Sistemele de parole pentru a proteja împotriva accesului neautorizat la informații
Prin accesul neautorizat la informații (NSD), în conformitate cu documentele de conducere ale Comisiei tehnice înțeleg accesul la informații care încalcă regulile de control al accesului și se realizează cu ajutorul mijloacelor standard furnizate de CBT sau difuzoare (vezi. Capitolul 5). NSD poate fi aleator sau pre-intenționat.
de la NSD, în special:
Să analizăm mai detaliat astfel de metode interdependente de protecție împotriva accesului neautorizat, cum ar fi identificarea, autentificarea și transformarea criptografică a informațiilor utilizate în implementarea lor.
Identificare - este atribuit ID-ul utilizatorului (conceptul de identitate este definit mai jos) și a verifica identificatori trolled-predyav atribuite de lista.
Autentificarea este verificarea identității date de utilizator. Deseori, autentificarea se numește și validare sau autentificare.
În conformitate cu securitatea (stabilitatea) sistemului de identificare și autentificare, vom înțelege gradul de garanții pe care îl prevede că un atacator nu se poate autentifica în numele unui alt utilizator. În acest sens, cu cât este mai mare stabilitatea sistemului de autentificare, cu atât este mai dificil pentru un atacator să rezolve sarcina specificată. Sistemul de identificare și autentificare este unul dintre elementele-cheie ale infrastructurii de protecție împotriva oricărui sistem informatic.
Există trei grupe de metode de autentificare, bazate pe prezența fiecărui utilizator.
un obiect individual de un anumit tip;
cunoașterea unor informații cunoscute numai de el și de partea de testare;
caracteristici biometrice individuale.
Primul grup include metode de autentificare folosind certificate, trece, cartele magnetice și alte dispozitive portabile, care sunt utilizate pe scară largă pentru a controla accesul la spații, precum și o parte a sistemelor de hardware și software de protecție împotriva accesului neautorizat la tehnologia de calculator.
Al doilea grup include metode de autentificare care utilizează parole. Din motive economice, ele sunt incluse ca protecție de bază în multe sisteme de securitate hardware și software. Toate sistemele de operare moderne și multe aplicații au mecanisme de protecție a parolei.
Acest din urmă grup este format din metode de autentificare bazate pe utilizarea echipamentelor pentru măsurarea și compararea cu un standard de date ale caracteristicilor individuale ale utilizatorului :. îngroșarea vocii, amprentele digitale, modele de iris ochi, etc. Aceste mijloace permit autentificarea cu exactitate proprietarul unei anumite trăsături biometrice, prin care " fals "parametrii biometrici este aproape imposibil. Cu toate acestea, utilizarea pe scară largă a acestor tehnologii este împiedicată de costul ridicat al echipamentelor necesare.
În cazul în care doar două părți participă la procedura de autentificare, care stabilesc autenticitatea reciprocă, această procedură se numește autentificare directă (directpasswordauthentication). Dacă, în procesul de autentificare, nu sunt implicate numai aceste părți, ci și alte, auxiliare, vorbește despre autentificare prin trustedthirdpartyauthentication. În acest caz, terțul se numește server de autentificare (autentificări) sau arbiter-rom (arbitru).
Cele mai frecvente metode de autentificare se bazează pe utilizarea parolelor reutilizabile sau unice. Datorită distribuției largi și ușurinței implementării, schemele de parole sunt adesea vizate în principal de atacatori. Aceste metode includ următoarele tipuri de metode de autentificare:
• prin copia memorată a parolei sau prin reducerea acesteia (echivalentul plaintext);
• pentru un anumit verificator;
• fără transmiterea imediată a informațiilor despre parolă părții care verifică (cunoștințe zero);
• Utilizarea unei parole pentru a obține o cheie criptografică (criptografică).
Primul tip de metode include sisteme de autentificare care implică existența unei copii a parolei sau a convoluției sale pe ambele părți. Pentru a organiza astfel de sisteme, este necesară crearea și menținerea unei baze de date care conține parole sau parole de reconciliere a tuturor utilizatorilor. Partea lor slabă este că obținerea unui atacator al acestei baze de date îi permite să se autentifice în numele oricărui utilizator.
Metodele care alcătuiesc cea de-a doua versiune oferă un grad mai ridicat de securitate pentru sistemul de parole, deoarece valorile de verificare, deși depind de parole, nu pot fi folosite direct de atacator pentru autentificare.
În cele din urmă, autentificarea fără a oferi nicio informație despre parolă auditorului oferă cel mai mare grad de protecție. Această metodă garantează siguranța chiar și în cazul în care lucrarea părții de verificare este întreruptă (de exemplu, în programul de înregistrare din sistem, este introdus un cal troian). Un exemplu de sistem de protecție cu parolă ("proof-of-disclosure zero") construit în conformitate cu acest principiu va fi luat în considerare mai jos.
O abordare specială în tehnologia de autentificare este protocolul de autentificare criptografică. Aceste protocoale descriu succesiunea de acțiuni, care ar trebui să facă părțile pentru autentificarea reciprocă, în plus, aceste activități tind să fie combinate cu generarea și distribuirea de chei criptografice pentru a cripta schimbul de date ulterioare. Corectitudinea protocolului de autentificare din proprietățile implicate în transformările lor matematice și criptografice și poate fi dovedită riguros.
Sistemele de parolă convenționale sunt mai simple și mai ieftine de implementat, dar sunt mai puțin sigure decât sistemele cu protocoale criptografice. Acestea din urmă oferă protecție mai fiabilă și, în plus, rezolvă problema distribuirii cheilor. Cu toate acestea, tehnologiile utilizate în acestea pot face obiectul unor restricții legislative. Pentru o analiză mai detaliată a principiilor construirii sistemelor de parole, vom formula câteva definiții de bază.
ID-ul de utilizator este o cantitate unică de informații care permite distingerea utilizatorilor individuali ai sistemului de parole (pentru a le identifica). Adesea, identificatorul este denumit, de asemenea, numele de utilizator sau numele contului de utilizator.
Parola utilizatorului este o cantitate secretă de informații cunoscute numai de utilizator și de sistemul de parolă care poate fi memorat de utilizator și prezentat pentru procedura de autentificare. Parola unică permite utilizatorului să treacă o dată autentificarea. O parolă reutilizabilă poate fi utilizată pentru autentificarea din nou.
Un cont de utilizator este o colecție a identificatorului său și a parolei acestuia.
Baza de date a utilizatorilor sistemului de parole conține conturile tuturor utilizatorilor sistemului de parole dat.
În cadrul sistemului de parole vom înțelege complexul hardware și software care implementează sistemele de identificare și autentificare ale utilizatorilor IS bazate pe parole de utilizare unică sau multiplă. De regulă, complexul funcționează împreună cu subsistemele de control al accesului și de înregistrare a evenimentelor. În unele cazuri, sistemul de parole poate efectua o serie de funcții suplimentare, în special generarea și distribuirea cheilor criptografice pe termen scurt (sesiune).
Principalele componente ale sistemului de parole sunt:
• modul de interfață cu alte subsisteme de securitate;
• o bază de date a conturilor.
Sistemul de parole reprezintă "marginea de vârf a apărării" întregului sistem de securitate. Unele dintre elementele sale (în special realizarea interfeței cu utilizatorul) pot fi localizate în locuri care sunt deschise pentru accesul unui atacator potențial. Prin urmare, sistemul de parole devine unul dintre primele obiecte de atac atunci când un intrus invadează un sistem securizat. Următoarele tipuri de amenințări de securitate pentru sistemele de parole sunt enumerate mai jos.
1. Dezvăluirea parametrilor de cont prin:
selecție în modul interactiv;
transferul deliberat al parolei de către proprietarul său către o altă persoană;
Capturează baza de date a sistemului de parole (dacă parolele nu sunt stocate în baza de date într-o formă deschisă, recuperarea acestora poate necesita selecție sau decriptare);
Interceptarea informațiilor transmise în rețea despre parolă;
păstrând parola într-un loc accesibil.
2. Intervenția în funcționarea componentelor sistemului de parole prin:
implementarea marcajelor de programe;
detectarea și utilizarea erorilor efectuate în etapa de proiectare;
dezactivați sistemul de parole.
Unele dintre aceste tipuri de amenințări sunt legate de prezența așa-numitului factor uman, manifestat prin faptul că utilizatorul poate:
selectați o parolă ușor de memorat și ușor de preluat;
notați o parolă greu de memorat și puneți înregistrarea într-un loc accesibil;
Introduceți parola astfel încât să poată fi văzută de străini;
Transmiteți parola unei alte persoane în mod intenționat sau sub influența iluziei.
În afară de cele de mai sus, este necesar să observăm existența "paradoxului factorului uman". Acesta constă în faptul că Pavel zovatel de multe ori tinde să acționeze sistemul de parole, mai degrabă adversar, pentru care contează, orice sistem de securitate, a cărui funcționare afectează mediul de lucru, mai degrabă decât un aliat al sistemului de protecție, aceasta slăbind. Protecția împotriva acestor amenințări se bazează pe o serie de măsuri și activități organizatorice și tehnice de mai jos.