Назовите известные вам способы усиления парольной защиты

Способы усиления парольной защиты

Основные механизмы ввода пароля. Усиление парольной защиты за счет усовершенствования механизма ввода пароля

В этом разделе мы рассмотрим основные известные на сегодняшний день способы ввода пароля. Все они представлены на рис. 8.2.

Рис. 8.2. Способы ввода пароля

Наиболее очевидный способ ввода пароля, который реализован практически во всех ОС, состоит в вводе пароля с клавиатуры. Недостатком данного способа является возможность визуального съема пароля злоумышленником. При этом в меньшей степени опасность представляет набор пароля пользователем на клавиатуре — этому можно противодействовать организационными мерами. В большей степени угроза состоит в том, что при задании сложного пароля пользователь стремится его куда- нибудь записать, чтобы не забыть. Понятие архитектуры и структуры ЭВМ. Архитектура фон Неймана. Архитектурой компьютера считается его представление на некотором общем уровне, включающее описание пользовательских возможностей программирования, системы команд, системы организации памяти и т.д. архитектура определяет принципы построения, информационные связи и взаимное соединение основных логических узлов компьютера: процессора, оперативного запоминающего устройства, внешних ЗУ и периферийных устройств. Общность архитектуры различных компьютеров обеспечивает их совместимость с точки зрения пользователя.

В качестве противодействия угрозе визуального съема пароля могут использоваться внешние носители информации. При этом могут использоваться как стандартные средства ввода информации (например, дискета), так и средства, предполагающие подключение специальных средств ввода парольной информации — всевозможные электронные ключи, «таблетки» и т.д. На этих носителях записывается пароль, который считывается системой при аутентификации пользователя. Здесь может задаваться достаточно большая длина пароля без угрозы его визуального съема. Применение для ввода пароля стандартного или специального носителя с точки зрения обеспечиваемого уровня безопасности практически равноценно. Вопрос выбора носителя определяется его ценой, долговечностью, удобством хранения.

Дополнительные носители парольной информации для усиления парольной защиты ОС используются практическими всеми современными средствами добавочной защиты.

Недостатком применения внешних носителей информации для ввода пароля является потенциальная угроза его хищения злоумышленником.

Угрозы компьютерной безопасности

Компьютерная преступность в России

В странах, где высок уровень компьютеризации, проблема борьбы с компьютерной преступностью уже довольно давно стала одной из первостепенных. И это не удивительно. Например, в США ущерб от компьютерных преступлений составляет ежегодно около 5 млрд долларов, во Франции эти потери доходят до 1 млрд франков в год, а в Германии при помощи компьютеров преступники каждый год ухитряются похищать около 4 млрд марок. И число подобных преступлений увеличивается ежегодно на 30—40%.

Поскольку Россия никогда не входила (и в ближайшем будущем вряд ли войдет) в число государств с высоким уровнем компьютеризации (на большей части ее территории отсутствуют разветвленные компьютерные сети и далеко не везде методы компьютерной обработки информации пришли на смену традиционным), то довольно долго российское законодательство демонстрировало чрезмерно терпимое отношение к компьютерным преступлениям. Положительные сдвиги произошли только после ряда уголовных дел, самым громким из которых стало дело одного из программистов Волжского автомобильного завода, умышленно внесшего деструктивные изменения в программу, которая управляла технологическим процессом, что нанесло заводу значительный материальный ущерб. Отечественное законодательство претерпело существенные изменения, в результате которых был выработан ряд законов, устанавливающих нормы использования компьютеров в России.

Главной вехой в цепочке этих изменений стало введение в действие 1 января 1997 г. нового Уголовного кодекса. В нем содержится глава “Преступления в сфере компьютерной информации”, где перечислены следующие преступления:

r неправомерный доступ к компьютерной информации (статья 272);

r создание, использование и распространение вредбносных

компьютерных программ (статья 273);

r нарушение правил эксплуатации компьютеров, компьютерных систем и сетей (статья 274).

Отметим, что уголовная ответственность за перечисленное наступает только в том случае, когда уничтожена, блокирована, модифицирована или скопирована информация, хранящаяся в электронном виде. Таким образом, простое несанкционированное проникновение в чужую информационную систему без каких-либо неблагоприятных последствий наказанию не подлежит. Сравните: вторжение в квартиру, дом или офис против воли их владельца однозначно квалифицируется как уголовно наказуемое действие вне зависимости от последствий.

Следует сказать, что наличие законодательства, регламентирующего ответственность за компьютерные преступления, само по себе не является показателем степени серьезности отношения общества к таким преступлениям. К примеру, в Англии полное отсутствие специальных законов, карающих именно за компьютерные преступления, на протяжении многих лет отнюдь не мешает английской полиции эффективно расследовать дела такого рода. И действительно, все эти злоупотребления можно успешно квалифицировать по действующему законодательству, исходя из конечного результата преступной деятельности (хищение, вымогательство, мошенничество или хулиганство). Ответственность за них предусмотрена уголовным и гражданским кодексами. Ведь убийство и есть убийство, вне зависимости от того, что именно послужило орудием для него.

По данным Главного информационного центра МВД России в 1997 г. доля компьютерных преступлений составила 0,02% от общего числа преступлений в области кредитно-финансовой сферы. В абсолютных цифрах общее количество компьютерных преступлений в этом году превысило сотню, а суммарный размер ущерба —20 млрд рублей.

Однако к этой статистике следует относиться осторожно. Дело в том, что долгое время в правоохранительных органах не было полной ясности относительно параметров и критериев, по которым следовало фиксировать совершенные компьютерные преступления, а также попытки их совершить. Можно предположить, что данные, учтенные официальной статистикой, составляют лишь вершину айсберга, подводная часть которого представляет существенную угрозу обществу. И для этого имеются серьезные основания.

Российским правоохранительным органам становятся известны не более 5— 10% совершенных компьютерных преступлений. Их раскрываемость тоже не превышает 1—5%. Это связано с тем, что хищение информации долгое время может оставаться незамеченным, поскольку зачастую данные просто копируются. Жертвы компьютерной преступности (большинство среди них — частные предприятия) проявляют нежелание контактировать с правоохранительными органами, опасаясь распространения среди вкладчиков и акционеров сведений о собственной халатности и ненадежной работе своей фирмы, что может инициировать отток финансов и последующее банкротство.

Источник

Назовите известные вам способы усиления парольной защиты

Основные способы усиления парольной защиты, используемые в современных ОС и приложениях

Классификация основных способов усиления пароля, используемых в современных ОС и в приложениях, представлена на рис. 8.3. Все они призваны воспрепятствовать подбору пароля злоумышленником.

Рис. 8.3. Способы усиления пароля

Анализ способов усиления парольной защиты

Проиллюстрируем цели применения рассматриваемых способов усиления пароля. При этом опустим некоторые уникальные подходы, как например, учет параметров, характеризующих процедуру ввода пароля пользователем — скорость набора символов и др. То есть не будем рассматривать методы, которые едва ли применимы в распространенных приложениях. Собственно расчетные формулы оценки сложности подбора пароля в работе не приводятся ввиду их тривиальности [8, 13].

Пусть А — исходный алфавит для задания пароля (некоторое число символов, включая их типы, для назначения пароля), а Ь — длина пароля. В этих предположениях число возможных парольных комбинаций составит:

Обозначим вероятность подбора злоумышленником пароля с одной попытки Р\ (в предположении, что все парольные комбинации равновероятны: Р\ = 1/К) Если для подбора пароля злоумышленником совершается п попыток в единицу времени то за интервал времени Г (число единиц времени), вероятность подбора пароля злоумышленником будет описываться следующей зависимостью:

Теперь, в соответствии с полученной зависимостью, рассмотрим, какие способы усиления пароля (рис. 8.3) на какой параметр призваны влиять.

Источник

Требования к защите компьютерной информации. Подходы к проектированию системы защиты , страница 9

Пользователь идентифицирует себя именем (идентификатором), при этом проверяется относиться ли регистрирующийся пользователь к пользователям идентифицирующей системы.

Аутентификация – контроль процедуры идентификации.

Пользователь при аутентификации вводит пароль, правильность введенного пароля однозначно подтверждает соответствие меду регистрирующимся пользователем и идентифицированным в системе пользователем.

В общем случае аутентификация и идентифицироваться могут не только пользователи, но и другие субъекты, к примеру, процессоры.

Процедура аутентификации и идентификации принято называть процедурой авторизацией.

7.2 Задачи механизмов аутентификация и идентифицироваться

В соответствии с соответствием объектом защиты определяется перечень механизмов защиты, перечень защищаемых ресурсов и источников угроз.

Назначения и способы использования объектов защиты:

Существует ряд механизмов классификаций авторизаций. При этом используется следующие признаки:

· Принадлежность идентификаторов и паролей

· Способы задания идентификаторов паролей

· Способы ввода идентификаторов и паролей

По функциональному назначению процедуры авторизации могут быть классифицированы следующим способом.

Классификация по принадлежности идентификатора и пароля

8 Парольная защита

8.1 Механизмы парольной защиты

По функциональному назначению парольной защиты механизмы используют для:

· Контроля загрузки системы
Контроль загрузки чаще всего выполняется средствами БИОСа.

· Разблокировка и блокировка системы

Для решения задач функционирования используется:

· Контроль доступа в системы

· Контроль запуска процессов

· Контроль к локальным и сетевым ресурсам

· Выполняется самим пользователем, в т.ч. и администратором безопасности, может выполняться автоматически по событию.

Реализация механизмов парольной защиты

· Стандартные устройства (дискеты)

· Специализированные (Различные электронные ключи)

Учетные данные могут храниться:

· На самом объекте защиты

· На сервере безопасности

Пароли на устройствах хранения обязательно хешируются.

В процессе идентификации сравниваются не пароли, а хеши. Обычно для хеширования используют криптостойкий алгоритм.

8.2. Угрозы взлома парольной защиты

Угрозы взлома парольной защиты:

§ Визуальный съем пароля

o Технический съем пароля при вводе

o Отключение механизма авторизации

o Модификация учетной записи

§ Замена учетных данных

8.3 Способы усиления парольной защиты

Способы ввода пароля:

· Консольный
(Легко поддается визуальному наблюдения)

o Комбинированный
(Двухуровневый. С клавиатуры вводиться пин код , а затем извлекается из ключевого контейнера извлекается либо пароль, либо хеш)

· С внешнего носителя

Если расставить приоритет по по использовании ввода:

· С внешнего носителя

Рассмотрим основные способы усиления парольной защиты:

· Задание дополнительных требований к параметрам пароля

o Увеличение длины пароля

o Расширения алфавита

· Наложение ограничения на процедуру аутентификации

o Число попыток ввода

o Число типов символов в пароле

o Проверка на простоту

Анализ способов усиления парольной защиты

L – длина пароля

R – число комбинаций

P₁ – вероятность подбора пароля.

n-число попыток взлома за t.

· Увеличение А и L

o Запрет простых

o Запрет на повторяемость

· Ограничение числа не верно введенных попыток.
При исчерпании попыток – блокировка учетной записи.

АлтГТУ 419
АлтГУ 113
АмПГУ 296
АГТУ 267
БИТТУ 794
БГТУ «Военмех» 1191
БГМУ 172
БГТУ 603
БГУ 155
БГУИР 391
БелГУТ 4908
БГЭУ 963
БНТУ 1070
БТЭУ ПК 689
БрГУ 179
ВНТУ 120
ВГУЭС 426
ВлГУ 645
ВМедА 611
ВолгГТУ 235
ВНУ им. Даля 166
ВЗФЭИ 245
ВятГСХА 101
ВятГГУ 139
ВятГУ 559
ГГДСК 171
ГомГМК 501
ГГМУ 1966
ГГТУ им. Сухого 4467
ГГУ им. Скорины 1590
ГМА им. Макарова 299
ДГПУ 159
ДальГАУ 279
ДВГГУ 134
ДВГМУ 408
ДВГТУ 936
ДВГУПС 305
ДВФУ 949
ДонГТУ 498
ДИТМ МНТУ 109
ИвГМА 488
ИГХТУ 131
ИжГТУ 145
КемГППК 171
КемГУ 508
КГМТУ 270
КировАТ 147
КГКСЭП 407
КГТА им. Дегтярева 174
КнАГТУ 2910
КрасГАУ 345
КрасГМУ 629
КГПУ им. Астафьева 133
КГТУ (СФУ) 567
КГТЭИ (СФУ) 112
КПК №2 177
КубГТУ 138
КубГУ 109
КузГПА 182
КузГТУ 789
МГТУ им. Носова 369
МГЭУ им. Сахарова 232
МГЭК 249
МГПУ 165
МАИ 144
МАДИ 151
МГИУ 1179
МГОУ 121
МГСУ 331
МГУ 273
МГУКИ 101
МГУПИ 225
МГУПС (МИИТ) 637
МГУТУ 122
МТУСИ 179
ХАИ 656
ТПУ 455
НИУ МЭИ 640
НМСУ «Горный» 1701
ХПИ 1534
НТУУ «КПИ» 213
НУК им. Макарова 543
НВ 1001
НГАВТ 362
НГАУ 411
НГАСУ 817
НГМУ 665
НГПУ 214
НГТУ 4610
НГУ 1993
НГУЭУ 499
НИИ 201
ОмГТУ 302
ОмГУПС 230
СПбПК №4 115
ПГУПС 2489
ПГПУ им. Короленко 296
ПНТУ им. Кондратюка 120
РАНХиГС 190
РОАТ МИИТ 608
РТА 245
РГГМУ 117
РГПУ им. Герцена 123
РГППУ 142
РГСУ 162
«МАТИ» — РГТУ 121
РГУНиГ 260
РЭУ им. Плеханова 123
РГАТУ им. Соловьёва 219
РязГМУ 125
РГРТУ 666
СамГТУ 131
СПбГАСУ 315
ИНЖЭКОН 328
СПбГИПСР 136
СПбГЛТУ им. Кирова 227
СПбГМТУ 143
СПбГПМУ 146
СПбГПУ 1599
СПбГТИ (ТУ) 293
СПбГТУРП 236
СПбГУ 578
ГУАП 524
СПбГУНиПТ 291
СПбГУПТД 438
СПбГУСЭ 226
СПбГУТ 194
СПГУТД 151
СПбГУЭФ 145
СПбГЭТУ «ЛЭТИ» 379
ПИМаш 247
НИУ ИТМО 531
СГТУ им. Гагарина 114
СахГУ 278
СЗТУ 484
СибАГС 249
СибГАУ 462
СибГИУ 1654
СибГТУ 946
СГУПС 1473
СибГУТИ 2083
СибУПК 377
СФУ 2424
СНАУ 567
СумГУ 768
ТРТУ 149
ТОГУ 551
ТГЭУ 325
ТГУ (Томск) 276
ТГПУ 181
ТулГУ 553
УкрГАЖТ 234
УлГТУ 536
УИПКПРО 123
УрГПУ 195
УГТУ-УПИ 758
УГНТУ 570
УГТУ 134
ХГАЭП 138
ХГАФК 110
ХНАГХ 407
ХНУВД 512
ХНУ им. Каразина 305
ХНУРЭ 325
ХНЭУ 495
ЦПУ 157
ЧитГУ 220
ЮУрГУ 309

Полный список ВУЗов

Чтобы распечатать файл, скачайте его (в формате Word).

Источник