Парольные системы аутентификации

Наиболее распространенными на данный момент являются парольные системы аутентификации. Определим ряд понятий, использующихся при описании подобных систем.

Идентификатор пользователя — уникальная информация, позволяющая различить отдельных пользователей парольной системы (провести идентификацию). Это может быть имя учетной записи пользователя в системе или специально генерируемые уникальные числовые идентификаторы.

Пароль пользователя — секретная информация, известная только пользователю (и возможно, системе), которая используется для прохождения аутентификации. В зависимости от реализации системы пароль может быть одноразовым или многоразовым. При прочих равных условиях системы с одноразовыми паролями являются более надежными. В них исключаются некоторые риски, связанные с перехватом паролей. Пароль действителен только на одну сессию и, если легальный пользователь его уже задействовал, нарушитель не сможет такой пароль повторно использовать. Но системы с многоразовыми паролями (в них пароль может быть использован многократно) проще реализовать и дешевле поддерживать, поэтому они более распространены.

Учетная запись пользователя — совокупность идентификатора, пароля и, возможно, дополнительной информации, служащей для описания пользователя. Учетные записи хранятся в базе данных парольной системы.

Парольная система — это программный или программноаппаратный комплекс, реализующий функции идентификации и аутентификации пользователей компьютерной системы путем проверки паролей. В отдельных случаях подобная система может выполнять дополнительные функции, такие как генерация и распределение криптографических ключей и т.д. Как правило, парольная система включает в себя интерфейс пользователя, интерфейс администратора, базу учетных записей, модули сопряжения с другими компонентами подсистемы безопасности (подсистемой разграничения доступа, регистрации событий и т.д.).

Рассмотрим некоторые рекомендации по администрированию парольной системы, использующей многоразовые пароли.

  • 1. Задание минимальной длины используемых в системе паролей. Это усложняет атаку из-за необходимости подбора паролей. Как правило, рекомендуют устанавливать минимальную длину в 6—8 символов.
  • 2. Установка требования использовать в пароле разные группы символов — большие и маленькие буквы, цифры, специальные символы. Это также усложняет подбор.
  • 3. Периодическая проверка администраторами безопасности качества используемых паролей путем имитации атак, таких как подбор паролей «по словарю» (т.е. проверка на использование в качестве пароля слов естественного языка и простых комбинаций символов, таких как 1234).
  • 4. Установление максимального и минимального сроков жизни пароля, использование механизма принудительной смены старых паролей. При внедрении этих мер надо учитывать, что при невысокой квалификации пользователей от администратора потребуются дополнительные усилия по разъяснению пользователям того, что от них требует система.
  • 5. Ограничение числа неудачных попыток ввода пароля (блокирование учетной записи после заданного числа неудачных попыток войти в систему). Данная мера позволяет защититься от атак путем подбора паролей. Но при необдуманном внедрении также может привести к дополнительным проблемам: легальные пользователи из-за ошибок ввода паролей по невнимательности могут блокировать свои учетные записи, что потребует от администратора дополнительных усилий.
  • 6. Ведение журнала истории паролей, чтобы пользователи после принудительной смены пароля не могли вновь выбрать себе старый, возможно, скомпрометированный пароль.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >