КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Общие подходы к построению парольных систем
|
|
|
|
ПАРОЛЬНЫЕ СИСТЕМЫ
Наиболее распространённые методы аутентификации основаны на применении многоразовых и одноразовых паролей.
Эти методы включают следующие разновидности способов аутентификации:
o по хранимой копии пароля или его свертке;
o по некоторому проверочному значению;
o без непосредственной передачи информации о пароле проверяющей стороне;
o с использованием пароля, для получения криптографического ключа.
В первую разновидность способов входят системы аутентификации, предполагающие наличие у обеих сторон копии пароля или его свёртки. Для организации таких систем требуется создать и поддерживать базу данных, содержащую пароли или свертки паролей всех пользователей. Их слабой стороной является то, что получение злоумышленником этой базы данных позволяет ему проходить аутентификацию от имени любого пользователя.
Способы, составляющие вторую разновидность, обеспечивают более высокую степень безопасности парольной системы, так как проверочные значения, хотя и зависят от паролей, не могут быть непосредственно использованы злоумышленником для аутентификации.
Аутентификация, без предоставления проверяющей стороне какой бы то ни было информации о пароле, обеспечивает наибольшую степень защиты. Этот способ гарантирует безопасность, даже если нарушена работа проверяющей стороны.
Особым подходом в технологии проверки подлинности являются криптографические протоколы аутентификации. Такие протоколы описывают последовательность действий, которую должны совершить стороны для взаимной аутентификации, кроме того, эти действия, как правило, сочетаются с генерацией и распределением криптографических ключей для шифрования последующего информационного обмена. Корректность протоколов аутентификации вытекает из свойств задействованных в них математических и криптографических преобразований и может быть строго доказана.
|
|
|
Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. Последние обеспечивают более надёжную защиту и дополнительно решают задачу распределения ключей. Однако используемые в них технологии могут быть объектом законодательных ограничений.
Основные определения, используемые в парольных системах.
Идентификатор пользователя – некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учётной записи пользователя.
Пароль пользователя – некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.
Учётная запись пользователя – совокупность его идентификатора и его
пароля.
База данных пользователей (БД) содержит учётные записи всех пользователей данной парольной системы.
Под парольной системой понимается программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых и многоразовых паролей. Как правило, такой комплекс функционирует совместно с подсистемами разграничения доступа и регистрации событий. В отдельных случаях парольная система может выполнять ряд дополнительных функций, в частности, генерацию и распределение кратковременных (сеансовых) криптографических ключей.
|
|
|
Основными компонентами парольной системы являются:
· интерфейс пользователя;
· интерфейс администратора;
· модуль сопряжения с другими подсистемами безопасности;
· база данных учётных записей.
Парольная система представляет собой «передний край обороны» всей системы безопасности. Некоторые её элементы (в частности, реализующие интерфейс пользователя) могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику. Поэтому парольная система становится одним из первых объектов атаки при вторжении злоумышленника в защищённую систему.
К типам угроз безопасности парольных систем относятся:
1. Разглашение параметров учётной записи.
2. Вмешательство в функционирование компонентов парольной системы.
Существуют следующие наиболее распространённые методы получения паролей:
- метод тотального перебора: опробываются все ключи последовательно, один за другим;
- словарная атака – для перебора используется словарь наиболее вероятных ключей. В словарь обычно входят:
а) известная личная информация о владельце пароля;
б) словарная база данных, составленная из имён людей, героев мультфильмов и мифических животных, ругательств, чисел, названий фильмов и т. д.;
в) слова, которые получены внесением различных изменений в словарную базу данных (например, изменение регистра символов, транслитерация, изменение порядка написания слова, замена буквы о на цифру 0, i - на 1 и пр.);
г) пары слов;
- проверка паролей, устанавливаемых в системах по умолчанию (разновидность словарной атаки). В некоторых случаях администратор программного обеспечения, установив или получив новый продукт от разработчика, не удосуживается проверить, из чего состоит система безопасности. Как следствие, пароль, установленный фирмой-разработчиком по умолчанию, остаётся основным паролем в системе;
- получение паролей из самой системы на основе программной и аппаратной реализации конкретной системы. Основными двумя возможностями выяснения пароля являются: несанкционированный доступ к носителю, содержащему пароли, либо использование уязвимостей: ошибок и недокументированных возможностей в реализации системы;
|
|
|
- атаки на основе социальной психологии – могут принимать самые различные формы. Например, из списка сотрудников выбирается тот, кто не использовал пароль в течение нескольких дней (отпуск, отгулы, командировка) и кого администратор не знает по голосу. Затем следует звонок администратору с объяснением ситуации о забытом пароле, искренние извинения, просьба зачитать пароль либо сменить его на новый. Возможна и обратная схема – обращение к сотруднику якобы от службы безопасности.
Отмечается и существование «парадокса человеческого фактора». Заключается он в том, что пользователь нередко стремится выступать скорее противником парольной системы, как, впрочем, и любой системы безопасности, функционирование которой влияет на его рабочие условия, нежели союзником системы защиты, тем самым ослабляя её.
Защита от указанных угроз основывается на ряде перечисленных ниже организационно-технических мер и мероприятий.
|
|
|
|
|
Дата добавления: 2014-12-27; Просмотров: 3975; Нарушение авторских прав?; Мы поможем в написании вашей работы!