Пароли и ключи доступа к системе и файлам

Пароль – секретная строка символов, предъявляемая пользователем компьютерной системе для получения доступа к данным и программам

Пароль является средством защиты данных от несанкционированного доступа. В многопользовательской системе применяется для авторизации пользователя при получении доступа в сеть организации, Интернет, к конкретному компьютеру, диску, папке с файлами, почтовому ящику. Пароли можно установить на запуск программы, отдельные действия на компьютере или в сети. Слово «пароль» с французского переводится просто как «слово», а программы запрашивают по-английски «password» (буквально — слово-пропуск).

Пароль доступа к информации может быть символьный, цифровой или размещенный в смарт-карте, электронном ключе. Идеальным является пароль, который нельзя угадать. На практике большинство людей выбирают пароли, которые легко запомнить и, как следствие, легко угадать или подобрать взломщику, что позволяет открыть информацию без разрешения.

Есть близкое к паролю, но не полностью совпадающее понятие – ключ. Иногда ключ равен паролю. Но паролем часто является слоив или фраза, выбранные такими, чтобы их было легче запомнить, но этому символы пароля менее случайны, чем допускает его длина. Ключ – обычно случайный набор символов, который порождается из парольной фразы. Например, английская фраза из 20 букв эквивалентна по случайности ключу длиной не (20×8) = 160 бит, а примерно (20×2) = 40 бит.

Специальные криптографические программы выполняют хэширование (перемешивание), преобразуя длинную парольную фразу в менее длинный ключ случайного набора цифр. Этот ключ и используется для шифрования.

Ключ шифрования — совокупность символов, используемая для «засекречивания данных, алгоритм обрабатывает символы ключа вместе с открытым текстом и выдает зашифрованный текст или обрабатывает вместе с зашифрованным текстом, после чего выдает открытый текст. Чтобы противостоять подбору, возможные ключи должны иметь равную вероятность. Если применение некоторых ключей более вероятно, то их легче подобрать для расшифровки.

Офисные программы паролем защищают документ от чтения, от внесения изменений (от записи). При открытии пароль вводится один раз. Пароль от записи позволяет открыть файл без пароля в режиме «только для чтения»: внести изменения можно, но сохранить их удастся только в файле с новым именем или в другой папке.

Программы архивирования для Windows (WinZip, WinRar и др.) позволяют в окне программы при сжатии файлов в архивный файл вводить пароль защиты, который потребуется для разархивирования.

Пароли архиваторов не считаются сильной защитой, так как существуют программы подбора «забытых» паролей, к тому же разработчик программы может предусмотреть способ открывать архив без пароля.

Рекомендации по выбору пароля. Выбор пароля играет важную роль в защите от злоумышленников, поскольку большинство попыток проникновения в систему связано с подбором пароля. Взломщик, проникнув в систему, может удалить или модифицировать файлы не только пользователя, поставившего слабый пароль, но и других пользователей, которые не проявляли опасной небрежности. Хороший пароль должен продумываться тщательно, поскольку он минимизирует риск нарушения защиты информации в организации, фирме со стороны преступников и конкурентов.

Нельзя для пароля всего лишь модифицировать идентификатор-логин доступа: например, повторять несколько раз имя пользователя, записывать его символы в обратном порядке, перестановкой, сменой регистра букв и т.п. Нельзя брать буквы или цифры в последовательном порядке (cde345), добавлять числа к началу и концу слов (roman23), использовать свои инициалы до и после чисел (vk2003).

Нельзя использовать имена собственные (фамилии, имена персонажей популярных мульт- и кинофильмов, книг, номера автомобилей, паспортов, телефонов, страховых полисов; названия известных продуктов и фирм, улиц, городов, стран) вне зависимости от регистра используемых символов. Фраза в качестве пароля лучше, чем слово, но злоумышленник может поручить компьютеру перебрать словарь известных цитат.

Чем длиннее пароль, тем труднее его взломать, тем большую безопасность он обеспечивает (в выбранном алгоритме шифрования). Десять символов — рекомендуемая минимальная длина пароля на вход я систему. Пароль менее 10 символов считается несильным, менее 8 символов - слабым. Длиннее 12-14 символов задавать пароли иногда не имеет смысла, поскольку многие системы отбрасывают лишние для них символы. Нельзя использовать в качестве пароля одно слово Хороший и простой для запоминания пароль — три слова, пусть даже сокращенных. Полезно вставлять помимо букв цифры и символы в произвольных позициях пароля, использовать оба регистра букв, если система пароля различает ПРОПИСНЫЕ и строчные буквы. Пароль нужен такой, чтобы пользователь его легче запомнил, а посторонний труднее угадал. Например, фраза «Я и Она 5 октября 2006 свадьба» может дать YaiOna5okt06sv.

Надежные пароли случайного набора символов, например MYxND34mN, предлагают программы — генераторы паролей. Для генерации ключей желательно выбирать максимальный размер ключа в программах Windows длиной 4096 бит (это 212) и более.

Запрещено использовать одинаковые пароли для разных систем, например для почты (набор легко перехватить) и доступа в сеть.

Хранение пароля. Пользователь после первой регистрации в системе имеет право изменить пароль, предоставленный ему администратором и в дальнейшем самостоятельно следить за сменой пароля с периодичностью один–три месяца. Системный администратор периодически должен менять пароли, а серьезные пароли — обязательно после увольнения сотрудников, которые могли их знать.

Пользователи не должны записывать пароли где попало. Взломщик без проблем обнаружит бумагу с паролем, приклеенную к монитору или клавиатуре. Если пользователю необходимо записывать пароль, системный администратор должен добиться, чтобы запись хранилась в бумажнике, вместе с документами. Нельзя записывать на одном листе бумаги и регистрационное имя, и пароль.

Не рекомендуется вводить пароль при посторонних, злоумышленник может определить пароль по движениям пальцев на клавиатуре. После посещения другой организации, где приходилось регистрироваться для связи и входа в свою систему, следует изменить свой пароль.

Ни по отечественному, ни по международному законодательству пользователь не обязан сообщать кому бы то ни было свой пароль входа в систему ни при каких обстоятельствах. Известны случаи взлома систем, когда злоумышленник по электронной почте запрашивал пароль пользователя, представляясь ему системным администратором. На самом деле администратору пароли пользователей не нужны, поскольку он обладает полным доступом к системным ресурсам, В том числе и конкретного пользователя.

Программы подбора паролей

Есть несколько способов найти пароль с помощью программ: извлечение пароля, подбор перебором символов, подбор перебором слов, регистрация нажатий клавиш клавиатуры. Слабые системы защиты (или ошибки) позволяют извлекать пароль без разгадывания, то есть время на поиск пароля не зависит от сложности пароля. В настоящее время для проникновения в систему или открытия зашифрованного файла применяются программы подбора паролей. Время поиска паролей зависит от длины пароля L и количества символов S по формуле числа вариантов пароля SL. Если компьютерная система отличает строчные буквы от прописных, время подбора увеличивается в пароле из L букв в 2L раз, то есть число вариантов пароля растет не прямо пропорционально увеличению длины пароля, а намного быстрее.

На мощных ЭВМ технология подбора позволяет в секунду обработать десятки миллионов комбинаций шифрования. За секунду будет взломан ключ шифрования длиной 26 бит. Час потребуется на взлом ключа в 38 бит, четыре часа — ключа в 40 бит, ключ 48-битный потребует месяц, а 56-битный (полный DES) — около 30 лет. Алгоритм шифрования 128 бит безопасен при нынешней и ожидаемой технологии.

Поиск пароля перебором по символам — так называемая силовая атака, последовательный перебор, когда специальная программа перебирает варианты написания пароля по заданному списку символов. Список символов задается заранее: буквы английские строчные, или прописные, или русские, или цифры, или знаки препинания, или сочетание перечисленного. Можно уточнить шаблон перебора: не менее трех, не более четырех символов, задать известную часть пароля. Метод требует много времени, чтобы найти даже не очень длинный пароль: силовая атака не поможет взломать 10-символьный пароль, даже если все буквы пароля одного регистра. Поиск может выполняться в фоновом режиме, коuда компьютер попутно решает другие задачи. Достигнутый промежуточный вариант можно сохранить в файле, чтобы с него продолжить поиск в следующий раз. Иногда поиск распределяют по нескольким компьютерам, чтобы увеличить скорость.

Программы подбора паролей существуют для открытия защищенных файлов документов Microsoft Word, Excel, Access, архивов arj, zip, rar, для доступа к ящикам электронной почты и др.

Поиск пароля перебором по словарю — перебор вариантов написании пароля по «осмысленным» словам, которые мог применить владелец пароля, чтобы легче его запомнить. Используются словари, которые представляют собой список слов, используемых на практике в качестве паролей. Если прямой перебор пробует все, в том числе бессмысленные, комбинации символов, такие, как jchszwd, то интеллектуальный подбор пароля требует более-менее «человеческие» слова, Программа подбора подставляет не отдельные символы, а целые слова из файла словаря для подбора пароля, подбор идет быстрее. Подобный алгоритм называют «интеллектуальной силовой атакой» и при скорости поиска 100 000 паролей в секунду для пароля длиной 10 строчных английских букв выполняется за несколько дней или даже часов (исключая пароли с низкой вероятностью) вместо 45 лет, которые потребовались бы при прямом переборе.

Коллекции слов для словарей паролей собирают администраторы электронной почты на веб-сайтах по паролям обращающихся клиентов, обычно это имена, фамилии, географические названия, деятели шоу-бизнеса, фирмы, кинофильмы, профессиональные термины, жаргон, слова с орфографическими ошибками. Существуют частотные словари популярных слов с указанием частоты их употребления

К словам словаря программа подбора применяет правила видоизменения и порождает дополнительные пароли: меняет регистр букв, слова и порядок следования на обратный; приписывает цифру в начало и конец слова; изменяет буквы на близкие по начертанию цифры (например, слово password трансформируется в pa55w0rd). Иногда применяют транслитерированные слова, то есть русские слова, записанные английскими буквами.

Поскольку обычные словари естественных человеческих языков состоят всего из нескольких сотен тысяч слов, а скорость подбора паролей достаточно высока, парольные взломщики с поиском по словарю работают быстро (до одной минуты).

Программы отслеживания клавиатурных нажатий, установленные на компьютере, позволяют среди прочего фиксировать и пароли доступа к сетевым ресурсам, почте, базам данных и др. Не рекомендуется ставить пароль на доступ к компьютеру с помощью программы Setup из настройки BIOS загрузки компьютера. Забытый пароль Setup специалист снимет отключением батарейки
BIOS.

 

10. Электронная подпись.

Электронная подпись

Шифрование защищает информацию от чтения, делает ее секретной но не гарантирует неизменность. Целостность сообщения, контроль целостности выполняет электронная подпись.

Электронная подпись ставится с помощью применения так называемой хеш-функции, которая преобразует исходное послание любой длины в строку символов ограниченной длины — создается так называемый дайджест послания. Например, получается запись длиной 16 байт. По дайджесту послания нельзя восстановить исходное сообщение (хеширование, в отличие от шифрования, одностороннее, необратимое преобразование), но можно его однозначно идентифицировать. Если по сообщению можно получить заданную подпись (дайджест), значит, оно не менялось.

Автор сообщения с помощью программы применяет хеш-функцию и создает код дайджеста. Используя свой личный ключ, он зашифровывает дайджест, который и становится аналогом подписи документа. Далее открытый текст послания и цифровая подпись отправляются получателю, который выполняет аутентификацию: расшифровывает подпись открытым ключом, полученным от автора, и убеждается, что письмо действительно от него. Но кроме этого получатель, используя хеш-функцию, сам получает из послания дайджест, код которого сравнивает с кодом восстановленного дайджеста и убеждается, что текст послания не был изменен на этапе доставки.

Таким образом, электронная подпись — метод идентификации отправителя или автора подписи и средство подтверждения, что содержание документа не было изменено. Электронная подпись может быть поставлена как в зашифрованном, так и в открытом послании: в сообщениях, файлах и других цифровых объектах. Электронная подпись увязывает в одно целое содержание документа и закрытый (секретный) ключ формирования подписи, нельзя изменить документ без нарушения целостности подписи. Электронная подпись защищает от изменения (подлога) документа при перехвате нарушителем системы, от маскарада – документ создал и послал вовсе не тот абонент, обеспечивает невозможность отрицания авторства документа («я этого не посылал»), нанизывания авторства («вот ваше обещание», а письмо-обещание поддельное).

Соответствующие правовые понятия и условия использования электронной подписи в электронных документах, при соблюдении которых она признается равнозначной собственноручной подписи в документе на бумажном носителе, определил Закон «Об электронной подписи» (от 6 апреля 2011 г. № 63-ФЗ).

1) Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) сертификат ключа проверки электронной подписи – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

3) квалифицированный сертификат ключа проверки электронной подписи – сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи;

4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;

5) ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

6) ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

В законе различаются простая электронная подпись, неквалифицированная электронная подпись и квалифицированная электронная подпись.

За рубежом электронные подписи введены в практику фирм для ускорения деловых операций через Интернет. Хотя англо-американская и ирландская юридическая традиция не требует подписывать документ, «Чтобы сделать контракт юридически обязывающим, но с 2001 г. цифровая подпись официально признана в США. Европейская комиссия признала за электронными подписями ту же юридическую силу, что и за подписями, сделанными на бумаге, и рекомендовала всем странам, входящим в ЕС, принять соответствующие национальные законы. Под контрактами допускается ставить не только цифровую, но и графическую рисуночную подпись, хранящуюся в компьютере как файл изображения, и пересылать контракты по электронной почте.

В Италии по «закону Бассанини» (1997) подразделения информационных технологий в государственных органах заключают соглашения со всеми учреждениями объединенной сети об электронной записи в файлы налоговых деклараций и других документов с использованием пары асимметричных ключей (секретного и открытого). Закон распространяется и на обмен документами между частными сторонами. В Германии аналогичный федеральный закон о сервисных службах в области информации и связи уточняет авторские права применительно ь мультимедиа и регулирует защиту авторских прав на базы данных.