Как сделать русификатор для игры самому

Но какой-никакой выход всё-таки нашёлся, и заключается он в подсветке синтаксиса. Т.к. все технические данные обычно легко обрабатываются автоматически, то и выделить их среди остального текста тоже не проблема.

Для этих целей я использовал возможности всем известного Notepad++ — в нём есть инструмент для создания своего механизма подсветки. Мне повезло с тем, что переводчик, с которым я работал, сам использовал Notepad++, поэтому уговаривать никого не пришлось. Несмотря на ограниченность в создании правил подсветки, этой возможности оказалось вполне достаточно, хоть и приходилось порой прибегать к разнообразным костылям.

С этим уже вполне можно жить. А иногда я заходил ещё дальше и писал визуализаторы — программы, которые отображали текст так же, как бы он выглядел в игре. Ну, или почти так же…

Впрочем, это обычно касалось случаев, когда необходим был жёсткий контроль качества на предмет корректного вывода текста в диалоговых окнах. А гораздо проще контролировать это ещё на этапе перевода, чем потом отлавливать тысячи косяков, связанных с выходом текста за отведённые ему рамки. Хорошо, что во многих играх всё же существует автоперенос.

Как создать русификатор?

Недавно установила игру Legacy of Kain: Revive. Но она на английском, и т.к. она фанатская, для неё, скорее всего, нет русификаторов, поэтому я решила создать свой, но столкнулась с некоторыми проблемами. В папке с игрой, помимо .exe файла есть только 3 файла .dll. При их открытии любой программой (я пробовала их открыть с помощью Restorator, Resource Hacker и Resource Tuner) отображается только информация о версии. В .exe файле помимо нее содержится только иконка и что-то, напоминающее код. Все. Никаких картинок, кода, и прочих игровых ресурсов. Как мне в таком случае сделать русификацию и есть ли какие-нибудь другие программы для этого? Или я просто что-то не так делаю?

Игровой текст с большой вероятностью находится в экзешнике. И с большой вероятностью он находится не в виде обычного теста, а в виде неких тайлов, поэтому от всяких ресурсе хакеров толку будет ровно ноль. Игра создана с помощью Scrolling Game Development Kit 2. скачай эту штуку и попробуй поиграться с ней (хотя я сомневаюсь, что она откроет готовый экзешник). Ну или попробуй как вариант какие-нибудь тайловые редакторы, может, чего и выйдет. Удачи.

• пожаловаться
• скопировать ссылку

Антисоциал
Я скачала несколько тайловых редакторов, но все они предназначены в первую очередь для ромхакинга, и работают с соответствующими форматами (при попытке открыть .exe файл отображаются просто хаотичный набор пикселей). Я почитала, что это (ромхакинг) и зачем он нужен(для лучшего понимания ситуации). В принципе, это именно то, что мне нужно, но была проблема в том, что ромхакинг подразумевает изменение ресурсов консольных игр, преимущественно старых. Несмотря на схожесть этих игр и той, которую я хочу перевести, из-за разницы форматов воспользоваться тайловыми редакторами не получилось. Но благодаря этому я поняла, какие программы мне нужно искать. Сейчас скачала одну программу, благодаря которой мне удалось извлечь ресурсы из игры. Осталось изменить шрифт на русские буквы и с помощью HEX-редактора заменить буквы на соответствующие русские.

Meceas
Я рад, что всё получилось. В большинстве случаев создать русификатор не так просто, как кажется на первый взгляд.

Meceas
Так какая программа для перевода была скачана ? Тоже хотелось бы заняться русификацией игры.

Sider999
Было использовано несколько программ.
Сначала с помощью программы Extractor (можешь найти на этом сайте) я вытащила из игры все изображения и нашла среди них картинку со шрифтом (английским). Затем я английские буквы заменила русскими (т.к. английский алфавит меньше, некоторыми буквами пришлось пренебречь), предварительно записав, что чем заменяю, и с помощью той же программы заменила изначальное изображение на новое, с русскими буквами. Затем с помощью любого Hex редактора нужно открыть .exe файл (все предыдущие манипуляции проводятся так же с ним), найти текст (в моем случае он в конце), перевести и заменить оригинальные буквы другими, соответствующими русским (именно для этого нужно было записать, что чем заменяешь). В принципе все, НО!

По большей части все зависит от того, что именно ты хочешь перевести. В моем случае игра крайне небольшая и малоизвестная, без огромного кол-ва файлов. Поэтому и способ такой. Если игра более известная, хотя бы на уровне гарри поттера (именно игр по нему), то там скорее всего больше файлов разных форматов, и текст скорее всего будет уже в них, а не в .exe файле. В таком случае есть специальные программы по взлому той или иной игры. Это либо какие-то большие программы с кучей форматов разных игр(к примеру, Dragon Unpacker), либо, если игра малоизвестна, то скорее всего есть специальная программа для открытия файлов только этой игры. Возможно придется использовать несколько программ (тот же Hex-редактор). А возможно принцип будет отличаться от слова совсем. Все от игры зависит.

Как сделать русификатор для игры самому

Создание русификатора с нуля - дело трудоемкое и долгое, однако несложное (при достаточном уровне английского), но таким заниматься нет смысла. Все перевели до вас, поэтому серьезно делать полный перевод не надо, ну только если и правда какой-то мод новый. Если вас что-то не устраивает в установленном у вас переводе, можно просто изменить его под себя.

• Использовать созданную для этого программу Mouse&Brain [rusmnb.ru]
• Использовать текстовый редактор (например Notepad++ [notepad-plus-plus.org] ).

Как текстовый редактор он, несомненно, могет. Однако, перевод файлов игры через него очень геморный. Если программа дает вам сразу две строки и с одной вы переводите, а в другую пишете, то через Notepad так не выйдет. Вам придется стирать английскую версию фразы и вписывать вместо нее русскую. Так вы можете прямо на ходу печати забыть/перепутать/пропустить слово и т.д. Ну и еще выделять в нем очень длинные фразы, ♥♥♥♥♥♥♥♥♥♥♥♥, какая трудная задача. Строка не переносится на начало следующей при упоре в край экрана, а бесконечно тянется вправо. Одно случайное движение мышью вверх/вниз и вы выделили полфайла сразу.

Все это знаю по себе. Но тут уж вам решать. Хотите помучаться, значит есть зачем.
Переводить M&B через Notepad, все равно что кодить на стандартном Блокноте.

Лучше всего изменять/переводить не оригинальные файлы, а их копии. Чтобы получить их выполняем следующие действия:

Запускаем игру в оконном режиме. Ставьте галочку "Запускать в окне".

После запуска игры, находясь на глобальной карте, смотрим в верхний левый угол экрана и жмякаем View - Create Language Template - Default

Теперь копии файлов, в которых хранится весь текст игры находятся по пути
Steam Library - steamapps - common - Mount and Blade Warband - new_language

Менять будем именно их, чтобы не накосячить в основных файлах, которые пока еще используются игрой.

После скачивания программы, открываем наши скопированные файлы.

Чтобы сделать полный русификатор с нуля придется перевести и отпечатать вручную весь список файлов на картинке. В некоторых файлах больше двух тысяч строк. Не дай Бог, таким заниматься.

Вот так выглядит открытый в программе текстовый файл. Строка "Оригинальный текст" не редактируется и служит для перевода с нее. Строка "Ваш перевод" соответственно редактируется вами. После ввода вашего перевода в строку не забывайте нажимать "Заменить".
Когда закончите с файлом сохраните его. Можно сохранить его как копию открытого, в любой закоулок памяти ПК, а можно сразу назвать его как оригинал и заменить в той же папке.

Когда вы закончите со всеми файлами, то назовите папку с ними ru и закиньте ее с заменой по пути Steam Library - steamapps - common - Mount and Blade Warband - Modules - тот модуль, который вы меняли - languages

Все, теперь вы можете открывать игру и выбирать русский язык для нужного вам модуля.

Как я уже говорил, переводить всю игру не нужно. Используйте эту программу для того чтобы поправить ошибки в фразах, перевести какую-то забытую строчку и изменить то, что вас раздражает.
К примеру, для себя я изменил манеру речи посредников в тавернах, убрав им немецкий акцент. Еще перевел вступительный отрывок при создании новой игры и исправил несколько опечаток в словах.
Работа непыльная, но способна доставить вам удовольствие на выходе.

Если вас заинтересовали мои гайдики, вы можете увидеть весь их список через менюшку или через обсуждения.

Чем я пользуюсь для русификации ⁠ ⁠

Привет! На связи Теодорррро. О том, чем я занимаюсь — в предыдущем посте.

В прошлый раз я обещал рассказать о программах и сайтах, которыми я пользуюсь для русификации программ и руководств.

Шаблонные редакторы

Начну с шаблонных редакторов. Это программы, которые предназначены для перевода других программ и руководств к ним. Обычно они достаточно универсальны и позволяют делать перевод и локализацию мобильных приложений, приложений для Windows (MAC OS X у меня нет) и сопутствующей документации.

Опишу их вкратце, только плюсы и минусы.

Мой абсолютный фаворит для перевода справок CHM.

Большую часть времени я провожу именно в нём, ибо локализация руководств — дело небыстрое.

+ идеален для перевода справок CHM + ни один другой редактор не оставляет указатель нетронутым в том порядке, в котором он был;

+ поддерживает память переводов;

+ позволяет импортировать перевод из уже переведённых файлов, в том числе из предыдущих версий исполняемых файлов и из файлов проектов, настройки импорта достаточно гибкие;

+ в целом этот редактор очень легко и гибко можно настроить «под себя»;

+ поддерживает много исходных форматов для перевода.

— очень не хватает функции «нестрогий перевод» или «похожий перевод» — когда в памяти перевода ищутся не только 100 % совпадения, но и похожие строки. Эта функция очень ускорила бы процесс перевода, поскольку часто встречаются исходные строки, различающиеся буквально одним словом или даже символом. Этот редактор считает такие строки совершенно разными)))

— не работает с жёстко-закодированными строками (текстом, который разработчики программы не вывели в отдельные ресурсы, из-за чего их нужно выискивать в исполняемом файле вручную);

— не обновлялся уже 3 года, а за это время вышло много изменений форматов + новые форматы для перевода;

— не поддерживает глоссарии (вид памяти переводов);

— встроенная функция памяти перевода ограничена длиной строки не более 512 байт, то есть нельзя хранить достаточно длинные строки текста.

SDL Passolo

В нём мне привычнее и удобнее всего переводить приложения для Windows.

Процесс перевода программы для лазерных дальномеров.

+ постоянно обновляется — регулярно выходят новые версии с поддержкой новых форматов и настроек;

+ поддерживает глоссарии и память перевода любой длины, без ограничений;

+ имеет функцию «нестрогий перевод», которая очень сильно ускоряет перевод похожих строк;

+ поддерживает интеграцию с SDL Trados, мощнейшей системой автоматизированного перевода;

+ поддерживает множество исходных форматов;

+ поддерживает плагины, макросы + настраиваемые парсеры (правила считывания и разбора исходных файлов, чтобы «выцепить» из них строки для перевода).

Несмотря на кажущуюся идеальность, для меня Passolo имеет и минусы:

— не работает с жёстко-закодированными строками;

— некорректно работает с CHM — портит указатель и некорректно обрабатывает русскую кодировку.

Использую редко, да метко. Иногда без него просто не обойтись!

Открывает скомпилированные файлы перевода QT!

+ единственный (!) из всех мне известных редакторов, который позволяет редактировать уже скомпилированные файлы перевода QT — *.qm;

+ для меня это лучший редактор, который работает с жёстко-закодированными строками (с помощью IDA Pro, об этом позже);

+ имеет не так много настроек, как предыдущие, но их ровно столько, сколько нужно — ничего лишнего;

+ поддерживает функцию «нестрогий перевод»;

Имеет и большие минусы:

— морально устарел, не обновляется с 2012 (!) года, хотя до сих пор способен удивлять своими возможностями;

— не может работать с CHM;

— периодически Radialix выдаёт критические ошибки или просто внезапно закрывается.

Текстовые редакторы для документации

В них я работаю, в основном, с документами и справками в формате PDF.

Help & Manual

Предназначен для написания документации, но я им пользуюсь исключительно для быстрого автоматического преобразования CHM в PDF (если быть точным, CHM > DOCX > PDF) с использованием шаблонов оформления.

Infix PDF Editor

Позволяет локализовать документы PDF с сохранением исходного форматирования. Если он не справляется с этой задачей, я создаю документ заново в Microsoft Word.

Microsoft Word

Да, обычный Word. В нём я создаю полные копии исходных документов PDF (в плане форматирования), затем экспортирую в PDF. Для экспорта пользуюсь Acrobat, а не встроенным функционалом Word, который сильно снижает разрешение иллюстраций и не имеет некоторых настроек.

Удобный редактор с подсветкой синтаксиса, когда нужно на скорую руку перевести небольшие текстовые файлы, не создавая проект в шаблонном редакторе.

Бюджетный аналог Фотошопа.

Простой и быстрый графический редактор с поддержкой слоёв. В нём я перевожу иллюстрации.

Выделяю буквы…

…и удаляю их!

Специальный графический редактор, с помощью которого я удаляю текст со сложного фона, чтобы разместить поверх него текст перевода.

Утилиты в помощь переводчику

Различные программы, которыми я пользуюсь для русификации.

Restorator 2007

Верните мой 2007-й! Ностальгииииия. С него всё начиналось.

Отображает ресурсы (значки, курсоры, текстовые строки, меню и окна) исполняемых файлов и библиотек Windows. Я работаю в шаблонных редакторах, а Restorator 2007 до сих пор пользуюсь для быстрого просмотра ресурсов.

Punto Switcher (Caramba Switcher)

Программы этого рода помогают в ситуации, когда, увлёкшись, набираешь текст в неправильной раскладке. Здесь я автоматику отключаю и исправляю раскладку только по нажатию клавиши.

Программа, в которой собрано несколько онлайн-систем перевода и словарей на разных вкладках. В ней удобно переключаться по вкладкам и сравнивать переводы.

Smart Install Maker

В этой программе я создаю установочные файлы для русификаторов. Эта утилита умеет читать путь из реестра, что очень важно для того, чтобы русификатор смог правильно определить папку, в которой установлена русифицируемая программа. К сожалению, у Smart Install Maker уже несколько лет не было новых версий.

PatchWise Free

Позволяет создавать крохотные русификаторы-патчи. Патч содержит не весь файл, а только изменения в нём, из-за чего русификатор сильно выигрывает в размере. Из минусов — настроек у этой утилиты крайне мало, и морально она давно уже устарела.

Быстрый и удобный редактор значков *.ico. В нём создаю значки для установщиков русификаторов.

Проверяю изменения в новой версии справки

Мой главный инструмент для сравнения файлов. С его помощью я могу понять, какие файлы изменились в новой версии той или иной программы.

Дизассемблер, которым изредка пользуюсь только в связке с Radialix для перевода жёстко-закодированных строк. Radialix устанавливает в IDA Pro специальный плагин, с помощью которого можно отыскать все ЖЗ-строки и отправить их в Radialix для перевода, не опасаясь нарушить структуру исполняемого файла или библиотеки.

Очень быстрый поиск по именам файлов на компьютере.

Утилита для поиска текста в файлах. Если в программе, которую я хочу локализовать, вижу какой-то текст, но при этом не могу понять, в каком файле программы этот текст находится, я пользуюсь этой утилитой.

Поиск текста в файлах также можно делать с помощью Notepad++:

Быстрый и удобный скриншотер. В нём я создаю скриншоты-иллюстрации для руководств и справок. Поддерживает автоматическое применение эффектов при создании скриншота — тени под изображением или водяного знака, к примеру.

Сайты в помощь русификаторщику

Самый полный онлайн-словарь, превосходит по объёму даже ABBYY Lingvo. Постоянно пополняется пользователями. Я и сам вносил туда переводы терминов.

Онлайн-словарь и память переводов. Постоянно пополняется. Можно найти готовые переводы шаблонных фраз и даже целых стандартных документов. Например, перевод страницы по безопасному обращению с электроприборами для руководства к электронной гитаре я взял оттуда, сделав небольшие коррективы.

Онлайн-словарь и термины для всех программ и продуктов, выпущенных корпорацией Майкрософт.

Также на этом портале можно скачать официальные руководства Майкрософт по локализации программ. Начинающим переводчикам будет крайне полезно ознакомиться с ними. Там есть рекомендации не только по технической стороне вопроса, но и по стилистике языка и по особенностям культуры страны, для которой делается перевод.

Крупнейшая онлайн-база данных русификаторов. На нём я выкладываю свои работы. Есть форум, на котором можно пообщаться на тему русификации.

Сообщество русификаторщиков. Здесь делятся своими работами по русификации и обмениваются опытом.

В следующий раз я расскажу о каком-нибудь из своих проектов по русификации или подробнее объясню, как работать в шаблонных редакторах, например. И задавайте вопросы, с удовольствием на них отвечу!

Ознакомиться с данной статьёй можно в моём сообществе ВКонтакте, посвящённом русификации.

До новых встреч!

Как пользователь весьма сложного оборудования скажу. Все переведённые мануалы (положенные по закону при поставке) аккуратно складываю стопочкой в шкафу и читаю англоязычные исходники. Во-первых, там всё более однозначно, во-вторых гораздо меньше ляпов и переводческой отсебятины. Особенно "радуют" переводы терминов и сокращений от наших надмозгов. Бывают и просто ошибки, переворачивающие смысл с ног на голову.

я QTranslate использую если очень надо, а в остальном не требуется, в играх некоторых типа старого варкрафта 3 фт пока переведешь все устанешь, а там надо типа шмотка какая для чего и что дает, ctrl+t выделил и перевела программа, удобно кстати ))

Что любопытно, на перевод каких программ может быть спрос в 2021?

Сейчас крупные пакеты почти повсеместно русифицированы или вообще работают как веб-приложения, на которые патч не накатишь. А всякая мелочевка - простая и интуитивная вплоть до уровня интеллекта инфузории-туфельки.

А есть ли бесплатные программы переводов интерфейса программ и справок?
Перевод справок желательно наглядно, как если использовать в браузере contentEditable=true . Делаю это так на иностранных сайтах, перевожу с помощью "Qtrranslate" и потом сохраняю в MHT, чтоб форматирование не подевалось, и русский язык остался. При этом заметил, если сохранять как HTML, то часто русский язык не фиксируется.

R.G. MVO полностью озвучит Dead Space Remake на русский язык⁠ ⁠

Всем доброго времени суток, друзья! Многие наверняка уже отгадали, о чём будет пост. Это было не просто ожидаемо, а скорее долгожданно)

Да, мы объявляем об открытии сборов на ПОЛНУЮ русскую локализацию Dead Space Remake! Как вы знаете, игра не получила перевода на русский вообще в каком-либо виде, а значит мы возьмёмся как за дубляж речи, так и за текст.

Сборы проходят на Бусти - https://boosty.to/mvo_team (раздел "ЦЕЛИ" слева)

А если кому-то удобнее, то можно поддержать на DonationAlerts (ОБЯЗАТЕЛЬНО напишите, на какую именно игру совершаете донат) - https://www.donationalerts.com/r/rg_mvo

Первое демо постараемся показать уже в марте. Текстовую локализацию стоит ожидать ближе к апрелю, а саму озвучку уже летом.

По поводу самой игры и локализации.

Диалоги заметно прибавили в размерах, причём не только из-за заговорившего Айзека Кларка, но и из-за расширенной сюжетной линии многих второстепенных персонажей. Текстовые логи эволюционировали до АУДИОлогов. А персонажи, которые раньше просто оставляли предсмертный аудиолог, отныне напрямую взаимодействуют с нашим героем, прямо как Кендра и Хэммонд.

Ну и весь этот сыр-бор мы будем озвучивать с привлечением профессиональных актёров дубляжа, как широко известных, так и молодых, но не менее талантливых ребят и девчат.

Да, возможность вернуть голоса из старой озвучки есть, первым делом пригласим Петра Гланца и Рамилю Искандер на роли Хэммонда и Кендры соответственно. Нону Виноградову (голос Ишимуры, а также Присцилла из Ведьмака и Доктор Вален из XCOM) также постараемся привлечь, так как нашлось не малое число желающих вновь услышать её голос.

А вот остальные персонажи получили заметные изменения. В характере, во внешности и в голосе. К примеру, Доктор Терренс Кейн стал выглядеть моложе, в то время как Александр Груздев, озвучивший его в те времена, стал звучать старше. Но не исключены камео старых актёров на других ролях.

А ещё многие успели пожаловаться на "повесточку" в игре, мы пока что заметили лишь фразу Кендры в самом начале. Если это в дальнейшей вообще никак более не упоминается, то мы не понимаем всеобщей паники, но коли многих это так волнует, то вполне можно ОПЦИОНАЛЬНО внести вариант озвучки без упоминания меньшинств, во имя спокойствия игроков.

The Suffering - Анонс русской озвучки⁠ ⁠

Всем привет! Мы тройку месяцев назад анонсировали локализацию культового хоррора The Suffering, вот теперь и демонстрацию дубляжа его интро выкладываем.

Мы давно заметили, что игры середины нулевых страдают кучей болячек в плане звука, и этот проект не стал исключением. Игра встретила нас скачками громкости голосов персонажей + порой внезапно возникающим на переднем плане эмбиентом, который по изначальной задумке должен был тихонечко звучать где-то на заднике. С одним лишь вступительным интро мы возились длительное время, и результат наших стараний вы можете оценить сами.
Куратор проекта после такого даже подумывает больше не мучаться со старенькими играми нулевых и перейти полностью на. Нет, не новинки, а на игры 90-ых.

Также, помимо вступления, уже были записаны три основные роли, но показывать вам мы их не будем! Пока что.
А благодаря вашей поддержке, за что огромнейшее спасибо, в феврале состоится запись ещё некоторых персонажей, однако озвучивание самых главных и объёмных ролей будет завершено не скоро ввиду довольно большого количества реплик у них.

Наверняка все знают, что у игры была одноголосая озвучка в исполнении Леонида Володарского. Для тех, кто не в курсе о "крутости" этой локализации от Нового Диска, на ютубе есть её хороший разбор: https://youtu.be/65tHEu9kmU0

Так что даже если вы фанат одноголосой озвучки, то как минимум впервые появившийся адекватный перевод текста должен будет вас заинтересовать.

Оставляйте ваше мнение, да и вообще всячески показывайте вашу заинтересованность в тех или иных проектах. Приятного просмотра!

Руководство по парольной политике. Часть 1⁠ ⁠

Первая часть практического руководства по созданию эффективных паролей от коллектива иностранных авторов, переведённого экспертами Origin Security специально для наших читателей

1. Примечание переводчика

Пароли повсеместно используются в современном мире. Если у вас есть учетная запись на компьютере, то наверняка будет хотя бы один пароль. Пароли использовались в компьютерах с момента появления вычислительной техники. Первой операционной системой с реализованным механизмом аутентификации на основе пароля стала Compatible Time-Sharing System (CTSS), представленная в Массачусетском технологическом институте в 1961 году.

Пароли – это самая простая форма реализации информационной безопасности. В течение многих лет эксперты пробовали сделать пароли более сложными для взлома, применяя различные правила создания и использования паролей (т.н. парольные политики).

Однако, при всей технической простоте реализации, парольная политика нередко оказывает спорное влияние на уровень безопасности информационных систем. Необоснованно завышенные требования к сложности и сменяемости паролей часто приводят к тому, что пользователи их просто забывают, после чего надоедливо отвлекают безопасников просьбами сменить пароль. Распространенными среди пользователей практиками являются также запись сложного пароля на стикере, который виден всем окружающим, или изменение только последнего символа пароля при появлении требования об установке нового пароля.

Поэтому, чтобы эффективно противодействовать злоумышленнику, парольная политика должна иметь реальное обоснование и не приводить пользователей в замешательство и расстройство. Некоторые крупные игроки в области стандартизации информационных технологий (NIST, Microsoft и пр.) недавно разработали новые парольные политики, основанные на двух базовых принципах:

1. Использование данных о техниках и тактиках действий злоумышленников.

2. Облегчение пользователям создания, запоминания и использования надежных паролей (учет человеческого фактора).

Цель этого документа – не изобретать велосипед, но объединить новые руководства по парольной политике в одном месте. Создать универсальную парольную политику, которую можно использовать везде, где это потребуется.

2.1 Обзор лучших практик

Каким бы стойким ни был пароль, эффективная защита может быть достигнута только при комплексном подходе с применением разнообразных механизмов. Подходы к реализации парольной политики можно ранжировать следующим образом (от более предпочтительных к менее):

2.1.1. Многофакторная аутентификация (МФА)

МФА – это самый эффективный метод защиты, и, хотя в руководстве ему посвящён отдельный раздел, здесь он заслуживает особого упоминания. МФА должна быть приоритетным вариантом при проектировании системы аутентификации для всех пользователей и везде, где это возможно. Особенно она необходима для безопасности доступа администраторов и других привилегированных учетных записей. Понятно, что МФА сама по себе не является панацеей хотя бы потому, что далеко не во всех информационных системах возможна её техническая реализация. Кроме того, даже при использовании МФА иметь стойкий пароль полезно, поскольку он используется как один из факторов.

2.1.2 Менеджер паролей

Инструмент позволяет создавать и хранить уникальные и сложные пароли для каждой учетной записи. Использование менеджеров паролей может значительно повысить безопасность и удобство авторизации пользователей.

2.1.3 Политика создания и применения паролей пользователями

Этот подход наиболее полно описан в данном руководстве, поскольку он является самым распространенным в настоящее время. Вместе с тем, большая часть рекомендаций актуальна для всех трех методов.

3. Обзор рекомендаций

Краткое описание рекомендаций по парольной политике представлено в таблице ниже. Детальная информация по каждой рекомендации раскрыта в главе 5.

Общая цель эффективной парольной политики – позволить пользователям легко создавать достаточно надежные пароли для доступа к системе, а затем отслеживать и ограничивать попытки доступа для обнаружения/предотвращения их несанкционированного использования.

4. Насколько важен пользовательский пароль?

Ввиду повсеместного использования паролей для доступа к компьютерным системам всех типов, очевидно, что пароли очень важны. Но существует ли компромисс между безопасностью и удобством использования? Не привели ли попытки разработать политику, чтобы сделать более безопасными применяемые пароли, к фактическому снижению уровня безопасности системы из-за человеческого фактора? В известной статье Алекса Вайнерта (Microsoft) «Your Pa$word doesn’t matter» приведено описание реальных атак на пользовательские пароли, развеяны распространенные мифы о надежности паролей и поведении пользователей. Обобщенная информация представлена в следующей таблице:

Из всех распространенных атак, перечисленных выше, надежность пароля имеет значение только в двух случаях:

✧ проводимые онлайн: перебор учетных записей (password spraying, password guessing);

✧ проводимые офлайн: перебор паролей, взлом (brute force, database extraction, cracking).

Давайте рассмотрим их подробнее.

4.1 Атаки, проводимые онлайн

Password Guessing или Hammering – это систематический подбор пароля злоумышленником к одной целевой учетной записи. Перебор проводится преимущественно по словарям и по утечкам, найденным в Интернете.

Password Spraying – это вариант атаки, при котором злоумышленник использует те же списки паролей, но нацеливается на множество общедоступных или легко определяемых (например, общий формат имени учетной записи) учетных записей пользователей.

В случае с Password Guessing кажется, что здесь важна надежность пароля, но на самом деле гораздо важнее мониторинг и ограничение неудачных попыток входа. При наличии разумных ограничений и мониторинга тот факт, что современные технологии позволяют перебирать миллиарды паролей в секунду, не имеет значения, поскольку учетная запись будет заблокирована, а администратор безопасности – уведомлен об инциденте. Именно поэтому более распространенной формой атаки стал Password Spraying, но чтобы он был эффективным, злоумышленнику необходимо избегать блокировки учетных записей. Добиться этого можно, если узнать формат имени учетной записи, принятый в целевой организации. В таком случае атака заключается в переборе ограниченного словаря паролей, но в отношении множества учетных записей, что не приводит к их блокировке и позволяет злоумышленнику не попадать в поле зрения команды защитников.

Даже в этих случаях более сложный пароль не является лучшим решением. Гораздо более эффективным и простым для пользователей вариантом будет использование более длинных, сложных и разнообразных имен учетных записей. Действенным способом обнаружения атак типа Password Spraying является использование специальных сигнальных учетных записей. Это действительные аккаунты с минимальными привилегиями, которые соответствуют принятой парольной политике, но не предназначены для доступа. Попытки авторизации с их помощью свидетельствуют о компьютерной атаке, расследование которой позволяет администраторам информационной безопасности заранее обнаружить угрозу и не допустить компрометации паролей настоящих учетных записей.

4.2 Атаки, проводимые офлайн

Это единственный вариант, когда сложность пароля по-настоящему имеет значение. При такой атаке злоумышленник уже завладел базой данных учетных записей/паролей целевой компании, в которой пароли хранятся в хэшированном виде (вместо обычных текстовых паролей, что было бы слишком просто). В дальнейшем злоумышленник восстанавливает настоящие пароли из найденных хэш-сумм методом перебора с применением одного из множества свободно распространяемых инструментов (например, John the Ripper или L0phtCrack) или специальной программой, разработанной для этого самим злоумышленником.

Мы не будем подробно описывать принцип работы этих программ (существует множество открытых источников по взлому паролей), но в общем случае злоумышленник может сделать следующее:

1. Создать «брут-машину»: стандартное компьютерное оборудование с высокопроизводительной видеокартой, которое может вычислять и проверять несколько миллиардов несложных хэшей (MD5, SHA1, NTLM и т.д.) в секунду. Легкодоступные установки для добычи криптовалют (майнеры) могут без труда достичь скорости перебора в 100 миллиардов хэшей в секунду, а хорошо финансируемые злоумышленники (прогосударственные группировки) могут достичь скорости и в 100-1000 раз выше.

2. Перебрать все возможные пароли. При использовании майнера и предположении, что мощность словаря пароля составляет 96 символов, бездумное перебирание всех вариантов пароля займёт следующее время:

3. Ускорить перебор, используя дополнительные техники и знания:

✧ изучив целевую организацию, злоумышленник может выяснить алгоритм хэширования и специфичные для неё правила генерации паролей (минимальная/максимальная длина, сложность и т. д.);

✧ использовать списки паролей, полученные в результате предыдущих взломов (огромное количество паролей уже находятся в свободном доступе). После хеширования проводится проверка на совпадение с хэшами в целевой базе данных. По статистике, это позволяет взломать около 70% паролей пользователей;

✧ если это не сработает, злоумышленник может составить список всех популярных фраз, текстов песен, заголовков новостей, частых запросов поисковых систем, википедии, популярных статей и т.д. Или взять готовый — подобные списки доступны в различных сообществах «хэшбрейкеров». Таким образом можно подобрать еще 5-7% паролей пользователей;

✧ наконец, злоумышленник может использовать предугаданные шаблоны (например, пароль всегда начинается с заглавной буквы, затем 3-6 строчных букв, 2-4 цифры и восклицательный знак в конце) и подобрать более длинные пароли (до 12 символов). Это позволяет вскрыть еще 5-7% пользовательских паролей.

4. В случае использования «соли» для хранения паролей в базе (применения к хэшу дополнительного преобразования, усложняющего автоматический перебор), данные техники применяются не для всех хэшей, а для одного. Вместе с тем, атака проводится с высокой вероятностью успеха почти в 85% и за относительно короткий промежуток времени, что позволяет злоумышленнику перейти к следующей учетной записи и последовательно перебрать их все.

Здесь стоит отметить следующее:

✧ данный метод перебора работает только в том случае, когда у атакующего есть база учетных записей/паролей. Как злоумышленник получил ее? Если уровень доступа атакующего достаточен, чтобы получить базу данных, то целью он, скорее всего, уже владеет;

✧ если база данных учетных записей/паролей, полученная злоумышленником, не относится к цели, то взломанный пароль все равно нужно попробовать на реальной учетной записи в целевой системе;

✧ человек вряд ли сможет создать надежный пароль, который выдержит описанные попытки взлома. Если противодействие им необходимо, используйте длинный и сложный пароль, сгенерированный автоматически. Например, созданный и управляемый менеджером паролей;

✧ технические возможности для взлома хэшей постоянно растут. Неужели мы будем постоянно гнаться за ними, делая пароли всё длиннее, сложнее и труднее для запоминания, пытаясь справиться с одним-единственным сценарием атаки? Очевидно, будет лучше использовать более комплексный подход.

Таким образом, необходимости использования паролей со сложностью выше определенного разумного уровня нет. Так почему бы не разработать политику, поощряющую достаточно надежные пароли, которые легко создавать, запоминать и использовать? Данное руководство призвано помочь с этим, и мы продолжим в следующей части