Исследование парольной защиты от НСД
Лабораторная работа
Цель работы: ознакомление с методами идентификации и аутентификации, особенностями парольной защиты. Написание программы для генерации паролей.
1. Общие положения
В этом разделе будут рассмотрены вопросы, связанные с защитой информации от несанкционированного доступа (НСД).
Защита информации от несанкционированного доступа – защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Для защиты от НСД, как правило, используется идентификация, аутентификация и управление доступом. В дополнение к перечисленным, могут применяться и другие методы.
Идентификация – присвоение пользователям идентификаторов (уникальных имен или меток) под которыми система «знает» пользователя. Кроме идентификации пользователей, может проводиться идентификация групп пользователей, ресурсов АС и т. д. Идентификация нужна и для других системных задач, например, для ведения журналов событий. В большинстве случаев идентификация сопровождается аутентификацией.
Аутентификация – установление подлинности – проверка принадлежности пользователю предъявленного им идентификатора. Например, в начале сеанса работы в АС пользователь вводит имя и пароль. На основании этих данных система проводит идентификацию (по имени пользователя) и аутентификацию (сопоставляя имя пользователя и введенный пароль).
Управление доступом – метод защиты информации путем регулирования использования всех ресурсов системы.
Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от НСД любой информационной системы. Обычно выделяют 3 группы методов аутентификации.
1. Аутентификация по наличию у пользователя уникального объекта заданного типа. Иногда этот класс методов аутентификации называют по-английски “I have” («у меня есть»). В качестве примера можно привести аутентификацию с помощью смарт-карт или электронных USB-ключей.
2. Аутентификация, основанная на том, что пользователю известна некоторая конфиденциальная информация – “I know” («я знаю»). Например, аутентификация по паролю.
3. Аутентификация пользователя по его собственным уникальным характеристикам – “I am” («я есть»). Эти методы также называются биометрическими.
Нередко используются комбинированные схемы аутентификации, объединяющие методы разных классов. Например, двухфакторная аутентификация – пользователь предъявляет системе смарт-карту и вводит пин-код для ее активации.
Аутентификация может быть односторонней, когда одна сторона аутентифицирует другую (например, сервер проверяет подлинность клиентов), и двусторонней, когда стороны проводят взаимную проверку подлинности.
Также аутентификация может быть непосредственной, когда в процедуре аутентификации участвуют только две стороны, или с участием доверенной стороны. В последнем случае в процессе аутентификации участвуют не только стороны, проверяющие подлинность друг друга, но и другая или другие, вспомогательные. Эту третью сторону иногда называют сервером аутентификации (англ. «authentication server») или арбитром (англ. «arbitrator»).
Парольные системы аутентификации
Наиболее распространенными на данный момент являются парольные системы аутентификации. Определим ряд понятий, использующихся при описании подобных систем.
Идентификатор пользователя – уникальная информация, позволяющая различить отдельных пользователей парольной системы (провести идентификацию). Это может быть имя учетной записи пользователя в системе или специально генерируемые уникальные числовые идентификаторы.
Пароль пользователя – секретная информация, известная только пользователю (и возможно – системе), которая используется для прохождения аутентификации. В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. При прочих равных условиях, системы с одноразовыми паролями являются более надежными. В них исключаются некоторые риски связанные с перехватом паролей – пароль действителен только на одну сессию и, если легальный пользователь его уже задействовал, нарушитель не сможет такой пароль повторно использовать. Но системы с многоразовыми паролями (в них пароль может быть использован многократно) проще реализовать и дешевле поддерживать, поэтому они более распространены.
Учетная запись пользователя – совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя. Учетные записи хранятся в базе данных парольной системы.
Парольная система – это программный или программно-аппаратный комплекс, реализующий функции идентификации и аутентификации пользователей компьютерной системы путем проверки паролей. В отдельных случаях подобная система может выполнять дополнительные функции, такие как генерация и распределение криптографических ключей и т. д. Как правило, парольная система включает в себя интерфейс пользователя, интерфейс администратора, базу учетных записей, модули сопряжения с другими компонентами подсистемы безопасности (подсистемой разграничения доступа, регистрации событий и т. д.).
Рассмотрим некоторые рекомендации по администрированию парольной системы, использующей многоразовые пароли.
1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку путем подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6-8 символов.
2. Установка требования использовать в пароле разные группы символов – большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак1, таких как подбор паролей «по словарю» (т. е. проверка на использование в качествепароля слов естественного языка и простых комбинаций символов, таких как «1234»).
4. Установление максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей. При внедрении данной меры надо учитывать, что при невысокой квалификации пользователей, от администратора потребуются дополнительные усилия по разъяснению пользователям того, что «от них требует система».
5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему). Данная мера позволяет защититься от атак путем подбора паролей. Но при необдуманном внедрении также может привести к дополнительным проблемам – легальные пользователи из-за ошибок ввода паролей по невнимательности могут блокировать свои учетные записи, что потребует от администратора дополнительных усилий.
6. Ведение журнала истории паролей, чтобы пользователи, после принудительной смены пароля, не могли вновь выбрать себе старый, возможно скомпрометированный пароль.
Общие подходы к построению парольных систем.
Способы:
1. с использованием хранимой копии пароля;
2. некоторое проверочное значение;
3. парольная система без непосредственной передачи информации, о пароле проверяющей стороне;
4. использование пароля для получения криптографического ключа.
Идентификатор пользователя - некоторая уникальная информация, позволяющая различать индивидуальных пользователей парольной системы. Часто идентификатор пользователя называют именем пользователя. Пароль - некоторая секретная информация, которая известна только пользователю и парольной системе, которая предъявляется для прохождения процедуры идентификации.
Учётная запись пользователя - совокупность его идентификатора и пароля. База данных пользователей парольной системы содержит учётные записи пользователей парольной системы. Под парольной системой понимается программно-аппаратный комплекс, реализующий идентификацию и аутен-тификацию пользователей автоматизированной системы на основе одноразовых и многоразовых паролей.
Угрозы для парольной системы.
1. разглашение параметров учётной записи
а) подбор пароля;
б) визуальное наблюдение;
в) перехват пароля в сети.
2. вмешательство в функционирование парольной системы
а) использование программных закладок;
б) выведение из строя парольной системы;
в) использование ошибок и недоработок в парольной системе.
Выбор паролей
Требования к выбору паролей:
| Требования к выбору пароля | Достигнутый результат |
| ограничение минимальной длины | а) усложняется подбор методом прямого перебора б) усложняется подсматривание |
| Использование различных групп символов | усложняется подбор методом прямого перебора |
| проверка и отбраковка по словарю | затруднение подбора пароля по словарю |
| установление срока действия пароля | усложняется подбор методом прямого перебора и подстановки старого |
| ведение журнала историй пароля | повышается эффективность предыдущего |
| ограничение количества попыток ввода | препятствует подбору пароля |
| поддержка режима принудительной смены пароля | увеличение эффекта выполнения требования касающегося смены пароля |
| принцип смена пароля после 1-ой регистрации | защита от злоумышленных действий администратора |
| запрет на выбор пароля самим пользователем | защита от выбора пользователем лёгкого пароля |
| Задержка при вводе неправильного пароля | затрудняется подбор пароля когда он вводится с клавиатуры непосредственно за компьютером |