- •1. Основные понятия и анализ угроз информационной безопасности Определение безопасной системы.
- •2. Анализ угроз информационной безопасности. Типы и примеры атак
- •3. Типы и примеры атак. Атаки отказа в обслуживании.
- •4. Типы и примеры атак. Перехват и перенаправление трафика.
- •5. Типы и примеры атак. Внедрение в компьютеры вредоносных программ
- •7. Типы и примеры атак. Шпионские программы. Спам
- •6. Типы и примеры атак. Троянские программы. Сетевые черви. Вирусы.
- •8. Основы информационной безопасности. Сетевые угрозы
- •9. Методы атак. Социотехника и фишинг.
- •10. Методы атак. Отказ в обслуживании и атаки методом грубой силы
- •11. Методы атак. Шпионское по, отслеживание файлов cookie, рекламное по и всплывающие окна.
- •12. Политика безопасности вычислительных сетей. Общие меры обеспечения безопасности сети.
- •13. Меры обеспечения безопасности. Исправления и обновления
- •14. Меры обеспечения безопасности. Антивирусное по. Антиспам. Программы защиты от шпионского по
- •15. Технологии аутентификации. Аутентификация, авторизация и администрирование действий пользователей
- •Технологии аутентификации. Методы аутентификации, использующие пароли и pin-коды.
- •Технологии аутентификации. Аутентификация на основе многоразовых паролей.
- •Технологии аутентификации. Биометрическая аутентификация пользователя
- •Аутентификация, авторизация, аудит.
- •Обеспечение безопасности операционных систем. Угрозы безопасности ос
- •Понятие защищенной ос. Архитектура подсистемы защиты ос
- •Основные функции подсистемы защиты ос. Разграничение доступа к объектам ос.
- •Политика безопасности. Основные понятия политики безопасности
- •Политика безопасности. Структура политики безопасности организации
- •Политика безопасности. Базовая политика безопасности
- •Политика безопасности. Специализированные политики безопасности
- •Политика безопасности. Процедуры безопасности
- •Проблемы информационной безопасности сетей. Введение в сетевой информационный обмен
- •Проблемы информационной безопасности сетей. Использование сети Интернет
Технологии аутентификации. Методы аутентификации, использующие пароли и pin-коды.
Простая аутентификация – одна из наиболее часто используемых схем установки подлинности лица, получающего доступ к какой-либо системе; основанная на использовании многоразовых паролей с одновременным согласованием их обработки и средств использования, простая аутентификация является доступным и ясным примером использования разделяемой информации, которое практикуется в большинстве защищеных виртуальных сетей VPN (Virtual Private Network), где доступ пользователя к серверу разрешается при введении верного пароля. Но эволюция методов аутентификации предоставляет сегодня более эффективные средства – такие как программные и аппаратные системы аутентификации на основе одноразовых паролей, смарт-карт, PIN-кодов и цифровых сертификатов.
Аутентификация с использованием многоразовых паролей.
При аутентификации на основе многоразового пароля доступ ко всем ресурсам сервера разрешается при единичном введении пользователем своего пароля. В соответствии с этим принципом в современных ОС заложена централизованная программа аутентификации, исполняемая каким-либо сервером сети при помощи базы данных, в которой содержится информация в том числе и об идентификаторах (логинах) и паролях пользователей.
Простая аутентификация пользователя имеет следующий алгоритм исполнения:
пользователь запрашивает доступ в сеть и для подтверждения подлинности своего лица вводит свой идентификатор и пароль;
введенные данные поступают на сервер аутентификации , где сравниваются с эталоном, содержащимся в базе данных;
при совпадении эталона с введенными данными аутентификация признается успешной, и пользователь получает доступ к запрошенным ресурсам и права, определеные его статусом в сети.
Идентификатор и пароль пользователя могут передаваться на сервер аутентификации двумя основными способами:
передача в открытом виде: в соответствии с протоколом парольной аутентификации PAP (Password Authentication Protocol) пароль передается по сети незашифрованным.
передача с использованием шифрования или однонаправленной функции (хэш-функции): прохождение всех данных пользователя по сети (включая и идентификатор, и пароль, и мести времени, и случайное число) осуществляется в защищённом виде.
Передача пароля в открытом виде является чрезвычайно уязвимой для атак извне, поэтому для защиты информации перед пересылкой по открытому каналу она шифруется при помощи специализированных средств и шифрования и дешифровки, управляемых разделяемым секретным ключом. Исходное значение пароля хранится на сервере аутентификации , и в том случае, если введенная пользователем информация идентична содержащейся в базе данных, то пользователь приобретает легальный статус.
Еще одной уязвимостью простой аутентификации является система хранения паролей пользователей на сервере аутентификации , в которой зачастую отсутствует защита информации при помощи криптографических механизмов (шифрование, хэширование). В этом случае пароли хранятся в системных файлах, на которые ставится простейшая защита от чтения и записи – в операционных системах эта функция осуществляется путем прописывания привилегий тех или иных пользователей в списках контроля доступа ОС. Очевидно, что при такой организации для доступа к системному файлу, содержащему пароли пользователей, достаточно иметь привилегии администратора данной системы, что не является сложной задачей для человека, поставившего себе цель узнать эту информацию.
Аутентификация с использованием одноразовых паролей
Основная идея принципа одноразовых паролей заключается в том, что при каждом новом запросе на предоставление доступа будут использоваться различные пароли . Одноразовый динамический пароль может быть использован только для одного входа в систему, после этого его действие истекает. Даже если хакер сможет перехватить его в момент аутентификации , пароль окажется бесполезен. Как показывает практика, динамический механизм генерации паролей является одним из лучших методов защиты процесса аутентификации . Наиболее широко системы аутентификации с одноразовыми паролями применяются при необходимости работы с удаленными пользователями, когда авторизация и аутентификация производятся в условиях небезопасных, общедоступных сетей, таких как Интернет и т.д.
Методы применения одноразовых паролей для аутентификации пользователей классифицируют следующим образом:
1. Использование генератора псевдослучайных чисел, общего для пользователя и проверяющей системы, с одним и тем же начальным значением.
2. Использование механизма временных меток на основе системы единого времени.
3. Использование списка случайных паролей, общего для легального пользователя и проверяющей системы, и механизма их синхронизации.
Следует отметить, что создание одноразовых паролей может иметь в своей основе, как аппаратный, так и программный способ реализации. Большое количество аппаратных средств на основе одноразовых паролей в настоящее время создаются в виде миниатюрных устройств со встроенным микропроцессором, внешне напоминающих кредитные банковские карты.
Аутентификация на основе PIN-кодов .
Основным методом аутентификации пользователей, имеющих пластиковые и смарт-карты, является ввод секретного числа, известного только пользователю и системе, куда осуществляется доступ. Это секретное число называют PIN-кодом . В большинстве случаев обеспечение сохранности PIN-кода карты является критичным для безопасности всей системы – сами карты могут быть потеряны, украдены или подделаны, однако если при этом злоумышленнику неизвестен PIN-код этой карты, никакого результата он не добьется. Именно поэтому PIN должен держаться в секрете в течение всего срока действия карты. При определении длины PIN-кода разработчики подобных систем сталкиваются с несколькими трудностями. С одной стороны его длина должна быть настолько большой, чтобы исключить вероятность определения нужного PIN-кода к карте методом перебора. С другой – не должна быть слишком большой, чтобы была удобна для запоминания и быстрого ввода пользователю. В стандарте ISO 9564-1 указанно, что PIN-код должен содержать от четырех до двенадцати буквенно-цифровых символов. Однако, на практике, в большинстве случаев ввод нецифровых символов технически невозможен, поскольку соответствующая клавиатура недоступна (банкоматы, различные терминалы обмена и оплаты и т.д.). Поэтому наиболее часто PIN-код – это четырехзначное число, каждая цифра которого может принимать значение от 0 до 9.
PIN-коды делятся на статические и динамические (изменяемые). Статический PIN-код не может быть изменен пользователем на протяжении всего срока действия карты. Каждой карте должен соответствовать один и только один PIN-код . Чтобы заменить его, должна быть изменена сама смарт-карта. Вследствие этой особенности работы статических PIN-кодов пользователю следует проявлять максимальную внимательность при обращении со смарт-картой с таким PIN-кодом . Если PIN-код станет известен постороннему лицу, пользователь должен уничтожить карту и получить новую с другим фиксированным PIN-кодом .
Изменяемый PIN-код может быть изменен согласно пожеланиям пользователя на любое другое число, как правило, это такое число, которое пользователю легче вводить с клавиатуры или легче запомнить.