Парольная защита
Парольная защита 2

Парольная защита

Роль парольной защиты в обеспечении безопасности АИС

 

Криптографические методы, в частности, шифрование, хорошо обеспечивают защиту информации (конфиденциальности, целостности, аутентичности и т.д.) от внешнего нарушителя. Парольная защита является эффективной. Такой нарушитель, возможно, может перехватывать сообщения, передающиеся по каналу связи а, в некоторых случаях, модифицировать их и даже вставлять в сеанс связи собственные сообщения (зачастую стараясь выдать их за сообщения другого источника). Однако информация в канале связи предварительно подвергается криптографическим преобразованиям и передается в соответствии с криптографическими протоколами, специально разработанными для того, чтобы помешать нарушителю реализовать угрозы безопасности. Для того, чтобы нарушить безопасность информации, циркулирующей в системе, ему необходимо найти уязвимость в системе защиты, либо в использованных в ней криптографических алгоритмах. Аналогичные трудности встают перед нарушителем, получившим доступ к защищенной АИС в качестве пользователя, не обладающего привилегиями, необходимыми для доступа к интересующим его данным. 

Однако ситуация меняется, если нарушитель получает доступ в систему от имени пользователя, уполномоченного выполнять операции с интересующими его данными (например, копирование конфиденциальных файлов, уничтожение критически важных данных и т.д.). В этом случае вся криптографическая защита оказывается бесполезной. Таким образом — самое уязвимое место автоматизированной информационной системы — точки доступа к ней. Эти точки доступа защищаются протоколами аутентификации (проверки подлинности пользователя). А самая удобная для пользователя и наиболее используемая форма аутентификации — парольная защита. 

Поэтому в большинстве случаев злоумышленника, который тем или иным образом может добраться до точки входа в систему (с рабочего места пользователя или удаленным способом), от его цели отделяет только пароль — вводимый с клавиатуры набор символов. Часто пароль выбирается неопытными пользователями таким образом, что его легко подобрать, в отличие от случайных 1024-битных криптографических ключей); часто не принимаются должные организационные меры по обеспечению безопасности пароля. 

Существует ряд стандартных приемов, применяемых злоумышленниками с целью обойти парольную защиту. Для каждого из этих приемов выработан механизм противодействия. На основе этих механизмов можно сформулировать правила выбора безопасного пароля и работы с ним. 

Способы атаки на пароль. Обеспечение безопасности пароля 

 

Парольная защита-1

Рассмотрим приемы обхода парольной защиты и методы противодействия им. 

1. Полный перебор (метод грубой силы, bruteforce). 

Самая простая (с технической точки зрения) атака на пароль — перебор всех комбинаций допустимых символов (начиная от односимвольных паролей). Современные вычислительные мощности позволяют перебрать все пароли длиной до пяти-шести символов за несколько секунд. 

Некоторые системы не позволяют реализовать атаки, основанные на переборе, поскольку реагируют на несколько попыток неправильно набранного пароля подряд. Например, ОС Windows после трех неудачных попыток входа в систему делает минутную паузу (что делает полный перебор практически нереализуемым), а сим-карты сотовых телефонов и кредитные карточки банкоматов полностью блокируются. 

Однако существует множество систем, позволяющих бесконечный перебор. Например, к защищенному паролем файлу (архив rar или zip, документ Microsoft Office и т.д.) можно пробовать разные пароли бесконечно. Существует множество программ, которые позволяют автоматизировать эту процедуру: Advanced RAR Password Recovery, Advanced PDF Password Recovery, Advanced Office XP Password Recovery. Кроме того, многие программы хранят хэш пароля в доступном файле. Например, таким образом клиент для работы с электронной почтой (работающий на общедоступном компьютере) может хранить пароли пользователей. Существуют способы похитить файл, содержащий хэши паролей доступа к операционной системе. После этого можно заниматься подбором паролей уже в обход системы, с помощью специальных программ. 

Важной характеристикой пароля, затрудняющей (и даже делающей невозможным) полный перебор, является его длина. Современный пароль должен иметь длину не менее 12 символов. 

Два лишних символа в пароле (при условии, что в нем могут встречаться все символы, которые можно набрать с клавиатуры, т.е. порядка 200) увеличивают время перебора в 40000 раз, а четыре символа — уже в 1.600.000.000 раз. Для того, чтобы перебрать все возможные пароли длиной 15 символов, потребуется время большее, чем возраст Вселенной. Однако не стоит забывать, что вычислительные мощности компьютеров постоянно растут (еще несколько лет назад безопасным считался пароль длиной 8 символов). 

 

2, Перебор в ограниченном диапазоне. 

Известно, что многие пользователи, составляя пароль, используют символы, находящиеся в определенном диапазоне. Например, пароль, состоящий только из русских букв или только из латинских букв или только из цифр. Такой пароль значительно легче за-помнить, однако задача противника, осуществляющего перебор, неимоверно упрощается. 

Пусть n = 70 — количество символов, из которых можно составить пароль, причем 10 из них — цифры, 30 — буквы одного языка и 30 — буквы другого языка. Пусть мы со-ставляем пароль длиной m = 4 символа. 

Если пароль составляется абсолютно случайно, то количество возможных комбинаций (которые необходимо перебрать) составляет 704 = 24010000. Однако противник может сделать предположение, что пароль состоит из символов одного диапазона (пусть даже, неизвестно, какого). Всего таких паролей 104 + 304 + 304 = 10000 + 810000 + 810000 = 163000. Если он оказался прав, то количество комбинаций (а следовательно, время, которое необходимо затратить на перебор) уменьшилось в 147 раз. Это число резко возрастает, когда увеличивается длина пароля и число диапазонов символов, из которых он может быть составлен.

Программы автоматического перебора пароля (такие как Advanced Office XP Password Recovery) включают опцию, позволяющую перечислить символы, которые следует пробовать при подборе пароля. 

Как следствие, надежный пароль должен содержать в себе символы из различных диапазонов. Рекомендуется использовать русские и английские, прописные и строчные буквы, цифры, а также прочие символы (знаки препинания, подчеркивание и т.д.). 

 

3. Атака по словарю 

 

Бессмысленный, абсолютно случайный пароль труден для запоминания. Между тем угроза забыть пароль и потерять важную информацию для многих пользователей выглядит гораздо реальнее и страшнее, чем взлом их системы неизвестным злоумышленником. Поэтому в качестве пароля очень часто выбирается какое-то слово. 

В этом случае задача подбора пароля превращается для злоумышленника почти в тривиальную Программа автоматического перебора паролей проверяет слова, содержащиеся в заданном файле со словарем (существует огромное количество доступных словарей такого рода для разных языков). Словарь из двухсот тысяч слов проверяется такой программой за несколько секунд. 

Многие пользователи считают, что если применить к задуманному слову некоторое простое преобразование, например, написать его задом наперед или русскими буквами в английской раскладке или намеренно сделать ошибку, то это обеспечит безопасность. На самом деле, по сравнению с подбором случайного пароля подбор пароля по словарю с применением различных преобразований (сделать первую букву заглавной, сделать все буквы заглавными, объединить два слова и т.д.) делает невыполнимую задачу

вполне возможной. 

Надежный пароль не должен строиться на основе слов естестенного языка. 

 

4. Атака по персональному словарю 

 

Если атака по словарю и перебор паролей небольшой длины либо составленных из символов одной группы не помогает, злоумышленник может воспользоваться тем фактом, что для облегчения запоминания, многие пользователи выбирают в качестве пароля личные данные (номер сотового телефона, дату рождения, записанную наоборот, кличку собаки и т.д.). 

В том случае, если цель злоумышленника — обойти парольную защиту именно этого пользователя, он может составить для него персональный словарь личных данных, после чего использовать программу автоматического перебора паролей, которая будет гене-рировать пароли на основе этого словаря. 

Таким образом, надежный пароль должен быть полностью бессмысленным. 

 

5. Сбор паролей, хранящихся в общедоступных местах 

 

Во многих организациях пароли создает и распределяет системный администратор, который использует приведенные выше правила. Пользователи обязаны пользоваться выданным им паролем. Однако, поскольку этот пароль сложно запомнить, он часто хранится под рукой в записанном виде. Нередки случаи, когда пароль записывается на стикер и  приклеивается к монитору, либо содержатся в записной книжке, которая часто лежит на столе раскрытой. 

Проблема в том, что, как показывают исследования, пользователи зачастую несерьезно относятся к вопросам обеспечения безопасности своего служебного пароля. Обычно это происходит из за непонимания политики безопасности организации и недооценки важности тех данных или сервисов, которые защищены паролем. Кроме того, пользователи считают, что, поскольку в организации «все свои», небрежное хранения пароля вреда не наносит. Между тем, проникнуть в помещение организации под благовидным предлогом и провести визуальный осмотр — достаточно простая задача для злоумышленника. 

Более того, часто получив пароль от администратора на бумажке и переписав его в записную книжку, пользователи теряют или просто выбрасывают эту бумажку. В поисках пароля злоумышленики иногда не брезгуют копаться и в мусоре. 

Пароль не должен храниться в общедостпуном месте. Идеальный вариант — запомнить его и не хранить нигде. Если пароль содержится в записной книжке, она не должна оставляться без присмотра, а при вводе пароля не должно присутствовать посто-ронних, которые могут заглянуть в книжку через плечо. 

Парольная защита 6

 

6. Социальный инжиниринг 

 

Cоциальный инжиниринг — манипулирование людьми (а не машинами) с целью проникновения в защищенные системы пользователя или организации. Если подобрать или украсть пароль не удается, можно попытаться обманом заставить пользователя отдать пароль самому. Классическая тактика социального инжиниринга — телефонный звонок жертве от имени того, кто имеет право знать запрашиваемую информацию. Например, злоумышленник может представиться системным администратором и попросить сообщить пароль (или другие сведения) под убедительным предлогом. Склонение пользователя к открытию ссылки или вложения, которые открывать не следует  или заманивание его на подставной сайт (см. следующий пункт) также относят к методам соци-ального инжиниринга. 

Приемы, используемые злоумышленником, могут быть самыми разными. Начиная от звонка среди ночи с абсолютно неправдоподобной историей типа «в нашу банковскую сеть попал вирус и он уничтожает все данные о счетах клиентов, а мы не можем их спа-сти, потому что вирус уничтожил файл с паролями — срочно скажите ваш и мы спасем ваши деньги». 

В любом случае, необходимо помнить правило: сообщать пароль посторонним лицам ни в коем случае нельзя. Даже если эти лица имеют право его знать. Единственным исключением может являться требование суда или правоохранительных органов выдать пароль под угрозой ответственности за отказ от дачи показаний. Но и в этом случае необходимо убедиться, что сотрудники правоохранительных органов — именно те, за кого они себя выдают.

 

7. Фишинг 

 

Фишинг — это процедура «выуживания» паролей случайных пользователей Интер-нета. Обычно заключается в создании «подставных» сайтов, которые обманом вынуждают пользователя ввести свой пароль. 

Например, чтобы получить пароль к банковскому счету, может быть создан сайт с дизайном, идентичным сайту некоторого банка. Адрес этого сайта, естественно, будет другим, но чаще всего злоумышленник регистрирует доменное имя, отличающееся от банковского на один символ. В результате пользователь, сделав опечатку, попадет на под-ставной сайт и не заметит своей ошибки. Для заманивания пользователей клиентам банка могут также рассыласться электронные письма с содержанием типа «проверьте свой счет» или «ознакомьтесь с новыми акциями», причем в письме содержится ссылка, ведущая на подставной сайт. 

Когда клиенты банка попадают на сайт злоумышленника, им (как и на настоящем сайте) предлагается ввести логин и пароль для доступа к счету. Эта информация сохраняется в базе данных злоумышленника, после чего клиент перенаправляется на главную страницу настоящего сайта. Пользователь видит, что ввод пароля «не сработал» и думает, что совершил ошибку или сайт просто «глючит». Он пробует ввести пароль заново и на этот раз успешно входит в систему. Это рассеивает его подозрения. Между тем, утечка пароля уже произошла… 

Другая разновидность фишинга основана на том факте, что многие пользователи используют один и тот же пароль для разных ресурсов. В результате, произведя успешную атаку на менее защищенный ресурс, можно получить доступ к более защищенному. 

Например, создается сайт, потенциально интересный некоторому кругу пользовате-лей. Если цель атаки — конкретный человек, то предварительно изучаются его интересы и увлечения. Информация об этом сайте доносится до потенциальных жертв (персонально или за счет широкой рекламы). Пользователю, зашедшему на сайт, предлагается зарегистрироваться, в частности, придумать себе пароль. Теперь остается только посмотреть, не подходит ли введенный пароль к другим ресурсам этого пользователя (например, к электронной почте, адрес которой был указан при регистрации). 

Чтобы противостоять угрозе фишинга необходимо внимательно проверять адрес сайта, прежде чем вводить важный пароль. Лучше всего поместить этот адрес в закладки браузера и пользоваться исключительно этими закладками, ни в коем случае не переходя по ссылкам из электронных писем. Наконец, следует пользоваться разными паролями для доступа к разным сервисам. 

 

Итак, соблюдение всех семи перечисленных выше рекомендаций достаточно сложно. Трудно запомнить несколько надежных (длинных и бессмысленных) паролей, а вероятность забыть пароль выше вероятности подвергнуться взлому. Однако существует ряд средств, облегчающих эту задачу, в частности, программы для хранения паролей. 

Рассмотрим, например, программу KeePass Portable. В этой программе все пароли хранятся в зашифрованном файле, для доступа к которому необходимо ввести пароль (единственный, который придется по-настоящему запомнить). При этом программа не отображает эти пароли на экране в явном виде. Чтобы ввести пароль для доступа к ресурсу (напри-мер, определенному сайту или электронной почте), необходимо выбрать ресурс из списка 

Окно программы KeePass Portable-1
Окно программы KeePass Portable

и выбрать в контекстном меню команду Copy Password To Clipboard . Пароль будет помещен в буфер обмена. То есть, даже внимательно отслеживая действия пользователя, противник не увидит пароля, который не набирается на клавиатуре и не появляется в явном виде на экране. Далее необходимо просто перейти в окно программы, требующей пароль, и поместить его из буфера обмена в поле для ввода (нажатием Ctrl + V или командой Вставить контекстного меню). Пароль сразу будет отображаться в виде звездочек. Кроме того, спустя несколько секунд он будет автоматически удален из буфера. Программа позволяет также генерировать случайные пароли заданной длины, причем пользователь может даже не знать, какой пароль создала ему программа — важно, чтобы она предоставляла этот пароль каждый раз, когда необходимо авторизоваться. Наконец, KeePass Portable не требует установки в системе: программа может переноситься на флешке и запускаться непосредственно с нее. 

 

Оставьте комментарий

Ваш адрес email не будет опубликован.

Прокрутить наверх