Комментарии 22
А какая маска имен пользователей используется у вас?
Где вариант "Ни одна из перечисленных"?
Если вариант из первой тройки, то у меня для вас плохие новости. Именно первый я и увидел на проекте в ходе проведения разведки, а второй и третий часто встречались на других. Что же здесь не так, спросите вы?
Нет, мы спросим, что же делать.
Нужно исходить из модели уроз, модели нарушителя и выбора между безопасностью и удобством. Можно использовать более сложные имена учетных записей, которые бы не попадали под простые паттерны. Конечно, это не панацея, на значительно снизить вероятность перечисления пользователя.
Можно использовать более сложные имена учетных записей, которые бы не попадали под простые паттерны.
Это какие же (чтобы при этом пользователи продолжали ими пользоваться)?
Вот в этом и есть дилемма безопасности и удобства :)
Можно использовать полные Имена, включать идентификаторы в юзернеймы. Но, конечно, важно соблюдать баланс между безопасностью и удобством.
Прирост безопасности от использования полных имен вместо инициалов пренебрежим. Не говоря о том, что многие компании используют полные имена тупо потому, что на инициалах уже давно начались коллизии. А включение идентификаторов настолько неюзабельно, что я не видел ровным счетом ни одной компании, которая бы это делала.
Иными словами, для обычной системы, используемой в бизнесе, бессмысленно считать, что имена пользователей неизвестны атакующему.
(и да, вы пишете о русских фамилиях, но в реальности эта проблема не уникальна для русского языка)
Есть подозрение, что встретить в списке сотрудников Мабунго Чебуренгу в российской компании шансов мало, а в американской они таки есть.
Больше разнообразия, что с одной стороны увеличивает количество перебираемых логинов, но с другой - повышает шансы найти искомое при атаке на какой-нибудь гугл )
Тем интереснее, что такое огромное количество (судя по результатам голосования) якобы не использует ни одной маски из голосования.
j5uv0bzd0spr7t
Проблема не то, чтобы совсем надумана, но...
С точки зрения атакующего такой перебор логинов имеет смысл: в описанном сценарии атакующий по сути не подбирает пароль к конкретной учётной записи VasilyP, а подбирает учётную запись к паролю qwerty (для чего предварительно составляет список валидных учётных записей)
С точки же зрения защиты от этой атаки достаточно тем, или иным образом разобраться с использованием паролей qwerty, а не перетряхивать схемы нейминга учеток.
не совсем в тему.. но.
в бытность работы в хостинг провайдере одной из самых частых головных болей были клиентские wordpress как на виртуалках так и на шаред хостинге. один единственный совет клиентам уменьшал кол-во проблем с вордпресом почти в два раза. а совет такой:
генерируйте имена пользователей (особенно с админским доступом) такие же как пароли, при помощи pwgen или uuidgen. удивительно но это и правда работало, я даже поправил скрипт разворачивающий вп чтобы вместо admin был дефолтный юзер из емнип 24 рандомных цифробукв.
конечно это совсем не вариант для почты в таком виде, но мб есть смысл добавлять хотя бы 4 рандомных символа после фамилии.
а вот вопрос по теме: а что OWA не умеет в 2fa totp для логина в веб морду?
алсо, а при чём тут русские фамилии? как я понимаю такое можно провернуть для большинства языков и стран, особенно если в конторе работают жители только одной страны..
Не очень понял при чём тут "избыточность русских фамилий". Как будто фамилия Park чем-то лучше
Кхм, политика допускает подбираемый пароль, но фактор уязвимостим - это шаблонное назначение логинов?
Получается так, что буквы «О», «Е», «А», «И» наиболее часто употребляются и с ними можно начать перечисление имен и фамилий по словарю.
Не получается. У Вас в диаграмме на 2 месте с конца стоит твердый знак: много ли знаете в русском языке имен, начинающихся с оного? Частоту следует смотреть именно для первых букв и в именах собственных. Кстати, она будет не одинаковой во всех языках, использующих кириллицу, и в российской практике вполне реально столкнуться с именем, которое начинается на Ы. Дальше нас еще ждут интересные открытия, связанные с транслитерацией кириллицы в латиницу и представлении об оной у конкретного гражданина, производившего ее в конкретной конторе. О сколько нам открытий чудных: не все языки на основе латиницы имеют схожую фонетику, а в школе нас учили не только английскому...
ИМХО, тут автор пошел странным путем, есть статистика частоты имен от ЗАГСов. Мужских, женских, смешанная.
Исходя из смешанной например: топ 1, буква А - более 12%. Далее по популярности В ~ 9% Д ~ 7%. Буква О с трудом дотягивает до 2%.
Отчества формируются только из мужских имен и тут ситуация еще сильнее отличается. Топ 1 буква А - более 13%, Буква О - менее 1%.
3. Решение проблемы
Как выглядит ваша корпоративная почта или корпоративный аккаунт в Active Directory?
Я, наверное, слишком далёк от всей этой корпоративной корпоративности, и поэтому не улавливаю: а в чём проблема-то?? Адрес корпоративной почты же по определению не является секретной информацией, с него же почту шлют хз куда кому, и на него тоже получают, стало быть, от кого-то извне, кто знает этот адрес? Почему не хватит просто поставить вменяемую политику на создание паролей к аккаунту Ivanov@contoso.com?
С таким подходом вы статью не напишите. Статья очень похожа на "а вы знали что можно подобрать закрытый ключ зная открытый"?
Автор видит уязвимость в совпадении логина и почты. Но виноват в этом почему-то Windows и русский язык.
таблицу распределения частоты употребления
Подозреваю, что "общеязыковая" таблица распределения и таблица распределения первых букв имён - две разные таблицы. И даже от второй практического толку немного без данных о распространенности самих имен среди людей. Собственно начинать плясать нужно было бы именно от неё.
Но вопрос - зачем ? Для оптимизации перебора ? Ну так ведь не на два-три порядка он оптимизируется, а в два-три раза.
Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory