Яланская А.А., Тимофеев
Д.С.
Национальный горный университет, г.Днепропетровск, Украина
Анализ методик построения политик парольного доступа в информационных системах
Информационная система –
организационно-техническая система, в которой реализуется технология обработки
информации с использованием технических и программных средств.[1]
Для того, чтобы говорить
о методиках построения парольного доступа, необходимо раскрыть такое понятие
как аутентификация пользователей, т.к. политика использования паролей является
одним из методов аутентификации
Аутентифика́ция (англ.
Authentication) — проверка принадлежности субъекту доступа предъявленного им
идентификатора; подтверждение подлинности. [2]
Аутентификацию не следует путать с
идентификацией. Аутентификатор - это пакет, доказывающий, что клиент
действительно является обладателем секретного ключа.
Выделяют три
основных метода аутентификации:
• аутентификация по
фактору собственности, или, проще, «то, что у меня есть с собой»: кредитная
карта, магнитный пропуск и пр.;
• аутентификация по
фактору индивидуального знания – «то, что я знаю»: пароли, PIN-коды, номера
карточки социального страхования и пр.;
• аутентификация по
биометрическому фактору – «то, что я есть на самом деле»: отпечатки пальцев,
голосовые метки и пр.
Аутентификация,
базирующаяся на методе собственности, наиболее уязвима для взлома со стороны
злоумышленников: кредитные карточки и иные предметы аутентификации могут быть
утеряны или похищены. Обычно такой тип аутентификации стараются комбинировать с
каким-то вторичным способом, например подписью.
При аутентификации по методу
индивидуального знания даже неспециалист может назвать явные угрозы, которые
сразу приходят на ум: пароль можно по ошибке кому-нибудь назвать, записать на
бумаге и утерять ее и т. д. Специалист также может использовать для взлома
пароля программные и аппаратные средства.
Биометрические
методы аутентификации многие специалисты считают сегодня самыми надежными по
уровню безопасности. Однако биометрика пока достаточно дорогое удовольствие.
Тем не менее, по статистике в настоящее время биометрические методы
аутентификации применяются там, где цена взлома слишком велика: корпоративный
сегмент с высоким уровнем защиты – учреждения, ведающие государственной тайной,
финансами и т. д.
Выбор схемы
аутентификации – достаточно сложная задача, и объем средств, затрачиваемых на
организацию доступа, должен соответствовать стоимости информации, которую
необходимо защитить. Однако следует четко представлять себе губительные
последствия выбора слишком простой или неэффективной схемы аутентификации на
всех уровнях модели информационной безопасности.
Для аутентификации пользователей
в информационных системах наиболее широко используется аутентификация по
секретной информации, которая неизвестна непосвящённым людям. При
некомпьютерном использовании это может быть произносимый голосом пароль или
запоминаемая комбинация для замка. В случае вычислительных систем это может
быть пароль, вводимый с помощью клавиатуры.
Парольная
аутентификация —
аутентификация
на основе обладания неким секретным знанием, «на основе знания чего-либо». Для
того чтобы отделить обычный пароль, используемый при аутентификации по паролю,
от других типов паролей (к примеру, одноразовых паролей), традиционно
используют следующие термины: запоминаемый
пароль, постоянный пароль,
повторно используемый пароль.
Все эти термины обозначают то, что используется аутентификация по паролю.
Чем длиннее пароль или идентификационная
фраза, тем он более прочный (сложнее поддается подбору, перебору иди другим
типам атак). Хорошим, прочным паролем считается идентификационная фраза длиной
от 25 до 100 символов. К сожалению, длинные пароли обладают другими
недостатками:
·
их
сложнее запомнить,
·
их
медленнее набирают — соответственно, их проще подсмотреть,
·
чаще
в них используют осмысленные фразы — соответственно, повышается вероятность
подбора (атака со словарем).
Компьютерная
система для аутентификации вместо запроса пароля может использовать другой
аутентификационный метод («на основе знания чего-либо») — метод секретных
запросов и ответов (secret questions and answers). Парольная аутентификация
является наиболее простым методом аутентификации с точки зрения сложности
реализации.
Аутентификация на основе открытого пароля
Самым старым
и простым методом парольной аутентификации является аутентификация на основе
открытого пароля. При этом пользователь
вводит свои логин (англ. login — регистрационное имя пользователя)и пароль — некую конфиденциальную информацию, знание
которой обеспечивает владение определенным ресурсом. Эта информация передается
по сети в открытом виде. Сервер аутентификации находит учетную запись
пользователя в базе данных и сравнивает введенные данные с ее содержимым. В
случае совпадения пользователь получает пропуск в систему.
Аутентификация на основе одноразового
пароля
Одноразовый пароль
(англ. one time password, OTP) — это пароль, действительный только для одного
процесса аутентификации в течение ограниченного промежутка времени.
Преимущество одноразового пароля по сравнению со статическим паролем состоит в
том, что паролем невозможно воспользоваться более одного раза. Таким образом
если «злоумышленник» перехватил использованный одноразовый пароль, отсутствует
риск получить доступ к данным «жертвы». С другой стороны, человек не в
состоянии запомнить одноразовые пароли. Поэтому требуются дополнительные
технологии для их корректной работы.
Аутентификация на основе хэшированного пароля
В
большинстве используемого в настоящее время программного обеспечения,
используются не пароли, а их хэш-значения, получаемые с помощью
криптографической хэш-функции.
Однонаправленные хэш-функции — это функции, которые принимают на входе
строку переменной длины и преобразуют ее в выходную строку фиксированной
(обычно меньшей) длины, называемую значением хэш-функции (хэш-значением).
Основным свойством однонаправленных
хэш-функций является невозможность восстановления исходной информации при
обладании полученным из неё хэшем.
Таким образом, если злоумышленник получит
доступ к базе данных аутентификации, это ему ничего не даст, так как он не
сможет восстановить пароль пользователя из хранящегося в базе хэш-значения.
Для получения хэш-значения из пароля
криптографическая хэш-функция использует обычно алгоритм и ключ. Однако,
использование одного и того же ключа для шифрования всех паролей может стать
причиной уязвимости, поскольку ключ должен быть внедрён в программу
регистрации. Вместо этого системы используют пароль в качестве ключа шифрования
«случайного» открытого текста (например, нулей) или иных данных.
Аутентификация на
основе PIN-кода
PIN-код (Personal Identification Number) — это
разновидность пароля, обычно используемого для аутентификации на локальном
устройстве.
Несмотря на слова identification (идентификационное) и number (число), послужившие основой для аббревиатуры, PIN-код
редко служит в качестве идентификатора пользователя, а символы, входящие в
PIN-код, необязательно являются цифрами.
Разница между PIN-кодом и паролем состоит
в области и условиях их использования.
Обычно для решений, в которых используется PIN-код, характерно
следующее:
·
В
локальном устройстве, в котором осуществляется аутентификация с помощью
PIN-кода, имеется интерфейс для пользователя, а не для программ. Никто не может
ввести PIN-код, не используя клавиатуру данного устройства.
·
PIN-код
не передаётся по сети и не может быть перехвачен.
В связи с тем, что парольная
аутентификация основана на запоминании некоторой информации, многие
пользователи информационных систем с парольной аутентификацией выбирают в
качестве секрета не произвольную и трудно угадываемую информацию, а легко
запоминаемые выражения или свои личные данные. Это могут быть имена, имена
членов семьи, названия компьютеров, дни рождения и другие очевидные комбинации.
Для повышения стойкости парольной
защиты к перебору, в многих информационных системах реализуется проверка пароля
на соответствие определённым требованиям и блокирование простых паролей.
Обычно термины: «правила формата пароля»,
«опции автоматического блокирования», «политика смены паролей» не разделяют и
называют одним общим термином — парольные
политики.
Таким образом, вне зависимости от выбора
метода аутентификации и программно-технических средств реализации в современных
информационно-телекоммуникационных системах, необходимо реализовывать комплекс
организационных мер на всех стадиях жизненного цикла системы.
Список
литературы:
1. Закон України «Про захист інформації
в інформаційно-телекомунікаційних системах»
2. НД ТЗИ 1.1-003-99 «Терминология в
сфере защиты информации в компьютерных системах от несанкционированного
доступа»