Парольная защита

Установление подлинности

Методы защиты информации

Существуют различные методы проверки идентичности или установления подлинности пользователей и систем. Определим взаимосвязь между установлением подлинности, идентификацией и определением прав (полномочий), которые в совокупности определяют, какой доступ разрешается к защищаемым ресурсам. Идентификация – это присвоение объекту уникального имени (идентификатора). Установление подлинности (аутентификация) заключается в проверке, является ли проверяемое лицо или объект на самом деле тем, за кого он себя выдает. Определение полномочий устанавливает, дано ли лицу или объекту и в какой мере право обращаться к защищаемому ресурсу.

Итак, идентификация пользователя, терминала, файла, программы или другого объекта представляет собой присвоение объекту уникального имени. Идентификация является заявкой на установление подлинности. Идентификация нужна не только для опознавания, но и для учета обращений к ресурсу, однако ее нельзя использовать саму по себе, без дополнительного установления подлинности, если в системе требуется определенная степень безопасности.

Для установления подлинности пользователей ЭВМ используются пароли и другие методы диалога. Если пользователь в состоянии правильно представить требуемую информацию, ЭВМ признает его подлинность.

Парольная защита предполагает, что пользователь вводит свой идентификатор и пароль (уникальную строку символов) для их проверки в ЭВМ. Рассмотрим существующие схемы парольной защиты.

В схеме с простым пароле пользователю разрешается самому выбирать пароль таким образом, чтобы его легко было запомнить. Следует позаботиться и о том, чтобы пароль не являлся слишком очевидным и был достаточно длинным.

Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для вскрытия пароля. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля.

Введем понятие ожидаемого безопасного времени – это полупроизведение числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Пусть R – скорость передачи символов из линии связи, E – число символов в каждом передаваемом сообщении при попытке получить доступ, S – длина пароля, A – число символов в алфавите, из которого составляется пароль. Тогда ожидаемое безопасное время выражается следующей формулой:

(4.1)

Пусть S = 6 A = 26 E = 20 R = 600 символов/мин

Тогда T_{безопасн} =3,089*10⁷ с ≈1 год.

Если после каждой неудачной попытки автоматически предусматривается десятисекундная задержка, то этим самым ожидаемое время, требуемое для раскрытия пароля становится равным примерно 6 годам.

Недостатком системы с простым паролем является то, что пароль может быть использован другим лицом без ведома зарегистрированного пользователя.

В схеме однократного использования пароля пользователю выдается список из N паролей. После использования пароля пользователь вычеркивает его из списка. Таким образом, если злоумышленник получает использованный пароль из списка, система не будет на него реагировать.

В методе “запрос-ответ” набор ответов на m стандартных и n ориентированных на пользователя вопросов хранится в ЭВМ и управляется операционной системой. При попытке пользователя войти в систему, ОС случайным образом выбирает и задает некоторые или все вопросы. Пользователь должен дать правильный ответ на все вопросы, чтобы получить разрешение на доступ к системе.

Пароли можно использовать не только для установления подлинности пользователя по отношению к системе, но и для обратного установления подлинности – системы по отношению к пользователю. Это важно, например, в сетях ЭВМ, когда пользователь хочет взаимодействовать только с данной ЭВМ и поэтому желает убедиться в подлинности вычислительной установки.