Проверка паролей на прочность.

Многие корпоративные ресурсы Web делятся на общедоступные и «для своих». Закрытая часть сайта защищается паролем. Пароль нередко выбирается самим пользователем при регистрации. Последний факт, как известно, создает предпосылки к тому, что степень защищенности закрытых ресурсов может серьезно снизиться. Человеку свойственно стремиться к комфорту, и, чтобы облегчить себе жизнь, он вряд ли выберет в качестве пароля что-либо, c его точки зрения, совершенно бессмысленное и потому абсолютно не поддающееся запоминанию — вроде Jh7IOf9s. Обычно в ход идет какое-нибудь более удобочитаемое слово или не имеющая смысла, но легко набираемая последовательность символов. А если пользователю доверить и выбор имени, под которым он регистрируется, как это бывает практически всегда, он вряд ли введет свою фамилию или имя, предпочтя им какое-нибудь из своих лаконичных сетевых прозвищ либо изобретя на ходу новое. Фантазия и изобретательность часто изменяют человеку при сочинении регистрационного имени и пароля. Нередко пользователь, выбрав, например, маргинальную лексику и думая, что проявил верх остроумия, всего лишь следует известному шаблону. Проблемы с фантазией из личных становятся корпоративными, если кто-то, следуя той же логике, сможет подобрать пароль.

ПОЛНОЕ ПОГРУЖЕНИЕ

Проверить, нет ли в системе ненадежных паролей, на первый взгляд кажется просто. Но на деле все оказывается куда сложнее, поскольку, как правило, непосредственного доступа к паролям администратор не имеет: содержимое закрытой части ресурса Web может точно так же находиться вне его полномочий, как если бы речь шла о человеке постороннем. Единственным методом проверки надежности паролей, остается попытка их подбора. Заниматься этим вручную — дело неблагодарное, поэтому данный процесс стоит автоматизировать. Одной из утилит, благодаря которым можно влезть на время в «шкуру» хакера, является AccessDiver (http://www.accessdiver.com).

Как легко догадаться, основная задача AccessDiver — методичное обращение к сайту путем перебора комбинаций регистрационных имен и паролей в целях регистрации в закрытой части сайта. AccessDiver имеет гибкие возможности настроек этого процесса и позволяет в полном соответствии со своим названием углубиться в различные тонкости. Специально для того, чтобы сразу не смущать недостаточно поднаторевшего в хакерстве пользователя, предусмотрены несколько режимов работы (и интерфейса) различной степени детализации.

5000 «сладких парочек». С каждой новой версией стандартный список увеличивается.

Стандартно AccessDiver выбирает пары «имя-пароль» из списка. Пароли и регистрационные имена могут быть независимыми, а могут объединяться в один общий список. Для начала к программе прилагается 5000 комбинаций — от банальных «qwert-asdf» до менее тривиальных. Программа (в экспертном режиме) также позволяет генерировать на базе некоторого словарного запаса новые списки, менять сочетания слов и проч.

К экспертным возможностям также относится набор инструментов от ping и whois до анализатора proxy-серверов (если такие попадаются на пути к закрытым ресурсам) и отладчика протокола HTTP. Отладчик позволяет проанализировать отклики сервера и сообразно им оптимизировать процесс или получить какую-либо другую информацию. Что поделать, если прикидываешься взломщиком, приходится пользоваться отмычками. Кстати, прилагаемый набор средств по своим характеристикам рассчитан не только на подбор паролей. Сделано ли это с умыслом или по традиции независимых разработок добавлено «до кучи», дабы еще более приукрасить программу, — неизвестно. Во всяком случае разработчик неоднократно предупреждает, что утилита создана и распространяется только как орудие труда администратора сети.

ЗАКЛЮЧЕНИЕ

В заключение скажу следующее: излишне пытливым личностям стоит помнить о том, что факт подбора паролей в принципе легко установить, и попытка поэкспериментировать не со своим, а с чужим сайтом, может закончиться конфликтной ситуацией. Конечно, любое ПО, задействованное для проверки на прочность, как говорится, обоюдоостро, но это еще не значит, что его обязательно надо использовать двояко. А вот свой собственный сайт проверить при помощи AccessDiver стоит: не лишним будет убедиться в том, что, по крайней мере, сходу никто с ее помощью (утилита распространяется свободно) ваши пароли не угадает.

Александр Авдуевский — обозреватель LAN. C ним можно связаться по адресу: shura@lanmag.ru.

Поделитесь материалом с коллегами и друзьями