Парольные системы идентификации и аутентификации пользователей

Парольные системы идентификации/аутентификации является одними из основных и наиболее распространенных в СЗИ методов пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Совокупность идентификатора и пароля пользователя - основные составляющие его учетной записи. База данных пользователей парольной системы содержит учетные записи всех пользователей КС.
Парольные системы являются зачастую «передним краем обороны» всей системы безопасности. Отдельные ее элементы могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику (в том числе и база данных учетных записей пользователей). В связи с этим, парольные системы становятся одним из наиболее привлекательных для злоумышленника объектов атаки. Основными типами угроз безопасности парольных систем являются следующие.
1. Перебор паролей в интерактивном режиме.
2. Подсмотр пароля.
3. Преднамеренная передача пароля его владельцем другому лицу.
4. Кража базы данных учетных записей с дальнейшим ее анализом, подбором пароля.
5. Перехват вводимого пароля путем внедрения в КС программных закладок (клавиатурных шпионов); перехват пароля, передаваемого по сети.
6. Социальная инженерия.
Многие недостатки парольных систем связаны с наличием человеческого фактора, который проявляется в том, что пользователь, зачастую, стремится выбрать пароль, который легко запомнить (а значит и подобрать), записать сложно запоминаемый пароль. Легальный пользователь способен ввести пароль так, что его могут увидеть посторонние, передать пароль другому лицу намеренно или под влиянием заблуждения.
Для уменьшения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей
1. Задание минимальной длины пароля для затруднения подбора пароля злоумышленником «в лоб» (полный перебор, brute-forcing) и подсмотра.
2. Использование в пароле различных групп символов для усложнения подбора злоумышленником пароля «в лоб».
3. Проверка и отбраковка пароля по словарю для затруднения подбора пароля злоумышленником с использованием словарей.
4. Установление максимального срока действия пароля для затруднения подбора пароля злоумышленником «в лоб», в том числе и в режиме «off-line» при взломе предварительно похищенной базы данных учетных записей пользователей.
5. Применение эвристического алгоритма, бракующего «плохие» пароли для усложнения подбора пароля злоумышленником «по словарю» или с использованием эвристического алгоритма.
6. Ограничение числа попыток ввода пароля для предотвращения интерактивного подбора пароля злоумышленником.
7. Использование задержки при вводе неправильного пароля для предотвращения интерактивного подбора пароля злоумышленником.
8. Поддержка режима принудительной смены пароля пользователя для эффективности реализации требования, ограничивающего максимальный срок действия пароля.
9. Запрет на выбор пароля самим пользователем и автоматическая генерация паролей для затруднения использования злоумышленником эвристического алгоритма подбора паролей.
Количественная оценка стойкости парольных систем может быть выполнена с помощью следующего подхода
Пусть A – мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля). Например, если при составлении пароля могут быть использованы только малые английские буквы, то A=26
L – длина пароля.
- число всевозможных паролей длины L, которые можно со-ставить из символов алфавита A. S также называют пространством атаки.
V – скорость перебора паролей злоумышленником.
T – максимальный срок действия пароля.
Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия Т определяется по следующей формуле.
Эту формулу можно обратить для решения следующей задачи:

Справочник по информационной безопасности - Do-protect.ru

Автор статьи: неизвестный | Дата публикации: 14:40 14.12.2016 Luxfun.Ru




Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Читаемые

Промышленный альпинизм. История и современность.

История промышленного альпинизма стара и уходит корнями далеко в историю. Начиналась она на флоте, где многие работы приходилось производить в подвешенном состоянии. На флоте возникли основные приемы...

Куда убирают снег?

Зима всегда приходит внезапно и не вовремя. Коммунальные службы города не готовы к таким природным катаклизмам, администрация рапортует о каждой расчищенной трассе, убранных тротуарах и крышах домов, ...

Как шоколад используется в косметологии? Маски, об

Шоколад — не только вкусное лакомство, но и очень полезный косметологический компонент, который имеет незаменимые свойства для нашей красоты и молодости. Он является источником быстрых угле...

Заказ материалов для строительства в Сети: главные

Планируя ремонт в квартире, мы тратим много времени на подбор и приобретение стройматериалов. Но как поступить, если свободного времени на походы по торговым точкам абсолютно нет? В таком случае совет...

Развивая портал:

Наш проект создан для людей, стремящихся день за днем совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш портал приятным для чтения.

Полезная и познавательная информация, которая собрана на нашем веб-сайте дает возможность ответить на многие интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет нужды тратить огромное количество времени для поиска ответа на необходимый для тебя вопрос.