Пароли и параметры их стойкости

Пароль — строка символов, введенных с клавиатуры. Самый простой, удобный и дешевый метод аутентификации. Однако в этом случае возникает проблема * возможного угадывания или кражи паролей.

Эффективность пароля принято оценивать т. н. ожидаемым безопасным временем раскрытия его методом перебора .Это время рассчитывают по формуле:

Tб =? N * t =? AS * E/R,

где N — число возможных паролей, t — время ввода одного набора, A — число символов алфавита конечного пароля, S — длина пароля, E — количество символов, требуемое для ввода пароля с учетом служебных клавиш Enter…Shift, R — скорость ввода символов.

Т.о. можна вывести основные параметры стойкости паролей:

Длина пароля. Чем длиннее пароль — тем сложнее и дольше его взломать. В этом случае возрастает количество возможных комбинаций пароля. Длина пароля должна быть не менее 16 символов для относительно надежной защиты от метода перебора.

Количество символов в алфавите . Аналогичный эффект вышеприведенному.

Основные меры предосторожности при работе с паролем

Не следует использовать * в качестве пароля:

Собственные имена, имена друзей, любимых людей, клички, даты рождения, и т. п. данные, легко доступные похитителям информации;

Профессиональные термины, жаргон и т. п.;

Повторяющиеся символы;

Реальные слова и их комбинации — для получения легко запоминаемых устойчивых паролей можно пользоваться соответствующими генераторами, которые генерируют пароли, состоящие из цифр и букв различного регистра.

Следует учитывать используемый алфавит (количество символов в нем).

Пароль необходимо часто менять, в зависимости от уровня защиты системы. Классически — каждый месяц.

Еще одна ошибка типичного пользователя — ввод пароля в одной расскладке (напр. русской) с включенной другой раскладкой (напр. английской). Подобные ситуации приводят к хищению пароля более менее наблюдательным человеком, который находится рядом с компьютером в момент ввода пароля. Не считайте себя * умнее других.

Регистрация событий в системе

Еще один важный момент работы с системой. Про него забывают многие т. н. хакеры, когда пытаются взломать различные системы, на чем собственно и попадаются. Как я уже говорил, любое обращение пользователя к ресурсу сопровождается определением полномочий. Однако сразу же после этого выполняется т. н. регистрация события в системе . Результат определения полномочий записывается в Журнал безопасности . Он содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов.

Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает системный администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности.

С журналом безопасности тесно связаны два понятия:

Аудит успехов — событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае успешного входа пользователя в систему, в журнал заносится событие с типом Аудит успехов .

Аудит отказов — событие, соответствующее неудачно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае неудачной попытки доступа пользователя к сетевому диску в журнал заносится событие типа Аудит отказов .

Попросту говоря * каждый ваш шаг и каждое ваше действие в КС фиксируется в журнале. И опытный администратор с легкостью вычислит попытки проникновения в систему, если оный журнал не очистить. Последнее действие (очистка журнала) внесет нотки сомнения в душу администратора и возможно он подумает о системном сбое (хотя это маловероятно), что даст вам некоторое время ретироваться. Вероятность того, что аудит в системе отключен в серьезных организациях практически сводится к нулю (подробнее смотри Глава 9.3 "Несанкционированный доступ к информации"). С учетом всего вышеприведенного, хотелось бы сказать следующее: "Граждане, мойте пол после себя, если ходите в грязных калошах по чужому дому в отсутствие хозяев!"

Криптографическая ЗИ

Кроме методов защиты информации в КС, рассмотренных выше и применимых только внутри системы, пользователями (а зачастую и самой КС) могут использоваться дополнительные средства ЗИ — шифрование данных . Ведь при транспортировке данных вне КС, они могут быть похищены, изменены (например, при передаче по сети) или случайно скопированы заинтересовавшимся человеком. Ущерб в этом случае может быть довольно серьезен. Или возьмем тот же банковский перевод денежных средств. Там все передаваемые данные обязательно шифруются!

Криптография — наука о способах преобразования данных, позволяющих сделать их бесполезными для противника. Способы (алгоритмы) такого преобразования называются шифрами . Любая попытка перехватчика расшифровать шифр текста или зашифровать свой собственный открытый текст для получения правдоподобного шифр-текста при отсутствии подлинного ключа называют криптоаналитической атакой. Если это не возможно, то систему называют криптостойкой. Криптостойкая система оценивается временем раскрытия шифра. Наука о способах и методах раскрытия шифров называется криптоанализом.