Существует ли стандартный метод доказательства безопасности пароля нематематикам?

У моего клиента есть сервер, который подвергается попыткам грубого входа в систему из ботнета. Из-за капризов сервера и клиента клиента, мы не можем легко заблокировать попытки через брандмауэр, изменение порта или изменение имени учетной записи.

Было принято решение оставить его открытым для атаки, но найти способ сохранить пароль в безопасности. Руководство и некоторые другие консультанты решили, что лучше всего установить программное обеспечение для ротации паролей, чтобы каждые десять минут поворачивать пароль и предоставлять новый пароль пользователям, которым необходимо войти в систему.

Попытки грубой силы происходят дважды в секунду.

Я должен продемонстрировать, что использование надежного пароля с 12-15 символами является более простым и бесплатным решением. Я знаю, как доказать это с помощью математики, но я бы просто написал что-то вроде: «существует много возможных перестановок нашего пароля, и злоумышленник может делать только n попыток в день, поэтому мы ожидаем, что они пойдут х / б». В среднем 2 дня, прежде чем они угадывают наш пароль. " Есть ли более стандартное «доказательство» этого?

Использование fail2ban с iptables - отличный способ.

Вот математика для вас:

Смешанные прописные и строчные буквы алфавита и обычные символы длиной 8 символов дают вам 2,9 квадриллиона комбинаций, а при 10000 попыток в секунду потребуется 9,488 лет. Конечно, это максимум - ожидайте, что ваш пароль будет взломан через 4000 лет. 1000 лет, если тебе не повезло.

Как видите, у вас не должно быть проблем, если вы делаете 15-символьный пароль, например:

dJ&3${bs2ujc"qX

В дополнение к fail2ban,

Если вы работаете с любой современной UNIX, вы можете изменить время ожидания ввода неверного пароля до 5 секунд, снизив скорость атаки на 2000%. [У Solaris 10 он есть в / etc / default / login, ищите SLEEPTIME] Что означает использование одинаковых допусков, что вы могли бы поворачивать пароль каждые 3 часа 20 минут.

Кроме того, попытка пароля перед блокировкой была бы приемлемой опцией, но я подозреваю, что это не для вас, потому что у вас есть несколько пользователей, использующих одну учетную запись, и вы не хотите, чтобы она была заблокирована все время.

Требуется пароль длиной 12-15 символов, но если вас постоянно атакуют, возможно, лучше другое решение. Я не знаю, какова бюджетная терпимость вашей компании, но карты с ключами RSA для всех, кому необходимо войти в эту учетную запись, также решат эту проблему. Двухфакторная аутентификация выталкивает вероятность во время квантовых вычислений.

Подход грубой силы, продолжающийся достаточно долго, чтобы вы могли публиковать на этой доске, довольно удивителен. Вообще говоря, он довольно низкопробный и в лучшем случае является наполнителем логов, пока идет настоящая атака.

Как насчет обращения к власти? Вы можете сослаться на Руководство по технической реализации DoD Security (iase.disa.mil/stigs/stig) и сказать: «Если это достаточно хорошо для Министерства обороны, это достаточно для нас»

Что следует учесть: если у вас есть пароль, который не меняется, и атаки с использованием грубой силы проверяют множество паролей, в том числе и ваш, то атака с использованием грубой силы в конечном итоге гарантированно удастся, и после этого вы останетесь уязвимыми.

Как вы и предполагали, «шанс» того, что случайный выбор попадет на ваш пароль, может быть рассчитан, но это может не рассказать всю историю.

Если вы, например, посмотрите на попытки грубой силы и увидите, что самый длинный пароль, который они пробуют, состоит из 10 символов, то если вы выберете 12 символов, вы никогда не получите удар.

Будьте очень осторожны при попытке применить статистику к конкретному случаю; они только предсказывают общее поведение с большим количеством образцов.

Помимо этого, если математика не (или не может) убедить кого-то, попытайтесь найти что-то, что имеет примерно такую ​​же вероятность появления, но знакомо, например, лотереи или автомобильные аварии или пораженные молнией. Если вы можете сказать, что «вероятность того, что кто-то нажмет этот пароль, примерно равна выигрышу в лотерею через шесть недель подряд», это может дать им лучшее чувство.

Одна вещь, которая не была рассмотрена, это то, какое имя пользователя ботнет использует для Bruteforce. Во всех случаях, которые я видел, грубые силы были для вариантов admin и root, и в одном редком случае имена пользователей были удалены с веб-сайта corp.

Я также изменил бы ограничения интерактивного входа в систему, чтобы ваша корневая учетная запись была либо отключена (предпочтительно), либо ограничена вашей локальной подсетью или аналогичным диапазоном адресов.

Дважды в секунду это не плохо. Мы привыкли видеть тысячи попыток в минуту перед внедрением fail2ban , который будет блокировать определенный IP-адрес из сети на определенное количество времени после стольких неудачных попыток (все настраиваемые).

Это отлично сработало для нас.

На самом деле, вы можете выборочно сканировать ssh-атаки методом перебора, используя iptables, если это работает для вас.

Эти две строки:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

заблокирует доступ любому, кто попытается подключиться к SSH более 5 раз с интервалом в 60 секунд. Вы можете изменить число «--hitcount», если хотите, чтобы было разрешено большее число, чем 5 в секунду.

Я согласен с тем, что смена пароля каждые 10 минут кажется немного чрезмерной. На этом этапе возникает проблема, как безопасно передать новый пароль и синхронизировать системы друг с другом.

В этой статье есть несколько интересных статистических данных о скорости взлома:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking

Удивительно, сколько людей не понимают экспоненциальных кривых, но все знают разницу между 10, 100 и 1000, так что это может быть хорошим местом для начала сравнения.

Другая тактика может состоять в том, чтобы на самом деле показать людям, сколько времени требуется, чтобы переборить 6-значный пароль. Если у вас есть знания в области программирования, вы можете собрать быстрый инструмент, который сделает это.

Вы также можете показать им, насколько легко доступны радужные столы:

http://project-rainbowcrack.com/table.htm

Это может быть немного оффтоп, но я использую denyhosts, и это значительно уменьшает попытки грубого взлома на моих Linux-блоках.