Идентификация и удостоверяване с име и парола
При практическото приложение на този метод атакуващият първо опитва пароли, състоящи се от най-често срещаните знаци, поради което времето за груба сила значително се намалява. Понякога при избора на пароли се използва не само статистиката за появата на символи, но и статистиката за появата набиграмиитриграми-комбинации от два и три последователни знака, съответно.
За да изберете пароли с помощта на този метод, много програми са написани по различно време. Някои от тях алтернативно подават различни опции за парола към входа на подсистемата за удостоверяване на операционната система, други изпробват опции за парола, като генерират хеш функция и след това я сравняват с известно изображение на парола. В първия случай скоростта на отгатване на паролата се определя от производителността на операционната система. Във втория случай средното време за отгатване на парола от 6-8 знака, която не включва нито числа, нито препинателни знаци, варира от няколко десетки секунди до няколко часа, в зависимост от изчислителната мощност на компютъра и ефективността на изпълнението на алгоритъма за генериране на хеш функция в програмата, която избира пароли.
3.Оптимизирано за речник грубо търсене.В повечето случаи потребителските пароли са английски или български думи. Тъй като за потребителя е много по-лесно да запомни смислена дума, отколкото безсмислена последователност от знаци, потребителите предпочитат да използват смислени думи като пароли. В същото време броят на възможните опции за парола е рязко намален. Всъщност английският език съдържа само около 100 000 думи (с изключение на научни, технически, медицински и други термини), което е 6,5 пъти по-малко от броя на всички комбинации от четири английски букви.
ИзползвайкиС този метод за отгатване на пароли, атакуващият първо ще опита всички думи от речника, съдържащ най-вероятните пароли като пароли. Нападателят може сам да състави такъв речник или може да го вземе, например, в Интернет, където има огромен брой такива речници, адаптирани за различни страни по света. Ако познатата парола не е в речника, нападателят ще опита всички възможни комбинации от думи от речника, думи от речника с една или повече букви, цифри и препинателни знаци, добавени в началото и/или края и т.н.
Обикновено този метод се използва в комбинация с предишния.
5.Отгатване на изображение на парола.Ако подсистемата за удостоверяване на операционната система е проектирана така, че изображението на паролата да е значително по-кратко от самата парола, атакуващият може да познае не паролата, а нейното изображение. В този случай обаче нападателят, след като познае изображението на паролата, трябва да получи самата парола, съответстваща на избраното изображение, и това е възможно само ако хеш функцията, използвана в системата, няма достатъчна сила.
3.Защита срещу компрометиране на парола.Ще кажем, чекомпрометиране на паролае възникнало, ако паролата на потребител е станала известна на друг потребител. Компрометирането може да възникне в резултат или на небрежност на потребителя, или на кражба или отгатване на парола от нападател. Има редица методи, които могат донякъде да намалят заплахата от компрометиране на потребителски пароли.
1.Ограничение за изтичане на паролата.При прилагането на този метод всеки потребител на операционната система трябва да променя паролата на определени интервали. Препоръчително е да ограничите максималния период на валидност на паролата до 30 - 60 дни. По-малко силните ограничения не дават желанотоефект, а използването на по-строги ограничения драстично увеличава вероятността потребителят да забрави паролата си. След като паролата е изтекла, потребителят трябва да промени паролата си в рамките на известно време (обикновено 1 - 2 дни) след първото влизане след този период. Ако потребителят не е променил паролата в рамките на определеното време, операционната система му забранява влизането, докато системният администратор изрично не разреши това.
Изтичането на паролата трябва да бъде ограничено не само отгоре, но и отдолу. В противен случай потребителят, след като е променил паролата, може веднага да се върне към старата парола, като промени паролата отново.
Също така е препоръчително да проверявате уникалността на новата парола при всяка смяна на паролата. За да направите това, операционната система трябва да съхранява не само изображението на текущата парола на потребителя, но и изображения на последните 5-10 пароли, използвани от него.
-дължината на паролата не трябва да е по-малка от определен брой символи; Литературата за компютърна сигурност и документацията за операционната система обикновено препоръчват да не се използват пароли, по-къси от 6-8 знака, но като се има предвид бързият напредък на компютърните технологии, понастоящем е препоръчително да се ограничи дължината на паролите до 10-14 знака;
- паролата трябва да включва поне 5-7 различни знака;
- Паролата трябва да включва както малки, така и главни букви;
-паролата на потребителя не трябва да съвпада с името му;
-паролата не трябва да присъства в списъка с "лоши" пароли, съхранявани в системата.
По правило администраторите на операционната система могат да променят тези ограничения както в рамките на цялата операционна система, така и за отделни потребители. Например, ако се използва някакво потребителско имеза влизане като гост, задаването на ограничения върху използваната парола е непрактично.
Когато избирате ограничения за пароли, имайте предвид, че ако ограниченията за пароли са твърде силни, ще бъде трудно за потребителите да запомнят своите пароли.
3.Заключване на терминала.Когато използвате този метод, ако потребителят въведе неправилно потребителското име и паролата няколко пъти подред, терминалът, от който потребителят влиза, се заключва и потребителят не може да продължи по-нататъшни опити за влизане. Параметрите на този метод са:
- максимално допустимия брой неуспешни опити за влизане от един терминал;
-времеви интервал, след който се нулира брояча на неуспешните опити за влизане;
- продължителността на заключването на терминала (може да бъде неограничено - в този случай заключването на терминала може да бъде премахнато само от системния администратор).
5.Генериране на пароли от операционната система. Втози случай потребителите не могат да създават свои собствени пароли - операционната система прави това вместо тях. Когато потребителят трябва да промени паролата, той въвежда съответната команда и получава нова парола от операционната система. Ако потребителят не е доволен от предложената опция за парола, той може да поиска от операционната система друга опция. Основното предимство на този метод е, че операционната система генерира пароли на случаен принцип и е почти невъзможно да се познаят такива пароли. От друга страна, такива пароли обикновено са трудни за запомняне, което принуждава потребителите да ги записват на хартия. Ако това не е риск за сигурността на системата (например, ако потребителят влиза само през интернет от домашния си компютър), този модел на удостоверяване е близък доидеален. В противен случай е неподходящо да се използва.
6.Парола и анулиране.Когато използвате тази схема за удостоверяване, когато потребител влезе в системата, операционната система му дава произволно число или низ, на който потребителят трябва да даде правилния отговор. Всъщност паролата е параметрите на алгоритъма за преобразуване на заявката от операционната система в правилен потребителски отговор. Тези параметри се избират на случаен принцип от операционната система за всеки потребител, което всъщност намалява тази схема за удостоверяване до предишната.
7.Еднократна парола. Втози случай паролата на потребителя се променя автоматично след всяко успешно влизане. Тази схема за удостоверяване надеждно защитава срещу отгатване на пароли, защото дори ако атакуващият вземе определена парола, той може да я използва само веднъж. В допълнение, потребител, чиято парола е компрометирана, няма да може да влезе следващия път, тъй като ще се опита да въведе предишната парола, която вече е използвана от нападателя. Недостатъкът на тази схема е, че запомнянето на много постоянно променящи се пароли е почти невъзможно. В допълнение, потребителите често „загубват броя“, когато се опитват да въведат парола, която е остаряла или все още не е влязла в сила при влизане. Поради тези и някои други недостатъци тази схема практически не се използва на практика. Някои от тези методи могат да се използват в комбинация.