Особливості парольних систем аутентифікації

При всьому різноманітті існуючих механізмів аутентифікації, найбільш поширеним з них залишається парольний захист. Для цього є декілька причин з яких ми відзначимо наступні [9]:

Ø Відносна простота реалізації. Дійсно, реалізація механізму парольного захисту зазвичай не вимагає залучення додаткових апаратних засобів.

Ø Традиційність. Механізми парольного захисту є звичними для більшості користувачів автоматизованих систем і не викликають психологічного несприйняття – на відмінну, наприклад, від сканерів малюнка сітківки ока.

Для парольних систем захисту характерний парадокс, що ускладнює їх ефективну реалізацію: стійкі паролі мало придатні для використання людиною. Дійсно, стійкість пароля прямо пропорційна його складності. Однак чим складніший пароль, тим важче його запам'ятати, і у користувача з'являється спокуса записати незручний пароль, що створює додаткові канали для його дискредитації.

В загальному випадку пароль може бути отриманий зловмисником одним з трьохпоширених способів:

1) За рахунок використання людського фактору [7, 8]. Методи отримання паролів тут можуть бути самими різними:

a) підглядання,

b) підслуховування,

c) шантаж,

d) загрози,

e) зрештою, використання чужих облікових записів з дозволу їх законних власників.

2) Шляхом підбору. При цьому використовуються наступні методи:

i) Повний перебір. Даний метод дозволяє підібрати будь-який пароль незалежно від його складності. Проте час, необхідний для реалізації даної атаки, для стійкого пароля буде досить значним і логічно припустити, що він буде суттєво перевищувати допустимі ресурси часу, наявного у зловмисника.

ii) Підбір по словнику. Значна частина паролів, що використовуються на практиці є осмисленими словами або виразами. Існують словники найпоширеніших паролів, які у багатьох випадках дозволяють обійтися без повного перебору.

3) Підбір з використанням відомостей про користувача. Даний інтелектуальний метод підбору паролів грунтується на тому факті, що якщо політика безпеки системи передбачає самостійне призначення паролів користувачами, то в переважній більшості випадків у якості паролю буде обрана якась персональна інформація, пов'язана з користувачем АС. І хоча такою інформацією може бути вибрано що завгодно, від дати народження коханої людини і до прізвиська улюбленого песика, наявність певної інформації про користувача дозволяє перевірити найбільш поширені варіанти (дні народження, імена дітей і т.д.).

4) За рахунок використання недоліків реалізації парольних систем. До таких недоліків реалізації відносяться експлуатовані уразливості мережевих сервісів, що реалізовують певні компоненти парольної системи захисту або ж недекларовані можливості відповідного програмного або апаратного забезпечення.

При побудові системи парольного захисту необхідно враховувати специфіку АС і керуватися результатами проведеного аналізу ризиків. В той же час можна привести наступні практичні рекомендації:

§ Встановлення мінімальної довжини пароля. Очевидно, що регламентація мінімально допустимої довжини пароля суттєво ускладнює для зловмисника реалізацію підбору пароля шляхом повного перебору.

§ Збільшення потужності алфавіту паролів. За рахунок збільшення потужності (яке досягається, наприклад, шляхом обов'язкового використання спецсимволів) також можна ускладнити повний перебір.

§ Перевірка і вибраковування паролів за словником. Даний механізм дозволяє ускладнити підбір паролів за словником за рахунок вибраковування явно «підбирабельних» паролів.

§ Встановлення максимального терміну дії пароля. Термін дії пароля обмежує проміжок часу, який зловмисник може затрачувати на підбір пароля. Тим самим, скорочення терміну дії пароля зменшує вірогідність його успішного підбору.

§ Вибраковування по журналу історії паролів. Механізм запобігає повторному використання паролів – можливо, раніше скомпрометованих.

§ Обмеження числа спроб введення пароля. Відповідний механізм ускладнює інтерактивний підбір паролів.

§ Примусова зміна пароля при першому вході користувача в систему. У випадку якщо первинну генерацію паролів для всіх користувач здійснює адміністратор, користувачу може бути запропоновано змінити первинний пароль при першому ж вході в систему – в цьому випадку новий пароль не буде відомий адміністратору.

§ Затримка при введенні неправильного пароля. Механізм перешкоджає інтерактивному підбору паролів.

§ Заборона вибору пароля користувачем і автоматична генерація пароля. Даний механізм дозволяє гарантувати стійкість згенерованих паролів, проте варто усвідомлювати, що в цьому випадку у користувачів можуть виникнути проблеми із запам'ятовуванням паролів.