практческая по информационной безопасности. Практическая работа №3. Парольная защита

1
ПРАКТИЧЕСКАЯ РАБОТА №3
Тема: Парольная защита.
Количественная оценка стойкости парольной защиты.
Теоретические сведения
Подсистемы идентификации и аутентификации пользователя играют очень важную роль в системах защиты информации.
Под идентификацией пользователя понимают присвоение ему некоторого несекретного идентификатора, который он должен предъявить СЗИ при осуществлении доступа к объекту. В качестве идентификатора может быть использован, например, login, физическое устройство, и т.д.
Под аутентификацией понимают подтверждение пользователем предъявленного идентификатора, проверка его подлинности и принадлежности именно данному пользователю. Аутентификация выполняется для устранения фальсификации на этапе идентификации.
Стойкость подсистемы идентификации и аутентификации пользователя в системе защиты информации (СЗИ) во многом определяет устойчивость к взлому самой СЗИ.
Данная стойкость определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.
Парольные системы идентификации/аутентификации является одними из основных и наиболее распространенных в СЗИ методами пользовательской аутентификации. В данном случае, информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Парольная аутентификация пользователя является, как правило, передним краем обороны СЗИ. В связи с этим, модуль аутентификации по паролю наиболее часто подвергается атакам со стороны злоумышленника. Цель злоумышленника в данном случае – подобрать аутентифицирующую информацию (пароль) легального пользователя.
Методы парольной аутентификации пользователя являются наиболее простыми методами аутентификации и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми.
Основными минимальными требованиями к выбору пароля и к подсистеме парольной аутентификации пользователя являются следующие.
К паролю
1. Минимальная длина пароля должна быть не менее 6 символов.
2. Пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.).
3. В качестве пароля не должны использоваться реальные слова, имена, фамилии и т.д.
К подсистеме парольной аутентификации.

2 1. Администратор СЗИ должен устанавливать максимальный срок действия пароля, после чего, он должен быть сменен.
2. В подсистеме парольной аутентификации должно быть установлено ограничение числа попыток ввода пароля (как правило, не более 3).
3. В подсистеме парольной аутентификации должна быть установлена временная задержка при вводе неправильного пароля.
Как правило, для генерирования паролей в СЗИ, удовлетворяющих перечисленным требованиям к паролям, используются программы - автоматические генераторы паролей пользователей.
При выполнении перечисленных требований к паролям и к подсистеме парольной аутентификации, единственно возможным методом взлома данной подсистемы злоумышленником является прямой перебор паролей. В данном случае, оценка стойкости парольной защиты осуществляется следующим образом.
Количественная оценка стойкости парольной защиты
Пусть A– мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля. Например, если пароль состоит только из малых английских букв, то A=26).
L– длина пароля.
- число всевозможных паролей длины L, которые можно составить из символов алфавита A.
V– скорость перебора паролей злоумышленником.
T– максимальный срок действия пароля.
Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия V определяется по следующей формуле.

3
Практическая часть
Задание 1. Рассчитать оценку стойкости парольной защиты.
1. Откройте программу генерации паролей, которая находится на сайте https://www.avast.ru/random-password-generator
2. Сгенерируйте 10 паролей различной длины и запишите их в отчет.
3. Для каждого пароля рассчитайте оценку стойкости парольной защиты по приведенной формуле с использованием таблицы.
Задание 2. Перейдите по ссылке https://learningapps.org/7573538 и выполните предложенное задание. Результат зафиксируйте скриншотом и добавьте в отчет.
Задание 3. Ответьте на контрольные вопросы.
1. Чем определяется стойкость подсистемы идентификации и аутентификации?
2. Как определить вероятность подбора пароля злоумышленником в течении срока его действия?
3. Выбором каким параметров можно повлиять на уменьшение вероятности подбора пароля злоумышленником при заданной скорости подбора пароля злоумышленником и заданном сроке действия пароля?
Подготовьте отчет о проделанной работе.

4
Образец оформления отчета
ПРАКТИЧЕСКАЯ РАБОТА №__
Тема: _____________________________________________________
Цель: _________________________________________________________
Ход проделанной работы
1. ____________________________________________________________
_________________________________________________________________
_________________________________________________________________
2. ______________________________________________________________
_________________________________________________________________
_________________________________________________________________
3. ______________________________________________________________
_________________________________________________________________
_________________________________________________________________
4. ______________________________________________________________
_________________________________________________________________
_________________________________________________________________
Вывод: __________________________________________________________
________________________________________________________________
________________________________________________________________