asyan.org
добавить свой файл
  1 ... 10 11 12 13 14

Парольна система. Вимоги до паролів.


Парольная система как неотъемлемая составляющая подсистемы управления доступом системы защиты информации (СЗИ) является частью "переднего края обороны" всей системы безопасности. Поэтому парольная система становится одним из первых объектов атаки при вторжении злоумышленника в защищенную систему.

Подсистема управления доступом СЗИ затрагивает следующие понятия:

Идентификатор доступа

Идентификация

Пароль - идентификатор субъекта доступа, который является его (субъекта) секретом. Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Учетная запись - совокупность идентификатора и пароля пользователя.

Одним из наиболее важных компонентов парольной системы является база данных учетных записей (база данных системы защиты). Возможны следующие варианты хранения паролей в системе

:в открытом виде;

в виде хэш-значений (hash (англ.) - смесь, мешанина);

зашифрованными на некотором ключе.

При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. Возможны следующие варианты:

ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки;

ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске;

ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.

Наиболее безопасное хранение паролей обеспечивается при их хэшировании и последующем шифровании полученных хэш-значений, т.е. при комбинации второго и третьего способов хранения паролей в системе.

Существуют методы количественной оценки стойкости парольных систем

f1(формула Андерсона), где

k - количество попыток подбора пароля в минуту; M - время действия пароля в месяцах;
P - вероятность подбора пароля;A1 - мощность пространства паролей (А - мощность алфавита паролей, l - длина пароля). Таким образом, наибольшее влияние на вероятность раскрытия пароля оказывает величина l. Другие составляющие данной формулы чрезвычайно редко оказывают влияние на величину P, превышающее один порядок. Увеличение же длины пароля только на один символ значительно увеличивает требуемое злоумышленнику время для его раскрытия. Параметры Р, V, T и A1 связаны между собой следующим соотношением [1]:f2, где P - вероятность подбора пароля в течение его срока действия (подбор осуществляется непрерывно в течение всего срока действия пароля);V - скорость подбора паролей (скорость обработки одной попытки регистрации проверяющей стороной либо скорость вычисления хэш-значения одного пробного пароля);T - срок действия пароля (задает промежуток времени, по истечении которого пароль должен быть сменен);A1 - мощность пространства паролей (А - мощность алфавита паролей, l - длина пароля).

В случае, когда неизвестна точная длина искомого пароля, максимальное время подбора пароля (Тmax) будет вычисляться в соответствии со следующей формулой [3]:

Тmax

f3





Требования к паролям:

Длинный, состоящий из букв разного регистра, цифр и спецсимволов. При этом он должен быть случайным, т.е. выбор символов осуществляется произвольно (без какой бы то ни было системы) и более нигде не использоваться, при этом единственным местом фиксации пароля должна быть голова единственного человека. Однако необходимо учитывать и вопросы практического использования пароля. Очень длинный пароль сложно запомнить, особенно, если учесть тот факт, что пользователю приходится иметь не один пароль. Осуществить быстрый ввод длинного пароля также не представляется возможным. Произвольно выбранные символы запомнятся, если их произнесение вслух имеет запоминаемую звуковую форму (благозвучие) или они имеют характерное расположение на клавиатуре, в противном случае без шпаргалки не обойтись. Современные комплексы защиты информации ограничивают возможную длину используемого пароля 12 - 16 символами. Чаще всего это латинские буквы, цифры и специальные символы.

Большинство СЗИ обладает следующими возможностями по увеличению эффективности парольной системы:

  • установление минимальной длины пароля;

  • установление максимального срока действия пароля;

  • установление требования неповторяемости паролей (препятствует замене пароля по истечении его срока действия на один из используемых ранее);

  • ограничение числа попыток ввода пароля (блокирует пользователя после превышения определенного количества попыток ввода, осуществляемых подряд;

  • не действует на учетную запись администратора).



<< предыдущая страница   следующая страница >>