Страница
2

Обнаружение вредоносных закладок
Рефераты >> Программирование и компьютеры >> Обнаружение вредоносных закладок

Согласно методу обратимого шифрования эталонный пароль при занесении в базу эталонных данных зашифровывается по ключу, совпа­дающему с этим эталонным паролем. А введенный после идентификации пароль пользователя для сравнения с эталонным также зашифровывает­ся, но по ключу, совпадающему с этим введенным паролем. Таким обра­зом, при сравнении эталонный и введенный пароли находятся в зашифро­ванном виде и будут совпадать только в том случае, если исходный вве­денный пароль совпадет с исходным эталонным. При несовпадении ис­ходного введенного пароля с исходным эталонным исходный введенный пароль будет зашифрован по другому, так как ключ шифрования отлича­ется от ключа, которым зашифрован эталонный пароль, и после зашифровывания не совпадет с зашифрованным эталонным паролем

Для обеспечения возможности контроля правильности ввода пароля при использовании необратимого шифрования на винчестер записывается таблица преобразованных паролей. Для их преобразования используется односторонняя криптографическая функция y=F(x), обладающая следую­щим свойством: для данного аргумента x значение F(x) вычисляется лег­ко, а по данному y вычислительно сложно найти значение аргумента х, со­ответствующего данному у. В таблице паролей хранятся значения одно­сторонних функций, для которых пароли берутся в качестве аргументов. При вводе пароля система защиты легко вычисляет значение функции от пароля текущего пользователя и сравнивает со значением, приведенным в таблице для пользователя с выбранным идентификатором. Наруши­тель, захвативший компьютер, может прочитать таблицу значений функ­ций паролей, однако вычисление пароля практически не реализуемо.

При работе с паролями должна предусматриваться и такая мера, как недопустимость их распечатки или вывода на экраны мониторов. По­этому система защиты должна обеспечивать ввод пользователями за­прошенных у них паролей без отображения этих паролей на мониторах.

Можно выделить следующие основные способы повышения стойко­сти системы защиты на этапе аутентификации:

- повышение степени не тривиальности пароля;

- увеличение длины последовательности символов пароля;

-увеличение времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля;

- повышение ограничений на минимальное и максимальное время действительности пароля.

Чем не тривиальнее пароль, тем сложнее его запомнить. Плохо за­поминаемый пароль может быть записан на листе бумаги, что повышает риск его раскрытия. Выходом здесь является использование определен­ного числа не записываемых на бумаге пробелов или других символов в начале, внутри, а также в конце последовательности основных символов пароля. Кроме того, отдельные символы пароля могут набираться на дру­гом регистре (например, вместо строчных быть прописными или наобо­рот) что также не должно отражаться на листе бумаги. В этом случае незаконно полученный лист бумаги с основными символами пароля не будет достаточным условием раскрытия пароля целиком.

Вероятность подбора пароля уменьшается также при увеличении его длины и времени задержки между разрешенными попытками повторного ввода неправильно введенного пароля. Ожидаемое время раскрытия пароля Т, можно вычислить на основе следующей полученной экспери­ментально приближенной формулы[2]:

Т> (As*Ty)/2.

Здесь:

А - число символов в алфавите, используемом для набора символов пароля;

S - длина пароля в символах, включая пробелы и другие служебные символы;

Ту - время ввода пароля с учетом времени задержки между разре­шенными попытками повторного ввода неправильно введенного пароля.

Например, если А = 26 символов (учтены только буквы английского алфавита), Ty = 2 секунды, a S = б символов, то ожидаемое время рас­крытия Тy приблизительно равно одному году. Если в данном примере по­сле каждой неудачной попытки ввода пароля предусмотреть временную задержку в 10 секунд, то ожидаемое время раскрытия увеличится в 5 раз.

Из приведенной выше формулы становится понятно, что повышения стойкости системы защиты на этапе аутентификации можно достигнуть и увеличением числа символов алфавита, используемого для набора сим­волов пароля. Такое увеличение можно обеспечить путем использования нескольких регистров (режимов ввода) клавиатуры для набора символов пароля, например, путем использования строчных и прописных латинских символов, а также строчных и прописных символов кириллицы.

Для исключения необходимости запоминания пользователями длин­ных и нетривиальных паролей в системе защиты может быть предусмот­рена возможность записи паролей в зашифрованном виде на информаци­онные носители, например, дискеты, магнитные карты, носители данных в микросхемах и т.д., а также считывания паролей с этих информационных носителей. Такая возможность позволяет повысить безопасность за счет значительного увеличения длины паролей, записываемых на носители информации. Однако при этом администрации службы безопасности сле­дует приложить максимум усилий для разъяснения пользователям ВС о необходимости тщательной сохранности носителей информации с их па­ролями.

На степень информационной безопасности при использовании про­стого парольного метода проверки подлинности пользователей большое влияние оказывают ограничения на минимальное и максимальное время действительности каждого пароля. Чем чаще меняется пароль, тем обес­печивается большая безопасность.

Минимальное время действительности пароля задает время, в течении которого пароль менять нельзя, а максимальное - время, по исте­чении которого пароль будет недействительным. Соответственно, пароль должен быть заменен в промежутке между минимальным и максималь­ным временем его существования. Поэтому понятно, что более частая смена пароля обеспечивается при уменьшении минимального и макси­мального времени его действительности.

Минимальное и максимальное время действительности пароля за­даются для каждого пользователя администратором службы безопасно­сти, который должен постоянно контролировать своевременность смены паролей пользователей.

1.3. Использование динамически изменяющегося пароля

Методы проверки подлинности на основе динамически изменяюще­гося пароля обеспечивают большую безопасность, так как частота смены паролей в них максимальна - пароль для каждого пользователя меняется ежедневно или через несколько дней. При этом каждый следующий па роль по отношению к предыдущему изменяется по правилам, зависящим от используемого метода проверки подлинности.

Существуют следующие методы парольной защиты, основанные на использовании динамически изменяющегося пароля[2]:

- методы модификации схемы простых паролей;

- метод «запрос-ответ»;

- функциональные методы.

Наиболее эффективными из данных методов, как станет понятно далее, являются функциональные методы.

1.3.1. Методы модификации схемы простых паролей.

К методам модификации схемы простых паролей относят случайную выборку символов пароля и одноразовое использование паролей.


Страница: