Методи паролирования

Методи паролирования вимагають, щоб користувач ввів рядок символів (пароль) для порівняння з еталонним паролем, що зберігається в пам'яті системи. Якщо пароль відповідає еталонному, то користувач може працювати з системою. При розгляді різних методів паролирования користуватимемося наступними позначеннями: З - повідомлення системи; П - повідомлення, що вводиться користувачем; ОК - повідомлення системи про правильне встановлення достовірності.

Метод простого пароля полягає у введенні користувачем одного пароля з клавіатури.

Приклад 5.1 (Паролем є слово "ПАРОЛЬ").

З: Введіть пароль

П: ПАРОЛЬ

З: OK

Метод вибірки символів полягає в запиті системою певних символів пароля, вибираних випадковим чином.

Приклад 5.2. (Паролем є слово "ПАРОЛЬ").

З: Введіть пароль: 2, 5

П: АЛ

З: OK

Метод вибірки символів не дозволяє порушникові визначити значення пароля по одноразовому спостереженню символів, що вводяться користувачем.

Метод паролів одноразового використання припускає наявність списку з N паролів, що зберігається в системі. При кожному зверненні до системи користувач вводить черговий пароль, який після закінчення роботи викреслюється системою із списку.

Основним недоліком розглянутого методу є неоднозначність пароля. Наприклад, у разі нештатного закінчення роботи користувача система може вважати пароль вже використаним, а користувач - ні.

Метод груп паролів грунтується на тому, що система для кожного користувача може зажадати паролі з двох груп. Перша група включає паролі, які є відповідями на загальні для всіх користувачів питання, наприклад, ім'я, адреса, номер телефону і тому подібне Друга група включає паролі – відповіді на питання, які встановлюються адміністратором системи при реєстрації користувача для роботи з системою. Ці питання сформульовані персонально для кожного користувача, наприклад, улюблений колір, дівоче прізвище матери і тому подібне При кожному зверненні користувача система випадково вибирає по декілька питань з кожної групи. Недоліком розглянутого методу є те, що системі буде потрібно значний об'єм пам'яті для зберігання питань і відповідей для великого числа користувачів.

Метод функціонального перетворення припускає, що користувачеві при реєстрації для роботи в системі повідомляється деяке перетворення, яке він може виконати в думці. Паролем в цьому випадку є результат такого перетворення.

Приклад 5.3. (Перетворення y=x1+2*x2).

З: Введіть пароль: 4, 6

П: 16

З: OK

Для ускладнення розтину пароля в методі функціонального перетворення як аргументи можуть використовуватися числа місяця, годинник доби або їх комбінації.

При роботі з паролями повинні дотримуватися наступні правила:

- паролі повинні зберігатися в пам'яті тільки в зашифрованому вигляді;

- символи пароля при введенні їх користувачем не повинні з'являтися в явному вигляді;

- паролі повинні періодично мінятися;

- паролі не повинні бути простими.

Для перевірки складності паролів зазвичай використовують спеціальні контроллери паролів.

Контроллер паролів дозволяє перевірити уразливість паролів. Контроллер здійснює спроби злому пароля по наступній методиці.

1. Перевірка використання як пароль вхідного імені користувача, його ініціалів і їх комбінацій. Наприклад, для користувача Daniel V. Klein (автор контроллера) контроллер пробуватиме паролі DVK, DVKDVK, DKLEIN, LEINK, DVKLEIN, DANIELK, DVKKVD, DANIEL-KLEIN і так далі

2. Перевірка використання як пароль слів з різних словників (60000 слів):

- чоловічі і жіночі імена (16000 імен);

- назви країн і міст;

- імена персонажів мультфільмів, кінофільмів

- науково-фантастичних творів і т.п.;

- спортивні терміни (назви спортивних команд, імена спортсменів, спортивний жаргон і тому подібне);

- числа (цифрами і прописом, наприклад, 2000, TWELVE);

- рядки букв і цифр (наприклад, АА, ААА, АААА і так далі);

- біблейські імена і назви;

- біологічні терміни;

- жаргонні слова і лайки;

- послідовності символів в порядку їх розташування на клавіатурі (наприклад, QWERTY, ASDF, ZXCVBN і так далі);

- імена комп'ютерів (з файлу /etc/hostc в ОС Unix);

- персонажі і місця дії з творів Шекспіра;

- іноземні слова, що часто вживаються;

- назви астероїдів.

3. Перевірка різних перестановок слів з п.2, включаючи:

- заміну першої букви на прописну;

- заміну всіх букв на прописних;

- інверсію всього слова;

- заміну букви Про на цифру 0 і навпаки (цифру 1 на букву l і так далі);

- перетворення слів на множину.

Всього по п.3 контроллер здійснює перевірку на збіг приблизно з 1 мільйоном слів.

4. Перевірка різних перестановок слів з п.2, не розглянутих в п.3:

5. -замена однієї рядкової букви на прописну (наприклад, michel-miChel і тому подібне - близько 400000 слів);

- заміна двох рядкових букв на прописних (близько 1500000 слів);

- заміна трьох рядкових букв на прописних і так далі

6. Для іноземних користувачів перевірка слів на мові користувача.

7. Перевірка пар слів.

Проведені експерименти показали, що даний контроллер дозволив визначити 10% паролів з п'яти символів, 35% паролів з шести символів, 25% паролів з семи символів і 23% паролів з восьми символів. Такі високі результати викликані тим, що більшість користувачів використовують прості паролі. Цією обставиною скористався Роберт Моріс - автор "мережевого черв'яка", що заразив мережу Інтернет в 1988 році. Модуль захоплення вірусу Моріса здійснював випробування як паролі облікові імена користувачів, облікові імена користувачів в зворотному порядку, а також паролі з шаблону, що складається з 432 загальновідомих слів

. В окремих випадках Моріс зумів отримати до 10% паролів, у тому числі і ряду системних паролів.

Приведені приклади дозволяють сформулювати наступні способи зниження уразливості паролів:

- не використовувати як пароль слова, що перевіряються контроллером Кляйна;

- перевіряти паролі перед їх використанням контроллерами паролів;

- часто міняти паролі;

- при формуванні пароля використовувати розділові знаки і різні регістри;

- використовувати не осмислені слова, а набори букв (наприклад, перших букв якою-небудь відомою користувачеві фрази).

З прикладів, приведених при розгляді контроллера паролів, видно, що найважливішими характеристиками пароля є його довжина і період зміни (або період життя). Природно, що чим більше довжина пароля, тим більше зусиль доведеться докласти порушникові для його визначення. Чим більше період життя пароля, тим більше вірогідне його розкриття.

Після цього викладач оголошує оцінки, аналізує помилки, припущені при відповідях, дає завдання на самопідготовку.

Розробку склав :

викладач кафедри СТ Матвієнко Є. В.