Методы и принципы парольной защиты

Парольная защита предполагает, что пользователь вводит свой идентификатор и пароль (уникальную строку символов) для их проверки в ЭВМ. Рассмотрим существующие схемы парольной защиты.

В схеме с простым паролем пользователю разрешается самому выбирать пароль таким образом, чтобы его легко было запомнить. Следует позаботиться и о том, чтобы пароль не являлся слишком очевидным и был достаточно длинным.

Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для вскрытия пароля. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля.

Введем понятие ожидаемого безопасного времени – это половина произведения числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Пусть R – скорость передачи символов из линии связи, E – число символов в каждом передаваемом сообщении при попытке получить доступ, S – длина пароля, A – число символов в алфавите, из которого составляется пароль. Тогда ожидаемое безопасное время выражается следующей формулой:

. (1)

Пусть S = 6, A = 26, E = 20, R = 600 символов/мин.

Тогда T_{безопасн} =3,089*10⁷ с ≈1 год.

Если после каждой неудачной попытки автоматически предусматривается десятисекундная задержка, то этим самым ожидаемое время, требуемое для раскрытия пароля, становится равным примерно 6 годам.

Недостатком системы с простым паролем является то, что пароль может быть использован другим лицом без ведома зарегистрированного пользователя.

В схеме однократного использования пароля пользователю выдается список из N паролей. После использования пароля пользователь вычеркивает его из списка. Таким образом, если злоумышленник получает использованный пароль из списка, система не будет на него реагировать.

В методе «запрос-ответ» набор ответов на m стандартных и n ориентированных на пользователя вопросов хранится в ЭВМ и управляется операционной системой. При попытке пользователя войти в систему ОС случайным образом выбирает и задает некоторые или все вопросы. Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение на доступ к системе.

Пароли можно использовать не только для установления подлинности пользователя по отношению к системе, но и для обратного установления подлинности – системы по отношению к пользователю. Это важно, например, в сетях ЭВМ, когда пользователь хочет взаимодействовать только с данной ЭВМ и поэтому желает убедиться в подлинности вычислительной установки.

Физические методы аутентификации

Недостатки парольной защиты делают необходимым использовать носители ключевой информации, представляющей (аутентифицирующей) ее владельца.

Носитель ключевой информации (ключевой носитель) – это техническое устройство, хранящее информацию о пользователе компьютерной системы, необходимую для обеспечения целевой функции защищенной системы и однозначно связанную с пользователем.

Процесс представления компьютерной системе состоит из двух стадий: идентификации (пользователь сообщает свое имя) и аутентификации (пользователь подтверждает идентификацию, вводя уникальную информацию о себе). Эта информация может храниться на различных носителях ключей – магнитных дисках, пластиковых картах и т.д.

Основное преимущество магнитных дисков как хранителей ключевой информации состоит в том, что оборудование для работы с ними входит в состав штатных средств ЭВМ. Другое важное условие – это стандартный формат хранения информации на дисках и стандартные средства доступа к дискам.

Пластиковая карта представляет собой пластину стандартных размеров (85,6 х 53,9 х 0,76 мм), изготовленную из специальной пластмассы. Карта может содержать внешние признаки идентификации и аутентификации. Ключевая информация записывается с помощью различных физических механизмов:

- с помощью штрих-кодов, считываемых в инфракрасном свете;

- на магнитную полосу, содержащую три дорожки магнитной записи.

В интеллектуальных, или смарт-картах, носителем информации является специальное устройство типа безкорпусной микросхемы. Смарт-карты подразделяются на два класса: карты с процессором и карты памяти.

Носитель ключевой информации Touch Memory (ТМ) представляет собой энергонезависимую память, размещенную в металлическом корпусе, с одним сигнальным контактом и одним контактом земли. Корпус, напоминающий по виду миниатюрную батарейку, имеет размеры: диаметр – 16,25 мм, толщина – 3,1 (5,89) мм. В состав Touch Memory входит ПЗУ, ОЗУ и встроенная батарея.

Особенностью технологии хранения и обмена ключевой информацией между ТМ и внешними устройствами является сравнительно низкая скорость (обусловленная последовательной передачей данных) и высокая вероятность сбоя в тракте чтения-записи, обусловленная тем, что контакт прибора с устройством чтения производится пользователем вручную без дополнительной фиксации.