Пароли и привилегии

coban2k (coban@pisem.net)

Спецвыпуск: Хакер, номер #048, стр. 048-008-4

Хранение паролей в системе всегда было спорным механизмом. Хеш от пароля может хранить только сервер. На стороне клиента пароль надо хранить в открытом виде либо в зашифрованном, но обратимом виде. Но для того чтобы зашифровать и расшифровать пароль, нужно иметь секретный ключ. Вопрос – где его хранить. Сейчас разрабатываются более защищенные методы аутентификации: хранение паролей на смарт-карте, одноразовые пароли или аутентификация с помощью сертификатов. Еще одно перспективное направление - биометрическая аутентификация, которая, к сожалению, очень медленно развивается.

Многие средства многофакторной аутентификации стоят недорого. К примеру, систему для хранения паролей на смарт-карте можно купить долларов за тридцать. Но и в ней присутствует секретный пароль - для доступа к карточке, проще говоря, PIN.

Основная проблема при использовании паролей - устаревшие стандарты шифрования и передача пароля в открытом виде, которая сводит все старания к нулю.

Уже сейчас существуют более сложные схемы аутентификации, но массового распространения они не получили. Мешают цена, лень и русский пофигизм :).

Популярно использование хешей вместо пароля, но оно имеет смысл при достаточно длинных паролях, чтобы нельзя было взломать лобовым перебором.

В 9x- и NT-системах для хранения конфиденциальной информации используется сервис Protected Storage (для программ типа IE, MSN, Outlook), который физически является скрытой шифрованной ветвью реестра.