Evitar a pirataria com Contramedidas de quebra de senha

Tomando algumas contramedidas gerais podem evitar a pirataria de suas senhas importantes. A senha para um sistema geralmente é igual a senhas para muitos outros sistemas, porque muitas pessoas usam as mesmas senhas em todos os sistemas que utilizam. Por esta razão, você pode querer considerar instruindo os usuários a criar senhas diferentes para sistemas diferentes, especialmente sobre os sistemas que protegem as informações que é mais sensível.

A única desvantagem para isso é que os usuários têm de manter várias senhas e, portanto, poderiam ser tentados a escrevê-las, o que pode negar quaisquer benefícios.

O armazenamento de senhas

Se você tiver que escolher entre senhas fracas que os usuários possam memorizar e senhas fortes que seus usuários devem escrever para baixo, têm leitores anotar senhas e armazenar as informações de forma segura. treinar os usuários para armazenar suas senhas escritas em um lugar seguro - não nos teclados ou em arquivos de computador protegidos por senha facilmente quebrado. Os usuários devem armazenar uma senha escrita em um desses locais:

• Um armário de arquivo bloqueado ou seguro do escritório

• criptografia completa (inteira) de disco que pode impedir que um intruso de cada vez acessando o sistema operacional e as senhas armazenadas no sistema.

• Uma ferramenta de gerenciamento de senha seguro, como

• LastPass

• password Safe, um software de código aberto desenvolvido originalmente por Counterpane

As políticas de senha

Como um hacker ético, você deve mostrar aos usuários a importância de garantir suas senhas. Aqui estão algumas dicas sobre como fazer isso:

• Demonstrar como criar senhas seguras. Referem-se a eles como passphrases porque as pessoas tendem a tomar senhas literalmente, e usar apenas palavras, que podem ser menos seguro.

• Mostrar o que pode acontecer quando senhas fracas são utilizados ou senhas são compartilhados.

• Diligentemente construir a consciência do usuário de ataques de engenharia social.

Aplicar (ou pelo menos incentivar o uso de) uma forte política de criação de senha que inclui os seguintes critérios:

• Use letras maiúsculas e minúsculas, caracteres especiais e números. Nunca use apenas números. Tais senhas pode ser quebrada rapidamente.

• Soletra ou crie siglas a partir de uma citação ou uma frase. Por exemplo, ASCII é um acrônimo para American Standard Code para Information Interchange que também pode ser utilizado como parte de uma palavra-passe.

• Use caracteres de pontuação para separar palavras ou siglas.

• Alterar senhas a cada 6 a 12 meses ou imediatamente se eles estão suspeito de estar comprometido. Qualquer coisa mais frequentes apresenta um inconveniente que serve apenas para criar mais vulnerabilidades.

• Use senhas diferentes para cada sistema. Isto é especialmente importante para os anfitriões de infra-estrutura de rede, como servidores, firewalls e roteadores. Não há problema em usar senhas semelhantes - apenas torná-los um pouco diferente para cada tipo de sistema, como SummerInTheSouth-Win7 para sistemas Windows e Linux +SummerInTheSouth para sistemas Linux.

• Use senhas de comprimento variável. Este truque pode jogar fora os atacantes, porque eles não sabem o mínimo necessário ou o comprimento máximo de senhas e deve tentar todas as combinações de tamanho de senha.

• Não use gírias comuns ou palavras que estão no dicionário.

• Não confiar inteiramente em caracteres parecidos, como 3 ao invés de E, 5 ao invés de S, ou ! ao invés de 1. programas de quebra de senha pode verificar isso.

• Não utilize a mesma senha no prazo de pelo menos quatro a cinco alterações de senha.

• Use protetores de tela protegidos por senha. telas desbloqueados são uma ótima maneira para os sistemas a ser comprometida, mesmo se os seus discos rígidos são criptografados.

• Não compartilhar senhas. Para cada um o seu próprio!

• Evite armazenar senhas de usuários em uma localização central unsecured, como uma planilha desprotegida em um disco rígido. Este é um convite para o desastre. Use Password Safe ou um programa similar para armazenar senhas de usuários.

outras contramedidas

Aqui estão algumas outras contramedidas-hacking de senha:

• Habilite a auditoria de segurança para ajudar a monitorar e rastrear ataques de senha.

• Teste seus aplicativos para se certificar de que eles não estão armazenar senhas indefinidamente na memória ou gravá-los no disco. Uma boa ferramenta para isso é WinHex.

• Mantenha seus sistemas remendado. As senhas são redefinir ou comprometida durante buffer overflows ou outros negação de serviço condições (DoS).

• Conheça os seus IDs de usuário. Se uma conta nunca foi utilizado, apagar ou desativar a conta até que seja necessário. Você pode determinar contas não utilizadas por inspeção manual ou usando uma ferramenta como o DumpSec, uma ferramenta que pode enumerar o sistema operacional Windows e recolher IDs de usuário e outras informações.

Como o administrador de segurança em sua organização, você pode ativar bloqueio de conta para evitar tentativas de quebra de senha. O bloqueio de conta é a capacidade de bloquear contas de usuário para um determinado período de tempo após um determinado número de tentativas de login ocorreu. A maioria dos sistemas operacionais têm esta capacidade.

Não atribua um valor muito baixo, e não defini-lo muito alto para dar um utilizador mal intencionado uma maior chance de quebrar em. Em algum lugar entre 5 e 50 pode funcionar para você. Considere o seguinte ao configurar o bloqueio de conta em seus sistemas:

• Para usar o bloqueio de conta para evitar qualquer possibilidade de uma condição de negação de serviço do usuário, exigem duas senhas diferentes, e não definir um tempo de bloqueio para o primeiro se esse recurso está disponível no seu sistema operacional.

• Se você permitir que autoreset da conta após um determinado período - muitas vezes referida como bloqueio contra invasores - não definir um período de tempo curto. Trinta minutos muitas vezes funciona bem.

Um contador de login não pode aumentar a segurança da senha e minimizar os efeitos globais de bloqueio de conta, se a conta experimenta um ataque automatizado. Um contador de login pode forçar uma alteração de senha após uma série de tentativas fracassadas. Se o número de tentativas de login é alta e ocorreram durante um curto período, a conta tem provavelmente experimentou um ataque de senha automatizado.

Outras contramedidas senha de proteção incluem

• métodos de autenticação mais forte. Exemplos destes são de desafio / resposta, cartões inteligentes, fichas, dados biométricos, ou certificados digitais.

• redefinição de senha automatizado. Esta funcionalidade permite aos usuários gerenciar a maioria dos seus problemas de senha sem obter outros envolvidos. Caso contrário, este problema de suporte torna-se caro, especialmente para grandes organizações.

• Senha-proteger o BIOS do sistema. Isto é especialmente importante em servidores e laptops que são suscetíveis a ameaças de segurança física e vulnerabilidades.