Горюнов М.С.
Национальный горный университет, Украина
Тенденции развития парольной защиты
Одним из важнейших процессов, создаваемых для соблюдения такого
свойства информации, как конфиденциальность, является ограничение доступа.
Наиболее распространен такой процесс аутентификации как использование пароля.
Практически с момента создания первых многопользовательских операционных систем
для ограничения доступа используются пароли. Вспомним историю.
Операционные системы Windows 95/98 сохраняли пароль в PWL файле.
PWL файлы хранились в каталоге Windows. Их имена, как правило, хранились как
USERNAME.PWL. Вместе с тем стоит отметить, что PWL файл был зашифрован и
извлечь из него пароли было не просто. Первый алгоритм шифрования версии
Windows’95 был создан так, что позволял создать программы для расшифровки PWL
файлов. Однако в версии OSR2 этот недостаток был устранен. Система защиты
паролей в OSR2 была сделана профессионально и достоверно в терминах
криптографии. Однако, несмотря на это, содержала несколько серьезных
недостатков, а именно:
·
все пароли
преобразованы к верхнему регистру, это значительно уменьшает количество
возможных паролей;
·
используемые
для шифрования алгоритмы MD5 и RC4 позволяют более быстрое шифрование пароля,
но достоверный пароль Windows должен быть, по крайней мере, длиной в девять
символов.
Система кэширования пароля по существу ненадежна. Пароль может
быть сохранен только в том случае, если никакой персонал, не имеющий
соответствующего разрешения, не может обращаться к вашему компьютеру. В настоящее время рекомендуемая Microsoft
длина пароля для рабочей станции Windows XP должна составлять не менее 8
символов, при этом в пароле должны встречаться большие и маленькие буквы, цифры
и спецсимволы. При этом время жизни пароля должно составлять не более 42 дней.
К тому же на пароль налагается требование неповторяемости. В дальнейшем эти
требования будут только ужесточаться. Чем сложнее пароли, чем больше приложений
требуют ввод пароля, тем выше вероятность того, что ваши пользователи для
всех приложений, в том числе и для аутентификации в ОС, будут использовать один
и тот же пароль или они будут записывать его на бумагу.
С
одной стороны – это явно не допустимо, так как резко вырастает риск
компрометации пароля, с другой – слишком сложный пароль (типа PqSh*98+) весьма
сложно удержать в голове, и пользователи явно будут либо выбирать простой
пароль, либо постоянно забывать его и звать администратора. Да добавим сюда еще
и необходимость его постоянной смены, и требование неповторяемости паролей.
На
самом деле уже на сегодня существует несколько вариантов как помочь
пользователю в решении этой нелегкой проблемы. Попробуем их кратко описать.
Первый
вариант. На видном месте в комнате (на стене, на столе) вывешивается
(кладется) плакат с лозунгом. После этого в качестве пароля используется текст,
содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки
препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно
сложно.
Второй
вариант. В качестве пароля выбирается (генерируется с помощью специального
ПО) случайная последовательность букв, цифр и специальных символов. Данный
пароль распечатывается на матричном принтере на специальных конвертах, которые
нельзя вскрыть, не нарушив целостности. Примером такого конверта может служить
PIN-конверт к платежной карте. Далее такие конверты хранятся в сейфе начальника
подразделения или сейфе службы информационной безопасности. Единственной
сложностью при таком способе хранения является необходимость немедленной смены
пароля сразу после вскрытия конверта и изготовления другого подобного конверта
с новым паролем, а также организация учета конвертов. Однако если учесть
сбережение времени администраторов сети и приложений, то эта цена не является
чрезмерной.
Третий
вариант – использование
двухфакторной аутентификации на базе новейших технологий аутентификации.
Основным преимуществом двухфакторной аутентификации является наличие
физического ключа и pin-кода
к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата
аппаратного ключа не влечет за собой компрометации пароля, так как кроме ключа
для доступа к системе нужен еще и pin-код к ключу.
Отдельно
стоит рассмотреть системы с применением разовых паролей, которые получают все
большее распространение в связи с широким развитием Internet-технологий и системы биометрической
аутентификации.
В
настоящее время основным способом защиты информации от несанкционированного
ознакомления (модификации, копирования) является внедрение так называемых
средств AAA (authentication, authorization, administration – аутентификация,
авторизация, администрирование).
При
использовании этой технологии пользователь получает доступ к компьютеру лишь
после того, как успешно прошел процедуры идентификации и аутентификации.
Стоит
учесть, что на мировом рынке IT-услуг традиционно растет сегмент ААА. Эта тенденция
подчеркивается в аналитических обзорах IDC, Gartner и других фирм.
То
есть в дальнейшем мы все чаще будем встречаться именно с программно-аппаратными
средствами аутентификации, которые постепенно придут на смену традиционным
паролям.
Литература:
1.
Леонтьев
Б. Хакинг без секретов / Б. Леонтьев. - М: Познавательная книга плюс, 2000. –
736 с.
2.
Введение в
криптографию / Под общ. ред. В.В. Ященко. – М.: МЦНМО: «ЧеРо», 1999. – 272 с.