Защита информации СИБГУ 1 лабораторная. Лабораторная_по_паролям. Лабораторная работа 2 парольная защита Сибгу им. М. Ф. Решетнева, 2020 Теоретические сведения
Скачать 1.07 Mb.
|
ЛАБОРАТОРНАЯ РАБОТА № 2 «ПАРОЛЬНАЯ ЗАЩИТА» СибГУ им. М.Ф. Решетнева, 2020 Теоретические сведения Использование паролей как способа подтверждения личности или принадлежности к определенной группе берет свое начало ещё со времен Древнего Рима, где римские солдаты использовали пароли для беспрепятственного передвижения по ночным улицам. С появлением компьютерных систем пароли стали фактором, определяющим получение доступа в систему. Пароль призван гарантировать, что логин, с помощью которого пользователь представляется системе, действительно принадлежит данному пользователю. Таким образом в компьютерных системах используется связка: логин–пароль. А процедура подтверждения принадлежности логина называется аутентификацией. В целом подтвердить свою личность можно тремя способами: – знанием того, что известно только вам (пароль, секретный вопрос); – обладанием чем-то уникальным (ключ, смарт-карта и др.); – биометрией (отпечатки пальцев, сетчатка глаза и др.) Пароль относится к «знанию». В отличие от других способов пароль обладает следующими преимуществами: – сменяемость. В отличие от отпечатков пальцев придумать новый пароль не составит проблем и финансовых затрат. – дешевизна и простота применения. Для применения паролей нет необходимости покупать дополнительное оборудование, а механизм парольной аутентификации реализован в подавляющем большинстве компьютерных систем. Однако основная проблема, связанная с паролями, состоит в сложности их хранения. Человеческая память хорошо приспособлена к запоминанию образов. Но запоминание сложных последовательностей из цифр и других знаков является сложной задачей. Это приводит либо к тому, что пароль где- то записывается (например, на стикере), либо придумывается простой пароль, состоящий из одного слова или являющийся датой рождения человека. В свою очередь это приводит к снижению надежности парольной системы защиты: пароль становится ее слабым местом. Злоумышленник может заполучить пароль пользователя следующими способами: – полным перебором (метод brute force); – подбор по словарю; – социальной инженерией; – кражей пароля. Метод полного перебора Метод полного перебора или метод грубой силы – метод раскрытия пароля путем последовательного перебора всех возможных комбинаций символов, из которых может состоять пароль. Рисунок 1 – Кодовый замок Возьмем, к примеру кодовый замок, который чаще всего можно встретить на чемоданах. Его «код» – пароль длиной в 3 символа. Доступными символами являются десять цифр от 0 до 9. Тогда всего возможных комбинаций 10 3 или 1 000. Количество возможных комбинаций вычисляется по следующей формуле: 𝐶 = 𝑁 𝐿 , где N – алфавит пароля (количество символов, из которых может состоять пароль), L – длина пароля. Применение метода грубой силы для узнавания кода от замка будет состоять в последовательной попытке всех возможных кодов от «000» до «999». Рисунок 2 – Принцип перебора пароля 0 0 0 0 0 1 9 9 9 Основной ограничительной характеристикой метода грубой силы является время достижения цели или время полного перебора. Время полного перебора можно вычислить по формуле: 𝑇 = 𝐶 𝑉 , где C – количество возможных комбинаций пароля, V – скорость подбора пароля (количество вариантов в секунду). Предположим, что чтобы установить новый вариант кода для замка мы затрачиваем каждый раз 3 секунды. Тогда для перебора 1 000 комбинаций у нас уйдет 3 000 секунд или 50 минут. Социальная инженерия К социальной инженерии относятся различные методы получения необходимой информации путем взаимодействия с человеком. При этом в современном мире необязательно «живое» взаимодействие с человеком. Вместо этого могут использоваться профили человека в различных социальных сетях. Злоумышленник, проанализировав данные человека в социальных сетях может узнать его дату рождения, имя супруги, детей, любимую футбольную команду, любимые фильмы и прочее. Что-то из этой информации может являться паролем, которым пользуется человек. Метод подбора по словарю Словарь — это список слов, которые часто встречаются в паролях людей. Использование словарей позволяет сократить время перебора пароля. Поскольку в отличие от атаки полным перебором, проверяются не все возможные варианты, а лишь уже отобранные для этого и загружаемые из словаря. Этот метод оказывается достаточно эффективным потому, что многие люди выбирают в качестве пароля одиночные слова или их простые вариации. Практическое задание Задание 1-3 выполняется в программе Microsoft Excel Задание 1. Вычислите сколько существует возможных комбинаций для пароля длиной 8 символов, если пароль может состоять только из строчных символов Кириллицы (алфавита русского языка). Задание 2. Пусть пароль состоит из строчных букв латиницы и цифр. Длина пароля 8 символов. Вычислите сколько времени займет метод полного перебора при вычислительных мощностях из таблицы 1. Постройте график изменения времени подбора в зависимости от года. Таблица 1 – Скорость подбора пароля в различные года Год Скорость подбора (паролей в секунду) 1982 8346.4 1990 25039.19 1995 166927.95 2000 834639.77 2010 8918722.1 2015 11344618.21 2020 17042497.3 Задание 3. Подберите такие параметры пароля (длину и алфавит), чтобы в 2020 году на подбор пароля ушло не меньше года. Задание 4-8 выполняется на виртуальной машине, предоставленной преподавателем. Задание 4. Откройте файл dictionary.txt и ознакомьтесь с выражениями, которые часто встречаются в качестве паролей. Задание 5. Изучите страницу вымышленного человека в социальной сети (файл vk.png) и попробуйте составить персональный словарь паролей для аккаунтов данного человека. Сохраните персональный словарь как текстовый документ .txt. Рисунок 3 – Страница вымышленного человека Задание 6. Предположим, что вы получили хэш пароля от сайта Вконтакте человека из задания 5. Используя программу Cain&Abel попробуйте отыскать исходный пароль. Шаг 1. Откройте программу Cain&Abel. Шаг 2. Перейдите во вкладку Cracker. Шаг 3. Выберете категорию MD5-Hashes и нажмите «плюс» для добавления хэша, как показано на рисунке Шаг 4. Нажмите «плюс» для добавления хэша. Рисунок 4 – Окно добавления хэша пароля Шаг 5. В появившееся окно скопируйте строку из файла hash.txt. Шаг 6. Нажмите по правой кнопкой мыши по элементу хэша и выберете атаку методом грубой силы, как показано на рисунке 5. Оцените время полного перебора. Рисунок 5 – Метод грубой силы Шаг 7. Закройте окно перебора. И выберете метод атаки с помощью словаря. Шаг 8. В появившемся окне добавьте файл со словарем, составленный в задании 5. Добавление файла показано на рисунке 6. Рисунок 6 – Добавление словаря Шаг 9. Запустите перебор по словарю. Если пароль не найден, попробуйте вернуться к заданию 5 и добавить дополнительных слов в словарь. Задание 7. Изучите возможности локальной политики безопасности Windows по усилению парольной защиты. Задайте параметры, которые: А) усилят пароли, используемые в системе; Б) будут противодействовать подбору паролей. Шаг 1. Откройте поиск Windows и введите secpol.msc. Запустите оснастку локальной политики безопасности. Шаг 2. Выберете «Политики учетных записей». Перейдите в «Политики паролей» и задайте параметры в соответствии с рисунком 7. Рисунок 7 – Политика паролей Шаг 3. Выберете «Политика блокировки учетной записи» и задайте параметры в соответствии с рисунком 8. Рисунок 8 – Политика блокировки учетной записи Шаг 4. Задайте пароль пользователю. Шаг 5. Выйдите из системы. Шаг 6. Введите три раза подряд неверный пароль пользователя и убедитесь в том, что вход в систему временно заблокирован. Шаг 7. Подождав минуту войдите в систему. Шаг 8. Попробуйте изменить пароль пользователя и убедитесь, что это невозможно. Шаг 8. Измените дату на месяц вперед. Шаг 9. Запомните текущий пароль и установите новый пароль. Шаг 10. Измените дату на месяц вперед. Шаг 11. Попробуйте изменить пароль пользователя на самый первый пароль и убедитесь, что это невозможно. Задание 8. Изучите парольный менеджер KeePass 2: – создайте базу данных для хранения паролей; – рассмотрите параметры генератора паролей; – создайте запись с паролем для произвольного сайта. Шаг 1. Запустите программу KeePass 2 с рабочего стола. Шаг 2. Нажмите File → New для создания новой базы данных паролей. Шаг 3. Выберете место сохранения базы данных. Рисунок 9 – Создание базы паролей Шаг 4. Задайте мастер пароль для шифрования и расшифрования базы данных с паролями. Рисунок 10 – Создание мастер пароля Шаг 5. Задайте имя базы данных и нажмите ОК. Рисунок 11 – Завершение создания базы паролей Шаг 6. Пропустите печать листа с данными для восстановления доступа к базе данных с паролями. Рисунок 12 – Пропуск печати данных для восстановления Шаг 7. В открывшейся базе данных перейдите в раздел Internet и нажмите кнопку «Add Entry» для добавления новой записи. Рисунок 13 – Окно менеджера паролей Шаг 8. В появившемся окне задайте Title (Название интернет ресурса), User name (логин пользователя на сайте) и откройте генератор паролей. Рисунок 14 – Создание новой записи Шаг 9. Задайте параметры для генератора паролей в соответствии с рисунком и нажмите ОК. Рисунок 15 – Настройка генератора паролей Шаг 10. Нажмите ОК в окне добавления записи. Рисунок 16 – Завершение создания новой записи Шаг 11. Нажмите кнопку Save для сохранения изменений в базу данных. Рисунок 17 – Сохранение базы паролей Шаг 12. Закройте программу KeePass 2. Шаг 13. Откройте программу KeePass 2. Шаг 14. Введите неверный мастер пароль и убедитесь, что доступ к базе паролей не будет предоставлен. Рисунок 18 – Ввод мастер пароля при открытии базы паролей Шаг 15. Введите верный пароль и получите доступ к созданной базе паролей. Контрольные вопросы 1. Перечислите основные проблемы использования паролей. 2. Назовите известные вам способы усиления парольной защиты. 3. Безопасно ли использовать длинную фразу вместо сложного пароля? 4. Назовите альтернативные паролю способы подтверждения личности. 5. В чем заключается метод грубой силы? 6. Дайте рекомендации по повышению стойкости паролей. |