 |
Дополнительные средства управления доступом
|
|
|
|
Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, а только те, на которые он имеет право. Подобный подход обычно реализуют в рамках системы меню (пользователю предоставляют лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС UNIX.
Безопасность повторного использования объектов – важное дополнение средств управления доступом любого типа, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из “мусора” (trash). Безопасность повторного использования должна гарантироваться для областей оперативной памяти (например, буфер с образом экрана), для дисковых блоков и магнитных носителей в целом.
5. Парольная защита пользователей компьютерных систем. Требования к паролям
ПРЯМАЯ АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ КС (КС – компьютерные системы и сети)
ПАРОЛЬНАЯ ЗАЩИТА КС
Пароль — самый простой, недорогой и распространенный способ аутентификации, реализованный практически во всех компьютерных системах. Однако с ним нередко связано множество осложнений: пароль трудно запомнить, он бывает неустойчив к взлому, а, кроме того, пользователю приходится помнить множество паролей для доступа к различным информационным ресурсам — операционным системам, бизнес-приложениям, банковскому счету и т. д.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных или на разархивацию файлов — во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.
|
|
|
Для повышения уровня безопасности при доступе к информационным ресурсам придумано множество механизмов использования стойких паролей, алгоритмов и протоколов аутентификации.
Пароли подразделяются на несколько основных групп:
1. пароли, устанавливаемые пользователем; - наиболее распространенный тип паролей
2. пароли, генерируемые системой; назначаются пользователю принудительно без его участия
3. ключевые фразы; Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа “we were troubled by that”, или не иметь смысла — “fished up our nose”. В последнее время постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции ключевых фраз близка концепция кодового акронима. Пользователь выбирает легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует, например, первые буквы каждого слова в качестве пароля. Акронимами двух приведенных выше фраз являются “wwtbt” и “fuon”.
И для первой, и для второй, третьей группы паролей действительно следующее правило:
если A – мощность алфавита (набора букв, цифр, спец.символов), а L – длина пароля, то общее число комбинаций пароля длины L, набираемого из заданного алфавита равно AL. И соответствует числу всех попыток подбора пароля. Поэтому следует задавать длину пароля не менее 8 (самый минимальный минимум для личного пользования, но гораздо больше – 12/16 символов в более серьезных системах) символов, используя при этом алфавит мощностью 72 (25+25+10+10). Каждый из паролей должен состоять не только из цифр, но и букв верхнего и нижнего регистра, специальных знаков.
4. метод функционального преобразования предполагает, что пользователю известно некоторое несложное преобразование параметров, предлагаемых системой аутентификации, которое он может выполнить в уме. Паролем является результат такого преобразования. Например
|
|
|
f_password=x+2*y
Система: 4 6
User: 16
Система: OK
для усложнения алгоритма в качестве параметров можно использовать текущее число, день недели, месяц, текущий час суток и их комбинации
5. — метод групповых паролей основывается на интерактивных последовательностях типа “вопрос — ответ ”; при входе в систему пользователю предлагают ответить на несколько вопросов, как правило, личного плана: “Девичья фамилия вашей супруги?”, “Ваш любимый цвет?”, и т. д. В БД системы аутентификации хранятся ответы на множество таких вопросов для каждого пользователя.
6. Одноразовые пароли — срабатывают только один раз. К ним прибегают, создавая временный вход для гостей, например, чтобы продемонстрировать потенциальным клиентам возможности системы. Они часто применяются при самом первом вхождении пользователя в систему.
АТАКИ на ПАРОЛИ
1. Подбор методом полного перебора – метод грубой силы bruteforce
2. Семантический подбор с использованием словарей
3. Использование имени пользователя с пустым паролем или имени+такой же пароль
4. Использование предустановленных имени пользователя и пароля
5. Проникновение в систему во время длительного ожидания
6. Использование программ-перехватчиков паролей (keylogger)
7. Методы социальной инженерии - social engineering Форма злонамеренного проникновения, при которой взломщик каким-либо путем обманывает пользователей или администратора и добивается или крадет информацию о компании и/или ее компьютерных системах, чтобы получить несанкционированный доступ к сети.
Меры по обеспечению надежности паролей:
1. наложение технических ограничений (алфавит, длина пароля)
2. управление сроком действия паролей, их периодическая смена
3. ограничение числа неудачных попыток входа в систему
4. использование программных средств генерации паролей
5. применение нестандартных паролей, например, графических изображений
6. использование в паролях ALT-кодов (непечатаемых символов)
|
|
|
7. ограничение доступа к файлу паролей
8. хранение паролей в хэшированном виде
Перечисленные меры целесообразно применять всегда, даже если наряду с традиционными паролями используются другие методы аутентификации
6. Протоколы аутентификации пользователей компьютерных систем
Cпособы, которые позволяют идентифицировать пользователя без прямой передачи пароля по каналам связи, реализуют технологию непрямой аутентификации пользователей КС
Одним из простых способов избежать опасность перехвата пароля заключается, например, в использовании механизма, основанного на принципе «запрос-ответ» (Challenge-Response). Суть данного метода состоит в том, что пользователю посылается случайная последовательность данных (вызов), к которой применяется хэш-алгоритм совместно с паролем пользователя. Результирующие данные (ответ) отправляются на сервер аутентификации, который проделывает описанную выше последовательность преобразований над исходным вызовом и хранимым паролем пользователя, после чего сверяет полученный результат с поступившими данными клиента. При этом сам пароль никогда не передается через сеть.
Решения на основе непрямой аутентификации применяются тогда, когда в системе имеется несколько точек обслуживания и когда затруднительно поддерживать совместимость нескольких отдельных баз данных для аутентификации пользователей. Такие схемы предполагают наличие в системе специального сервера аутентификации (см. рисунок). Все другие точки обслуживания определяют подлинность принципалов, связываясь с сервером аутентификации всякий раз, когда кто-то пытается зарегистрироваться в системе.
Открытым стандартом для реализации непрямой аутентификации является протокол RADIUS (Remote Authentication Dial In User Service) и разработанный компанией Cisco Systems протокол TACACS+.
|
|
|
