Работа 1.2. Парольная защита: характеристики и анализ стойкости

Цель работы. Целью работы является изучение характеристик парольных систем защиты, приобретение и закрепление на практике навыков по определению стойкости парольных систем, а также получение практических навыков по работе с парольными системами.

Порядок выполнения работы.

1. Изучить теоретическую часть

2. Выполнить задания в соответствии с заданным вариантом и отразить результате в отчете

3.  Представить отчет на проверку преподавателю. Отчет должен содержать номера пунктов работы, их наименование и (в правой колонке) результат выполнения каждого пункта.

Теоретическая часть

 

Вопросы защиты информации в компьютерных системах стояли на протяжении всей истории развития компьютерной техники. Особое значение они приобрели с превращением компьютера в личное средство связи и развитием компьютерных сетей. Доступ к любой информации в компьютерной системе и информации в ней может быть:

· санкционированным (официально разрешенным);

· несанкционированным (незаконным).

Под несанкционированным доступом к информации (НСД) согласно руководящим документам Гостехкомиссии (Федеральной службы по техническому и экспортному контролю) принято понимать доступ к информации, нарушающий установленные правила разграничения доступа и осуществляемый с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системой (АС).

НСД может носить случайный или намеренный характер. Можно выделить несколько обобщенных категорий методов защиты от НСД, в частности:

- организационные;

- технологические;

- правовые.

В данной работе основное внимание уделено именно технологическому методу защиты, а конкретнее – защите на основе паролей, которая является наиболее распространенным видом защиты компьютерной информации. При реализации парольной защиты вход в систему, запуск приложения, запрос на доступ к данным и т.д. сопровождается запросом пароля и последующей его проверкой на достоверность.

  Пароль пользователя - некоторое секретное количество информации (слово), известное только пользователю и парольной системе. Пароль представляет собой последовательность символов некоторого алфавита и специальных знаков. Последовательность должна удовлетворять определенным требованиям, некоторые из которых являются предметом изучения в данной работе.

Под парольной системой принято понимать программно-аппаратный комплекс, реализующий процедуру идентификации пользователей в компьютерной системе на основе одноразовых или многоразовых паролей. Обычно такой комплекс интегрирован с подсистемами разграничения доступа и регистрации событий.

Парольная система защиты является основным и наиболее часто используемым средством защиты персональной информации в различных компьютерных системах и сетях и, именно поэтому, от стойкости парольной системы защиты зависит обеспечение конфиденциальности информации пользователя.

Критерии стойкости пароля:

· пароль не должен быть коротким, поскольку это упрощает его подбор. Рекомендуемая минимальная длина - восемь символов;

· пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю;

· пароль не должен состоять только из общедоступной информации о пользователе (имя, фамилия, год рождения, имена и года рождения родственников и т.д.).

Существует множество реализаций парольных систем, в структуре которых можно выделить несколько наиболее важных компонентов:

· интерфейс пользователя;

· интерфейс администратора;

· база учетных записей пользователей;

· модуль сопряжения с другими подсистемами безопасности.

Потенциальные угрозы, направленны на каждый из элементов парольной системы защиты, однако, основные важным аспектом является защита базы учетных записей, которая содержит идентификаторы пользователей (имена) и их пароли. Завладев и раскрыв эту базу, злоумышленник сможет зарегистрироваться в системе от имени любого пользователя и выполнить любые доступные данному пользователю действия.

В большинстве систем пользователи имеют возможность самостоятельно формировать пароли, хотя в некоторых они получают их от администраторов. При этом для увеличения надежности формируемых пользователями паролей в информационных системах реализуется ряд требований, среди которых выделим следующие:

1. Установление минимальной длины пароля (не менее заданного системой числа символов).

2. Использование в пароле различных групп символов.

3. Установление максимального срока действия пароля.

4. Ограничение числа попыток ввода пароля.

5. Поддержка режима принудительной смены пароля пользователя.

6. Использование задержки при вводе неправильного пароля.

7. Запрет на выбор пароля самими пользователями и автоматическая генерация паролей (для особо важных случаев).

8. Принудительная смена пароля при первой регистрации пользователя в системе.

А также  ряд других, которые для пользователя порой даже не видны.

Злоумышленник может реализовывать угрозы парольной системы защиты в двух режимах – интерактивном, т.е. с применением штатных средств парольной системы (интерфейса пользователя), и неинтерактивном (например, он может применить программу для определения паролей в этой базе). Наиболее опасным является неинтерактивный вариант, т.к. злоумышленник может с большой скоростью «подбирать» пароли.

Для численной оценки параметров парольной системы защиты используются следующие показатели:

A - мощность алфавита паролей, т. е. то множество знаков, которое может применяться при вводе пароля.

L - длина пароля (в знаках). Может изменяться для обеспечения заданной стойкости парольной системы.

S - мощность пространства паролей, т. е. множество всех возможных паролей в системе.

Мощность пространства паролей связана с мощностью алфавита паролей и длиной паролей следующим выражением:

 

S=A^L

 

V - скорость подбора пароля (соответственно различают скорость подбора пароля для интерактивного (1-2 паролей / минуту) и неинтерактивного (10 и более паролей / секунду) подбора паролей).

T - срок действия (жизни) пароля (обычно задается в днях).

P - вероятность подбора пароля в течение срока его действия.

Вероятность подбора пароля можно определить следующим образом:

 

P=(V*T)/S

 

В конкретной ситуации задают некоторые желательные значения для одних параметров (например, очень маленькое значение вероятности подбора пароля) и высчитывают остальные параметры.

Очевидно, что с увеличением длины пароля и/или мощности алфавита паролей вероятность подбора пароля уменьшается. А при увеличении срока жизни пароля, вероятность его подбора увеличивается.

    К сожалению, на практике, достаточно часто пользователи не задумываются над вопросом сложности задаваемого ими пароля. Интересные данные, подтверждающие этот факт, получены в результате исследования базы учетных записей одной отечественной социальной сети [1] и представлены в таблице 1.2.1.

Таблица 1.2.1.

Всего исследовано паролей	83524 (100%)
Доля паролей состоящих только из цифр	20,8%
Доля паролей состоящих только из букв	46,3%
Доля паролей состоящих только из букв и цифр	32,9%
Доля паролей состоящих только из русских букв	18,6%
Доля паролей состоящих из латинских букв	21,1%
Доля паролей состоящих русских и латинских букв	6,6%

 

До выполнения работы рассмотрим на примерах решения типовых задач, позволяющих получить важные для пользователя параметры используемого им пароля.

 

Пример 1.

Задание: определить время перебора всех паролей, состоящих из 6 цифр.

Решение:

Алфавит составляют цифры (A=10).

Длина пароля 6 символов (L=6).

Таким образом, получаем количество вариантов: S=A^L=10⁶  (паролей).

Примем скорость перебора паролей V=10 паролей/секунду.

Получаем время перебора всех паролей:

T = S / V = 10⁵ секунд =~1667минут =~28часов =~1,2 дня.

Если после каждого из  m=3  неправильно введённых паролей ввести паузу в v=5 секунд.

Получаем продолжительность всех пауз при переборе всех паролей:

T_пауза = (S * v) / m = (10⁶ * 5) / 3 = 1666667 секунд =~27778 минут =~463 часа =~19,3 дня.

Т_итог = T + T_пауза = 1,2 + 19,3 = 20,5 дня

Таким образом, за счет введения пауз при неправильном вводе пароля можно существенно увеличить время интерактивного подбора пароля.

 

Пример 2.

Задание: Определить минимальную длину пароля, алфавит которого состоит из 10 символов, время перебора которого было бы не меньше 10 лет.

Решение:

Алфавит составляют символы A = 10.

Длина пароля рассчитывается: L = log_A S = lg S.

Определим количество вариантов:

S = T * V = 10лет * 10паролей/сек. = 10 * 365 * 24 * 60 * 60 * 10 =~3,15 * 10⁹ вариантов

Таким образом, получаем длину пароля:

L=lg (3,15*10⁹) = 9,5

Следовательно, что длина пароля должна быть не менее 10 символов.

 

Практическая часть

Подготовка к работе.

· Создайте файл отчета в Word по образцу, приведённому в приложении 1, и заполните его шапку.

ПРИМЕЧАНИЕ. Ваша фамилия (с инициалами) должна являться именем файла отчета.

· Получите номер варианта из табл. 1.2.2 и занесите его в отчет. Далее все задания выполняются согласно номеру варианта.

1. Задание №1. В номерах многих отелей имеется сейф с доступом по паролю из четырех десятичных цифр. Предполагая, что скорость ручного перебора составляет четыре пароля в минуту и отсутствует задержка после ввода неправильного пароля определите время перебора всех возможных  паролей.

2. Задание №2.

2.1. Скопируйте в файл отчёта данные Вашего варианта из таблицы 1.2.2 (строку).

2.2. Определите время перебора всех паролей (T ₁, T ₂) со следующими параметрами:

· алфавит состоит из A символов;

· длина пароля символов L ₁ и L₂;

· скорость перебора V паролей в секунду.

После каждого из m неправильно введённых паролей идёт пауза в v секунд.

Ход решения занесите в отчет.

2.3. Занесите полученные данные в таблицу.

2.4. Сравните полученные в п. 2.2 результаты для L₁ и L₂ сделайте вывод. Оцените, как параметры m и v влияют на возможность подбора пароля.

2.5. Сделанный вывод и оценки занесите в отчёт.

 

Таблица  1.2.2

Вариант	A	L 1	L 2	V	m	v	T 1(дней)	T 2(дней)
1	10	6	3	10	3	5
2	2	6	3	10	3	5
3	8	6	3	10	3	5
4	16	6	3	10	3	5
5	10	4	6	10	3	5
6	2	4	6	10	3	5
7	8	4	6	10	3	5
8	16	4	6	10	3	5
9	2	3	6	1	5	3
10	8	3	6	1	5	3
11	10	3	6	1	5	3
12	16	3	6	1	5	3
13	100	3	6	1	5	3
14	20	4	6	1	4	3
15	30	4	6	1	4	3
16	50	3	6	1	4	3
17	10	2	4	1	3	4
18	20	2	4	1	3	4
19	30	2	4	1	3	4
20	40	2	4	1	3	4
21	10	4	2	1	1	1
22	10	4	6	1	3	1
23	30	4	6	1	3	1
24	40	4	6	2	1	3
25	10	8	4	2	1	3
26	10	6	3	10	3	5
27	2	6	3	10	3	5
28	8	6	3	10	3	5
29	16	6	3	10	3	5
30	10	4	6	10	3	5

 

3.   Задание №3.

3.1. Скопируйте в файл отчёта данные Вашего варианта из таблицы 1.2.3 (строку).

3.2. Определите минимальную длину пароля (L), алфавит которого состоит из A₁ и A₂ символов, время перебора которого было не меньше T лет.

Скорость перебора V паролей в секунду.

Ход решения занесите в отчет.

 

ПРИМЕЧАНИЕ: для вычисления логарифма с произвольным основанием используйте систему umath.ru по адресу http://umath.ru/calc/vychislenie-logarifma-chisla-onlajn/

 

3.3. Сравните полученные в п. 3.2 результаты для A₁ и A₂ сделайте вывод. Сделанный вывод занесите в отчет.

Таблица №1.2.3

Вариант	A 1	A 2	T (лет)	V	L 1	L 2
1	10	5	1	10
2	8	4	1	10
3	10	4	1	10
4	10	2	1	10
5	8	2	1	10
6	16	8	2	10
7	16	4	2	10
8	16	10	2	10
9	10	8	2	10
10	5	10	3	2
11	4	8	1	2
12	4	10	2	2
13	2	10	3	2
14	2	8	2	2
15	8	10	1	2
16	8	16	1	2
17	4	16	2	2
18	20	2	1	2
19	30	4	1	2
20	10	30	1	2
21	10	16	1	1
22	10	2	1	2
23	20	4	2	10
24	8	16	2	4
25	4	8	3	10
26	10	5	1	10
27	8	4	1	10
28	10	4	1	10
29	10	2	1	10
30	8	2	1	10

 

 

4. Сохраните отчет и представьте оформленный отчет по выполненной работе преподавателю на проверку.

 

 

Контрольные вопросы

1. Что такое несанкционированный доступ?

2. Что такое парольная система и каковы ее основные компоненты?

3. Перечислите основные численные характеристики парольных систем защиты и их взаимосвязь между собой.

4. Какова зависимость между вероятностью подбора пароля и мощностью алфавита паролей при прочих равных характеристиках?

5. Перечислите особенности реализации парольных систем защиты, которые позволяют увеличить время подбора пароля методом тотального перебора.

6. Приведите примеры неудачных паролей и поясните, почему это так.

7. Как связаны мощность алфавита паролей и мощность пространства паролей?

 

Раздел 2. Технические средства информационных систем