2. Основные понятия
Пароль - некоторое секретное количество информации,
известное только пользователю и парольной системе,
которое может быть запомнено пользователем и
предъявлено для прохождения процедуры аутентификации.
Аутентификация - это проверка принадлежности
пользователю предъявленного им идентификатора.
Идентификация - это присвоение пользователям
идентификаторов и проверка предъявляемых
идентификаторов по списку присвоенных.
Парольная система - программно-аппаратный комплекс,
реализующий системы идентификации и аутентификации
пользователей АС на основе одноразовых или многоразовых
паролей.
3. Виды паролей
Пароль
Одноразовый – Многоразовый - может быть
дает возможность использован
пользователю однократно для проверки подлинности
пройти аутентификацию повторно.
4. Аутентификация
Основные методы
Русское название Английское название
по хранимой копии пароля или plaintext-equivalent
его свёртке
по некоторому проверочному verifier - based
значению
без непосредственной передачи zero - knowledge
информации о пароле
проверяющей стороне
с использованием пароля для cryptographic
получения криптографического
ключа
5. Типы угроз парольной системы
Перечисленные типы угроз связаны с наличием так
называемого человеческого
фактора, проявляющегося в том, что пользователь
может:
выбрать пароль, который легко запомнить и также
легко подобрать,
записать пароль, который сложно запомнить, и
положить запись в доступном месте,
ввести пароль так, что его смогут увидеть
посторонние,
передать пароль другому лицу намеренно или под
влиянием заблуждения.
6. Порядок выбора пароля
В основном пользователь сам выбирает пароль, либо
получает его от системного администратора. Для
уменьшения влияния человеческого фактора
необходимо учесть ряд требований.
7. Требования при выборе пароля
Требования к паролю Эффект
Установление min длины пароля Усложняет задачу злоумышленника
при попытке подсмотреть пароль
или подобрать пароль методом
"тотального опробования"
Использование в пароле различных Усложняет попытки подобрать
групп символов пароль методом "тотального
опробования"
Проверка пароля по словарю Усложняет попытки подобрать
пароль по словарю
Установление максимального срока Усложняет попытки подобрать
действия пароля пароль методом «тотального
опробования» (в т.ч. в режиме off-
line)
Установление минимального срока Препятствует попыткам заменить
действия пароля пароль на старый после его смены
по предыдущему требованию
8. Требования при выборе пароля
Требования к паролю Эффект
Ведение журнала истории паролей Дополнительная степень защиты по
предыдущему требованию
Ограничение числа попыток ввода Препятствует интерактивному
пароля подбору паролей
Поддержка режима принудительной Обеспечивает эффективность
смены пароля пользователя требования, ограничивающего
максимальный срок действия пароля
Использование задержки при вводе Препятствует интерактивному
неправильного пароля подбору паролей
Запрет на выбор пароля самим Исключает возможность подобрать
пользователем и автоматическая пароль по словарю
генерация паролей
Принудительная смена пароля при Защищает от неправомерных
первой регистрации пользователя в действий сисадмина, имеющего
системе доступ к паролю в момент создания
учетной записи
9. Варианты хранения паролей
в открытом виде
в виде свёрток
(хеширование)
зашифрованными
на некотором
ключе
10. Шифрование паролей
При шифровании паролей особое значение имеет способ
генерации и хранения ключа шифрования базы данных
учетных записей.
1. ключ генерируется программно и хранится в системе,
обеспечивая возможность ее автоматической
перезагрузки;
2. ключ генерируется программно и хранится на
внешнем носителе, с которого считывается при
каждом запуске;
3. ключ генерируется на основе выбранного
администратором пароля, который вводится в
систему при каждом запуске.
11. Шифрование паролей
Наиболее безопасное хранение паролей обеспечивается при
их хешировании и последующем шифровании полученных
сверток, т.е. при комбинации двух способов.
Программная генерация ключа и Генерация ключа на основе
его хранение на внешнем выбранного администратором
носителе, с которого ключ пароля, который вводится в
считывается при каждом запуске; систему при каждом запуске.
12. Порядок передачи пароля по
сети
Почти всегда аутентификация происходит в
распределённых системах и связана с передачей по
сети информации о параметрах учетных записей
пользователей.
13. Основные виды защиты сетевого
трафика
физическая
защита сети
оконечное шифрование
шифрование пакетов
14. Способы передачи пароля по
сети
в открытом виде
зашифрованными
в виде свёрток
без непосредственной
передачи информации о
пароле ("доказательство с
нулевым разглашением")
15. Угрозы при передаче пароля
При передаче паролей в зашифрованном виде или в
виде сверток по сети с открытым физическим
доступом возможна реализация следующих угроз
безопасности парольной системы:
перехват и повторное использование информации,
перехват и восстановление паролей,
модификация передаваемой информации с целью
введения в заблуждение проверяющей стороны,
имитация злоумышленником действий
проверяющей стороны для введения в
заблуждение пользователя.
16. Памятка пользователю
Заведите для каждого важного аккаунта особый пароль
Пароль должен включать буквы, цифры и символы
Выбирайте пароль, который было бы сложно угадать
Следите за тем, чтобы параметры восстановления
пароля всегда содержали самую актуальную
информацию и не были известны третьим лицам
Храните пароли в труднодоступных местах
17. Вывод
Поскольку пароли защищают конфиденциальную
информацию, их важность трудно переоценить.
Все учетные записи в интернете должны быть
защищены паролями. Но выбирать пароль нужно
осмотрительно, поскольку важную роль играет
человеческий фактор.