Бортнік
О.В., Храпач Р.Ю.
Національний
авіаційний університет, м. Київ
Програмний генератор паролів
та його програмні засоби
У зв’язку з зацікавленістю конкуруючих
сторін все частіше здійснюються різного роду атаки задля отримання даних
користувача ІС. Найпоширенішими методами отримання даних – злам паролю
зареєстрованого користувача, у сукупності з ідентифікатором якого дає змогу
зловмиснику встановити контроль за його даними та ресурсами. Тому все більше
користувачів системи, керуючись введеними вимогами адміністраторів безпеки
почали використовувати програмні генератори паролів, програмовані на основі
властивостей випадкових чи псевдовипадкових послідовностей. Та
залишається проблема встановлення безпечності даного програмного генератора
паролів, як розробленого не сертифікованого продукту поширеного в мережі
Internet. В даному випадку, при можливості проектування власного програмного
генератора, в основі коду якого лежить невідомий для зловмисника алгоритм –
найкраще вирішення проблеми.
Мета дослідження – аналіз механізмів парольного
захисту, можливих загроз та методів отримання паролів з метою створення
рекомендацій для побудови програмного
генератора паролів, вихідні дані якого матимуть випадковий характер.
В основу теоретичного дослідження
покладений аналіз літературних та нормативно-правових джерел.
Парольний захист є одним з методів
автентифікації, який по функціональному призначенню використовується з метою
блокування для контролю завантаження системи та контролю функціонування. При
здійснені контролю функціонування системи були проаналізовані наступні
варіанти:
1. Контроль користувача при доступі в
систему;
2. Контроль при запуску процесу;
3. Контроль при доступі до локальних
ресурсів;
4. Контроль при доступі до мережних
ресурсів.
На основі даної класифікації зроблені
висновки щодо функціонального призначення механізмів парольного захисту, які є
необхідним рубіжем підсилення системи захисту загалом.
Аналізуючи методи отримання паролів
зловмисником, які є явними загрозами подолання парольного захисту технічними
засобами були розглянуті наступні методи: за рахунок використання слабкостей
людського фактору, за рахунок використання недоліків реалізації парольних
систем, шляхом підбору, серед яких повний перебір, підбір по словнику та з
використанням відомостей про користувача.
На основі даних інтернет-ресурсів щодо
поширення несанкціонованого отримання конфіденційних даних шляхом підбору
паролю користувачів, та щорічного збільшення кількості даних випадків,
зумовлених слабкістю паролю, резонно наводяться способи підсилення паролів з
подальшим розглядом математичної моделі залежностей без урахування параметрів
процедури введення паролів. Серед способів – використання додаткових вимог до
паролю (збільшення довжини – числа символів, збільшення алфавіту набором
символів одного типу для задання паролю та збільшення алфавіту набором типів
символів для задання паролю) та встановлення обмежень на процедуру
автентифікації (обмеження числа невірно введених значень, числа типів символів
в паролі, повторень паролю (історія паролів), можливостей введення простих
паролів, періодичності зміни паролю користувачем).
При аналізі стійкості паролів різної
довжини та кількості варіантів символу в кожній позиції, враховуючи швидкість
перебору згідно середньостатистичної комплектації ПК, було визначено, що
мінімальна довжина паролю повинна складати 8 символів, збільшення якої
забезпечуватиме меншу ймовірність підбору за однаковий час.
При розробці програмного генератора,
використання якого дає можливість врахувати обмеження та вимоги до паролів,
використовуються програмні засоби середовища Builder C++. Проаналізовані
протестовані розробниками програмного забезпечення функції та використані для генерування
псевдовипадкових чисел - rand, randomize, Randomize, RandG. Виявлено, що в
якості джерела ентропії в даному програмному середовищі розробки генератора
використовується / Dev / random – лічильник тактів процесора з хешуванням
виходу через SHA-1, яке вважається одним з надійних джерел ентропії.
Для перевірки кожної послідовності на
випадковість здійснюється генерація значної кількості паролів (100)
використовуючи наступні критерії: однорідність розподілу (частота появи в послідовності конкретного
значення повинна бути приблизно однаковою для всіх значень) та незалежність
(жодне зі значень послідовності не повинно логічно виводитись з інших значень).
При здійсненні оцінки паролів на
випадковість використовувався графічний тест з відображенням частоти розподілів
з мінімально допустимою довжиною (8 знаків) та максимальною довжиною
встановленою програмно (24 знаків). У відповідності з отриманими даними
результати програмного генератора відрізняються від теоретичного в межах 10
відсотків. В даному випадку, при використанні функцій псевдовипадкової
генерації послідовності при достатньо малих варіацій рандомізації числа та
дослідженні паролів з мінімальною допустимою довжиною, та максимально
програмованої, у зв’язку з обмеженою кількістю символів алфавіту, дані
відхилення допустимі для використання даного додатку, адже за мету ставилось
отримання стійких паролів задля протистояння зламу методом повного перебору,
перебору за словником та з використанням інформації про користувача, так як код
програми передбачає виконання вимог та обмежень, які встановлені до паролів.
Література:
1. Основы
информационной безопасности автоматизированных систем: краткий курс, В.Л.
Цирлов, - Ростов-на-Дону: Феникс, 2008 – ст. 16-17.
2. Мещеряков Р.В.
Теоретические основы информационной безопасности автоматизированных систем,
Мещеряков Р.В., Праскурин Г.А. – Томск: Из-во Томск. межвуз. центр дист.
образ., 2005. – 243 с.
3. Дослідження
кількісних характеристик парольної системи захисту інформації освітніх
віртуальних мереж, Берегулько Н.О., Кухарська Н.П. [Електронний ресурс]// Режим
доступу: http://ubgd.lviv.ua/konferenc/kon_ikt/sekziya1/Beregulko.pdf
4. Защита
компьютерной информации от несанкционированного доступа, А.Ю. Щеглов, -
Санкт-Петербург : Наука и Техника, 2004 – ст. 133-135.