Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Система: OK

для усложнения алгоритма в качестве параметров можно использовать текущее число, день недели, месяц, текущий час суток и их комбинации

5. — метод групповых паролей основывается на интерактивных последовательностях типа “вопрос — ответ ”; при входе в систему пользователю предлагают ответить на несколько вопросов, как правило, личного плана: “Девичья фамилия вашей супруги?”, “Ваш любимый цвет?”, и т. д. В БД системы аутентификации хранятся ответы на множество таких вопросов для каждого пользователя. При входе пользователя система контроля сравнивает полученные ответы с “правильными” и принимает соответствующее решение. Для усиления контролируемости сеанса системы с использованием вопросов — ответов могут прерывать работу пользователя с определенной периодичностью, предлагая отвечать на очередные вопросы, чтобы подтвердить подлинность пользователя. Чрезмерная частота прерывания приводит к раздражению, к тому же данный метод предполагает постоянное присутствие пользователя за компьютером. Тем не менее, этот способ находит свое применение в случае контроля сеансов.

6. Одноразовые пароли — срабатывают только один раз. К ним прибегают, создавая временный вход для гостей, например, чтобы продемонстрировать потенциальным клиентам возможности системы. Они часто применяются при самом первом вхождении пользователя в систему. Далее пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Метод использования однократного пароля может предполагать использование списка из N паролей, хранящегося в БД системы аутентификации. При каждом обращении к системе пользователь вводит очередной пароль, который после окончания сеанса вычеркивается системой контроля доступа из списка. Основным недостатком данного механизма является его неоднозначность. Например, в случае нештатного окончания работы пользователя, система будет считать пароль уже использованным, то есть вычеркнет его, а пользователь – нет.

АТАКИ на ПАРОЛИ

1. Подбор методом полного перебора – метод грубой силы bruteforce

2. Семантический подбор с использованием словарей

3. Использование имени пользователя с пустым паролем или имени+такой же пароль

4. Использование предустановленных имени пользователя и пароля

5. Проникновение в систему во время длительного ожидания

6. Использование программ-перехватчиков паролей (keylogger)

7. Методы социальной инженерии - social engineering Форма злонамеренного проникновения, при которой взломщик каким-либо путем обманывает пользователей или администратора и добивается или крадет информацию о компании и/или ее компьютерных системах, чтобы получить несанкционированный доступ к сети.

Меры по обеспечению надежности паролей:

1. наложение технических ограничений (алфавит, длина пароля)

2. управление сроком действия паролей, их периодическая смена

3. ограничение числа неудачных попыток входа в систему

4. использование программных средств генерации паролей

5. применение нестандартных паролей, например, графических изображений

6. использование в паролях ALT-кодов (непечатаемых символов)

7. ограничение доступа к файлу паролей

8. хранение паролей в хэшированном виде

Перечисленные меры целесообразно применять всегда, даже если наряду с традиционными паролями используются другие методы аутентификации

Легкость реализации метода парольной аутентификации способствует его широкому применению, однако пароль необходимо передавать с места, где находится пользователь, на сервер, где установлена система аутентификации, и если канал передачи не обеспечивает механизмов защиты, то при пересылке пароль может быть перехвачен.

Протокол (метод) аутентификации должен выполнять, по крайней мере, две задачи:

Во-первых, он должен безопасно передавать данные от системного процесса в базу данных сервера аутентификации (SAD (Security Account Database) или AD (Active Directory) для ОС Windows).

Во-вторых, он должен безопасно и надежно передавать и хранить пароль, то есть защищать введенную пользователем информацию при пересылке в базу данных аутентификации (доступ через SAM (Security Account Manager)). Для этого протокол подписывает, скрывает или шифрует пакет данных. Кроме того, пакету присваивается временная метка, чтобы взломщик не мог воспользоваться перехваченными учетными данными в будущем. Чтобы не позволить немедленно извлечь пароль пользователя из базы данных, протокол должен обеспечить скрытное (хэшированное) хранение паролей в базе данных аутентификации.

Наиболее распространенным способом защиты пароля во время его передачи по сети является использование функций необратимого преобразования (хэш-функции), которые на основе исходной информации произвольной длины порождают уникальный набор двоичных символов заданной длины — дайджест. Хэш-функция используется перед передачей данных аутентификации на сервер. На сервере пароли хранятся также в зашифрованном виде. Получив парольный хэш, сервер сверяет его с дайджестом в базе данных пользователей, после чего делает заключение о результате аутентификации.

Этот способ защиты данных аутентификации имеет недостатки, позволяющие злоумышленнику перехватить хэш-пароль во время передачи по сети и использовать его для нелегального получения привилегий. К тому же, некоторые протоколы аутентификации имеют скрытую уязвимость.

Дата добавления: 2015-07-24; просмотров: 138 | Нарушение авторских прав