Не стоит придумывать сложные для разгадывания пароли, пересылающиеся затем по сети на сервер. Есть решение проблемы создания надежной аутентификации в три приема. Во-первых, предоставьте права доступа к Web-серверу только системному администратору и, возможно, нескольким пользователям, которые должны будут обновлять файлы. Вовторых, разрешите осуществлять входную регистрацию только с системной консоли. Это избавит вас от беспокойства, что кто-нибудь узнает пароль во время его передачи по сети. И наконец, в-третьих, используйте системы с одноразовыми паролями, например S/Key фирмы BellCore. Еще лучше для генерации одноразовых паролей воспользоваться специальными картами, такими, как SecurlD фирмы Security Dynamics.
Однако надо иметь в виду, что в бесплатной версии S/Key применен хэш-алгоритм MD4, который, как известно, можно взломать. Не так давно найдено еще одно уязвимое место этой системы. Было доказано, что хэшалгоритм MD5, используемый в коммерческой версии S/Key, теоретически также взламывается. Разумеется, это не означает, что его уже взломали, однако такое в принципе возможно. Даже система аутентификации Kerberos в прошлом году была взломана с помощью техники, ранее уже применявшейся для взлома первой реализации Secure Sockets Layer фирмы Netscape. Отсюда напрашивается очевидный вывод: ничто не может быть безопасным во веки веков, поэтому вы должны быть постоянно в курсе всего, что касается появления новых уязвимых мест.
