Комплексный анализ взлома парольной защиты в операционных системах: теория, практика и меры противодействия

Ежедневно мир сталкивается с тысячами кибератак, и, по данным недавних исследований, более 80% российских компаний не соблюдают базовых требований к паролям, что делает их легкой мишенью. В свою очередь, более половины российских пользователей игнорируют рекомендации по безопасности паролей, создавая критические уязвимости для себя и своих организаций. Эти цифры ясно показывают, что, несмотря на десятилетия развития технологий, парольная защита остается как краеугольным камнем информационной безопасности, так и одной из самых уязвимых её составляющих.

В контексте операционных систем, таких как Windows, Linux и macOS, пароли служат первой и зачастую единственной линией обороны от несанкционированного доступа. Однако понимание этой защиты не может быть полным без глубокого погружения в методы её обхода. Данный реферат ставит своей целью дать исчерпывающий академический обзор принципов, механизмов и современных подходов к взлому парольной защиты. Мы рассмотрим, как пароли хранятся и обрабатываются в различных операционных системах, какие векторы атак используют злоумышленники, а также изучим передовые меры противодействия и этические аспекты, связанные с исследованиями в этой чувствительной области. От классического брутфорса до изощренных методов социальной инженерии, от архаичных MD5 до современных Argon2 — мы проследим всю эволюцию этой борьбы, чтобы дать студентам гуманитарных и технических вузов целостное понимание этой критически важной темы, ведь без этого знания невозможно выстроить по-настоящему надёжную систему.

Фундаментальные принципы парольной защиты

В основе любой современной системы информационной безопасности лежит многоуровневая защита, но первым и наиболее распространенным барьером для несанкционированного доступа всегда выступает пароль. Его роль, эволюция и механизмы обработки определяют общую стойкость системы. Понимание этих принципов критически важно для эффективного построения безопасных систем.

Определение и роль пароля в системах аутентификации

Пароль — это не просто последовательность символов; это криптографический секрет, хранимый пользователем и используемый для подтверждения его подлинности перед информационной системой. С момента появления первых многопользовательских систем, таких как Compatible Time-Sharing System (CTSS) в 1961 году, пароль стал фундаментальным элементом аутентификации. Он выступает в качестве цифрового удостоверения, позволяющего системе убедиться, что пользователь действительно является тем, за кого себя выдает, и предоставить ему соответствующие права доступа. Эффективность этого механизма напрямую зависит от того, насколько надёжно пароль создан, хранится и обрабатывается. Таким образом, любое пренебрежение правилами создания или хранения паролей ставит под угрозу всю систему безопасности.

Политика паролей: современные рекомендации и стандарты

Надёжность парольной защиты определяется не только самим паролем, но и комплексом правил и рекомендаций, известных как политика паролей. Эти политики постоянно развиваются, адаптируясь к новым угрозам и технологиям.

• Минимальная длина и сложность: Исторически сложилось, что минимальная длина пароля варьировалась от 6 до 8 символов. Однако современные рекомендации, в том числе от ФСТЭК России (например, Приказы № 17, 21), и общие стандарты безопасности, значительно повысили эти требования. Для большинства систем рекомендуется использовать пароли длиной от 12 до 14 символов. Для систем с высокими требованиями к защищённости эта планка поднимается до 8 и более символов согласно ФСТЭК. При этом ключевым является не только длина, но и сложность: пароль должен включать как минимум три из четырёх типов символов: прописные буквы (A-Z), строчные буквы (a-z), цифры (0-9) и специальные символы (например, !, @, #, $, %, ^, &). Некоторые рекомендации ФСТЭК могут дополнительно указывать на необходимость включения не менее двух цифр. Использование длинных парольных фраз вместо коротких, но сложных паролей, становится всё более популярной практикой, так как они легче запоминаются человеком, но сложнее подбираются машиной, что существенно повышает барьер для взлома.
• Блокировка учётных записей: Для противодействия брутфорс-атакам критически важен механизм блокировки учётных записей. После 3-10 неверных попыток ввода пароля учётная запись должна быть временно заблокирована. Продолжительность блокировки может составлять от 3 до 60 минут, в зависимости от класса защищённости информационной системы, согласно ФСТЭК России, или не менее 15 минут согласно общим рекомендациям. Это является эффективным сдерживающим фактором для автоматизированного перебора.
• Переосмысление регулярной смены паролей: Ранее повсеместно распространённое требование о регулярной смене паролей (например, каждые 90 дней) в современных рекомендациях, таких как NIST SP 800-63, считается устаревшей практикой. Исследования показали, что пользователи, вынужденные часто менять пароли, склонны выбирать более простые комбинации или записывать их, что в конечном итоге снижает общую безопасность. Вместо этого акцент смещается на создание уникальных, длинных и сложных паролей, которые меняются только при подозрении на компрометацию. Это позволяет сосредоточиться на качестве, а не на частоте изменений.

Хеширование паролей: необратимое преобразование для безопасности

Хранение паролей в открытом виде представляет собой колоссальный риск. При утечке базы данных хакер получает прямой доступ ко всем учётным записям. Для предотвращения этого используется хеширование – процесс преобразования пароля в специальный код, называемый хешем, с помощью математической функции. Этот процесс является односторонним, то есть из хеш-кода невозможно восстановить исходный пароль.

Ключевые свойства хеш-функций:

• Односторонность (необратимость): Невозможно (или вычислительно нецелесообразно) восстановить оригинальные данные (пароль) из его хеш-кода.
• Детерминированность: Один и тот же вход всегда производит одинаковый выходной хеш. Это позволяет системе сравнивать введённый пользователем пароль с хранимым хешем: если хеши совпадают, пароль верен.
• Чувствительность к изменениям (эффект лавины): Малейшее изменение во входных данных (например, изменение одной буквы в пароле) приводит к полному изменению выходного хеша.

Популярные хеш-функции и их характеристики

Развитие криптографии постоянно предлагает новые, более стойкие хеш-функции. Среди наиболее известных:

• MD5 (Message-Digest Algorithm 5): Исторически широко использовался, но сегодня считается криптографически скомпрометированным из-за обнаруженных уязвимостей, позволяющих создавать коллизии (разные входные данные, дающие одинаковый хеш). Хеш MD5 имеет фиксированную длину 128 бит (16 байт) и представляется 32 шестнадцатеричными символами.
• SHA-256 (Secure Hash Algorithm 256): Часть семейства SHA-2, более современный и стойкий алгоритм. Хеш SHA-256 имеет длину 256 бит (32 байта) и представляется 64 шестнадцатеричными символами.
• SHA-512 (Secure Hash Algorithm 512): Также часть семейства SHA-2, обеспечивает ещё большую длину хеша и, соответственно, более высокую стойкость к коллизиям и атакам перебора. Хеш SHA-512 имеет длину 512 бит (64 байта) и представляется 128 шестнадцатеричными символами.

Современные системы безопасности предпочитают использовать SHA-256 и SHA-512, постепенно отказываясь от устаревшего MD5, особенно для критически важных данных. Ведь компрометация MD5 означает, что злоумышленник может создать поддельный пароль, дающий тот же хеш, что и оригинальный.

«Соление» (Salting): уникализация хешей для повышения стойкости

Даже использование стойких хеш-функций не гарантирует полной безопасности. Атаки с использованием предварительно вычисленных таблиц, таких как радужные таблицы, могут скомпрометировать хеши, если пароли не «солены».

«Соление» заключается в добавлении уникальной, случайной строки символов (соли) к паролю перед его хешированием. Механизм работы прост, но эффективен:

1. Генерируется случайная строка-соль.
2. Соль объединяется с паролем.
3. Полученная комбинация хешируется.
4. Хеш и соль сохраняются в базе данных.

Пример:

• Пароль: MyPa$$w0rd
• Сгенерированная соль: xyz789
• Хешируемая строка: MyPa$$w0rdxyz789
• Результат: хеш(MyPa$$w0rdxyz789)

Даже если два пользователя выберут один и тот же пароль, благодаря уникальной соли для каждого пользователя, их хешированные значения будут совершенно разными. Это делает невозможным использование радужных таблиц, так как злоумышленнику пришлось бы предварительно вычислять хеши для каждой возможной комбинации пароля и каждой потенциальной соли, что является вычислительно непосильной задачей. Рекомендуемая длина соли должна быть достаточной для обеспечения высокой энтропии, например, не менее 16 байт (128 бит) для алгоритмов вроде Blowfish, что сопоставимо с длиной выходного хеша. Это гарантирует, что даже теоретически не будет двух одинаковых хешей для двух одинаковых паролей.

Функции формирования ключа (KDF): замедление перебора

Современные вычислительные мощности позволяют злоумышленникам выполнять миллиарды хеш-операций в секунду. Чтобы противостоять этому, были разработаны функции формирования ключа (Key Derivation Function, KDF). Это криптографические алгоритмы, которые специально спроектированы таким образом, чтобы получение секретного ключа (или проверка пароля) из исходного секретного значения (пароля или кодовой фразы) было вычислительно затратным.

Основное назначение KDF:

• Замедление атак перебора: KDF намеренно замедляют процесс хеширования за счёт выполнения большого количества итераций или использования большого объёма памяти. Это значительно увеличивает время, необходимое злоумышленнику для перебора возможных паролей.
• Генерация ключей: KDF могут генерировать ключи необходимой длины или заданного формата из пароля, который зачастую имеет произвольную длину.

Популярные парольно-ориентированные KDF:

• Argon2: Победитель Password Hashing Competition 2015 года. Разработан с учётом современных аппаратных атак, включая атаки с использованием графических процессоров (GPU) и специализированных интегральных схем (ASIC). Argon2 позволяет настраивать параметры по памяти, времени и параллелизму, делая его очень гибким и стойким.
• PBKDF2 (Password-Based Key Derivation Function 2): Стандартизирован в 2000 году. Использует хеш-функцию (например, SHA-256) и соль, выполняя множество итераций хеширования. Количество итераций можно настраивать, увеличивая вычислительную сложность.
• Bcrypt: Введён в 1999 году, основан на алгоритме Blowfish. Известен своей «адаптивностью к нагрузке», то есть его можно настраивать на выполнение большего числа итераций с ростом вычислительной мощности, сохраняя заданный уровень замедления.

Эти функции, в сочетании с солью, обеспечивают значительно более высокий уровень защиты паролей по сравнению с обычным хешированием, делая атаки полным перебором на порядок сложнее и дороже для злоумышленников, что является критически важным в условиях постоянного роста мощностей атакующих систем.

Методы взлома парольной защиты операционных систем: теория и техническая реализация

Взлом парольной защиты — это непрекращающаяся гонка вооружений между защитниками и атакующими. Злоумышленники постоянно совершенствуют методы атак, используя уязвимости как в самих алгоритмах, так и в человеческом факторе. Важно понимать, как именно действуют злоумышленники, чтобы эффективно противостоять их попыткам.

Атаки методом полного перебора (Brute Force)

Брутфорс, или атака полным перебором, является одним из старейших и наиболее прямолинейных методов взлома паролей. Его суть заключается в систематическом переборе всех возможных комбинаций символов до тех пор, пока не будет найдена правильная. Цель такой атаки всегда одна – получение несанкционированного доступа к данным, системам или сетям.

Эффективность и время, необходимое для успешной брутфорс-атаки, экспоненциально зависят от нескольких ключевых факторов:

• Длина пароля: Чем длиннее пароль, тем больше возможных комбинаций и тем дольше его перебирать. Например, пароль из 6 символов, состоящий только из строчных латинских букв, имеет 26⁶ = 308 915 776 комбинаций. Пароль из 12 символов с использованием прописных, строчных букв, цифр и спецсимволов (95 символов в алфавите) имеет 95¹² ≈ 5,4 · 10²³ комбинаций, что делает его взлом практически невозможным современными средствами.
• Размер используемого алфавита: Количество возможных символов, из которых может состоять пароль (например, только цифры, строчные буквы, прописные буквы, специальные символы). Чем шире алфавит, тем больше комбинаций.
• Вычислительная мощность атакующего: Скорость, с которой атакующий может генерировать и проверять хеши паролей. Современные графические процессоры (GPU) значительно превосходят центральные процессоры (CPU) в этой задаче, позволяя выполнять миллиарды хеш-операций в секунду.

Брутфорс может быть нацелен на различные объекты: от взлома персонального компьютера до учётных записей электронной почты или веб-сайтов. Для противодействия ему используются ограничение количества попыток ввода пароля и KDF, замедляющие процесс проверки. Таким образом, даже теоретически мощная атака сталкивается с практическим барьером.

Словарные атаки: эксплуатация предсказуемости

В отличие от полного перебора, словарная атака не перебирает все возможные комбинации, а использует заранее подготовленный список наиболее вероятных паролей (словарь). Этот метод основан на том, что многие пользователи выбирают простые, легко запоминающиеся пароли, которые являются словами из словарей, именами, датами рождения или общеизвестными фразами.

Словарная атака значительно эффективнее полного перебора, поскольку она фокусируется на высоковероятных комбинациях. Программы для словарных атак могут применять различные мутации к словам из словаря, чтобы увеличить шансы на успех:

• Делать заглавной первую букву (например, Password).
• Добавлять цифры в конец или начало (Password123, 123Password).
• Заменять буквы цифрами или символами (leet speak, например, P@ssw0rd).

Распространённость слабых паролей делает словарные атаки чрезвычайно эффективными, особенно если пароль не использует соль. Это подчёркивает важность обучения пользователей и строгих парольных политик.

Гибридные атаки: сочетание методов для эффективности

Гибридная атака является эволюцией словарной и брутфорс-атак. Она сочетает в себе достоинства обоих подходов: использует базовый словарь, но затем добавляет к словам числовые комбинации, специальные символы или персональные данные пользователя.

Пример: Если в словаре есть слово company, гибридная атака может попробовать Company1!, Company2025, C0mpany и т.д. Это позволяет значительно увеличить шансы на успех по сравнению с чистой словарной атакой, не прибегая к медленному полному перебору. Гибридные атаки особенно эффективны против паролей, которые представляют собой модифицированные словарные слова, демонстрируя, как злоумышленники адаптируются к привычкам пользователей.

Радужные таблицы (Rainbow Tables): ускоренный взлом хешей

Радужные таблицы — это массивы данных, содержащие заранее посчитанные хеш-функции для большого количества распространённых паролей. Их основное преимущество заключается в значительном ускорении процесса взлома хешей, поскольку не требуется каждый раз выполнять ресурсоёмкие вычисления хеш-функций.

Принцип работы радужных таблиц является развитием идеи хеш-цепочек. Вместо того чтобы хранить все возможные пары «пароль-хеш», радужные таблицы используют следующую концепцию:

1. Хеш-цепочки: Генерируется последовательность значений, где каждое последующее значение получается путём хеширования предыдущего, а затем применения функции редукции.
2. Функция редукции (R): Это не обратная хеш-функция, а алгоритм, который преобразует хеш-значение обратно в потенциальный пароль (кандидат) определённой длины и символьного набора. Цель функции редукции — создать новое текстовое значение, которое затем будет хешировано. Несколько функций редукции могут использоваться в цепочке для повышения эффективности.
3. Хранение: В радужной таблице хранятся только начальные и конечные точки этих цепочек, что существенно минимизирует объём хранимых данных.

Когда атакующий получает хеш пароля, он последовательно применяет функции редукции и хеширования к этому хешу. Если в какой-то момент полученное значение совпадает с одной из конечных точек цепочки в радужной таблице, то атакующий может восстановить всю цепочку и найти исходный пароль.

Пример работы радужной таблицы:

• Представим цепочку: Пароль1 → хеш1 → R(хеш1) → Пароль2 → хеш2 → R(хеш2) → Пароль3…
• В таблице хранятся Пароль1 (начало) и Пароль3 (конец).
• Если у нас есть хеш2, мы применяем R(хеш2), получаем Пароль3. Затем проверяем, есть ли Пароль3 среди конечных точек. Если да, то мы восстанавливаем всю цепочку от Пароля1 до Пароля3 и находим Пароль2, чей хеш совпадает с хеш2.

Атаки с использованием радужных таблиц могут быть предотвращены или значительно усложнены путём «соления» паролей. Добавление случайной строки (соли) к каждому паролю перед хешированием делает каждый хеш уникальным, даже для одинаковых паролей. Это означает, что радужная таблица, предвычисленная для несолёных хешей, становится бесполезной. Для взлома солёных хешей злоумышленнику пришлось бы создавать отдельную радужную таблицу для каждой уникальной соли, что является вычислительно непосильной задачей. Именно поэтому «соль» является критически важным компонентом современной защиты.

Методы социальной инженерии и вредоносное ПО

Не все атаки на пароли являются техническими. Человеческий фактор остаётся одним из самых слабых звеньев в цепи безопасности. Почему люди до сих пор попадаются на уловки, которые, казалось бы, должны быть всем известны?

• Фишинг: Злоумышленники используют обманные методы, чтобы заставить пользователей добровольно раскрыть свои учётные данные. Это может быть поддельный веб-сайт, имитирующий легитимный сервис, электронные письма, выдаваемые за официальные сообщения, или сообщения в мессенджерах, призывающие перейти по вредоносной ссылке.
• Вредоносное ПО: Вредоносное программное обеспечение (malware) может быть разработано специально для кражи паролей.
  • Кейлоггеры: Программы, которые записывают все нажатия клавиш пользователя, включая логины и пароли.
  • Шпионское ПО: Может сканировать систему на предмет файлов, содержащих учётные данные, или перехватывать их во время передачи.
  • Трояны: Часто маскируются под легитимные программы и после установки в системе начинают собирать конфиденциальную информацию, включая хеши паролей из системных файлов.
  • Кража хешей: Некоторые виды вредоносного ПО могут напрямую извлекать хеши паролей из системных баз данных (например, SAM-файл в Windows или /etc/shadow в Linux) для последующего оффлайн-взлома.

Эффективность этих атак подчёркивает необходимость комплексного подхода к безопасности, включающего не только технические меры, но и обучение пользователей основам кибергигиены. Ведь самая надёжная технология бессильна перед наивным пользователем.

Хранение и обработка паролей в операционных системах: уязвимости и архитектурные особенности

Каждая операционная система имеет свои уникальные механизмы хранения и обработки паролей, что определяет её уязвимости и архитектурные особенности. Понимание этих различий критически важно для разработки эффективных мер защиты.

Windows: от NTLM к Kerberos

История хранения и обработки паролей в Windows характеризуется эволюцией от простых, уязвимых механизмов к более сложным и безопасным.

Исторически для хеширования паролей в Windows использовался протокол NTLM (NT LAN Manager). Этот протокол, хотя и был значительным шагом вперёд в своё время, сегодня считается устаревшим и подвержен серьёзным уязвимостям. К ним относятся:

• Атаки «pass-the-hash»: Злоумышленник, получив хеш NTLM, может использовать его для аутентификации в системе без знания самого пароля.
• Relay attacks: Хеш NTLM может быть перехвачен и перенаправлен на другой сервер для аутентификации от имени пользователя.

Учётные записи пользователей и соответствующие им хеш-функции паролей хранятся в базе данных SAM (Security Accounts Manager). База SAM представляет собой двоичный файл реестра без расширения, расположенный в каталоге %systemroot%\system32\config. Доступ к ней строго ограничен на уровне операционной системы: даже администраторы не имеют прямого доступа к файлу SAM, когда система запущена. На физическом уровне она представлена ключом реестра HKEY_LOCAL_MACHINE\SAM\SAM. Однако резервные копии SAM-файла могут храниться в каталогах, таких как %systemroot%\repair, что при некорректных настройках безопасности может стать точкой входа для злоумышленников, если эти копии устарели или доступны.

Для аутентификации в доменных сетях Windows активно использует протокол Kerberos. В отличие от NTLM, Kerberos предлагает значительно более высокий уровень безопасности, избегая прямой передачи паролей и защищая от многих уязвимостей NTLM. Вместо пароля передаются криптографические «билеты», выдаваемые доверенным сервером.

Осознавая критические недостатки NTLM, Microsoft объявила о поэтапном отказе от этого протокола: начало вывода из эксплуатации запланировано на начало 2025 года, а полное удаление к концу 2027 года. Компания активно рекомендует переход на более безопасные протоколы, такие как Kerberos, используя механизм Negotiate, который позволяет клиенту и серверу договориться о наиболее безопасном протоколе аутентификации. Это демонстрирует стремление к постоянному повышению стандартов безопасности.

Linux: файл /etc/shadow и PAM

В операционных системах на базе Linux информация о паролях пользователей хранится в файле /etc/shadow. Этот файл является краеугольным камнем безопасности, поскольку именно здесь находятся хешированные пароли.

Особенности /etc/shadow:

• Права доступа: Файл /etc/shadow принадлежит пользователю root и группе shadow с правами 640. Это означает, что только root может читать и записывать в файл, члены группы shadow могут его читать, а для всех остальных пользователей (включая обычных) доступ к файлу полностью запрещён. Это критически важно, поскольку неавторизованный доступ к этому файлу является прямой угрозой безопасности.
• Содержимое: Помимо хешированных паролей, /etc/shadow хранит дополнительную информацию, связанную с парольной политикой для каждого пользователя, такую как:
  • Дата последнего изменения пароля (в днях с 1 января 1970 года).
  • Минимальный срок действия пароля (в днях).
  • Максимальный срок действия пароля (в днях).
  • Период предупреждения до истечения срока действия пароля (в днях).
  • Период неактивности учётной записи (в днях).
  • Дата истечения срока действия учётной записи (в днях с 1 января 1970 года).
  • Зарезервированное поле.

Формат записи пароля в /etc/shadow:
Каждая строка в /etc/shadow содержит девять полей, разделённых двоеточиями. Второе поле, содержащее хешированный пароль, имеет следующую структуру: $id_алгоритма$соль$хешированный_пароль.

Пример записи:

andreyex:$6$zHvrJMa5Y690smbQ$z5zdL...:18009:0:120:7:14::

Здесь:

• andreyex: имя пользователя.
• $6$: идентификатор алгоритма хеширования. В данном случае $6$ указывает на использование SHA-512.
  • Другие идентификаторы: 1 для MD5, 2a или 2y для Blowfish, 5 для SHA-256.
• $zHvrJMa5Y690smbQ$: это уникальная соль, которая добавляется к паролю перед хешированием.
• z5zdL...: сам хешированный пароль.
• 18009: дата последнего изменения пароля.
• 0: минимальный срок действия пароля.
• 120: максимальный срок действия пароля.
• 7: период предупреждения.
• 14: период неактивности учётной записи.
• Два пустых поля: дата истечения срока действия учётной записи и зарезервированное поле.

Взаимодействие с /etc/passwd:
Ранее в Linux пароли (или их хеши) хранились в файле /etc/passwd. Однако из-за необходимости повышения безопасности пароли были перенесены в /etc/shadow. Теперь /etc/passwd содержит лишь общую информацию о пользователях (имя пользователя, UID, GID, домашний каталог, оболочка) и, для поля пароля, символ x, указывающий, что пароль хранится в /etc/shadow. Это сделано для того, чтобы /etc/passwd, который доступен для чтения всем пользователям, не содержал конфиденциальной информации. Это разделение является ключевым для обеспечения безопасности.

Система PAM (Pluggable Authentication Modules) в Linux обеспечивает гибкую модульную архитектуру для аутентификации. Она позволяет администраторам настраивать различные механизмы аутентификации (включая проверку паролей, двухфакторную аутентификацию и т.д.) без изменения кода приложений, взаимодействуя с /etc/shadow через соответствующие модули.

macOS: система Keychain Access

В операционной системе macOS для безопасного хранения паролей и других конфиденциальных данных используется система Keychain Access (Связка ключей). Это централизованное хранилище, предназначенное для безопасного хранения учётных данных (логинов и паролей для веб-сайтов, приложений, сетевых ресурсов), сертификатов, криптографических ключей, безопасных заметок и другой конфиденциальной информации.

Ключевые особенности Keychain Access:

• Шифрование: Все данные в связке ключей шифруются с использованием надёжных криптографических алгоритмов, что защищает их от несанкционированного доступа. Доступ к связке ключей обычно защищается паролем пользователя (паролем для входа в систему) или биометрическими данными (например, Touch ID на Mac).
• Интеграция с ОС: Keychain Access глубоко интегрирована с macOS, позволяя приложениям безопасно запрашивать и хранить учётные данные без необходимости их прямого хранения или обработки самими приложениями.
• Синхронизация через iCloud Keychain: Для удобства пользователей, Keychain Access может синхронизировать пароли и другие данные между устройствами Apple (Mac, iPhone, iPad) через iCloud Keychain, обеспечивая постоянный доступ к актуальным учётным данным, при этом данные остаются зашифрованными на протяжении всего процесса синхронизации.
• Разграничение доступа: Каждая запись в связке ключей может иметь настроенные права доступа, определяющие, каким приложениям или процессам разрешено её использовать.

Keychain Access значительно повышает общую безопасность macOS, предоставляя централизованный и зашифрованный механизм для управления секретами, снижая риск компрометации паролей, если они хранятся в незащищённом виде в отдельных приложениях. Эта система подчёркивает важность централизованного управления для обеспечения надёжности.

Общие уязвимости в реализации хранения паролей

Несмотря на различия в архитектуре, существуют общие уязвимости, которые могут быть присущи любой системе хранения паролей:

• Слабые алгоритмы хеширования: Использование устаревших или криптографически скомпрометированных алгоритмов, таких как MD5, делает систему уязвимой к атакам по словарю и радужным таблицам, так как хеши легко взламываются или для них существуют предвычисленные базы данных.
• Отсутствие или недостаточная длина «соли»: Если соль не используется вовсе или её длина слишком мала, злоумышленники могут применять радужные таблицы или ускорять атаки перебора, используя графические процессоры, поскольку хеши для одинаковых паролей будут идентичны.
• Некорректные права доступа к файлам, хранящим хеши: Если файлы, содержащие хеши паролей (например, /etc/shadow в Linux или резервные копии SAM в Windows), имеют неправильные права доступа, это может позволить неавторизованным пользователям читать или копировать их, что является критической уязвимостью.
• Недостаточная стойкость KDF: Если KDF используются с малым количеством итераций или недостаточным объёмом памяти, это снижает их защитные свойства против современных атак перебора, позволяя злоумышленникам взламывать пароли быстрее.
• Уязвимости в операционной системе: Любые уязвимости в самой ОС, её ядре или системных службах могут быть использованы для обхода механизмов защиты паролей, например, для повышения привилегий и получения доступа к защищённым файлам.

Адресация этих уязвимостей требует комплексного подхода, включающего использование надёжных криптографических примитивов, строгую политику управления доступом и регулярное обновление программного обеспечения. Все эти меры должны применяться одновременно, чтобы создать по-настоящему неприступную систему.

Современные практики усиления парольной защиты и противодействия взлому

Эволюция методов взлома требует постоянного совершенствования механизмов защиты. Современные подходы направлены на создание многоуровневых систем, значительно усложняющих задачу злоумышленникам.

Ключевая роль «соления» и ресурсоёмких KDF

Как уже отмечалось, «соление» паролей является критически важной мерой. Добавление уникальной, случайной строки (соли) к каждому паролю перед хешированием делает предвычисления для взлома неэффективными. Это напрямую защищает от атак с использованием радужных таблиц и значительно усложняет словарные атаки и атаки полным перебором, поскольку для каждого хеша требуется индивидуальный перебор.

В сочетании с солью, использование функций формирования ключа (KDF), таких как bcrypt, PBKDF2, scrypt и Argon2, является ещё одним мощным инструментом. Эти алгоритмы специально разработаны для замедления процесса хеширования. Они вводят искусственные задержки, требуя значительных вычислительных ресурсов и/или большого объёма памяти для каждой операции хеширования. Например, Argon2 позволяет настраивать параметры по памяти, времени и параллелизму, что делает его чрезвычайно устойчивым к атакам, использующим графические процессоры (GPU) и специализированные интегральные схемы (ASIC). Это означает, что даже если злоумышленник получит доступ к базе хешей, ему потребуется астрономическое количество времени и вычислительных мощностей для их взлома. Использование только одного хеша уже неэффективно, требуются комплексные меры.

Двухфакторная и многофакторная аутентификация (2FA/MFA)

Двухфакторная аутентификация (2FA) и её расширенный вариант — многофакторная аутентификация (MFA) — добавляют критически важный слой защиты, требуя от пользователя предоставления двух или более независимых доказательств своей личности. Даже если злоумышленник украдёт пароль, он не сможет получить доступ к учётной записи без второго фактора.

Типы второго фактора включают:

• Что-то, что вы знаете: Пароль, PIN-код.
• Что-то, что у вас есть: СМС-код, токен безопасности (физический или программный, например, Google Authenticator, YubiKey), аппаратный ключ.
• Что-то, что вы являетесь: Биометрические данные (отпечаток пальца, распознавание лица).

2FA значительно повышает безопасность, так как для компрометации учётной записи требуется не только украсть пароль, но и получить доступ ко второму фактору, что намного сложнее. В этом и заключается ценность 2FA — она делает бесполезным даже украденный пароль без дополнительного подтверждения.

Биометрическая аутентификация

Биометрические данные, такие как отпечатки пальцев, распознавание лица или радужной оболочки глаза, становятся всё более популярным методом аутентификации. В современных операционных системах (например, Touch ID или Face ID в macOS и iOS, Windows Hello) и менеджерах паролей биометрия используется для быстрого и удобного подтверждения личности.

Преимущества биометрии:

• Удобство: Не нужно запоминать сложные пароли.
• Безопасность: Биометрические данные сложно подделать.
• Интеграция: Глубокая интеграция с аппаратным обеспечением устройств.

Однако важно понимать, что биометрия часто используется как второй фактор или как удобный способ разблокировки доступа к хранимым паролям (например, в менеджерах паролей), а не как самостоятельная замена сложного мастер-пароля. Это связано с тем, что биометрические данные не могут быть «изменены» в случае компрометации, в отличие от пароля. Поэтому всегда следует сохранять бдительность и не полагаться исключительно на биометрию.

Менеджеры паролей: централизованное управление сложными паролями

Менеджеры паролей — это специализированное программное обеспечение, разработанное для создания, хранения и управления сложными и уникальными паролями для различных учётных записей. Они решают проблему «усталости от паролей», когда пользователи склонны использовать одни и те же или простые пароли для разных сервисов.

Основные функции менеджеров паролей:

• Генерация сложных паролей: Автоматически создают длинные, случайные пароли, соответствующие высоким стандартам безопасности.
• Безопасное хранение: Все пароли хранятся в зашифрованном виде в едином «хранилище» или «сейфе», защищённом одним мастер-паролем и/или биометрией.
• Автозаполнение: Автоматически вводят логины и пароли на веб-сайтах и в приложениях, снижая риск фишинга и кейлоггеров.
• Синхронизация: Обеспечивают синхронизацию данных между различными устройствами (компьютерами, смартфонами, планшетами).
• Мониторинг безопасности: Некоторые менеджеры проверяют пароли на утечки данных в публичные базы скомпрометированных учётных записей.

Виды менеджеров паролей:

• Десктопные (например, KeePassXC): Хранят данные локально на устройстве пользо��ателя, обеспечивая полный контроль над информацией.
• Портативные: Могут использоваться на мобильных устройствах или USB-накопителях.
• Облачные (например, Bitwarden, Dashlane, 1Password, LastPass): Хранят данные на серверах провайдера, но с использованием сквозного шифрования (end-to-end encryption), что позволяет получить доступ к данным с любого устройства при наличии мастер-пароля.

Использование менеджера паролей является одной из самых эффективных мер для повышения личной и корпоративной кибербезопасности. Это позволяет пользователям создавать уникальные и сложные пароли для каждого сервиса, не запоминая их все.

Ограничение попыток ввода и регулярное обновление ПО

• Ограничение попыток ввода пароля: Это базовая, но крайне важная мера против брутфорс-атак. Системы должны блокировать учётные записи после определённого количества неудачных попыток ввода пароля (например, 3-10 попыток). Время блокировки может варьироваться от 3 до 60 минут, что значительно снижает скорость, с которой злоумышленник может перебирать пароли.
• Регулярное обновление программного обеспечения: Операционные системы, приложения и прошивки устройств постоянно получают обновления безопасности. Эти обновления закрывают известные уязвимости, которые могут быть использованы для обхода механизмов аутентификации, кражи хешей паролей или внедрения вредоносного ПО. Пренебрежение обновлениями создаёт «открытые двери» для злоумышленников, ведь любая необновлённая система становится потенциальной точкой входа.

Комплексное применение этих практик создаёт прочную многоуровневую защиту, способную противостоять большинству современных атак на парольную защиту.

Этические и правовые аспекты исследования взлома парольной защиты

Исследование методов взлома парольной защиты, хотя и является ключевым элементом для понимания и укрепления кибербезопасности, сопряжено с серьёзными этическими и правовыми вопросами.

Роль исследований в области взлома для кибербезопасности

Исследования в области взлома парольной защиты играют незаменимую роль в подготовке специалистов по кибербезопасности. Они позволяют:

• Понять механизмы атак: Детальное изучение того, как работают брутфорс-атаки, словарные атаки, радужные таблицы, фишинг и вредоносное ПО, даёт защитникам глубокое понимание угроз.
• Выявить уязвимости систем: Специально разработанные «парольные взломщики» (например, John the Ripper, Hashcat) используются для проведения аудитов безопасности. Эти инструменты позволяют «белым хакерам» (этическим хакерам) выявлять слабые места в парольной защите операционных систем, сетевых сервисов и приложений, прежде чем их обнаружат злоумышленники.
• Разработать навыки защиты: Практический опыт по анализу и тестированию систем на проникновение критически важен для специалистов по информационной безопасности, чтобы они могли эффективно разрабатывать и внедрять меры противодействия.
• Совершенствовать защитные технологии: Знание техник взлома стимулирует развитие более стойких алгоритмов хеширования, функций KDF, многофакторной аутентификации и других защитных механизмов.

Правовые последствия несанкционированного доступа в Российской Федерации

Проведение любых действий по взлому или несанкционированному доступу к информационным системам без соответствующего разрешения владельца является нелегальным и влечёт за собой уголовную ответственность в Российской Федерации. Российское законодательство строго регулирует эти вопросы:

• Статья 272 Уголовного кодекса РФ «Неправомерный доступ к компьютерной информации»: Эта статья предусматривает наказание за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Наказание может варьироваться от штрафа до лишения свободы на срок до семи лет, в зависимости от тяжести последствий и наличия отягчающих обстоятельств (например, совершение группой лиц или с использованием служебного положения).
• Статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»: Эта статья охватывает действия по созданию, использованию или распространению компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации. Наказание по этой статье также может быть в виде лишения свободы на срок до семи лет.
• Статья 272.1 УК РФ «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные…»: Эта статья касается действий, связанных с незаконным оборотом компьютерной информации, содержащей персональные данные, если это совершено из корыстной заинтересованности.

Таким образом, «парольные взломщики» и методы атак являются законными только в руках аккредитованных специалистов, действующих в рамках «белого хакинга» и при наличии всех необходимых разрешений и договорённостей. Нарушение этих норм влечёт серьёзные последствия.

Принципы этичного хакинга и ответственного раскрытия информации

Этические нормы в кибербезопасности требуют, чтобы любые действия по тестированию на проникновение, анализу уязвимостей или исследованиям методов взлома осуществлялись исключительно с явного согласия владельца системы. Это является фундаментом для так называемого «белого хакинга» или этичного хакинга.

Ключевые принципы этичного хакинга:

• Явное согласие: Все действия должны быть предварительно согласованы и авторизованы владельцем системы.
• Соблюдение конфиденциальности: Вся информация, полученная в ходе тестирования, должна рассматриваться как строго конфиденциальная и не подлежит разглашению третьим лицам.
• Целостность и доступность: Цель этичного хакера — не навредить системе, а выявить уязвимости. Действия не должны нарушать целостность данных или доступность сервисов.
• Ответственное раскрытие: В случае обнаружения уязвимостей, информация о них должна быть ответственно раскрыта владельцу системы, чтобы он мог принять меры по устранению, прежде чем она станет достоянием общественности.
• Действия в рамках закона: Все исследования должны проводиться в строгом соответствии с действующим законодательством.

Нарушение этих принципов, даже если действия предпринимаются без злого умысла, является неэтичным и незаконным, подрывая доверие к сообществу информационной безопасности.

Таким образом, без этической основы невозможно построить эффективную и легитимную систему киберзащиты, основанную на взаимном доверии и соблюдении правовых норм.

Историческая эволюция методов парольной защиты и их преодоления

История парольной защиты – это непрерывная сага о противостоянии изобретательности защитников и настойчивости атакующих. Каждый новый метод защиты порождал новые способы его преодоления, и наоборот.

Ранние этапы: от CTSS до простых хешей

Истоки парольной защиты уходят в 1961 год, когда в Массачусетском технологическом институте была представлена Compatible Time-Sharing System (CTSS) – первая операционная система с реализованным механизмом аутентификации на основе пароля. Это стало революцией, позволив множеству пользователей одновременно работать с одним компьютером, сохраняя при этом конфиденциальность своих данных.

На заре вычислительной техники пароли часто хранились в открытом виде, что создавало колоссальные риски безопасности. При любой утечке базы данных все пароли становились доступны злоумышленникам. С ростом осведомлённости о безопасности начали появляться первые попытки хеширования. Эти ранние алгоритмы были относительно просты и часто быстро обратимы, что делало их уязвимыми. Например, могли использоваться простые арифметические операции или XOR-шифрование, которые легко «взламывались» обратными расчётами.

В течение многих лет эксперты пытались сделать пароли более сложными для взлома, вводя различные правила создания и использования (парольные политики). Однако эти политики не всегда были эффективны против растущей вычислительной мощности компьютеров и изобретательности хакеров, что привело к необходимости разработки более совершенных подходов.

Развитие атак и появление «соли»

Эпоха 1980-х и 2000-х годов ознаменовалась активным развитием методов взлома, которые стали серьёзным вызовом для существовавших тогда систем хеширования. Появление:

• Словарных атак: Стало очевидно, что пользователи выбирают предсказуемые пароли, что позволило автоматизировать перебор по спискам слов.
• Радужных таблиц: Эти предварительно вычисленные базы данных хешей значительно ускоряли процесс взлома, делая простые хешированные пароли крайне уязвимыми.

Эти атаки стали катализатором для внедрения более надёжных методов хеширования с использованием «соли». Идея добавления случайной строки к паролю перед хешированием произвела революцию в защите, делая каждую хеш-запись уникальной и фактически обнуляя эффективность радужных таблиц. С этого момента «соление» стало стандартом де-факто в индустрии, показывая, как простые, но гениальные решения могут радикально изменить ландшафт безопасности.

Эпоха KDF и многофакторной аутентификации

Стремительный рост вычислительных мощностей, особенно развитие графических процессоров (GPU) для массовых параллельных вычислений, привёл к тому, что даже хеши с солью стали уязвимы для атак полным перебором, если хеш-функция была слишком быстрой. Это стимулировало появление и массовое внедрение ресурсоёмких функций формирования ключа (KDF):

• Bcrypt (введён в 1999 году).
• PBKDF2 (стандартизирован в 2000 году).
• Scrypt.
• Argon2 (победитель Password Hashing Competition 2015 года).

Эти алгоритмы были разработаны специально для того, чтобы намеренно замедлять процесс проверки пароля, делая атаки полным перебором вычислительно непосильными, даже при наличии мощных GPU.

Следующим логическим этапом в усилении защиты, особенно в 2010-х годах, стало массовое распространение двухфакторной (2FA) и многофакторной аутентификации (MFA), а также биометрических методов. Эти подходы признали, что полагаться исключительно на пароль – это недостаточная мера. Вводя второй фактор (например, код из СМС, приложение-аутентификатор или отпечаток пальца), системы аутентификации обеспечивают значительно более высокий уровень безопасности, даже если пароль был скомпрометирован. Биометрия добавила удобство и скорость, став частью экосистемы современных операционных систем и устройств. Эта эволюция показывает, что кибербезопасность – это постоянный процесс адаптации и совершенствования, где каждая уязвимость стимулирует разработку более надёжных защитных механизмов.

Выводы

Взлом парольной защиты в операционных системах представляет собой динамичную и многогранную область, находящуюся на пересечении криптографии, системной инженерии и человеческого фактора. Проведённый анализ показывает, что надёжность защиты определяется не только стойкостью используемых алгоритмов, но и комплексностью применяемых мер, а также строгостью соблюдения политик безопасности. Неужели мы когда-нибудь достигнем абсолютной неуязвимости в этой вечной гонке?

Мы выяснили, что фундаментом современной парольной защиты является необратимое хеширование, усиленное «солением» для уникализации хешей и функциями формирования ключа (KDF) для замедления атак перебора. При этом такие алгоритмы, как Argon2, PBKDF2 и bcrypt, стали стандартом де-факто, вытесняя устаревшие и скомпрометированные хеш-функции. Методы взлома, начиная от прямолинейного брутфорса и изощрённых словарных атак, до использования радужных таблиц с функциями редукции и изощрённых методов социальной инженерии, постоянно эволюционируют, требуя от защитников непрерывного совершенствования.

Архитектурные особенности хранения паролей в операционных системах, будь то файл /etc/shadow в Linux с его строгими правами доступа и специфичным форматом записей, база данных SAM в Windows с её историческим переходом от уязвимого NTLM к более безопасному Kerberos, или система Keychain Access в macOS, демонстрируют разнообразие подходов и неизбежность сопутствующих уязвимостей. Некорректные права доступа, использование слабых алгоритмов хеширования или недостаточная длина «соли» остаются критическими факторами риска.

В ответ на эти угрозы современная практика кибербезопасности предлагает целый арсенал мер противодействия: от повсеместного внедрения двухфакторной и многофакторной аутентификации до биометрических методов и централизованного управления паролями через менеджеры паролей. Ограничение попыток ввода и своевременное обновление программного обеспечения дополняют этот комплекс, создавая многоуровневую оборону. Это позволяет значительно снизить вероятность успешных атак, даже если злоумышленник располагает значительными ресурсами.

Наконец, нельзя недооценивать этические и правовые аспекты. Исследования в области взлома парольной защиты критически важны для развития кибербезопасности, но должны проводиться строго в рамках этичного хакинга и в соответствии с законодательством (в РФ — статьи 272, 273, 272.1 УК РФ). Ответственное отношение к информации и соблюдение принципов конфиденциальности и целостности данных являются краеугольными камнями профессиональной деятельности.

Таким образом, борьба за безопасность паролей — это нескончаемый процесс, требующий глубоких знаний, технологического прогресса и ответственного подхода. Только комплексное применение всех доступных средств и постоянное обновление знаний позволит эффективно противостоять угрозам в постоянно меняющемся ландшафте кибербезопасности.

Список использованной литературы

1. Анин Б.Ю. Защита компьютерной информации. СПб.: БХВ-Петербург, 2000. 384 с.
2. Крысин А.В. Информационная безопасность. Практическое руководство. М.: СПАРРК, К.: ВЕК+, 2003. 320 с.
3. Соколов А.В., Степанюк О.М. Защита от компьютерного терроризма. Справочное пособие. СПб.: Арлит, 2002. 496 с.
4. Брутфорс, атака методом перебора (Brute Force) // Security Vision. URL: https://securityvision.ru/glossary/bruteforce/ (дата обращения: 20.10.2025).
5. Что такое брутфорс атака и какие есть методы защиты? // FoxmindEd. URL: https://foxminded.com.ua/blog/bruteforce-attack/ (дата обращения: 20.10.2025).
6. Что такое брутфорс-атака // Timeweb Community. URL: https://timeweb.com/community/articles/chto-takoe-brutefors-ataka (дата обращения: 20.10.2025).
7. Словарная атака // Энциклопедия «Касперского». URL: https://www.kaspersky.ru/resource-center/definitions/dictionary-attack (дата обращения: 20.10.2025).
8. Что такое хеширование паролей и как оно защищает ваши данные? // SecurityLab.ru. URL: https://www.securitylab.ru/blog/personal/password/344002.php (дата обращения: 20.10.2025).
9. Что такое хеширование: определение, примеры применения // Хекслет. URL: https://ru.hexlet.io/blog/posts/what-is-hashing (дата обращения: 20.10.2025).
10. Функция формирования ключа // Википедия. URL: https://ru.wikipedia.org/wiki/%D0%A4%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D1%8F_%D1%84%D0%BE%D1%80%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_%D0%BA%D0%BB%D1%8E%D1%87%D0%B0 (дата обращения: 20.10.2025).
11. Соль (криптография) // Википедия. URL: https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F) (дата обращения: 20.10.2025).
12. Перебор по словарю // Википедия. URL: https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D1%80_%D0%BF%D0%BE_%D1%81%D0%BB%D0%BE%D0%B2%D0%B0%D1%80%D1%8E (дата обращения: 20.10.2025).
13. Эволюция хэширования паролей // Logto blog. URL: https://blog.logto.io/posts/evolution-of-password-hashing-ru (дата обращения: 20.10.2025).
14. shadow — файл теневых паролей // Ubuntu Manpage. URL: https://manpages.ubuntu.com/manpages/jammy/ru/man5/shadow.5.html (дата обращения: 20.10.2025).
15. Радужная таблица (Rainbow table) // Энциклопедия «Касперского». URL: https://www.kaspersky.ru/resource-center/definitions/rainbow-table (дата обращения: 20.10.2025).
16. /etc/passwd и /etc/shadow // Администрирование Linux — GitBook. URL: https://www.gitbook.com/book/ru-linux-command/linux/details/%252Fetc%252Fpasswd-%25D0%25B8-%252Fetc%252Fshadow (дата обращения: 20.10.2025).
17. Что такое атака с подбором по словарю? // Keeper Security. URL: https://keepersecurity.com/ru_RU/blog/what-is-a-dictionary-attack.html (дата обращения: 20.10.2025).
18. Месторасположение sam-файла. URL: https://comp-security.net/content/mesto-raspolozhenie-sam-fayla (дата обращения: 20.10.2025).
19. Основные принципы парольной защиты. URL: https://studfile.net/preview/5742918/page:5/ (дата обращения: 20.10.2025).
20. Парольная защита операционных систем. URL: https://studfile.net/preview/5742918/page:4/ (дата обращения: 20.10.2025).
21. Разбор файла /etc/shadow // Information Security Squad. URL: https://infosecsquad.com/posts/razbor-faylov-etc-shadow-i-etc-passwd/ (дата обращения: 20.10.2025).
22. Понимание файла /etc/shadow. URL: https://www.booleanworld.com/understanding-etc-shadow-file/ (дата обращения: 20.10.2025).
23. Введение в KDF на примере решения криптографического ребуса // Habr. URL: https://habr.com/ru/articles/734280/ (дата обращения: 20.10.2025).
24. Что такое хеширование и хеш | Функции, таблицы, пароли и файлы // PRO32. URL: https://pro32.com/blog/chto-takoe-heshirovanie-i-hesh/ (дата обращения: 20.10.2025).
25. KDF // Википедия. URL: https://ru.wikipedia.org/wiki/KDF (дата обращения: 20.10.2025).
26. Солим пароли // Habr. URL: https://habr.com/ru/companies/mailru/articles/124749/ (дата обращения: 20.10.2025).
27. HKDF: как получать новые ключи и при чем тут хэш-функции // Habr. URL: https://habr.com/ru/articles/583602/ (дата обращения: 20.10.2025).
28. Топ-15 принципов управления паролями. URL: https://www.bitdefender.com/blog/smb/15-password-management-best-practices/ (дата обращения: 20.10.2025).
29. 9 бесплатных менеджеров паролей для безопасности в сети // Т—Ж. URL: https://journal.tinkoff.ru/password-managers/ (дата обращения: 20.10.2025).
30. 9 лучших менеджеров паролей по версии Лайфхакера. URL: https://lifehacker.ru/luchshie-menedzhery-parolej/ (дата обращения: 20.10.2025).
31. 12 лучших менеджеров паролей // Habr. URL: https://habr.com/ru/companies/timeweb/articles/700878/ (дата обращения: 20.10.2025).
32. Windows Password Recovery — редактор SAM // Passcape Software. URL: https://www.passcape.ru/articles/windows-password-recovery-sam-editor/ (дата обращения: 20.10.2025).
33. Основы парольной защиты // knigechka. URL: https://knigechka.ru/osnovy-parolnoy-zashchity.html (дата обращения: 20.10.2025).
34. Обзор менеджеров паролей // Habr. URL: https://habr.com/ru/companies/timeweb/articles/700878/ (дата обращения: 20.10.2025).
35. Руководство по парольной политике. Часть 1 // Habr. URL: https://habr.com/ru/articles/514446/ (дата обращения: 20.10.2025).