Помощь проекту

SciCenter.online ©

info@scicenter.online
 <<
>>

1.4.1. Парольная аутентификация

Идея, лежащая в основе метода парольной аутентификации, чрезвычайно проста. Каждый субъект компьютерной системы имеет пароль - секрет, который он разделяет с системой. Демонстрация знания этого секрета (чаще всего путем разглашения самого пароля) принимается системой как подтверждение идентичности субъекта.
В качестве пароля обычно выбирается буквенная и(или) цифровая последовательность, которую пользователь легко может запомнить и при необходимости ввести по запросу системы. Различные па-рольные протоколы различаются по средствам, которыми хранится парольная информация внутри системы, и по методам ее проверки.

Можно выделить три основные угрозы протоколам парольной аутентификации: разглашение, прослушивание и угадывание пароля. Угрозы могут проявиться при осуществлении трех характерных ви-дов атак на парольные протоколы: при повторе паролей легальных пользователей злоумышленниками, полном переборе паролей и при словарной атаке на протокол.

На практике широко используются два типа протоколов пароль-ной аутентификации: протоколы с фиксированными и с одноразо-выми паролями.

Фиксированные пароли. Этот тип протоколов объединяет те из них, в которых пароль, предъявляемый претендентом системе, не меняется от одного сеанса выполнения протокола к другому. Пароль должен быть запоминаемым для человека (обычно не более 8-12 символов), время действия пароля ограничено разумными предела-ми, пароли должны периодически меняться. Для обеспечения доста-точной стойкости протоколов аутентификации с фиксированными паролями используется ряд приемов:

хранение в компьютерной системе файлов паролей в защищенном режиме (с защитой от чтения-записи);

хранение в системе не самих паролей, а их образов, полученных как результат вычисления однонаправленной функции от паро-ля, взятого в качестве аргумента;

задание правил выбора паролей (минимальное количество сим-волов, недопущение использования осмысленных слов, необхо-димость сочетания букв и цифр и т. п.), имеющих целью макси-мизировать энтропию пароля;

искусственное замедление процесса ввода пароля в систему с целью резкого увеличения времени на перебор паролей; выбор в качестве пароля осмысленного предложения (фразы) с последующим преобразованием посредством хеш-функции в короткое сообщение, которое обычно обладает большей энтро-пией, чем пароль такой же длины, выбираемый человеком;

добавление системой случайной величины к паролю перед обра-боткой его однонаправленной функцией -метод солтинга.

Все перечисленные методы лишь затрудняют или замедляют процесс доступа к паролю, его перебора или случайного угадывания.

Ни один из них не решает проблемы защиты парольного протокола радикально. Они обеспечивали вполне приемлемый уровень защиты в 70-80-е гг. XX в. с учетом тогдашнего уровня развития вычисли-тельной техники и операционных систем. Сегодня перечисленные приемы простой аутентификации с фиксированными паролями используется, как правило, в не очень ответственных случаях или когда процесс доступа субъекта к системе необходимо максимально упростить (например, для входа пользователя в систему в массовых тиражируемых операционных системах семейств Windows или Linux).

Разновидностью фиксированных паролей являются PIN-коды (от английских слов - Personal Identification Number). Это числовые пароли длиной от 4 до 8 десятичных цифр. Чаще всего они исполь-зуются в соединении с методом «обладания чем-либо»: обычно мик-ропроцессорной пластиковой картой или картой с магнитной поло-сой. PIN-код обеспечивает второй уровень защиты на случай, если карта потеряна или украдена. Для защиты от полного перебора такого маленького ключевого пространства необходимы дополнительные меры: организационная и физическая защита. Например, банко-мат может забрать у пользователя пластиковую карту или блокиро-вать ее после нескольких подряд неудачных попыток ввода пароля.

<< | >>
Источник: Запечников С. В.. Криптографические протоколы и их применение в финансовой и коммерческой деятельности: Учебное пособие для вузов. - М.: Горячая линия-Телеком,2007. - 320 с.. 2007

Еще по теме 1.4.1. Парольная аутентификация:

  1. 1.4.3.К вопросу организации оптимальной парольной защиты в ССМП
  2. Средства, использующие парольную идентификацию
  3. 1.4. Протоколы аутентификации
  4. 3.2.3. Системы с симметричной аутентификацией
  5. 1.4.2. Аутентификация методом «запрос - ответ»
  6. 1.4.3. Аутентификация, основанная на доказательствах с нулевым разглашением знания
  7. 3.3.2. Системы с симметричной аутентификацией
  8. 2.2.2. Свойства протоколов распределения ключей
  9. 3.5.3. СЭП Брандса
  10. Одноразовые пароли.
  11. Специальное программное обеспечение по защите информации компьютера
  12. О конфиденциальности информации
  13. ESP в туннельном режиме.
  14. 4.3. Задачи обеспечения ИБ в ССМП
  15. 1.8. Технические средства поддержки криптографических протоколов
  16. Протокол рукопожатия (SSL HP)
  17. Сотрудничающие национальные объекты
  18. Распределение прав доступа
  19. Педагогіка. Інтегрований курс теорії та історії: Навчально- методичний посібник: У 2 ч. / За ред. А.М. Бойко. — Ч. 2. — К.: ВІПОЛ; Полтава: АСМІ,2004. — 504 с., 2004
- Автоматизация - Гидрология - Документоведение, делопроизводство - Информационные системы - Коммуникации - Криптография - Машиностроение - Метрология - Механика - Микроэлектроника - Нефтегазовое дело - Пищевая промышленность - Приборостроение - Программирование - Системный анализ, управление и обработка информации - Строительство - Технология и оборудование механической и физико-технической обработки - Электрическая энергия - Энергетика -
- Архитектура и строительство - Безопасность жизнедеятельности - Библиотечное дело - Бизнес - Биология - Военные дисциплины - География - Геология - Демография - Диссертации России - Естествознание - Журналистика и СМИ - Информатика, вычислительная техника и управление - Искусствоведение - История - Культурология - Литература - Маркетинг - Математика - Медицина - Менеджмент - Педагогика - Политология - Право России - Право України - Промышленность - Психология - Реклама - Религиоведение - Социология - Страхование - Технические науки - Учебный процесс - Физика - Философия - Финансы - Химия - Художественные науки - Экология - Экономика - Энергетика - Юриспруденция - Языкознание -

SciCenter.online ©

info@scicenter.online