довжина;
2. різних ресурсах однакові,
а отже якщо ви реєструєтеся на пошті, а потім у чаті, то людина після злому чату отримає доступ до вашої пошти, що не є гуд…

зберігати паролі на папірці, те ж не варіант, хоча він і кращий за перший, але так як навіть від книг на паперових носіях ми йдемо в бік,

електронних носіїв інформації, то пропоную зберігати паролі у текстовому вигляді.

Цей метод теж має недолік як і плюси.
Недолік: зловмисник отримавши доступ до файлу з паролями дізнається всі ресурси і може отримати доступ від вашого імені.

Переваги: ​​отримати дотуп до ресурсів (стороннім складніше), тому що можна створювати складні паролі і не боятися забути їх
Можна поліпшити даний метод, запам'ятавши 1 складний 10 значний пароль або більше,
і просто використовувати його для розшифровки запароленого архіву з паролями.
Покажу пізніше…

А тепер покажу, наскільки складно може бути розшифрувати нормальний пароль.

В даний час придумано багато алгоритмів для шифрування. Найпопулярнішим на мій погляд є MD5 та його модифікації.

Візьмемо для прикладу різні паролі та їх хеші, і спробуємо розшифрувати, і наочно подивимося, скільки на це піде часу.

І так, тепер розшифровуватимемо і дивитимемося на якийсь час…

спочатку використовуватимемо лише цифри, а потім збільшуватимемо складність…

Частки секунди…
Теж саме…
Те ж саме, але ми знаємо що пароль містить лише цифри, а якби він містив і знаки, то пішло б куди більше часу…
Наступний пароль…
Пароль за цифрами не знайшли… підключимо символи… нижній регістр…
додали 1 символ (не цифру і як це уклало процес)
На не слабкій машині, пароль в 8 символів з використанням букв верхнього і нижнього регістру буде розшифровуватися дуже і дуже довго, і це за умови що МД5 не модифікований.
Жаль не на кожному сайті/сервісі/сервері можна використовувати додаткові символи.

Увага на екран, як вони їх використання ускладнило б процес прямого перебору…
З їх використанням пароль практично не вразливий, якщо, звичайно, для його розшифровки не використовують суперкомп'ютери.

І як обіцяв показую як можна зберігати паролі для доступу до ресурсів знаючи один пароль:

Такий пароль звичайно складно запам'ятати, тому трохи спростимо його… трохи пізніше
w1W4W5a$4PYi

При використанні такого пароля ваші паролі будуть у безпеці.
Можна скоротити як я і говорив до 10 символів… Ну чи так…
Запам'ятати легше, що як і зламати, але не думаю що спеціально ваші паролі будуть зламуватися
Так, і ім'я файлу «Паролі» приверне увагу, тому зміните ім'я на якесь менш яскраве…

Ось, власне, і все!

У світі все більше особистих даних потрапляє в інтернет. У тому числі різні фінансові послуги та додатки. Ці дані повинні знаходитись під надійним захистом.

Захист власних даних забезпечуєте Ви самі, використовуючи різні паролі, від яких залежить безпека різноманітних облікових записів. Отже, як зробити Ваш пароль таким, щоб він легко запам'ятовувався і був важкодоступним для злому?

Поширені помилки

Багато користувачів по всьому світу не приділяють особливої ​​уваги при підборі безпечного пароля, завдяки чому виявляються жертвами інтернет-шахраїв, які з 5-6 спроб зламують їхні облікові записи. Багато років користувачі використовують найпростіші комбінації – 1234567, 12345554321, 1q2w3e4r5t6y: тим самим наражаючи себе на загрозу злому.

Більшість експертів кібер-безпеки відзначають два головні критерії безпечного пароля – складність та довжина. На їхню думку, при створенні пароля потрібно використовувати довгу комбінацію з використанням різних знаків – цифри, літери, символи, розділові знаки.

Як правильно створювати паролі

  • Використовуйте більше 8 знаків
  • Для кожного облікового запису використовуйте свій унікальний пароль, оскільки при використанні одного і того ж пароля на всіх облікових записах, при зломі одного з них, шахрай зможе також відкрити й інші облікові записи
  • Слід періодично змінювати паролі – хоча б раз на 3 місяці. Для цього встановіть автоматичне нагадування, щоб не забути про таку важливу процедуру
  • Різноманітність символів у паролі – запорука надійності. Але не використовуйте поширені останнім часом заміни букв на цифри або символи, наприклад, «FOR» на «4».
  • Використовуйте весь спектр символів, який має клавіатура.

Також не забувайте – паролі потрібно зберігати в місці, до якого доступ є тільки у Вас.

Якнайбільше уникайте використовувати у створенні паролів:

  • Словникових слів будь-якою мовою
  • Повторення або символи, розміщені послідовно один за одним. Наприклад: 1234567, 55555, абвде і т.п.
  • Паролей з використанням особистих даних: ПІБ, дата народження, серійні номери документів тощо.

Загалом, ставтеся до створення пароля з усією серйозністю, оскільки від того, що вони захищають, може залежати ваш фінансовий добробут або репутація.

Автор статті

Компанієць Єлизавета, учениця МБОУ ЗОШ №28, 11 класу А

Цілі

Яка історія паролів?

Як паролі захищають дані на комп'ютерах та дисках?

Як хакери зламують паролі?

Як зробити пароль стійкий до зламів?

Гіпотеза

Пароль є найприйнятнішим і тому найчастіше використовуваним засобом встановлення справжності, заснований на знаннях суб'єктів доступу.

Захист даних за допомогою комп'ютера

Історія паролів

Пароль(фр. parole – слово) – це секретне слово або набір символів, призначений для підтвердження особистості або повноважень. Паролі часто використовуються для захисту інформації від несанкціонованого доступу. У більшості обчислювальних систем комбінація "ім'я користувача - пароль" використовується для посвідчення користувача Паролі використовувалися з найдавніших часів.

Полібій визначає застосування паролів у Стародавньому Римі так:

Те, яким чином вони забезпечують безпечне проходження вночі виглядає так: з десяти маніпул кожного роду піхоти та кавалерії, що розташоване в нижній частині вулиці, командир вибирає, хто звільняється від несення вартової служби, і він щоночі йде до трибуна, і отримує від його пароль - дерев'яну табличку зі словом. Він повертається у свою частину, а потім проходить із паролем та табличкою до наступного командувача, який у свою чергу передає табличку наступному.

Для запобігання несанкціонованому доступу до даних, що зберігаються на комп'ютері, використовуються паролі. Комп'ютер дозволяє доступ до своїх ресурсів лише тим користувачам, які зареєстровані та ввели правильний пароль. Кожному конкретному користувачеві може бути дозволено доступ лише до певних інформаційних ресурсів. При цьому може здійснюватись реєстрація всіх спроб несанкціонованого доступу.

Захист доступу до комп'ютера.

Захист налаштувань користувача є в операційній системі Windows (при завантаженні системи користувач повинен ввести свій пароль), однак такий захист легко переборний, оскільки користувач може відмовитися від введення пароля. Вхід за паролем може бути встановлений у програмі BIOS Setup , комп'ютер не розпочне завантаження операційної системи, якщо не введено правильний пароль. Подолати такий захист нелегко, більше того, виникнуть серйозні проблеми доступу до даних, якщо користувач забуде пароль.

Захист даних на дисках.

Кожен диск, папка та файл локального комп'ютера, а також комп'ютера, підключеного до локальної мережі, можуть бути захищені від несанкціонованого доступу. Їх можуть бути певні права доступу (повний, лише читання, по паролю), причому права можуть бути різними для різних користувачів.

Зламування комп'ютерних паролів

Зламування пароля є одним з найпоширеніших типів атак на інформаційні системи, що використовують автентифікацію за паролем або парою «ім'я користувача-пароль». Суть атаки зводиться до заволодіння зловмисником паролем користувача, який має право входити до системи. Привабливість атаки для зловмисника полягає в тому, що при успішному отриманні пароля він гарантовано отримує всі права користувача, обліковий запис якого був скомпрометований, а також вхід під існуючим обліковим записом зазвичай викликає менше підозр у системних адміністраторів. Технічно атака може бути реалізована двома способами: багаторазовими спробами прямої аутентифікації в системі, або аналізом хешів паролів, отриманих іншим способом, наприклад, перехопленням трафіку. При цьому можуть бути використані такі підходи:

Прямий перебір.Перебір всіх можливих поєднань допустимих у паролі символів. Наприклад, нерідко зламується пароль «qwerty», оскільки його дуже легко підібрати за першими клавішами на клавіатурі.

Підбір за словником.Метод ґрунтується на припущенні, що в паролі використовуються існуючі слова будь-якої мови або їх поєднання.

Спосіб соціальної інженерії.Заснований на припущенні, що користувач використовував як пароль особисті відомості, такі як його ім'я або прізвище, дата народження і т.п. Вася Пупкін, 31.12.1999 р.н. нерідко має пароль типу "vp31121999" або "vp991231". Для проведення атаки розроблено безліч інструментів, наприклад John the Ripper.

Критерії стійкості пароля

Виходячи з підходів до проведення атаки, можна сформулювати критерії стійкості пароля до неї. Пароль не повинен бути надто коротким, оскільки це спрощує його злом повним перебором. Найбільш поширена мінімальна довжина – вісім символів. З тієї ж причини він не повинен складатися із одних цифр.

Пароль не повинен бути словниковим словом або простим поєднанням, це спрощує його підбір за словником.

Пароль не повинен складатися тільки із загальнодоступної інформації про користувача.

Як рекомендація до складання пароля можна назвати використання поєднання слів з цифрами та спеціальними символами (#, $, * і т. д.), використання малопоширених або неіснуючих слів, дотримання мінімальної довжини.

Висновок

Паролі використовуються з перших днів їх створення до цього дня. Вони успішно допомагають нам захищати інформацію від несанкціонованих доступів.

Які вимоги висуваються до організації парольного захисту інформації в освітній установі?

Організаційне та технічне забезпечення процесів використання, зміни та припинення дії паролів, а також контроль роботи з паролями в освітній установі доцільно доручити системному адміністратору.

Особисті паролібажано генерувати та розподіляти централізовано. Однак користувачі інформаційної системи можуть вибирати їх самостійно з урахуванням таких вимог:

  1. довжина пароля має бути не менше 8 символів;
  2. серед символів обов'язково мають бути літери (у верхньому та нижньому регістрах) та цифри;
  3. пароль не повинен містити легко обчислювані поєднання символів (імена, прізвища, відомі назви, жаргонні слова тощо), послідовності символів і знаків, загальноприйняті скорочення, абревіатури, прізвиська свійських тварин, номери автомобілів, телефонів та інші поєднання літер і знаків, які можна вгадати, ґрунтуючись на інформації про користувача;
  4. Власний пароль користувач не має права повідомляти нікому.

Якщо формування особистих паролів користувачів здійснюється централізовано, відповідальність за їх правильність покладається на системного адміністратора освітнього закладу.

За наявності технологічної необхідності використання пароля працівника за його відсутності, рекомендується за першої ж нагоди змінити пароль і передати його на зберігання особі, відповідальній за інформаційну безпеку, у запечатаному конверті. Запечатані конверти з паролями повинні зберігатися в сейфі.

У разі припинення повноважень користувача (звільнення, перехід на іншу роботу тощо) системний адміністраторповинен видалити його обліковий запис відразу після закінчення останнього сеансу роботи з інформаційною системою.

Термінова (позапланова) зміна паролів повинна проводитись у разі припинення повноважень адміністраторів інформаційної системи та інших працівників, яким було надано повноваження щодо управління парольним захистом.

В освітньому закладі рекомендується розробити інструкцію щодо організації парольного захисту інформації, з якою власники паролів мають бути ознайомлені під розпис. В інструкції необхідно визначити заходи безпеки, дотримання яких дозволить не допустити витоку інформації. Наведемо можливе формулювання.
Забороняється записувати паролі на папері, файлі та інших носіях інформації. При введенні пароля користувач не повинен вимовляти його вголос.

Забороняється повідомляти іншим користувачам особистий пароль та реєструвати їх у системі під своїм паролем.
Зберігання пароля на паперовому носії допускається лише у сейфі.

Власники паролів повинні бути попереджені про відповідальність за використання паролів, які не відповідають встановленим в установі вимогам, а також за розголошення парольної інформації.

Офіційне джерело

Яким чином здійснюється моніторинг інформаційної безпеки автоматизованих систем, які опрацьовують персональні дані в освітній установі?Моніторинг працездатності апаратних компонентів автоматизованих систем, що обробляють персональні дані, здійснюється в процесі їх адміністрування та при проведенні робіт з технічного обслуговування обладнання. Найбільш суттєві компоненти системи (сервери, активне мережеве обладнання) повинні контролюватись постійно в рамках роботи адміністраторів відповідних систем.

Моніторинг парольного захисту передбачає: - встановлення строків дії паролів (не більше 3 місяців); періодичну (не рідше 1 разу на місяць) перевірку паролів користувача на кількість символів і очевидність з метою виявлення слабких паролів, які легко вгадати або дешифрувати за допомогою спеціалізованих програмних засобів (зломщиків паролів).

Моніторинг цілісності програмного забезпечення включає такі дії:

  1. перевірку контрольних сум та цифрових підписів каталогів та файлів сертифікованих програмних засобів під час завантаження операційної системи;
  2. виявлення дублікатів ідентифікаторів користувачів;
  3. відновлення системних файлів адміністраторами систем із резервних копій при розбіжності контрольних сум.

Попередження та своєчасне виявлення спроб несанкціонованого доступу здійснюється з використанням засобів операційної системи та спеціальних програмних засобів та передбачає:

  1. фіксацію невдалих спроб входу до системи у системному журналі;
  2. протоколювання роботи мережевих сервісів;
  3. виявлення фактів сканування певного діапазону мережевих портів у короткі проміжки часу з метою виявлення мережевих аналізаторів, що вивчають систему та виявляють її вразливість.

Моніторинг продуктивності автоматизованих систем, що обробляють персональні дані, проводиться за зверненнями користувачів, під час адміністрування систем та проведення профілактичних робіт для виявлення спроб несанкціонованого доступу, що спричинило суттєве зменшення продуктивності систем.

Системний аудитвиробляється щокварталу й у особливих ситуаціях. Він включає проведення оглядів безпеки, тестування системи, контроль за внесення змін до системного програмного забезпечення.

Офіційне джерело

  • Федеральний закон від 27.07.2006 № 152-ФЗ "Про персональні дані" (ред. від 25.07.2011)
  • Положення про забезпечення безпеки персональних даних під час їхньої обробки в інформаційних системах персональних даних, затв. постановою Уряду РФ від 17.11.2007 № 781
  • Положення про методи та засоби захисту інформації в інформаційних системах персональних даних, затв. наказом ФСТЕК від 05.02.2010 № 58


ПОХОДЖЕННЯ СТАТТІ