Мохур І.О.
Саксонов Г.М.
Національний
Гірничий Університет, Україна
Методи та
засоби аутентифікації користувачів у ІТС
Основою
програмно-технічних засобів безпеки інформації є ідентифікація та
аутентифікації.
Ідентифікація
дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного
користувача, або іншому апаратно-програмному компоненту) назвати себе
(повідомити своє ім'я).
За допомогою аутентифікації друга сторона
переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова
"аутентифікація" інколи використовують словосполучення
"перевірка достовірності".
Існуючі системи аутентифікації базуються
на пред'явленні користувачем комп'ютеру статичної пари ідентифікатор/пароль.
Проте у такому разі пари можуть бути скомпрометовані із-за недбалості
користувачів або можливості підбору паролів зловмисником. Значні інтервали
часу, протягом яких пароль і ідентифікатор залишаються незмінними, дозволяють
застосувати різні методи їх перехоплення і підбору. Для підвищення захищеності
комп'ютерної системи адміністратори обмежують термін дії паролів, але в
типовому випадку цей термін складає тижні і місяці, що цілком достатньо для
зловмисника.
Аутентифікація користувача – це перевірка,
чи дійсно користувач, є тим, за кого він себе видає.
Аутентифікація з використанням паролю
Для
аутентифікації користувачів в інформаційних системах найбільш широко
використовується аутентифікація за
секретною інформацією, яка невідома іншим користувачам.
При
некомп’ютерному використання це може бути голосовий пароль або комбінація для
замка, що запам'ятовується. У випадку обчислювальних систем це може бути
пароль, який вводиться з клавіатури.
Аутентифікація
користувачів зазвичай виконується деяким програмним модулем, який знаходиться безпосередньо
на комп’ютері, на який користувач
намагається отримати
прямий або доступ на відстані.
Попередньо, на модулі
формується «еталонний приклад», який запитує пароль користувача, по ньому
користувач буде пізнаватися згодом. Пароль може й назначатися користувачеві –
так буває, наприклад, у різних системах доступу в Інтернет. Зазвичай, модуль
аутентифікації зберігає еталонні приклади у таблиці відповідностей «користувач
– еталон».
Для
того, щоб відокремити звичайний пароль, який використовується при
аутентифікації по паролю, від паролів інших типів (наприклад, одноразових
паролів), традиційно використовують наступні терміни:
–
пароль, що запам’ятовується;
–
постійний пароль;
–
пароль, що повтороно вживається.
Всі
ці терміни означають, що
використовується аутентифікація по паролем.
Ідентифікаційна
фраза – пароль,який складається з декількох слів. Чим довше пароль або
ідентифікаційна фраза, тим він міцніше (складніше піддається підбору, перебору
та іншим типам атак) .
Достатньо
надійним паролем вважається
ідентифікаційна фраза довжиною від 25 до 100 символів. Але такі паролі
мають недоліки:
–
їх важко запам’ятати;
–
їх набирають повільно –відповідно їх легше підгледіти;
–
частіше у них використовують осмислені фрази –
відповідно, збільшується вірогідність підбору паролю (атака за словником).
Комп’ютерна система для аутентифікації
замість запиту паролю може використовувати інший аутентифікаційний метод («на
основі знання будь-чого») – метод секретних запитів та відповідей.
Парольна
аутентифікація є найбільш простим методом аутентифікації з точки зору
складності реалізації.
Аналіз проблем парольного захисту
Методика
створення безпечного паролю
Надійний
пароль повинен задовольняти ряду вимог.
1
Пароль має бути
секретним:
–
неприпустимо відображення паролю на екрані;
–
записаний пароль не можна зберігати в місцях, доступних неавторизованим
особам;
–
файл паролів повинен мати надійний криптографічний
захист;
–
пароль не рекомендується зберігати в комп'ютері навіть в
спеціальних захищених файлах – для більшої безпеки пароль слід зберігати
записаним на зовнішній носій, який має бути надійно захищений від
несанкціонованого доступу;
–
можливості операційної системи і інших програм по
збереженню пароля повинні ігноруватися, на пропозицію програм запам'ятати
пароль потрібно завжди відповідати відмовою.
2 Пароль
має бути довгим.
Пароль
повинен полягати не менше ніж з 8 символів, інакше він легко може бути зламаний
програмами прямого перебору.
3 Пароль має бути важко вгадуваним.
Неприпустимо
збіг пароля з логіном, використання як паролю імені, прізвища, дати народження,
номерів телефонів користувача або його родичів, кличок улюблених домашніх
тварин, назв спортивних клубів, географічних назв, наприклад, улюблених місць
відпочинку і тому подібне.
4
Пароль не має бути поширеним словом, іменами, назвами для захисту від атаки за словником.
Зазвичай, якщо
використовують такі паролі, то їх доводиться записувати, що знижує рівень
безпеки унаслідок послаблення парольного захисту.
Щоб
уникнути необхідності записувати складні паролі, бажано використовувати ті або
інші правила формування псевдовипадкових паролів, які при цьому легко
запам'ятовуються.
Так,
можна використовувати фрази з віршів, пісень, які перетворяться так, щоб вийшла
зовні позбавлена смислового змісту послідовність. Наприклад, якщо узяти слова
відомої пісні «Три танкісти, три веселі друзі – екіпаж машини бойовий» і
використовувати перші літери слів, замінивши числівники цифрами і зберігши
розділові знаки, то вийде пароль «3Т,3вд-ЕМБ» (або набраний латинськими літерами
@3N?3dl-“V<@), що містить літери, цифри і символи, але що при цьому легко
запам'ятовується.
Одним із
найважливіших питань розвитку засобів інформації на сучасному етапі культури
людства є проблема автоматизації
перетворення інформації, стискування інформації, видобування з тексту заданої
інформації.
Користувачі
по всьому світу у якості паролів до ресурсів заради зручності та по безпечності
вибирають слова, які легко запам’ятати, наприклад: ім’я домашнього тваринки, коханої дівчини або дата народження користувача.
Тому ще одна сторона використання
частотних характеристик – автоматична генерація паролів. Якщо користувач сам
обирає пароль, то важко змусити його придумати такий пароль, щоб він був
стійким до підбору за словником. Якщо пароль генерувати випадково та рівноймовірно,
то його буде важко запам’ятати і
користувач, вірогідно, десь запише його.
Це також недопустимо з точки зору безпеки. Ідея заключається у
тому, щоб підрахувавши частотні характеристики n-грамм, використовувати їх при генерації паролів. Хоча загальна кількість таких паролів
менше всіх можливих, але такий пароль не можна буде підібрати за словником і
його буде легко запам’ятати , не дивлячись на те, що він не є словом.
Принципи частотного аналізу можуть бути використовані для прискорення набору тексту на основі
оптимізації розташування літер на клавіатурі мобільних пристроїв згідно частот
повторюваності літер та біграмм.
Використовуючи отримані результати
частотного аналізу, а саме, частоти повторюваності біграмм у текстах українською мовою, можливо розробити нову
функціональну розкладку клавіатури мобільного пристрою.
Клавішам, які є найбільш комфортними під
час набору тексту, функціонально призначають літери
української абетки, які складають частоти повторюваності біграмм з найбільшою
частотою за спаданням. Це дозволяє прискорити набір повідомлень у декілька разів.
Практично кріптостойкость оцінюється
статистичними методами. Національний Інститут Стандартів і Технологій (НІСТ)
США розробив Керівництво по проведенню статистичних випробувань (надалі просто
Керівництво НІСТ) генераторів ПВП, орієнтованих на використання в завданнях криптографічного захисту інформації.
Оцінка статистичних випробувань заснована
на перевірці гіпотези про випадковість досліджуваної послідовності нулів і
одиниць.
Для перевірки паролю, створенного на
основі використання частотних характеристик, використуємо амереканський
федеральний стандарт FIPS 140-1.
Стандарт FIPS 140-1 визначає чотири
статистичні тести на випадковість: монобітний тест, блоковий тест, тест серій,
тест довжин серій.
Програмний комплекс, що реалізує
амереканський стандарт FIPS-140 дозволяє:
– створювати
звіти у вигляді текстових файлів, що містять результати тестування;
– створити демонстраційний звіт у вигляді файлу у форматі HTML;
– роздруковувати
результати тестування.