Политики для управления содержимым паролей в Windows

В этой статье отобраны политики, которые задают правила, управляющие содержимым паролей, и которые обязательны при создании пользователями новых паролей в Windows версий 95, 98 и ME.

Создать пароли для входа в систему в Windows можно двумя способами. Первое: при первоначальной загрузке Windows на приглашение ввести пароль задать имя пользователя, под которым еще не регистрировались в системе. Если какое-то имя участвовало в регистрации, то потребуется ввести существующий пароль, а не новый. Второе: в "Панели Управления" выбрать приложение "Пароли" и в нем зайти на страницу "Смена паролей" и далее нажать кнопку "Смена пароля Windows" для смены уже существующего. Следует отметить, что не стоит всерьез полагаться на парольную защиту в Windows 95, 98 и ME. Обойти диалоговое окно можно, нажав кнопку отмены. В этих версиях Windows пароль дает право доступа к сети и сетевым ресурсам и неправильно введенный пароль не даст доступа к сети и не более. К локальным ресурсам можно добраться и без всякого пароля.

Немного теории. Для атаки на пароли применяют два основных метода: "атака по словарю", которая проводится, когда имеется "рабочая гипотеза" о том, что в пароле присутствуют слова, которые могут быть в словаре, и идет "перебор по словарю", и атака "грубой силой", когда берется гипотеза о том, что набор символов в пароле случаен. Если в пароле не присутствуют слова, то стойкость пароля ко взлому определяется количеством возможных вариантов. Далее, если K - число символов в пароле, N - размер множества символов, которые могут быть использованы при его создании, то количество вариантов пароля определяется формулой: S = NK . Если отойти от математической строгости и перейти к бытовому языку, то можно выдать следующее правило: чем больше несовпадающих символов задействовано при создании пароля и чем больше символов в пароле, тем большая будет стойкость пароля к взлому.


Алфавитно-цифровой пароль Windows

Эта системная политика применима в Windows версий 95, 98, ME. При активизации она задает следующее правило: во вновь создаваемом пароле должны обязательно присутствовать как цифры, так и символы алфавита.

Эта политика имеет одно исключение при условии, что не задана минимальная длина пароля. Состояние политики игнорируется, если при создании пароля, в ответ на приглашение задать новый пароль, ввести пустой, нажимая клавишу "Enter". Это делается для того, чтобы диалоговое окно для ввода пароля больше не появлялось при первоначальной загрузке Windows.

Состояние этой политики хранится в параметре "AlphanumPwds", который должен содержаться в ключе "Software\Microsoft\Windows\CurrentVersion\Policies\Network" системного реестра. Этот ключ находится в разделе HKEY_LOCAL_MACHINE, и действие системной политики распространяется на всю систему в целом. Параметр может быть как целочисленного, с парой булевых значений "1" и "0", так и бинарного типа с парой булевых значений "01 00 00 00" и "00 00 00 00". Первое значение в приведенных парах отвечает за активное состояние, второе - за неактивное состояние политики. "По умолчанию" в системе политика находится в неактивном состоянии. Это то же самое, что отсутствие параметра в системном реестре.

Если параметр "AlphanumPwds" сделать строкового типа, то эта системная политика обнаруживает аномальное поведение. Пустая строка или содержимое строки "true", "false" приводит политику в неактивное состояние, содержимое "yes", "no", "1", "0" - в активное. Случайное содержимое приводило политику в неактивное состояние. Для эксперимента я брал подстроки "alpha", "were", "политика1". Регистр символов значения не имел.


Минимальная длина пароля в Windows

Эта системная политика, как и предыдущая, создана для Windows версий 95, 98, ME. Она задает минимальную длину создаваемого пароля, другими словами, наименьшее количество символов, которые должны составить новый пароль.

За состояние этой политики отвечает параметр "MinPwdLen", который должен находиться в ключе "Software\Microsoft\Windows\CurrentVersion\Policies\Network" в разделе HKEY_LOCAL_MACHINE. При активизации действие системной политики распространяется на всю систему в целом. Параметр может быть как целочисленного, так и бинарного типа. Диапазон значений, которые может принимать параметр "MinPwdLen": от "0" до "99". Хотя с целочисленными значениями работать гораздо проще, можно задавать и бинарные значения в виде "03" или "02 00 00 00".

Верхний предел "99" не входит в число значений, которые можно задавать для минимальной длины пароля. Если задать значение "99" или выше, то поведение политики становится хаотичным. Для тестирования корректной работы политики я задал следующий ряд значений: 98, 99, 101. Минимальная длина пароля, затребованная Windows, была: 98, 153, 257 соответственно.

Если создать параметр "MinPwdLen" строкового типа, то у политики наблюдается курьезное поведение. Пустая строка приводит политику в неактивное состояние. Значение "1", хранящееся в строковом параметре, при попытке создать новый пароль приводит к сообщению, что требуется пароль минимум 49 (!) символов, значение "3" - минимум 51, "5" - что необходимо 53 символа. Я не стал дальше продолжать эксперимент, но полагаю, пример такой "зависимости" показателен. Эксперименты проводились на Windows версии 4.90.3000 (Windows ME).

Для справки: в Windows 2000 минимальная длина пароля лежит в пределах от "0" до "14".

Отсутствие параметра "MinPwdLen" снимает ограничения на минимальную длину пароля. По умолчанию эта политика в системе не задействована.

Если значение параметра задать больше "0", то невозможно создать пустой пароль, нажимая в ответ на приглашение клавишу "Enter".

Newman Valient,
www.geocities.com/werebad

Версия для печатиВерсия для печати

Номер: 

46 за 2002 год

Рубрика: 

Software
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!