Identificarea și autentificarea
În primul rând, să examinăm problema controlului accesului la sistem. Cea mai obișnuită modalitate de control al accesului este procedura de înregistrare. De obicei, fiecare utilizator din sistem are un identificator unic. ID-urile de utilizator sunt utilizate în același scop ca și ID-urile de orice alte obiecte, fișiere și procese. Identificarea constă în mesajul utilizatorului de identificare. Pentru a stabili că utilizatorul este cine pretinde a fi, adică, că el a fost cel care a introdus ID-ul. în sistemele de informații prevăzute pentru procesul de autentificare (recunoaștere de autentificare, tradus din limba latină înseamnă „autentificare“.), a cărui misiune - pentru a preveni accesul la sistemul de persoane nedorite.
De obicei, autentificarea se bazează pe unul sau mai multe dintre următoarele trei elemente:
- ceea ce posedă utilizatorul (cheie sau carte magnetică);
- ceea ce știe utilizatorul (parola);
- atributele utilizatorului (amprente, semnătură, voce).
Parole, vulnerabilități parole
Cea mai simplă abordare a autentificării este utilizarea unei parole de utilizator.
Atunci când un utilizator se identifică cu un identificator unic sau cu un nume, acesta este solicitat pentru o parolă. Dacă parola raportată de utilizator corespunde parolei stocate în sistem, sistemul presupune că utilizatorul este legitim. Parolele sunt adesea folosite pentru a proteja obiectele dintr-un sistem informatic în absența unor scheme de protecție mai complexe.
Există două modalități comune de a ghici parola. Una este legată de colectarea de informații despre utilizator. Oamenii folosesc în mod obișnuit ca parolele de informații evidente (de exemplu, nume de animale sau plăcuțe de înmatriculare). Pentru a ilustra importanța unor politici solide ID-uri de destinație și parolele pot rezulta date din studiile efectuate în ATT, arată că din cele 500 de tentative de tentative de acces neautorizat la contul de aproximativ 300 de ghicitul parola sau parola trării nume de utilizator clienților, demo-ul și așa mai departe. D.
Un alt mod - pentru a încerca să rezolve toate cele mai probabile combinații de litere, cifre și semne de punctuație (dicționarul de atac). De exemplu, patru cifre zecimale dau doar 10.000 de opțiuni, mai parolele introduse sensibile la litere mari și semnele de punctuație nu este la fel de vulnerabil, dar cu toate acestea, în acest fel va reuși să rezolve până la 25% din parole. Pentru a forța utilizatorului să aleagă o parolă greu de ghicit, în multe sisteme puse în aplicare de verificare a parolei reactivă, care, prin intermediul său de cracare program propriu-parolă poate evalua calitatea parolei introduse de către utilizator.
Cu toate acestea, parolele sunt comune, deoarece sunt convenabile și ușor de implementat.
Criptarea parolei
Pentru a stoca o listă secretă de parole pe disc în multe sisteme de operare, este folosită criptografia. Sistemul utilizează o funcție cu sens unic, care este ușor de calculat, dar pentru care este extrem de dificil (dezvoltatorii speră că este imposibil) să selecteze funcția inversă.
De exemplu, în unele versiuni de Unix ca o functie one-way folosind o versiune modificată a algoritmului DES. Parola introdusă de până la 8 caractere este convertit în valoare de 56 de biți, care servește ca un parametru de intrare pentru criptă () de rutină pe baza acestui algoritm. Rezultatul criptării depinde nu numai de parola introduse, dar și pe o secvență aleatoare de biți, numită o referință (sare variabilă). Acest lucru se face pentru a rezolva problema parolelor potrivite. Evident, foarte ferme după criptare trebuie să fie menținută, în caz contrar, procesul nu va fi repetat. Algoritmul modificat DES este executat, cu valoarea de intrare ca unitate de zerouri pe 64 de biți, folosind parola ca o cheie, iar pentru fiecare parametru de intrare iterație ulterioară este rezultatul iterație precedente. În total, procedura se repetă de 25 de ori. Valoarea rezultată pe 64 de biți este convertită în 11 caractere și depozitat lângă sarea variabilă deschisă.
În Windows NT, parola sursă este, de asemenea, convertită folosind algoritmul DES și algoritmul MD4.
Numai parolele criptate sunt stocate. În procesul de autentificare, parola trimisă de utilizator este codată și comparată cu parola stocată pe disc. Astfel, fișierul de parolă nu trebuie să fie păstrat secret.
Atunci când accesați sistemul de operare de la distanță, nu este de dorit să trimiteți parola prin rețea în text clar. Una dintre soluțiile tipice este utilizarea protocoalelor criptografice. De exemplu, puteți lua în considerare protocolul de autentificare cu confirmare CHAP (Protocolul de autentificare prin Challenge Handshake).
Recunoașterea se realizează prin verificarea faptului că utilizatorul care accesează serverul are o parolă secretă deja cunoscută de server.