Парольные системы идентификации и аутентификации пользователей

Парольные системы идентификации/аутентификации является одними из основных и наиболее распространенных в СЗИ методов пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Совокупность идентификатора и пароля пользователя - основные составляющие его учетной записи. База данных пользователей парольной системы содержит учетные записи всех пользователей КС.
Парольные системы являются зачастую «передним краем обороны» всей системы безопасности. Отдельные ее элементы могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику (в том числе и база данных учетных записей пользователей). В связи с этим, парольные системы становятся одним из наиболее привлекательных для злоумышленника объектов атаки. Основными типами угроз безопасности парольных систем являются следующие.
1. Перебор паролей в интерактивном режиме.
2. Подсмотр пароля.
3. Преднамеренная передача пароля его владельцем другому лицу.
4. Кража базы данных учетных записей с дальнейшим ее анализом, подбором пароля.
5. Перехват вводимого пароля путем внедрения в КС программных закладок (клавиатурных шпионов); перехват пароля, передаваемого по сети.
6. Социальная инженерия.
Многие недостатки парольных систем связаны с наличием человеческого фактора, который проявляется в том, что пользователь, зачастую, стремится выбрать пароль, который легко запомнить (а значит и подобрать), записать сложно запоминаемый пароль. Легальный пользователь способен ввести пароль так, что его могут увидеть посторонние, передать пароль другому лицу намеренно или под влиянием заблуждения.
Для уменьшения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей
1. Задание минимальной длины пароля для затруднения подбора пароля злоумышленником «в лоб» (полный перебор, brute-forcing) и подсмотра.
2. Использование в пароле различных групп символов для усложнения подбора злоумышленником пароля «в лоб».
3. Проверка и отбраковка пароля по словарю для затруднения подбора пароля злоумышленником с использованием словарей.
4. Установление максимального срока действия пароля для затруднения подбора пароля злоумышленником «в лоб», в том числе и в режиме «off-line» при взломе предварительно похищенной базы данных учетных записей пользователей.
5. Применение эвристического алгоритма, бракующего «плохие» пароли для усложнения подбора пароля злоумышленником «по словарю» или с использованием эвристического алгоритма.
6. Ограничение числа попыток ввода пароля для предотвращения интерактивного подбора пароля злоумышленником.
7. Использование задержки при вводе неправильного пароля для предотвращения интерактивного подбора пароля злоумышленником.
8. Поддержка режима принудительной смены пароля пользователя для эффективности реализации требования, ограничивающего максимальный срок действия пароля.
9. Запрет на выбор пароля самим пользователем и автоматическая генерация паролей для затруднения использования злоумышленником эвристического алгоритма подбора паролей.
Количественная оценка стойкости парольных систем может быть выполнена с помощью следующего подхода
Пусть A – мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля). Например, если при составлении пароля могут быть использованы только малые английские буквы, то A=26
L – длина пароля.
- число всевозможных паролей длины L, которые можно со-ставить из символов алфавита A. S также называют пространством атаки.
V – скорость перебора паролей злоумышленником.
T – максимальный срок действия пароля.
Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия Т определяется по следующей формуле.
Эту формулу можно обратить для решения следующей задачи:
Справочник по информационной безопасности - Do-protect. ru

Автор статьи: неизвестный | Дата публикации: 22:03 24.03.2017 Passnow.Ru




Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Uncharted waters online

Uncharted waters online


Uncharted Waters Online (известная в Японии как Daikōkai Jidai Online), является MMORPG разработанная компанией KOEI на основе серии игр Uncharted Waters. Игра развивается во времена когда люди о...


Система из пяти фонем.

Система из пяти фонем.


Но так как начальное [ы] ветре- ] чается лишь в немногих, к тому же особых словах (ыкать, ыканье - I лингвистические термины; в общих словарях, даже самых больших, они не приводятся), то многие считаю...


Как определить флегматика?

Как определить флегматика?


Говорят, что очень легко дружить с флегматиком. Еще проще уживаться с ним на одной площади, например, жить в общежитии с таким человеком очень удобно. Выбирая себе соседа, стоит обратить внимание на ф...


Английский детям

Английский детям


Когда отдать малыша учить язык? То, что лучше всего начинать учить английский язык в раннем возрасте, знают все. Детская память более гибкая и восприимчивая. Дети способны лучше сосредотачиваться и ме...


Как правильно загорать?

Как правильно загорать?


Лето, солнце, море, пляж… и, конечно же, шоколадный загар как часть удачно проведенного лета. Не так ли? Но в погоне за яркими впечатлениями необходима защита от солнца. Отправляясь ...


Как обменять Яндекс Деньги и WebMoney - новые особенности и нюансы

Как обменять Яндекс Деньги и WebMoney - новые...


Уже прошла пара месяцев с тех пор, как снова разрешили обмены Яндекс на WMY и в обратном направлении. Новые, не шибко очевидные правила обмена, целью которых является повышение уровня защищенности как...


Самое интересное

Дядя Сэм, дядя Том, прочие дяди... Who is Who и по

Скажи-ка, дядя, ведь недаром Москва, спаленная пожаром, французу отдана… В это же самое время, когда Москва отдавалась французу, молодое и веселое племя новосветских переселенцев отказалос...

Онлайн тесты ЕГЭ

Всевозможные контрольные, экзамены, в особенности когда они влияют на профессию человека, вызывают определенное волнение. В частности, сегодняшние школьники должны проходить ЕГЭ. Хотя подготовиться к ...

Появление в интернете нового фильма от Disney© "Кн

Название: Книга мастеровОригинальное название: Книга мастеровГод выхода: 2009Жанр: Фэнтези, семейныйРежиссер: Вадим СоколовскийВ ролях: Леонид Куравлев, Валентин Гафт, Ольга Аросева,Михаил Ефремов, Го...

Аренда дачи. Залог процветания для всех.

Отношения найма в действительности имеют длительную историю развития. По сути в непосредственно самом зарождении истории людей ограниченное по времени использование вещей за определённое вознаграждени...

Хавортия. Как её выращивать?

На каменистых и песчаных почвах Южной Африки растут привлекательные суккуленты, практически не имеющие стебля и образующие компактную прикорневую розетку из плотных мясистых листочков. Во время цветен...

Вкусные рецепты: Маковички, рыба, запеченная с том

МаковичкиВ 1 стакан сметаны добавьте 50 г прессованных (1 полную чайную ложку сухих) дрожжей и подождите минут 30, чтобы дрожжи полностью разошлись. 2 стакана муки смешайте с 1 стаканом картофельного ...

Мебель. Тенденции развития

Нет сомнений, что человек использует мебель с начала своей истории. Чтобы сказать как давно, необходимо сначала выяснить – а как старо человечество? Судя по научным источникам, однозначного ответа на ...

Как встретит современная Москва старика Хоттабыча?

Если старик Хоттабыч появится в современной Москве, его непременно арестует первый встречный наряд теперь уже полиции. Причин несколько. Внешний вид у Хоттабыча — типичный ваххабит. Регистр...

Можно ли наладить жизнь с помощью мечты?

В нашей жизни постоянно происходят разные события. Что случилось — хорошее или плохое, порой понимаешь даже не сразу. Иногда кажется, что жизнь течет по своим законам, которые сильно отлича...

Вкусные рецепты: Тортик фруктово-апельсиновый, Цац

Тортик фруктово-апельсиновыйтесто: всё закидываем вместе,миксером размешиваем.Делим на 2-части.Водну из них режим апельсин,в другую натертую цедру апельсина.Выпекаем : в разогретой духовке на 200грд,с...

О портале:

Наш интернет-портал является ресурсом, который включает в себя широкий перечень информативных и отличных статей. Абсолютно каждый гость найдет для себя что-нибудь полезное. Модернизированный дизайн позволяет вам быстро находить требуемую информацию. Самые разнообразные тематические статьи дают возможность вам совершенствоваться в той или иной сфере. Быть более начитанным и грамотным. Современный дизайн сайта позволяет просматривать статьи на всех электронных устройствах. Теперь найти необходимую информацию стало просто.

Мы подобрали для вас полезные и увлекательные статьи. На нашем сайте вы найдете ответы на интересующие вас вопросы. Простая система поиска позволяет вам в кратчайшие сроки отыскать нужную информацию. Адаптированный дизайн позволяет вам просматривать информацию на любых гаджетах. Отныне, поиск необходимой информации будет занимать у вас считанные секунды.