Главный Каталог Статей РФ
87473 авторов, размещено 47836 статей, сейчас на сайте пользователей: 28 Статистика
Добавить статью 🤖 Сгенерировать статью Критерии качества
Безопасность (178)
Подкатегории:
Другие категории: Авто и МотоАвто и Мото (2093)
Авто и Мото Авто и Мото (2093)Бизнес Бизнес (6481)Дом, семья, дети Дом, семья, дети (4453)Досуг и Юмор Досуг и Юмор (680)Еда Еда (876)Здоровье Здоровье (3988)Искусство Искусство (1690)Компьютеры и Интернет Компьютеры и Интернет (4315)Мода, стиль Мода, стиль (1666)Наука Наука (1674)
Образование Образование (1418)Общество Общество (3034)Окружающий мир Окружающий мир (798)Промышленноcть, оборудование Промышленноcть, оборудование (2054)Связь Связь (482)Секс, любовь, отношения Секс, любовь, отношения (962)Спорт Спорт (936)Справочная информация Справочная информация (271)Страны, путешествия Страны, путешествия (1853)Строительство и ремонт Строительство и ремонт (7633)Транспорт и логистика Транспорт и логистика (479)
Аватар Prutkov

Парольные системы идентификации и аутентификации пользователей

Категория:  Безопасность  | Автор:  Prutkov | Опубликовано: 07.09.2009
Парольные системы идентификации/аутентификации является одними из основных и наиболее распространенных в СЗИ методов пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Совокупность идентификатора и пароля пользователя - основные составляющие его учетной записи. База данных пользователей парольной системы содержит учетные записи всех пользователей КС.
Парольные системы являются зачастую «передним краем обороны» всей системы безопасности. Отдельные ее элементы могут быть расположены в местах, открытых для доступа потенциальному злоумышленнику (в том числе и база данных учетных записей пользователей). В связи с этим, парольные системы становятся одним из наиболее привлекательных для злоумышленника объектов атаки. Основными типами угроз безопасности парольных систем являются следующие.
1. Перебор паролей в интерактивном режиме.
2. Подсмотр пароля.
3. Преднамеренная передача пароля его владельцем другому лицу.
4. Кража базы данных учетных записей с дальнейшим ее анализом, подбором пароля.
5. Перехват вводимого пароля путем внедрения в КС программных закладок (клавиатурных шпионов); перехват пароля, передаваемого по сети.
6. Социальная инженерия.
Многие недостатки парольных систем связаны с наличием человеческого фактора, который проявляется в том, что пользователь, зачастую, стремится выбрать пароль, который легко запомнить (а значит и подобрать), записать сложно запоминаемый пароль. Легальный пользователь способен ввести пароль так, что его могут увидеть посторонние, передать пароль другому лицу намеренно или под влиянием заблуждения.
Для уменьшения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей
1. Задание минимальной длины пароля для затруднения подбора пароля злоумышленником «в лоб» (полный перебор, brute-forcing) и подсмотра.
2. Использование в пароле различных групп символов для усложнения подбора злоумышленником пароля «в лоб».
3. Проверка и отбраковка пароля по словарю для затруднения подбора пароля злоумышленником с использованием словарей.
4. Установление максимального срока действия пароля для затруднения подбора пароля злоумышленником «в лоб», в том числе и в режиме «off-line» при взломе предварительно похищенной базы данных учетных записей пользователей.
5. Применение эвристического алгоритма, бракующего «плохие» пароли для усложнения подбора пароля злоумышленником «по словарю» или с использованием эвристического алгоритма.
6. Ограничение числа попыток ввода пароля для предотвращения интерактивного подбора пароля злоумышленником.
7. Использование задержки при вводе неправильного пароля для предотвращения интерактивного подбора пароля злоумышленником.
8. Поддержка режима принудительной смены пароля пользователя для эффективности реализации требования, ограничивающего максимальный срок действия пароля.
9. Запрет на выбор пароля самим пользователем и автоматическая генерация паролей для затруднения использования злоумышленником эвристического алгоритма подбора паролей.
Количественная оценка стойкости парольных систем может быть выполнена с помощью следующего подхода
Пусть A – мощность алфавита паролей (количество символов, которые могут быть использованы при составлении пароля). Например, если при составлении пароля могут быть использованы только малые английские буквы, то A=26
L – длина пароля.
- число всевозможных паролей длины L, которые можно со-ставить из символов алфавита A. S также называют пространством атаки.
V – скорость перебора паролей злоумышленником.
T – максимальный срок действия пароля.
Тогда, вероятность P подбора пароля злоумышленником в течении срока его действия Т определяется по следующей формуле.
Эту формулу можно обратить для решения следующей задачи:

Справочник по информационной безопасности - Do-protect.ru
Комментарии
К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.
Интересные статьи по теме
Аватар spora69
Инструкция снятия/постановки Барьер-8. Подробная инструкция как поставить на охрану или снять с охраны, охранный прибор "Барьер-8"...
Категория: Безопасность | Автор: spora69 | Добавлено: 06.10.2009
Аватар spora69
Постановка/снятие NX-4,8. Инструкция о том как пошагово ставить на охрану или снимать с охраны, охранный прибор марки NX-4, NX-6, NX-8....
Категория: Безопасность | Автор: spora69 | Добавлено: 06.10.2009
Аватар Zarnev
Какую выбрать камеру видеонаблюдения Системы безопасности все глубже и глубже входят в нашу повседневность. Видеонаблюдение не неотъемлемая часть систем безопасности но остается очень много вопросов какое выбрать видеонаблюдение а в час...
Категория: Безопасность | Автор: Zarnev | Добавлено: 18.02.2018
Аватар AlexAlex2019_2019zzz
Самые частые ошибки при создании пароля ТОП-3 ошибок, которые допускают многие пользователи при создании пароля....
Категория: Безопасность | Автор: AlexAlex2019_2019zzz | Добавлено: 29.07.2019
Аватар Mio452
Неожиданное, но эффективное средство для борьбы с тараканами Наличие данных насекомых порой зависит от очень разных факторов: нечистоплотных соседей, общепита на первом этаже дома, малозаметных отверстиях в здании, через которые тараканы могут пройти очень дале...
Категория: Безопасность | Автор: Mio452 | Добавлено: 16.04.2024
Авторизация Регистрация
Свежие комментарии

Комментарий эксперта: Как изменения в налоговом законодательстве 2025 года перевернут привычный бухга...

Читать >>

Узбекистан является одним из крупнейших производителей текстильной продукции в Центральной Азии. Страна исторически специализировалась на выращивании ...

Читать >>

Читая статью про "зарождение инвестиций в Древнем Вавилоне", поймал себя на мысли, что мы упорно пытаемся натянуть современные экономические концепции...

Читать >>

Если раньше много времени уходило на подготовку материалов для конкурса, отправке по почте, то теперь это намного проще. И доступнее для каждого учите...

Читать >>

Зря вы так про аниме, есть прям крутые ужастики, с кровью и кишками, а есть где головой думать надо. К примеру доктор Стоун....

Читать >>

Лучшие авторы
Аватар Валя Волошина
Валя Волошина
Частный предприниматель и инвестор.
Занимаюсь ...

Читать

Аватар AriaSlime
AriaSlime
Несколько лет назад серьезно увлеклась слаймами. М...

Читать

Аватар veseliymakler
veseliymakler
Я ответственный, но в меру, не нудный
И навязыв...

Читать

Аватар MihailIT
MihailIT
Разработчик сайтов. Люблю тему не только разработк...

Читать

Аватар Компания Антарес
Компания Антарес
Менеджер компании "Антарес"

Читать

Напишите нам
   При использовании материалов сайта ссылка на каталог-статей.рф обязательна. © 2006-2026