КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Защита кодов паролей от несанкционированного доступа
|
|
|
|
Средства разграничения и контроля доступа работают лишь тогда, когда действительные значения кода паролей недоступны посторонним лицам.
Во избежание компрометации кодов паролей их тоже необходимо защищать от несанкционированного доступа. Компрометация паролей может произойти при следующих обстоятельствах:
случайном высвечивании или распечатке паролей в присутствии посторонних лиц;
анализе остатков информации в запоминающих устройствах во время профилактики и ремонта технических средств комплекса средств автоматизации обработки информации;
отказах аппаратуры, приводящих к невозможности стирания секретной информации;
наличии возможности доступа к паролям со стороны технического обслуживающего персонала;
прямого хищения носителей кодов паролей;
аварийных ситуациях, приводящих к невозможности контроля доступа к информации и средствам ее обработки;
умышленном считывании паролей при доступе через сеть и использовании специального программного обеспечения.
В этой связи перечислим основные меры предосторожности, рекомендуемые для защиты кодов паролей:
1) пароли никогда не следует хранить в информационной системе в явном виде, они всегда должны быть зашифрованы;
2) пароли не следует печатать (отображать) в явном виде на терминале пользователя (за исключением терминала оператора службы безопасности информации, который должен находиться в изолированном помещении). В системах, где характеристики терминалов не позволяют это сделать, пароль печатается на маску, закрывающую его значение;
3) чем больший период времени используется один и тот же пароль, тем больше вероятность его раскрытия. Следовательно, его надо менять как можно чаще и по случайному закону;
|
|
|
4) система никогда не должна вырабатывать новый пароль в конце сеанса связи даже в зашифрованном виде, так как это позволит нарушителю легко им воспользоваться.
Для закрытия кодов паролей можно использовать методы необратимого шифрования или более сложный метод "необратимой беспорядочной сборки", когда пароли с помощью специального полинома преобразуются в зашифрованный пароль. В этом случае не существует никакой схемы для возвращения к оригиналу пароля. При вводе пароля система преобразует его по данному закону во время процесса регистрации и сверяет результат с преобразованным ранее паролем, хранящимся в системе. Примером такого преобразования может быть полиномиальное представление:
где р = 264 - 59;
n = 224 + 17,
n1 = 224 + 3,
аi — любое произвольное 19-разрядное число (i = 1, 2, 3, 4, 5),
х — пароль в явной форме,
f(х) — зашифрованный пароль.
Более детально выбор полиномов рассмотрен в специальной литературе
Однако при выборе данного метода следует защититься от возможного его обхода путем перебора значений пароля. В первую очередь обязателен контроль несовпадений, который состоит в том, что при количестве несовпадений, например, более трех, должен вырабатываться сигнал тревожной сигнализации и блокировки обращения с указанием времени и места события. В ответственных случаях рекомендуется также введение временной задержки на выдачу результата совпадения введенного и хранимого паролей для того, чтобы увеличить ожидаемое время раскрытия пароля. Расчет временной задержки приведен в подразделе 4.
Возможен и другой способ защиты паролей, использующих метод гаммирования (наложения) при наличии в компьютере (комплексе средств автоматизации обработки информации) по меньшей мере двух (не считая резервных) конструктивно разделенных областей памяти.
|
|
|
Если обозначить через X1, Х2... Хп коды паролей, подлежащие защите, а через К1, К2... Кп — соответствующие коды их закрытия, то, используя метод гаммирования, можно получить закрытые значения кодов паролей Y1, Y2, •••,Yn путем сложения чисел X и К по тоd 2
Значения К и Y хранятся в компьютере в разных областях памяти, а значения X не хранятся. При поступлении в компьютер кода пароля от пользователя производится сложение по mod 2 его значений с соответствующим кодом закрытия " К ". Результат сложения проверяется на совпадение с хранимым значением Y. Смысл защиты заключается в раздельном хранении значений “ K” и “ Y” (так как ), доступ к которым должен быть открыт только программе опознания пользователей и программе ввода их значений. Последняя должна работать только на оператора службы безопасности, у которого должен быть свой пароль из числа тех же паролей, но со своим идентификатором. Значение его идентификатора можно также сделать переменным. При вводе новых паролей оператор службы безопасности выбирает случайные значения паролей и кодов их закрытия.
Любая система защиты паролей сохраняет свою силу лишь при обязательном наличии контроля службой безопасности доступа к программе защиты как со стороны штатных средств комплекса средств автоматизации обработки информации, так и посторонних. Защита от подбора пароля также необходима, как и в первом случае.
Для повышения степени защиты кодов паролей в компьютере можно применить на программном уровне метод генератора псевдослучайных чисел, позволяющий из одного числа получить группу чисел, которые можно использовать в качестве кодов закрытия.
При этом первое число, называемое главным паролем, может на время работы храниться в памяти терминала службы безопасности, а выбранные из него коды закрытия в оперативном запоминающем устройстве комплекса средств автоматизации обработки информационной системы. В случае ремонта оперативного запоминающего устройства значения паролей и кодов закрытия заменяются новыми. Данная мера необходима для исключения несанкционированного доступа к паролям на случай содержания значений " К " и " Y " в остатках информации в оперативном запоминающем устройстве. Поэтому съем оперативного запоминающего устройства должен производиться с разрешения службы безопасности.
|
|
|
Необходимо отметить, что благодаря прогрессу в электронной технике, разработке и удешевлении больших интегральных схем и реализации на них не только процессоров, но и контроллеров и микросхем памяти описанные операции сильно упрощаются.
Возможны и другие методы защиты кодов паролей. Выбор криптографического метода для конкретной системы должен быть обязательно проверен специалистами по криптографии.
Наиболее эффективной защитой пароля от несанкционированного перехвата считается разделение его на две части: одну — для запоминания пользователем, вторую — для хранения на специальном носителе. В этом случае при утере или хищении носителя пароля у пользователя будет время заявить об этом службе безопасности информации, а эта служба успеет изменить пароль.
|
|
|
|
|
Дата добавления: 2014-12-08; Просмотров: 1292; Нарушение авторских прав?; Мы поможем в написании вашей работы!