SlideShare a Scribd company logo

выбор и хранение паролей(солдатенкова)

Julia Soldatenkova
Julia Soldatenkova
Education
1 of 17
Выполнила: Солдатенкова Юлия, МаГУ, факульет Информатики 43 гр.
Основные понятия Пароль - некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Аутентификация - это проверка принадлежности пользователю предъявленного им идентификатора. Идентификация - это присвоение пользователям идентификаторов и проверка предъявляемых идентификаторов по списку присвоенных. Парольная система - программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей.
Виды паролей Пароль Одноразовый – Многоразовый - может быть дает возможность использован пользователю однократно для проверки подлинности пройти аутентификацию повторно.
Аутентификация Основные методы Русское название Английское название по хранимой копии пароля или plaintext-equivalent его свёртке по некоторому проверочному verifier - based значению без непосредственной передачи zero - knowledge информации о пароле проверяющей стороне с использованием пароля для cryptographic получения криптографического ключа
Типы угроз парольной системы Перечисленные типы угроз связаны с наличием так называемого человеческого фактора, проявляющегося в том, что пользователь может:  выбрать пароль, который легко запомнить и также легко подобрать,  записать пароль, который сложно запомнить, и положить запись в доступном месте,  ввести пароль так, что его смогут увидеть посторонние,  передать пароль другому лицу намеренно или под влиянием заблуждения.
Порядок выбора пароля В основном пользователь сам выбирает пароль, либо получает его от системного администратора. Для уменьшения влияния человеческого фактора необходимо учесть ряд требований.
Требования при выборе пароля Требования к паролю Эффект Установление min длины пароля Усложняет задачу злоумышленника при попытке подсмотреть пароль или подобрать пароль методом "тотального опробования" Использование в пароле различных Усложняет попытки подобрать групп символов пароль методом "тотального опробования" Проверка пароля по словарю Усложняет попытки подобрать пароль по словарю Установление максимального срока Усложняет попытки подобрать действия пароля пароль методом «тотального опробования» (в т.ч. в режиме off- line) Установление минимального срока Препятствует попыткам заменить действия пароля пароль на старый после его смены по предыдущему требованию
Требования при выборе пароля Требования к паролю Эффект Ведение журнала истории паролей Дополнительная степень защиты по предыдущему требованию Ограничение числа попыток ввода Препятствует интерактивному пароля подбору паролей Поддержка режима принудительной Обеспечивает эффективность смены пароля пользователя требования, ограничивающего максимальный срок действия пароля Использование задержки при вводе Препятствует интерактивному неправильного пароля подбору паролей Запрет на выбор пароля самим Исключает возможность подобрать пользователем и автоматическая пароль по словарю генерация паролей Принудительная смена пароля при Защищает от неправомерных первой регистрации пользователя в действий сисадмина, имеющего системе доступ к паролю в момент создания учетной записи
Варианты хранения паролей в открытом виде в виде свёрток (хеширование) зашифрованными на некотором ключе
Шифрование паролей При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. 1. ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки; 2. ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске; 3. ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.
Шифрование паролей Наиболее безопасное хранение паролей обеспечивается при их хешировании и последующем шифровании полученных сверток, т.е. при комбинации двух способов. Программная генерация ключа и Генерация ключа на основе его хранение на внешнем выбранного администратором носителе, с которого ключ пароля, который вводится в считывается при каждом запуске; систему при каждом запуске.
Порядок передачи пароля по сети Почти всегда аутентификация происходит в распределённых системах и связана с передачей по сети информации о параметрах учетных записей пользователей.
Основные виды защиты сетевого трафика физическая защита сети оконечное шифрование шифрование пакетов
Способы передачи пароля по сети в открытом виде зашифрованными в виде свёрток без непосредственной передачи информации о пароле ("доказательство с нулевым разглашением")
Угрозы при передаче пароля При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы:  перехват и повторное использование информации,  перехват и восстановление паролей,  модификация передаваемой информации с целью введения в заблуждение проверяющей стороны,  имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя.
Памятка пользователю  Заведите для каждого важного аккаунта особый пароль  Пароль должен включать буквы, цифры и символы  Выбирайте пароль, который было бы сложно угадать  Следите за тем, чтобы параметры восстановления пароля всегда содержали самую актуальную информацию и не были известны третьим лицам  Храните пароли в труднодоступных местах
Вывод Поскольку пароли защищают конфиденциальную информацию, их важность трудно переоценить. Все учетные записи в интернете должны быть защищены паролями. Но выбирать пароль нужно осмотрительно, поскольку важную роль играет человеческий фактор.

Recommended

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
обнаружение сетевых атак
обнаружение сетевых атакобнаружение сетевых атак
обнаружение сетевых атакMike Gorohov
 
Евгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьЕвгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьGAiN@ESD
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 

Recommended

Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Тестирование на проникновение в сетях Microsoft (v.2)
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
 
Типовые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системТиповые проблемы безопасности банковских систем
Типовые проблемы безопасности банковских системDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftТестирование на проникновение в сетях Microsoft
Тестирование на проникновение в сетях MicrosoftDmitry Evteev
 
Введение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийВведение в тему безопасности веб-приложений
Введение в тему безопасности веб-приложенийDmitry Evteev
 
Мобильный офис глазами пентестера
Мобильный офис глазами пентестераМобильный офис глазами пентестера
Мобильный офис глазами пентестераDmitry Evteev
 
обнаружение сетевых атак
обнаружение сетевых атакобнаружение сетевых атак
обнаружение сетевых атакMike Gorohov
 
Евгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьЕвгений Кутя - Информационная безопасность
Евгений Кутя - Информационная безопасностьGAiN@ESD
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APTDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.7bits
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...qqlan
 
virusi
virusivirusi
virusiTanaS
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Hacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev SgHacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev Sganisol
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
презент
презентпрезент
презентlacertia
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикEvgen
 
Boyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_nBoyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_nSerghei Urban
 
Mtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a diaMtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a diaRafael Chiavegatto
 
Data mining and antispam
Data mining and antispamData mining and antispam
Data mining and antispamДаниил Зайцев
 
Vivienne's Booklet
Vivienne's Booklet Vivienne's Booklet
Vivienne's Booklet Vivienne Mackinder
 

More Related Content

What's hot

История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.7bits
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийDmitry Evteev
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестированийDmitry Evteev
 
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...qqlan
 
virusi
virusivirusi
virusiTanaS
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future NowDmitry Evteev
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. ОсновыPositive Hack Days
 
Hacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev SgHacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev Sganisol
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиDmitry Evteev
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
презент
презентпрезент
презентlacertia
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикEvgen
 
Boyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_nBoyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_nSerghei Urban
 

What's hot (19)

История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
Стажировка-2014, занятие 6. Информационная безопасность и атаки на сервер.
 
Как взламывают сети государственных учреждений
Как взламывают сети государственных учрежденийКак взламывают сети государственных учреждений
Как взламывают сети государственных учреждений
 
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхАнализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условиях
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
Sergey Gordeychik and Dmitry Evteev (Positive Technologies) "One Time Passwor...
 
virusi
virusivirusi
virusi
 
PHDays 2012: Future Now
PHDays 2012: Future NowPHDays 2012: Future Now
PHDays 2012: Future Now
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Атаки на web-приложения. Основы
Атаки на web-приложения. ОсновыАтаки на web-приложения. Основы
Атаки на web-приложения. Основы
 
Hacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev SgHacker Attack 2008 Netsajev Sg
Hacker Attack 2008 Netsajev Sg
 
Как я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые паролиКак я перестал бояться токенов и полюбил одноразовые пароли
Как я перестал бояться токенов и полюбил одноразовые пароли
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
презент
презентпрезент
презент
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
C:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученикC:\fakepath\и вечный бой ученик
C:\fakepath\и вечный бой ученик
 
Boyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_nBoyicev o. zashiti_svoyi_kompyuter_n
Boyicev o. zashiti_svoyi_kompyuter_n
 

Viewers also liked

Mtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a diaMtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a diaRafael Chiavegatto
 
Marketing e logistica integrati per pmi
Marketing e logistica integrati per pmiMarketing e logistica integrati per pmi
Marketing e logistica integrati per pmiAntonella Grana
 
O que são Social Videos?
O que são Social Videos? O que são Social Videos?
O que são Social Videos? Camila Gadelha
 
Blockchain - Navigating this Game-Changing Technology
Blockchain - Navigating this Game-Changing TechnologyBlockchain - Navigating this Game-Changing Technology
Blockchain - Navigating this Game-Changing TechnologyConor Svensson
 
Big Data Scala by the Bay: Interactive Spark in your Browser
Big Data Scala by the Bay: Interactive Spark in your BrowserBig Data Scala by the Bay: Interactive Spark in your Browser
Big Data Scala by the Bay: Interactive Spark in your Browsergethue
 
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...gethue
 
Building Scalable Data Pipelines - 2016 DataPalooza Seattle
Building Scalable Data Pipelines - 2016 DataPalooza SeattleBuilding Scalable Data Pipelines - 2016 DataPalooza Seattle
Building Scalable Data Pipelines - 2016 DataPalooza SeattleEvan Chan
 
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...Renaud Visage
 
the age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Moroccothe age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx MoroccoBellaj Badr
 
голодомор 2
голодомор 2голодомор 2
голодомор 2alic_o
 
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...Lightbend
 
TupleJump: Breakthrough OLAP performance on Cassandra and Spark
TupleJump: Breakthrough OLAP performance on Cassandra and SparkTupleJump: Breakthrough OLAP performance on Cassandra and Spark
TupleJump: Breakthrough OLAP performance on Cassandra and SparkDataStax Academy
 
Conceitos e Princípios de Gestão da Qualidade
Conceitos e Princípios de Gestão da QualidadeConceitos e Princípios de Gestão da Qualidade
Conceitos e Princípios de Gestão da QualidadeRogério Souza
 
Decentral Autonomous Organisations
Decentral Autonomous OrganisationsDecentral Autonomous Organisations
Decentral Autonomous OrganisationsBart Waeterschoot
 

Viewers also liked (19)

Mtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a diaMtc docker - utilizando no seu dia a dia
Mtc docker - utilizando no seu dia a dia
 
Data mining and antispam
Data mining and antispamData mining and antispam
Data mining and antispam
 
Vivienne's Booklet
Vivienne's Booklet Vivienne's Booklet
Vivienne's Booklet
 
Btcmeetup20161121
Btcmeetup20161121Btcmeetup20161121
Btcmeetup20161121
 
Marketing e logistica integrati per pmi
Marketing e logistica integrati per pmiMarketing e logistica integrati per pmi
Marketing e logistica integrati per pmi
 
O que são Social Videos?
O que são Social Videos? O que são Social Videos?
O que são Social Videos?
 
Blockchain - Navigating this Game-Changing Technology
Blockchain - Navigating this Game-Changing TechnologyBlockchain - Navigating this Game-Changing Technology
Blockchain - Navigating this Game-Changing Technology
 
Big Data Scala by the Bay: Interactive Spark in your Browser
Big Data Scala by the Bay: Interactive Spark in your BrowserBig Data Scala by the Bay: Interactive Spark in your Browser
Big Data Scala by the Bay: Interactive Spark in your Browser
 
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...
Spark Summit Europe: Building a REST Job Server for interactive Spark as a se...
 
Building Scalable Data Pipelines - 2016 DataPalooza Seattle
Building Scalable Data Pipelines - 2016 DataPalooza SeattleBuilding Scalable Data Pipelines - 2016 DataPalooza Seattle
Building Scalable Data Pipelines - 2016 DataPalooza Seattle
 
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...
From a Monolithic to a Distributed API Architecture
 at Eventbrite - Presente...
 
the age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Moroccothe age of cryptocurrency at Devoxx Morocco
the age of cryptocurrency at Devoxx Morocco
 
голодомор 2
голодомор 2голодомор 2
голодомор 2
 
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...
Benefits Of The Actor Model For Cloud Computing: A Pragmatic Overview For Jav...
 
TupleJump: Breakthrough OLAP performance on Cassandra and Spark
TupleJump: Breakthrough OLAP performance on Cassandra and SparkTupleJump: Breakthrough OLAP performance on Cassandra and Spark
TupleJump: Breakthrough OLAP performance on Cassandra and Spark
 
Case study on hsbc
Case study on hsbcCase study on hsbc
Case study on hsbc
 
Conceitos e Princípios de Gestão da Qualidade
Conceitos e Princípios de Gestão da QualidadeConceitos e Princípios de Gestão da Qualidade
Conceitos e Princípios de Gestão da Qualidade
 
O que é qualidade
O que é qualidadeO que é qualidade
O que é qualidade
 
Decentral Autonomous Organisations
Decentral Autonomous OrganisationsDecentral Autonomous Organisations
Decentral Autonomous Organisations
 

Similar to выбор и хранение паролей(солдатенкова)

Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложенияMaxim Krentovskiy
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
программная защита
программная защитапрограммная защита
программная защитаNatalia Yakovleva
 
программная защита
программная защитапрограммная защита
программная защитаNatalia Yakovleva
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
презент
презентпрезент
презентlacertia
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кодаAndrey Somsikov
 
virusi
virusivirusi
virusiTanaS
 
Protectinfo present
Protectinfo presentProtectinfo present
Protectinfo presentDrofaUral
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхPositive Hack Days
 
Защита информации. Александрович Виктория
Защита информации. Александрович ВикторияЗащита информации. Александрович Виктория
Защита информации. Александрович ВикторияVika Ezhevika
 
Sim sim-2
Sim sim-2Sim sim-2
Sim sim-2gorad
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахrevisium
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11Technopark
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...Mail.ru Group
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Expolink
 

Similar to выбор и хранение паролей(солдатенкова) (20)

Информационная безопасность и web-приложения
Информационная безопасность и web-приложенияИнформационная безопасность и web-приложения
Информационная безопасность и web-приложения
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
программная защита
программная защитапрограммная защита
программная защита
 
программная защита
программная защитапрограммная защита
программная защита
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
презент
презентпрезент
презент
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
разработка безопасного кода
разработка безопасного кодаразработка безопасного кода
разработка безопасного кода
 
virusi
virusivirusi
virusi
 
Protectinfo present
Protectinfo presentProtectinfo present
Protectinfo present
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценарияхПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях
 
Защита информации. Александрович Виктория
Защита информации. Александрович ВикторияЗащита информации. Александрович Виктория
Защита информации. Александрович Виктория
 
Prez3
Prez3Prez3
Prez3
 
Sim sim-2
Sim sim-2Sim sim-2
Sim sim-2
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
 
10160
1016010160
10160
 
Web осень 2012 лекция 11
Web осень 2012 лекция 11Web осень 2012 лекция 11
Web осень 2012 лекция 11
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
 
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
Код безопасности. Иван Бойцов. "Secret Net Studio - Комплексная защита конечн...
 

выбор и хранение паролей(солдатенкова)

  • 1. Выполнила: Солдатенкова Юлия, МаГУ, факульет Информатики 43 гр.
  • 2. Основные понятия Пароль - некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Аутентификация - это проверка принадлежности пользователю предъявленного им идентификатора. Идентификация - это присвоение пользователям идентификаторов и проверка предъявляемых идентификаторов по списку присвоенных. Парольная система - программно-аппаратный комплекс, реализующий системы идентификации и аутентификации пользователей АС на основе одноразовых или многоразовых паролей.
  • 3. Виды паролей Пароль Одноразовый – Многоразовый - может быть дает возможность использован пользователю однократно для проверки подлинности пройти аутентификацию повторно.
  • 4. Аутентификация Основные методы Русское название Английское название по хранимой копии пароля или plaintext-equivalent его свёртке по некоторому проверочному verifier - based значению без непосредственной передачи zero - knowledge информации о пароле проверяющей стороне с использованием пароля для cryptographic получения криптографического ключа
  • 5. Типы угроз парольной системы Перечисленные типы угроз связаны с наличием так называемого человеческого фактора, проявляющегося в том, что пользователь может:  выбрать пароль, который легко запомнить и также легко подобрать,  записать пароль, который сложно запомнить, и положить запись в доступном месте,  ввести пароль так, что его смогут увидеть посторонние,  передать пароль другому лицу намеренно или под влиянием заблуждения.
  • 6. Порядок выбора пароля В основном пользователь сам выбирает пароль, либо получает его от системного администратора. Для уменьшения влияния человеческого фактора необходимо учесть ряд требований.
  • 7. Требования при выборе пароля Требования к паролю Эффект Установление min длины пароля Усложняет задачу злоумышленника при попытке подсмотреть пароль или подобрать пароль методом "тотального опробования" Использование в пароле различных Усложняет попытки подобрать групп символов пароль методом "тотального опробования" Проверка пароля по словарю Усложняет попытки подобрать пароль по словарю Установление максимального срока Усложняет попытки подобрать действия пароля пароль методом «тотального опробования» (в т.ч. в режиме off- line) Установление минимального срока Препятствует попыткам заменить действия пароля пароль на старый после его смены по предыдущему требованию
  • 8. Требования при выборе пароля Требования к паролю Эффект Ведение журнала истории паролей Дополнительная степень защиты по предыдущему требованию Ограничение числа попыток ввода Препятствует интерактивному пароля подбору паролей Поддержка режима принудительной Обеспечивает эффективность смены пароля пользователя требования, ограничивающего максимальный срок действия пароля Использование задержки при вводе Препятствует интерактивному неправильного пароля подбору паролей Запрет на выбор пароля самим Исключает возможность подобрать пользователем и автоматическая пароль по словарю генерация паролей Принудительная смена пароля при Защищает от неправомерных первой регистрации пользователя в действий сисадмина, имеющего системе доступ к паролю в момент создания учетной записи
  • 9. Варианты хранения паролей в открытом виде в виде свёрток (хеширование) зашифрованными на некотором ключе
  • 10. Шифрование паролей При шифровании паролей особое значение имеет способ генерации и хранения ключа шифрования базы данных учетных записей. 1. ключ генерируется программно и хранится в системе, обеспечивая возможность ее автоматической перезагрузки; 2. ключ генерируется программно и хранится на внешнем носителе, с которого считывается при каждом запуске; 3. ключ генерируется на основе выбранного администратором пароля, который вводится в систему при каждом запуске.
  • 11. Шифрование паролей Наиболее безопасное хранение паролей обеспечивается при их хешировании и последующем шифровании полученных сверток, т.е. при комбинации двух способов. Программная генерация ключа и Генерация ключа на основе его хранение на внешнем выбранного администратором носителе, с которого ключ пароля, который вводится в считывается при каждом запуске; систему при каждом запуске.
  • 12. Порядок передачи пароля по сети Почти всегда аутентификация происходит в распределённых системах и связана с передачей по сети информации о параметрах учетных записей пользователей.
  • 13. Основные виды защиты сетевого трафика физическая защита сети оконечное шифрование шифрование пакетов
  • 14. Способы передачи пароля по сети в открытом виде зашифрованными в виде свёрток без непосредственной передачи информации о пароле ("доказательство с нулевым разглашением")
  • 15. Угрозы при передаче пароля При передаче паролей в зашифрованном виде или в виде сверток по сети с открытым физическим доступом возможна реализация следующих угроз безопасности парольной системы:  перехват и повторное использование информации,  перехват и восстановление паролей,  модификация передаваемой информации с целью введения в заблуждение проверяющей стороны,  имитация злоумышленником действий проверяющей стороны для введения в заблуждение пользователя.
  • 16. Памятка пользователю  Заведите для каждого важного аккаунта особый пароль  Пароль должен включать буквы, цифры и символы  Выбирайте пароль, который было бы сложно угадать  Следите за тем, чтобы параметры восстановления пароля всегда содержали самую актуальную информацию и не были известны третьим лицам  Храните пароли в труднодоступных местах
  • 17. Вывод Поскольку пароли защищают конфиденциальную информацию, их важность трудно переоценить. Все учетные записи в интернете должны быть защищены паролями. Но выбирать пароль нужно осмотрительно, поскольку важную роль играет человеческий фактор.