Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Особливості парольних систем аутентифікації
При всьому різноманітті існуючих механізмів аутентифікації, найбільш поширеним з них залишається парольний захист. Для цього є декілька причин з яких ми відзначимо наступні [9]: Ø Відносна простота реалізації. Дійсно, реалізація механізму парольного захисту зазвичай не вимагає залучення додаткових апаратних засобів. Ø Традиційність. Механізми парольного захисту є звичними для більшості користувачів автоматизованих систем і не викликають психологічного несприйняття – на відмінну, наприклад, від сканерів малюнка сітківки ока. Для парольних систем захисту характерний парадокс, що ускладнює їх ефективну реалізацію: стійкі паролі мало придатні для використання людиною. Дійсно, стійкість пароля прямо пропорційна його складності. Однак чим складніший пароль, тим важче його запам'ятати, і у користувача з'являється спокуса записати незручний пароль, що створює додаткові канали для його дискредитації. В загальному випадку пароль може бути отриманий зловмисником одним з трьохпоширених способів: 1) За рахунок використання людського фактору [7, 8]. Методи отримання паролів тут можуть бути самими різними: a) підглядання, b) підслуховування, c) шантаж, d) загрози, e) зрештою, використання чужих облікових записів з дозволу їх законних власників. 2) Шляхом підбору. При цьому використовуються наступні методи: i) Повний перебір. Даний метод дозволяє підібрати будь-який пароль незалежно від його складності. Проте час, необхідний для реалізації даної атаки, для стійкого пароля буде досить значним і логічно припустити, що він буде суттєво перевищувати допустимі ресурси часу, наявного у зловмисника. ii) Підбір по словнику. Значна частина паролів, що використовуються на практиці є осмисленими словами або виразами. Існують словники найпоширеніших паролів, які у багатьох випадках дозволяють обійтися без повного перебору. 3) Підбір з використанням відомостей про користувача. Даний інтелектуальний метод підбору паролів грунтується на тому факті, що якщо політика безпеки системи передбачає самостійне призначення паролів користувачами, то в переважній більшості випадків у якості паролю буде обрана якась персональна інформація, пов'язана з користувачем АС. І хоча такою інформацією може бути вибрано що завгодно, від дати народження коханої людини і до прізвиська улюбленого песика, наявність певної інформації про користувача дозволяє перевірити найбільш поширені варіанти (дні народження, імена дітей і т.д.). 4) За рахунок використання недоліків реалізації парольних систем. До таких недоліків реалізації відносяться експлуатовані уразливості мережевих сервісів, що реалізовують певні компоненти парольної системи захисту або ж недекларовані можливості відповідного програмного або апаратного забезпечення. При побудові системи парольного захисту необхідно враховувати специфіку АС і керуватися результатами проведеного аналізу ризиків. В той же час можна привести наступні практичні рекомендації: § Встановлення мінімальної довжини пароля. Очевидно, що регламентація мінімально допустимої довжини пароля суттєво ускладнює для зловмисника реалізацію підбору пароля шляхом повного перебору. § Збільшення потужності алфавіту паролів. За рахунок збільшення потужності (яке досягається, наприклад, шляхом обов'язкового використання спецсимволів) також можна ускладнити повний перебір. § Перевірка і вибраковування паролів за словником. Даний механізм дозволяє ускладнити підбір паролів за словником за рахунок вибраковування явно «підбирабельних» паролів. § Встановлення максимального терміну дії пароля. Термін дії пароля обмежує проміжок часу, який зловмисник може затрачувати на підбір пароля. Тим самим, скорочення терміну дії пароля зменшує вірогідність його успішного підбору. § Вибраковування по журналу історії паролів. Механізм запобігає повторному використання паролів – можливо, раніше скомпрометованих. § Обмеження числа спроб введення пароля. Відповідний механізм ускладнює інтерактивний підбір паролів. § Примусова зміна пароля при першому вході користувача в систему. У випадку якщо первинну генерацію паролів для всіх користувач здійснює адміністратор, користувачу може бути запропоновано змінити первинний пароль при першому ж вході в систему – в цьому випадку новий пароль не буде відомий адміністратору. § Затримка при введенні неправильного пароля. Механізм перешкоджає інтерактивному підбору паролів. § Заборона вибору пароля користувачем і автоматична генерація пароля. Даний механізм дозволяє гарантувати стійкість згенерованих паролів, проте варто усвідомлювати, що в цьому випадку у користувачів можуть виникнути проблеми із запам'ятовуванням паролів.
|