 |
Уменьшение угрозы компрометации паролей
|
|
|
|
Методы защиты паролей
Когда пользователь регистрируется на компьютере, операционная система желает определить, кем является данный пользователь, и запускает процесс, называемый аутентификацией пользователя.
Большинство методов аутентификации пользователей основаны на распознавании:
1) чего-то, известного пользователю;
2) чего-то, имеющегося у пользователя;
3) чего-то, чем является пользователь.
На этих трех принципах построены различные схемы аутентификации, обладающие различными сложностями и характеристиками безопасности.
Если для аутентификации пользователей используются пароли, для подсистемы аутентификации существуют две основные угрозы – компрометация пароля и подбор пароля.
Для обеспечения надежной защиты от компрометации паролей подсистема защиты должна удовлетворять следующим требованиям:
– пароль, вводимый пользователем, не отображается на экране компьютера;
– ввод пароля из командной строки недопустим.
Кроме того, пользователи должны быть проинструктированы о:
– необходимости хранения пароля в тайне от других пользователей, включая администраторов системы;
– необходимости немедленной смены пароля после его компрометации;
– необходимости регулярной смены пароля;
– недопустимости записи пароля на бумагу или в файл.
Ï Используются различные приемы безопасности паролей.
Например, Моррис и Томпсон (они в 1979 году написали труд по вопросу безопасности паролей) предложили следующий метод: с каждым паролем связывается псевдослучайное число, состоящее из n битов, названное ими «солью». При каждой смене пароля это число также меняется. Это случайное число хранится в файле в незашифрованном виде, так что все могут его читать. В файле паролей хранится не зашифрованный пароль, а зашифрованная вместе пара пароля и случайного числа.
|
|
|
Для повышения надежности в некоторых современных версиях системы UNIX доступ чтения к самому файлу паролей напрямую запрещен, а для регистрации предоставляется специальная программа, просматривающая содержимое этого файла по запросу и устанавливающая задержку между запросами, чтобы существенно снизить скорость подбора паролей при любом методе. Такая комбинация добавления «соли» к паролям, запрета непосредственного чтения файла паролей и замедления доступа к файлу через специальную процедуру может противостоять многим вариантам методов взлома системы.
Совершенствование безопасности паролей
Добавление случайных чисел к файлу паролей защищает систему от взломщиков, пытающихся заранее составить большой список зашифрованных паролей, и таким образом взломать несколько паролей сразу. Однако данный метод бессилен помочь в том случае, когда пароль легко отгадать, например, если пользователь David использует пароль David. Взломщик может просто попытаться отгадать пароли один за другим.
На некоторых системах устанавливается программа, формирующая случайные, легко произносимые слова, которые могут использоваться в качестве паролей. программа, вызываемая пользователем для установки или смены пароля, может также выдать предупреждение при выборе слабого пароля. Снисходительная программа может просто брюзжать, строгая программа может отвергать пароль и требовать ввода лучшего варианта. Программа установки пароля может также предложить свой вариант.
Некоторые операционные системы требуют от пользователей регулярной смены паролей, чтобы ограничить ущерб от утечки пароля. Недостаток такой схемы в том, что если пользователи должны слишком часто менять свои пароли, они достаточно быстро устают придумывать и запоминать хорошие пароли переходят к простым паролям. Если система запрещает выбирать простые пароли, пользователи забывают сложные пароли и начинают записывать их на листках бумаги, что становится главной дырой в защите.
|
|
|
Уменьшение угрозы компрометации паролей
Существует целый ряд методов, позволяющих несколько уменьшить угрозу компрометации и подбора паролей пользователей. Некоторые из этих методов мы сейчас и рассмотрим.
1. Ограничение срока действия пароля. При применении данного метода каждый пользователь защищаемой системы обязан менять пароль через определенные интервалы времени. Максимальный срок действия пароля целесообразно ограничить 1-3 месяцами. Менее сильные ограничения не дают желаемого эффекта, а при использовании более сильных ограничений резко повышается вероятность того, что пользователь забудет свой пароль. После того, как срок действия пароля истек, пользователь должен сменить свой пароль в течение некоторого времени (обычно не более суток) после первого входа в систему по истечении этого срока. Если пользователь не сменил пароль за отведенное время, операционная система запрещает ему входить в систему до тех пор, пока это явно не разрешит администратор системы.
Срок действия пароля должен ограничиваться не только сверху, но и снизу. В противном случае пользователь, сменив пароль, может немедленно вернуться к старому паролю, сменив пароль еще раз.
Также целесообразно проверять при каждой смене пароля уникальность нового пароля. Для этого система должна хранить не только образ текущего пароля пользователя, но и образы последних 5-10 паролей, им применявшихся.
2. Ограничения на пароль. Данный метод заключается в том, что пользователь может выбрать себе в качестве пароля не произвольную строку символов, а только строку, удовлетворяющую определенным условиям. Обычно используются следующие условия:
- длина пароля не должна быть меньше некоторого количества символов. В литературе по компьютерной безопасности и в документации по операционным системам обычно рекомендуется запрещать использование паролей короче 6-8 символов, но, с учетом быстрого прогресса вычислительной техники, в настоящее время целесообразно ограничивать длину паролей уже 10-14 символами;
|
|
|
- в пароль должно входить по крайней мере 5-7 различных символов;
- в пароль должны входить как строчные, так и заглавные буквы;
- пароль пользователя не должен совпадать с его именем;
- пароль не должен присутствовать в списке «плохих» паролей, хранимом в системе.
Как правило, администраторы могут варьировать эти ограничения, как в пределах всей системы, так и для отдельных пользователей. Например, если некоторое имя пользователя используется для гостевого входа, устанавливать ограничения на используемый пароль нецелесообразно.
При выборе ограничений на пароли следует учитывать, что если ограничения на пароли слишком сильны, пользователям будет трудно запоминать свои пароли.
3. Блокировка терминала. При использовании данного метода, если пользователь несколько раз подряд ошибся при вводе имени и пароля, терминал, с которого пользователь входит в систему, блокируется, и пользователь не может продолжать дальнейшие попытки входа в систему. Параметрами данного метода являются следующие значения:
- максимально допустимое количество неудачных попыток входа в систему с одного терминала;
- интервал времени, после которого счетчик неудачных попыток входа обнуляется;
- продолжительность блокировки терминала (Может быть сделана неограниченной. В этом случае блокировка терминала может быть снята только администратором системы).
4. Блокировка пользователя. Данный метод отличается от предыдущего только тем, что блокируется не терминал, с которого пользователь входит в систему, а учетная запись пользователя.
5. Генерация паролей системой. В этом случае пользователи не могут самостоятельно придумывать себе пароли – это за них делает операционная система. Когда пользователю нужно сменить пароль, он вводит соответствующую команду и получает от системы новый пароль. Если предложенный вариант пароля пользователя не устраивает, он может потребовать другой вариант. Основным преимуществом данного метода является то, что система генерирует пароли случайным образом, подобрать такие пароли практически невозможно. С другой стороны, такие пароли обычно трудны для запоминания, что вынуждает пользователей записывать их на бумаге. Если это не является угрозой безопасности системы (например, если пользователь входит в систему только через Internet со своего домашнего компьютера), данная модель аутентификации близка к идеальной. В противном случае применять ее нецелесообразно.
Некоторые из перечисленных методов могут применяться в совокупности.
|
|
|
