Парольные системы аутентификации
Наиболее распространенными на данный момент являются парольные системы аутентификации. Определим ряд понятий, использующихся при описании подобных систем.
Идентификатор пользователя –уникальная информация,
позволяющая различить отдельных пользователей парольной системы (провести идентификацию). Это может быть имя учетной записи пользователя в системе или специально генерируемые уникальные числовые идентификаторы.
Пароль пользователя –секретная информация,известная толькопользователю (и возможно – системе), которая используется для прохождения аутентификации. В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. При прочих равных условиях, системы с одноразовыми паролями являются более надежными. В них исключаются некоторые риски связанные с перехватом паролей – пароль действителен только на одну сессию и, если легальный пользователь его уже задействовал, нарушитель не сможет такой пароль повторно использовать. Но системы с многоразовыми паролями (в них пароль может быть использован многократно) проще реализовать и дешевле поддерживать, поэтому они более распространены.
Учетная запись пользователя –совокупность идентификатора,пароля и, возможно, дополнительной информации, служащей для описания пользователя. Учетные записи хранятся в базе данных парольной системы.
Парольная система –это программный или программно-аппаратный комплекс, реализующий функции идентификации и аутентификации пользователей компьютерной системы путем проверки паролей. В отдельных случаях подобная система может выполнять дополнительные функции, такие как генерация и распределение криптографических ключей и т. д. Как правило, парольная система включает в себя интерфейс пользователя, интерфейс администратора, базу учетных записей, модули сопряжения с другими компонентами подсистемы безопасности (подсистемой разграничения доступа, регистрации событий и т. д.).
Рассмотрим некоторые рекомендации по администрированию парольной системы, использующей многоразовые пароли.
1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
2. Установка требования использовать в пароле разные группы символов – большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак1, таких как подбор паролей «по словарю» (т. е. проверка на использование в качестве
пароля слов естественного языка и простых комбинаций символов, таких как «1234»).
4. Установление максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей. При внедрении данной меры надо учитывать, что при невысокой квалификации пользователей, от администратора потребуются дополнительные усилия по разъяснению пользователям того, что «от них требует система».
5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему). Данная мера позволяет защититься от атак путем подбора паролей. Но при необдуманном внедрении также может привести к дополнительным проблемам – легальные пользователи из-за ошибок ввода паролей по невнимательности могут блокировать свои учетные записи, что потребует от администратора дополнительных усилий.
6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.
Модели безопасности
Как уже отмечалось в разделе 1.1, важным этапом процесса обеспечения безопасности АС является разработка политики безопасности. Если отсутствует политика безопасности, невозможно даже четко провести разграничение между санкционированным (легальным) доступом к информации и НСД.
Политика безопасности может быть описана формальным или неформальным образом. Формальное описание политики безопасности производится в рамках модели безопасности. С этой точки зрения, модель безопасности можно определить как абстрактное описание поведения целого класса систем, без рассмотрения конкретных деталей их реализации.
Большинство моделей безопасности оперируют терминами «сущность», «субъект», «объект».
Сущность –любая именованная составляющая защищаемой АС.
Субъект –активная сущность,которая может инициировать запросы ресурсов и использовать их для выполнения каких-либо вычислительных операций. В качестве субъекта может выступать выполняющаяся в системе программа или «пользователь» (не реальный человек, а сущность АС).
Объект –пассивная сущность,используемая для хранения илиполучения информации. В качестве объекта может рассматриваться, например, файл с данными.
Обычно предполагается, что существует безошибочный способ различения объектов и субъектов.
Доступ –взаимодействие между субъектом и объектом,в результате которого производится перенос информации между ними. Два фундаментальных типа доступа: чтение – операция, результатом которой является перенос информации от объекта к субъекту; запись –операция,результатом которой является перенос информацииот субъекта к объекту.
Также предполагается существование монитора безопасности объектов,т.е.такого субъекта,который будет активизироваться прилюбом обращении к объектам, может различать (на базе определенных правил) легальные и несанкционированные обращения, и разрешать только легальный доступ.
В литературе выделяются три основных класса моделей политики безопасности: дискреционные, мандатные и ролевые.
Основу дискреционной (избирательной) политики безопасности составляет дискреционное управление доступом, которое характеризуется следующими свойствами [3]:
- все субъекты и объекты должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила.
Правила дискреционного управления доступом часто задаются матрицей доступов. В подобной матрице строки соответствуют субъектам системы, столбцы – объектам, элементы матрицы описывают права доступа для соответствующей пары «субъект - объект».
Одной из наиболее известных дискреционных моделей является модель Харрисона-Рузо-Ульмана, часто называемая матричной моделью. Она будет подробно описана ниже.
Этот тип управления доступом наиболее часто используется в операционных системах в связи с относительной простотой реализации. В этом случае, правила управления доступом часто описываются через списки управления доступом (англ. «Access Control List», сокр. ACL). Список связан с защищаемым объектом и хранит перечень субъектов и их разрешений на данный объект. В качестве примера можно привести использование ACL для описания прав доступа пользователей и групп к файлу в файловой системе NTFS в операционных системах семейства Windows NT.
Основу мандатной политики безопасности составляет мандатное управление доступом, которое подразумевает, что:
- все субъекты и объекты должны быть идентифицированы;
- задан линейно упорядоченный набор меток секретности;
- каждому объекту системы присвоена метка секретности, определяющая ценность содержащейся в нем информации – его уровень секретности;
- каждому субъекту системы присвоена метка секретности, определяющая уровень доверия к нему – его уровень доступа;
- решение о разрешении доступа субъекта к объекту принимается исходя из типа доступа и сравнения метки субъекта и объекта.
- Чаще всего мандатную политику безопасности описывают в терминах модели Белла-ЛаПадула, которая будет рассмотрена ниже в данном разделе.
- Управление доступом, основанное на ролях,оперирует в
терминах «роль», «пользователь», «операция». Вся информация рассматривается как принадлежащая организации (а не пользователю, ее создавшему). Решения о разрешении или отказе в доступе принимаются на основе информации о той функции (роли), которую пользователь выполняет в организации. Роль можно понимать как множество действий, которые разрешены пользователю для выполнения его должностных обязанностей. Администратор описывает роли и авторизует пользователей на выполнение данной роли. Таким образом, ролевые модели содержат как признаки мандатных, так и признаки избирательных моделей.