Идентификация с помощью паролей. Правила выбора паролей.

Идентификация с помощью паролей. Правила выбора паролей.

Главное достоинство использования паролей – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании они могут обеспечить достаточно высокий уровень безопасности. Однако для этого следует соблюдать определенные правила при выборе паролей, а также выполнять некоторые организационные правила.

Существуют различные методики использования паролей:

·        Пароль представляет собой некоторую последовательность символов, выбранную пользователем.

·        Использование в качестве пароля некоторого правила, известного пользователю. В этом случае система выводит на экран некоторую информацию (например, случайное число), а пользователь должен преобразовать ее по определенным правилам и ввести результат; этот результат и будет служить паролем.

Пароли в виде последовательности символов

Это наиболее известный и часто используемый метод. Достоинством является простота программной реализации проверки паролей, а также удобство для пользователя – ведь пароль, выбранный самостоятельно, легче запомнить. Однако у такого способа есть и серьезные недостатки. Чтобы пароль было легче запомнить, многие пользователи используют в качестве пароля какое-то слово либо имя, либо другую информацию, связанную с жизнью данного пользователя (дату рождения, номер машины и т.д.). Такой пароль легко подобрать, если знать информацию о конкретном человеке.

Известна классическая история про советского разведчика Рихарда Зорге, объект внимания которого через слово говорил «карамба»; разумеется, этим же словом открывался сверхсекретный сейф. Если пароль представляет собой некоторое слово, то его можно подобрать, перебирая подряд все слова из некоторого словаря.

Что бы повысить надежность парольной защиты, надо соблюдать следующие правила использования паролей:

·        пароль должен быть достаточно длинным (не менее 6 символов), иначе его можно подобрать простым перебором всех возможных комбинаций символов.

·        пароль не должен быть содержательным словом, так как такие пароли можно взломать путем перебора по словарю; это относится и к словам, напечатанным при другой раскладке клавиатуры (русское слово при английской раскладке и наоборот)

·        пароль не должен содержать информацию, относящуюся к его обладателю ( дата рождения, имя, телефон, кличка любимой собаки, название любимой песни...), т.к. иначе злоумышленник, узнав эту информацию, может попытаться использовать ее в качестве пароля

·        пароль не в коем случае нельзя сообщать другим людям, даже самым надежным – ведь тайна, которую знают двое - уже не тайна

·        пароль не должен содержать повторяющиеся последовательности символов или последовательности символов, рядом расположенных на клавиатуре, иначе злоумышленник легко сможет подобрать пароль, заметив, как его вводит пользователь 

·        если пароль где-то записывается, то эту бумажку надо хранить так, чтобы она не попала в руки посторонних, и чтобы не могла быть ассоциирована с паролем;  лучше записывать  не сам пароль, а некоторое правело, которое поможет этот пароль вспомнить

·        при вводе пароля надо следить, чтобы рядом не было посторонних людей, чтобы никто из посторонних не мог подсмотреть, какие символы пользователь набирает на клавиатуре

·        некоторые программы поставляются с заранее определенными паролями, указанными в документации. Эти пароли надо немедленно удалить, чтобы никто не смог ими воспользоваться

·        пароли надо время от времени менять; а если есть подозрение, что кто-то мог узнать ваш пароль – его надо менять немедленно

·        программные средства, использующие парольную аутентификацию, должны ограничивать число неудачных попыток ввода пароля – это затруднит подбор пароля методом перебора

Соблюдение этих правил позволяет повысить надежность использования паролей, но сохраняет главный недостаток паролей виде фиксированной строки: если злоумышленнику удалось узнать пароль, он сможет пользоваться им неопределенно долго.

Пароли в виде секретного правила

При использовании таких паролей, даже если злоумышленник увидит, какой пароль вводит пользователь, он не сможет им воспользоваться, потому что в следующий раз пароль будет другим.

Например, пусть правило выработки пароля следующее: на экран выводится случайное трехзначное число и текущая дата. Пользователь должен сложить две первые цифры числа и номер месяца, и от результата отнять третью цифру числа. Следовательно, если на экран выведено «Вас приветствует 576. Сегодня 15-11-2007», то пароль вычисляется как 5+7+11-6=17.

Недостатком таких «одноразовых» паролей является то, что при «ручном» выполнении правило должно быть достаточно простым (иначе пользователь не сможет его правильно выполнить), а простое правило сможет подобрать злоумышленник, если проанализирует несколько сеансов регистрации в системе. Если же правило сделать достаточно сложным, то для генерации паролей потребуются специальные программные или технические средства.

 Наиболее известным программным генератором одноразовых паролей является система S/Key компании Bellcore. Система основана на использовании односторонней функции (т.е. такой, вычислить обратную  к которой за приемлемое время невозможно)

Односторонняя функция известна и пользователю и серверу-аутентификации. Кроме того, есть секретный ключ К, известный только пользователю. На этапе начального администрирования функция f применяется к ключу К n раз и результат сохраняется на сервере. После этого  проверка подлинности выглядит следующим образом:

-сервер присылает на пользовательскую систему число n-1

-пользователь применяет функцию f к секретному ключу K n-1раз и отправляет результат на сервер

-сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохранённой величиной. В случае совпадения подлинность пользователя считается установленной, сервер заполнит новое значение и уменьшает на единицу счётчик n.

Поскольку функция f необратима, перехват пароля, так же как и получение доступа к серверу аутентификации, не позволяет узнать секретный ключ K и предсказать следующий однородный пароль. Система S/key имеет статус Интернет - стандарта .

Средства защиты паролями объектов Windows

Средства защиты информации с помощью паролей широко используется в ОС Windows. Прежде всего, для входа в систему пользователь должен ввести некоторый пароль.

Кроме того, паролями можно защитить отдельные папки и файлы в частности, файлы документов Microsoft Office. Например, можно защитить документ Word таким образом, чтобы он открывался, только если пользователь введет определенный пароль. Можно защитить файл от изменений. То есть открыть файл сможет любой пользователь, а вносить в него изменения можно будет только после ввода пароля.