Главная страница

Устройств и систем


Скачать 49.52 Kb.
НазваниеУстройств и систем
Дата18.01.2023
Размер49.52 Kb.
Формат файлаdocx
Имя файлаchebotkov_ai.docx
ТипЛекция
#892238
страница6 из 7
1   2   3   4   5   6   7

Лекция 6. Защита информации паролем


Понятие и виды паролей. Надежность паролей.
Пароль (фр. parole слово) условное слово или набор знаков, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В

большинстве вычислительных систем комбинация «имя пользователя пароль» используется для удостоверения пользователя.

Исследования показывают, что около 40 % всех пользователей выбирают пароли, которые легко угадать автоматически. Легко угадываемые пароли (123, admin) считаются слабыми и уязвимыми. Пароли, которые очень трудно или невозможно угадать, считаются более стойкими. Некоторыми источниками рекомендуется использовать пароли, генерируемые на стойких хэшах типа MD5, SHA-1.

Многочисленные виды многоразовых паролей могут быть скомпрометированы и способствовали развитию других методов. Некоторые из них становятся доступны для пользователей, стремящихся к более безопасной альтернативе:

    • одноразовые пароли;

    • биометрия;

    • технология единого входа;

    • OpenID.

Общие методы повышения безопасности программного обеспечения систем защищенных паролем включают:

    • Ограничение минимальной длины пароля (некоторые системы Unix ограничивают пароли 8 символами).

    • Требование повторного ввода пароля после определенного периода бездействия.

    • Требование периодического изменения пароля.

    • Назначение стойких паролей (генерируемых с использованием аппаратного источника случайных чисел, либо с использованием генератора псевдослучайных чисел, выход которого перерабатывается стойкими хэш- преобразованиями).

Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему.

Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов.

Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика.

При этом могут быть использованы следующие подходы:

    • Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.

    • Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.

    • Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его

имя или фамилия, дата рождения и т. п. Напр. Вася Петров, 31.12.1999 г.р. нередко имеет пароль типа «vp31121999» или «vp991231».

Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней.

    • Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина

  • восемь символов. По той же причине он не должен состоять из одних цифр.

    • Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.

    • Пароль не должен состоять только из общедоступной информации о пользователе.

В качестве популярных рекомендаций к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т. д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.

Контрольные вопросы.

  1. Назначение пароля.

  2. Рекомендации для создания стойких к взлому паролей.

  3. Методы повышения безопасности программного обеспечения
1   2   3   4   5   6   7


написать администратору сайта