Автентифікація на основі багаторазових паролів
Модуль
1. Що розуміють під інформаційною безпекою?
Під інформаційною безпекою розуміють стан захищеності оброблюваних даних та даних що зберігаються та передаються від незаконного ознайомлення, перетворення і знищення, а також стан захищеності інформаційних ресурсів від дій, спрямованих на порушення їх працездатності.
2. Що розуміють під достовірністю інформації?
Достовірність інформації – властивість, яка виражається в строгій приналежності інформації суб'єкту, що є її джерелом, або тому суб'єкту, від якого вона прийнята.
3. Що розуміють під доступом до інформації?
Під доступом до інформації розуміється ознайомлення з інформацією і її обробка, зокрема, копіювання, модифікація або знищення. Розрізняють санкціонований і несанкціонований доступ до інформації.
4. Дайте визначення терміну конфіденційність інформації.
Конфіденційність інформації – це її властивість бути доступною тільки обмеженому колу користувачів інформаційної системи, в якій циркулює дана інформація. По суті, конфіденційність інформації – це її властивість бути відомою тільки допущеним суб'єктам системи і тим хто пройшов перевірку (користувачам, процесам, програмам). Для решти суб'єктів системи інформація повинна бути невідомою.
5. Дайте визначення терміну цілісністність інформації.
Під цілісністю інформації розуміється її властивість зберігати свою структуру та/або зміст в процесі передачі і зберігання. Цілісність інформації забезпечується в тому випадку, якщо дані в системі не відрізняються в семантичному відношенні від даних в початкових документах, тобто якщо не відбулося їх випадкового або навмисного спотворення або руйнування.
6. Дайте визначення терміну доступність інформації
Під доступом до інформації розуміється ознайомлення з інформацією і її обробка, зокрема, копіювання, модифікація або знищення. Розрізняють санкціонований і несанкціонований доступ до інформації.
7. Щотаке санкціонований доступ до інформації?
Санкціонований доступ до інформації не порушує встановлені правила розмежування доступу.
8. Чим характеризується несанкціонований доступ (НСД)?
Несанкціонований доступ (НСД) характеризується порушенням встановлених правил розмежування доступу (ПРД). Особа або процес, що здійснює несанкціонований доступ до інформації, є порушниками таких ПРД. Несанкціонований доступ – найпоширеніший вид комп'ютерних порушень.
9. Як виконується процедура ідентифікації об'єкту?
Ідентифікація об'єкту – це процедура розпізнавання об'єкту по його ідентифікатору. Виконується при спробі об'єкту увійти до системи (мережі).
10. Як виконується процедура автентифікації об'єкту?
Автентифікація об'єкту – це перевірка достовірності об'єкту з даним ідентифікатором. Процедура автентифікації встановлює, чи є об'єкт саме тим, ким він себе оголосив.
11. Як виконується процедура авторизації об'єкту?
Авторизація об'єкту – це процедура надання законному об'єкту, що успішно пройшов ідентифікацію і автентифікацію, відповідних повноважень і доступних ресурсів системи (мережі).
12. Що розуміють під загрозою безпеки для системи?
Під загрозою безпеки для системи (мережі) розуміються можливі дії, які прямо або побічно можуть завдати збитку її безпеки.
13. Що таке уразливість системи
Уразливість системи (мережі) – це будь-яка характеристика комп'ютерних систем, використовування якої може привести до реалізації загрози.
14. Що таке атака на комп'ютерну систему
Атака на комп'ютерну систему (мережу) – це дія, що робиться зловмисником з метою пошуку і використовування тієї або іншої уразливості системи. Таким чином, атака – це реалізація загрози безпеки.
15. Дайте визначення терміну безпечна або захищена система
Безпечна або захищена система – це система із засобами захисту, які успішно і ефективно протистоять визначеним загрозам безпеки.
16. Що таке комплекс засобів захисту
Комплекс засобів захисту (КЗЗ) є сукупністю програмних і технічних засобів мережі. КЗЗ створюється і підтримується відповідно до прийнятої в даній організації політики забезпечення інформаційної безпеки системи.
17. Що таке проста автентифікація?
Проста автентифікація (на основі використовування паролів);
18. Що таке строга автентифікація?
Строга автентифікація (на основі використовування криптографічних методів і засобів);
19. Чим характизуються процеси автентифікації, що володіють властивістю доказу з нульовим знанням?
Одна з вразливостей протоколів простий аутентифікації полягає в тому, що після того, як доводить передасть перевіряючому свій пароль, перевіряючий може, використовуючи цей пароль, видати себе за перевіряється, Трохи краща ситуація з протоколами строгої аутентифікації. Справа в тому, що А, відповідаючи на запити В, зобов'язаний продемонструвати знання секретного ключа, хай навіть і одноразово, при цьому передана інформація не може бути безпосередньо використана В. Проте деяку її частину допоможе У отримати додаткову інформацію про секрет А. Наприклад , В має можливість так сформувати запити, щоб передаються відповіді аналізувалися на предмет вмісту додаткової інформації.
Протоколи докази з нульовим знанням були розроблені спеціально для вирішення даної проблеми. Цієї мети можна досягти за допомогою демонстрації знання секрету, проте перевіряючий повинен бути позбавлений можливості отримувати додаткову інформацію про секрет що доводить. Якщо сформулювати цю думку в більш суворій формі, то протоколи докази з нульовим знанням (далі - ZK-протоколи) дозволяють встановити істинність твердження і при цьому не передавати будь-якої додаткової інформації про сам затвердження.
20. Які основні атаки на протоколи автентифікації ви знаєте?
маскарад (impersonation). Користувач намагається видати себе за іншого з метою отримання привілеїв і можливості дій від імені іншого користувача;
підміна сторони автентифікаційного обміну (interleaving attack). Зловмисник в ході даної атаки бере участь в процесі автентифікаційного обміну між двома сторонами з метою модифікації проходячого через нього трафіка. Існує різновид атаки підміни: після успішного проходження автентифікації між двома користувачами і встановлення з'єднання порушник виключає якого-небудь користувача із з'єднання і продовжує роботу від його імені;
повторна передача (replay attack). Полягає в повторній передачі автентифікаційних даних яким-небудь користувачем;
віддзеркалення передачі (reflection attack). Один з варіантів попередньої атаки, в ході якої зловмисник в рамках даної сесії протоколу пересилає назад перехоплену інформацію;
вимушена затримка (forced delay). Зловмисник перехоплює деяку інформацію і передає її через деякий час;
атака з вибіркою тексту (chosen-text attack). Зловмисник перехоплює автентифікаційний трафік і намагається отримати інформацію про довготривалі криптографічні ключі.
21. Що таке автентифікація на основі багаторазових паролів?
Автентифікація на основі багаторазових паролів
Базовий принцип «єдиного входу» припускає достатність одноразового проходження користувачем процедури автентифікації для доступу до всіх мережних ресурсів. Тому в сучасних операційних системах передбачається централізована служба автентифікації, яка виконується одним з серверів мережі і використовує для своєї роботи базу даних, де зберігаються облікові записи користувачів мережі. В ці облікові дані разом з іншою інформацією включені ідентифікатори і паролі користувачів.
Процедуру простої автентифікації користувача в мережі можна уявити таким чином. При спробі логічного входу в мережу користувач набирає на клавіатурі комп'ютера свої ідентифікатор і пароль. Ці дані поступають для обробки на сервер автентифікації. В базі даних, що зберігається на сервері автентифікації, по ідентифікатору користувача знаходиться відповідний запис; з нього витягується пароль і порівнюється з тим паролем, який ввів користувач. Якщо вони співпали, то автентифікація пройшла успішно, користувач одержує легальний статус і ті права на ресурси мережі, які визначені для його статусу системою авторизації.
В схемі простої автентифікації передача пароля і ідентифікатора користувача може проводитися наступними способами:
· в незашифрованому вигляді. Наприклад, згідно протоколу парольної автентифікації PAP (Password Authentication Protocol) паролі передаються по лінії зв'язку у відкритій незахищеній формі;
· в захищеному вигляді. Всі передавані дані (ідентифікатор і пароль користувача, випадкове число і мітки часу) захищені за допомогою шифрування або однонаправленої функції.