|
|
Реферат защита информации. Реферат_Защита информации. Реализация генератора паролей с заданными требованиями
Реферат по дисциплине
«Защита информации»
Тема: «Реализация генератора паролей с заданными требованиями», «Реализация генератора паролей с заданными требованиями», «Системы защиты операционной системы»
Реферат на тему «Реализация генератора паролей с заданными требованиями»
Думаю все знают про важность использования сложных, неподбираемых, разных, периодически сменяемых паролей, так же как и про проблемы с их запоминанием. В принципе существует относительно неплохое решение этой проблемы — программы, хранящие базу паролей в зашифрованном виде. Я хочу поделиться альтернативным решением, которое обладает некоторыми преимуществами над такими «запоминалками» паролей, в частности не требует доступа к файлу с шифрованной базой паролей. Основная идея в том, чтобы помнить один очень стойкий мастер-пароль, а пароли для отдельных аккаунтов генерировать из него с помощью криптографических функций. Кому интересны подробности — прошу под кат.
Требования к паролю:
Во-первых надо понять, каким требованиям должен отвечать хороший пароль:
Должен быть трудноподбираемым. Он должен быть достаточно длинным и содержать символы разных типов (большие/маленькие буквы, цифры, спецсимволы), чтобы нельзя было подобрать полным перебором. Должен быть неподбираемым по словарю, словарю с комбинациями и мутациями.
Должен быть уникальным для каждого аккаунта, так что компрометация пароля от одного аккаунта, не приведёт к несанкционированному доступу к другим аккаунтам.
Должен периодически меняться.
Сначала я подумал, что можно делать так: запомнить одну случайную последовательность символов и для каждого сайта пристыковывать к ней строку, специфическую именно для данного сайта. Например брать каждый третий символ адреса сайта. Пароль на хабр (вводится на id.tmtm.ru) будет выглядеть таким образом: «Q9y:y>1W.tr», где «Q9y:y>1W» — строка, используемая на всех сайтах, а ".tr" — добавка, специфичная именно для id.tmtm.ru. Фактически здесь две секретные составляющие: сам алгоритм генерации и случайная строка. Для получения пароля надо знать обе. Пароль вполне себе стойкий к перебору, можно периодически менять случайную стоку — требования (1) и (3) выполняются. Проблема в том, что об обеих составляющих можно относительно легко догадаться, зная пароли от пары сайтов.
Общий алгоритм:
Следующий шаг — использование необратимых криптографических функций. Секретным здесь будет только случайная строка — мастер-пароль.
Исходными данными для генерации пароля будут:
Мастер-пароль — секретная строка долговременного использования, должен быть достаточно сложным для противостояния перебору на любом кластере
Сайт — адрес сайта/имя компьютера — куда логинимся
Номер версии пароля для этого сайта — нужен в том случае, если потребуется сменить пароль для этого конкретного сайта.
Логин — может пригодиться если есть несколько аккаунтов на одном сайте/компьютере (так что пароли от разных учёток совпадать не будут). Так же логин работает как соль для защиты от перебора по радужным таблицам.
Про таблицы
Имеется ввиду атака, когда нарушитель каким-либо образом (фишинг, соц. инженерия, уязвимость сайта,...) может получать пароли от какого-либо популярного сайта. В таком случае для получения мастер-паролей тех пользователей, которые пользуются таким генератором паролей, но не заполняют поле логин, он может сгенерировать радужные таблицы и перебирать по ним. Конечно, такая атака имеет смысл только при широком распространении использования этого генератора паролей.
Эти данные подаём на вход хэш-функции, выход рассматриваем как длинное целое число, кодируем его в 95ричной системе счисления, получаем псевдослучайную строку длиной 25 символов для 160 битной хэш-функции. Старший символ лучше откинуть, т.к. он может принимать далеко не все значения (точнее — только 5 значений). Получаем 24 псевдослучайных симовола.
Точнее про распределение символов
На самом деле распределение вероятностей по возможным значениям символов там будет не совсем равномерным за счёт того, что 2^160 не является степенью 95. Получится, что часть символов будет появляться с бОльшей вероятностью, чем другие. Но эта неравномерность будет очень быстро (экспоненциально) убывать от старших разрядов к младшим. Так (в предположении что хэш-функция идеальная и все значения её выхода равновероятны) на 24ой (старшей) позиции символы будут появляться с вероятностями 1.158011% и 1.051510%. На 23-ей позиции — с вероятностями 1.053724%, 1.051753% и 1.051510%. На 22-ой позиции — с вероятностями 1.052652%, 1.052639% и 1.052629%. Дальше разница будет ещё меньше. Для паролей такие отклонения от равномерного распределения значения практически не имеют.
Конкретная реализация
Есть простенькая консольная программа на Python3, которая таким образом генерирует пароли.
Можно указать один из параметров:
-m — сгенерировать много паролей из одного мастер-пароля (чтобы не вводить мастер пароль несколько раз);
-r — сгенерировать случайный пароль (источник случайности — системные генераторы случайных последовательностей и строка, вводимая с клавиатуры);
без параметров — сгенерировать один пароль и выйти.
Сразу после ввода мастер-пароля программа выводит 2х байтный хэш от мастер-пароля. Это нужно для контроля правильности ввода. Если хэш кажется незнакомым, значит мастер-пароль введён неправильно.
В этой программе используются 2 разные хэш-функции (ripemd160 и sha512) и несколько более замороченный порядок скармливания им исходных данных, чем просто конкатенация строк. Использование двух функций — ход для параноиков — позволяет (насколько я вижу) сохранить криптостойкость алгоритма даже при обнаружении очень серьёзной уязвимости в одной из них (понятно, что это практически невероятно, но накладные расходы на такую «параною» тоже минимальны).
Точный алгоритм
SitePwd = ripemd160(ver2str(version) + sha512_hex(ver2str(version) + master_password + site + login) + site)
Все текстовые строки кодируются UTF-8; ' + ' означает конкатенацию строк.
Функция ver2str(n) возвращает строку, состоящую из записанных подряд n+1 последовательных чисел от n до 0, например:
ver2str(0) = '0'
ver2str(4) = '43210'
ver2str(12) = '1211109876543210'
SitePwd дальше преобразуется в длинное целое число, которое записывается в 95-ричной системе счисления. В качестве 95-ричных цифр используются символы из массива chars (всего 95 символов):
chars = "`1234567890-=\!@#$%^&*()_+|qwertyuiop[]QWERTYUIOP{}asdfghjkl;'ASDFGHJKL:"zxcvbnm,./ZXCVBNM<>? "
(Без внешних кавычек, последний символ — пробел)
24 младших разряда полученной записи, выведенные в порядке слева на право от младших к старшим, и являются сгенерированным паролем.
Практические проблемы при использовании таких паролей.
На некоторых сервисах есть ограничения на набор символов, которые можно включать в пароль. Если в сгенерированном пароле присутствуют запрещённые символы, приходится их пропускать. Соответственно при последующем использовании сервиса приходится вспоминать какие символы пропускались.
Сравнение с «запоминалками» паролей
Плюсы такого алгоритма по сравнению с «запоминалками» паролей:
Не нужно иметь под рукой базу паролей. Понадобилось на другом компьютере получить пароль — просто скачал с гитхаба программу, вбил свой мастер-пароль — и вся база паролей с собой.
Отсутствует файл, который злоумышленник может украсть и попытаться расшифровать. Правда в хорошей запоминалке с хорошим мастер-паролем дешифрование базы паролей так же практически невероятно.
Даже в случае получения полного доступа к вашему компьютеру (с чтением всех файлов и установкой кейлогеров) злоумышленнику ещё придётся отгадывать данные ваших аккаунтов (особенно тех, в которые с этого компьютера не заходят)
Гарантирует использование разных и случайных паролей. И придумывать пароль каждый раз не надо.
Плюсы «запоминалок»:
В случае компрометации мастер-пароля для получения доступа к аккаунтам взломщику ещё надо добыть и зашифрованный файл. В случае генератора паролей ему останется только выяснить данные аккаунтов, на которых используются сгенерированные пароли. Правда, ИМХО, если злоумышленник смог получить мастер-пароль, то получить зашифрованную базу паролей ему тоже, скорее всего, будет несложно.
Можно использовать уже существующие пароли.
Позволяют запоминать пароль любой структуры из любого набора символов, нет проблемы с ограничениями на пароль на конкретных сайтах.
Реферат на тему «Реализация генератора паролей с заданными требованиями»
Технология ViPNet — это собственная разработка компании ИнфоТеКС, которая позволяет не только строить полноценную VPN, но и обеспечивать межсетевое экранирование и защиту от несанкционированного доступа к конфиденциальной информации. Технология ViPNet — технология, предназначенная для развертывания защищенных виртуальных частных сетей (VPN) поверх глобальных и локальных сетей. ViPNet основана на проприетарном протоколе, не являющимся сессионным, как, например, IPSec. Основными преимуществами, которые обеспечивает технология ViPNet, являются устойчивость работы и бесшовное переключение между каналами связи. Продукты ViPNet исходно задумывались и создавались под сценарии корпоративного рынка: для всех них доступно централизованное управление политиками информационной безопасности, ключевой информацией, версиями программного обеспечения на любом узле сети ViPNet.
Архитектура продуктов ViPNet состоит из управляющих, серверных (сетевых) и клиентских компонентов. В ряде случаев, для защиты достаточно установки серверных компонентов — программных и программно-аппаратных комплексов ViPNet Coordinator.
«Сердце» технологии — ViPNet-драйвер:
обеспечивает контроль всего IP-трафика, шифрование (расшифрование) трафика;
работает между канальным и сетевым уровнем модели OSI;
обрабатывает IP-пакеты до того как они будут обработаны стеком протоколов TCP/IP и переданы на прикладной уровень;
активизируется только после авторизации в ПО ViPNet до загрузки прикладных сервисов и системных служб операционной системы.
Задачей VPN-сети, развернутой с помощью технологии ViPNet, помимо типовой задачи VPN-сетей – защиты трафика в глобальных сетях, является задача обеспечить защиту трафика различных сетевых устройств в процессе информационного обмена между ними на всем пути от узла-источника к узлу-получателю независимо от расположения этих узлов.
На этом пути может находиться разнородная сетевая инфраструктура, включающая Интернет, корпоративные, локальные сети и их сегменты.
Виртуальная сеть строится как с использованием программных компонентов ViPNet, путем установки на компьютеры ПО ViPNet Client, ПО ViPNet Coordinator, ПО ViPNet Coordinator Linux, а также программно-аппаратных комплексов ViPNet серии HW100/1000/2000/5000.
В виртуальную сеть могут включаться также мобильные устройства на платформах IOS, Android c установленным специальным ПО ViPNet Client под эти платформы.
Идентификаторы объектов сети ViPNet:
Сеть ViPNet 1971 — уникальный 4-символьный шестнадцатеричный идентификатор (номер сети ViPNet);
Сетевой Узел 19710012 — уникальный 8-символьный шестнадцатеричный идентификатор: 1971 – номер сети, 0012 – номер СУ;
Пользователь 1971000D — уникальный 8-символьный шестнадцатеричный идентификатор: 1971 – номер сети, 000D – номер пользователя;
Роль 001D — уникальный 4-символьный шестнадцатеричный идентификатор.
Структура сетевого адреса позволяет иметь до 65535 сетей ViPNet, в каждой сети может быть до 65535 сетевых узлов, на каждом из которых может быть зарегистрировано до 65535 пользователей.
Продукты ViPNet:
1. ViPNet Administrator Технология ViPNet
Программное обеспечение, предназначенное для развертывания и администрирования сети ViPNet корпоративного масштаба Windows. ViPNet Administrator 4 — программный комплекс, предназначенный для настройки и управления защищенной сетью, включающий в себя:
ViPNet NCC (Центр управления сетью, ЦУС) — приложение для конфигурирования и управления виртуальной защищенной сетью ViPNet.
ViPNet KCA (Удостоверяющий и ключевой центр, УКЦ) — приложение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей.
Функции Удостоверяющего центра — издание сертификатов для аутентификации, электронной подписи, шифрования и других криптографических операций.
Криптографические алгоритмы зависят от используемого криптопровайдера в данном случае это ViPNet CSP.
2. ViPNet Client Технология ViPNet
ViPNet Client (Клиент) — это программный комплекс, выполняющий на рабочем месте пользователя или сервере с прикладным ПО функции VPN-клиента, персонального сетевого экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования.
ViPNet Client поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows, Linux, OS X, ios и Android.
3. ViPNet Coordinator HW Технология ViPNet
ViPNet Coordinator HW — семейство шлюзов безопасности, входящих в состав продуктовой линейки ViPNet Network Security.
Программно-аппаратные комплексы (ПАК) ViPNet Coordinator HW — модельный ряд шлюзов безопасности, предназначенных для построения виртуальной сети ViPNet и обеспечения безопасной передачи данных между ее защищенными сегментами, а также фильтрации IP-трафика.
ViPNet Coordinator HW 5 — шлюз безопасности, реализующий концепцию NGFW (Next-Generation Firewall — межсетевой экран нового поколения).
NGFW — межсетевой экран для глубокой фильтрации трафика, интегрированный с IDS (Intrusion Detection System, система обнаружения вторжений) или IPS (Intrusion Prevention System, система предотвращения вторжений) и обладающий возможностью контролировать и блокировать трафик на уровне приложений.
4. ViPNet Coordinator IG Технология ViPNet
Индустриальные шлюзы безопасности с поддержкой промышленных протоколов, обеспечивающие защиту каналов связи и сетевое экранирование.
Программно-аппаратный комплекс (ПАК) ViPNet Coordinator IG может быть использован на всех уровнях автоматизированных систем управления (АСУ) – полевом уровне, уровне автоматического управления и уровне оперативно-диспетчерского управления, а также для организации демилитаризованной зоны (DMZ) со стороны промышленной сети.
DMZ (Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных.
В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
5. ViPNet Coordinator KB Технология ViPNet
Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
Средства криптографической защиты информации (СКЗИ) класса КВ применяются, когда злоумышленники могут располагать исходными текстами прикладного ПО, входящего в среду функционирования и взаимодействующего с СКЗИ.
6. ViPNet Coordinator VA Технология ViPNet
Программный комплекс ViPNet Coordinator VA 4 — шлюз безопасности в виртуальном исполнении, предназначенный для обеспечения безопасной передачи данных между защищенными сегментами виртуальной сети ViPNet, а также фильтрации IP-трафика.
ViPNet Coordinator VA 5 — шлюз безопасности в виртуальном исполнении, реализующий концепцию NGFW (Next-Generation Firewall — межсетевой экран нового поколения).
7. ViPNet CryptoFile Технология ViPNet
ViPNet CryptoFile — ПО для ОС Windows, выполняющее прикладные функции шифрования и подписи файлов. ViPNet CryptoFile работает с сертификатами ключей проверки электронных подписей любого установленного в операционной системе криптопровайдера.
8. ViPNet CSP Технология ViPNet
ViPNet CSP 4 — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи. ViPNet CSP поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows, Linux.
9. ViPNet CSS Connect Технология ViPNet
ViPNet CSS Connect — приложение для защищенного общения корпоративных пользователей. ViPNet CSS Connect обеспечивает голосовые коммуникации, отправку текстовых сообщений, в том числе с вложениями, со стационарных компьютеров, ноутбуков и мобильных устройств. Пользователи ViPNet CSS Connect общаются конфиденциально по каналам защищенной сети ViPNet.
ViPNet CSS Connect поддерживает работу на компьютерных устройствах под управлением ОС Microsoft Windows, Linux, OS X, ios и Android.
10. ViPNet IDS HS Технология ViPNet
ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России.
За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.
11. ViPNet IDS MC Технология ViPNet
ViPNet IDS MC (Management Center) – это центр управления и мониторинга, который позволяет осуществлять централизованное и групповое управление компонентами решения TDR (сетевыми средствами обнаружения вторжений ViPNet IDS NS, хостовыми средствами обнаружения вторжений ViPNet IDS HS и системой интеллектуального анализа угроз безопасности информации ПАК ViPNet TIAS).
12. ViPNet IDS NS Технология ViPNet
Программно-аппаратный комплекс (ПАК) ViPNet IDS NS – это сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования
13. ViPNet TIAS Технология ViPNet
ViPNet TIAS (Threat Intelligence Analytics System) — программно-аппаратный комплекс, предназначенный для автоматического выявления инцидентов на основе анализа событий информационной безопасности.
ViPNet TIAS в автоматическом режиме анализирует весь поток входящих событий от сенсоров, находит взаимосвязи между ними и выявляет действительно значимые угрозы, являющиеся инцидентами информационной безопасности.
База метаправил и математическая модель принятия решений разрабатывается и обновляется экспертами компании «Перспективный мониторинг» на основе знаний об угрозах, получаемых в результате анализа инструментов и техник выполнения атак — Threat Intelligence.
Анализ угроз (Threat Intelligence) — это знания, которые получены на основе фактических данных о существующей или возникающей угрозе или опасности для активов и которые могут использоваться для принятия решений о реагировании субъекта на эту угрозу или опасность.
14. ViPNet Password Generator
Программа для генерации надежных паролей. Пароль пользователя формируется из специальной парольной фразы, которая состоит из набора грамматически согласованных между собой слов. Слова выбираются случайным образом из специальных словарей.
15. ViPNet Policy Manager Технология ViPNet
ViPNet Policy Manager — система централизованного управления политиками безопасности для отдельных узлов и групп узлов защищенной сети ViPNet.
16. ViPNet xFirewall Технология ViPNet
Программно-аппаратный комплекс (ПАК) ViPNet xFirewall 5 – это шлюз безопасности – межсетевой экран нового поколения (NGFW), сочетающий функции классического межсетевого экрана: анализ состояния сессии, проксирование, трансляция адресов; с расширенными функциями анализа и фильтрации трафика такими как: глубокая инспекция протоколов, выявление и предотвращение компьютерных атак, инспекция SSL/TLS-трафика, взаимодействие с антивирусными решениями, DLP и песочницами.
ПАК ViPNet xFirewall 5 устанавливается на границе сети, предназначен для комплексного решения задач информационной безопасности в корпоративных сетях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений, обеспечивает обнаружение и нейтрализацию сетевых вторжений.
В статье описан не полный список программных продуктов компании ИнфоТеКС. На официальном сайте компании можно ознакомиться со всем списком ПО, а на сайте Учебного центра ИнфоТеКС можно записаться на очные или дистанционные курсы по технологиям ViPNet.
|
|
|
Скачать 64.56 Kb.