Панин Д.А.

студент 2-го курса Института прокуратуры и следствия НУ «ОЮА»

Научный руководитель: Толокнов А.А.

НЕКОТОРЫЕ АСПЕКТЫ НАДЕЖНОСТИ ПАРОЛЬНОЙ ЗАЩИТЫ

Механизмы парольной  защиты (ПЗ) широко используются в компьютерных технологиях в целях предотвращения несанкционированного доступа (НСД) при загрузке операционной системы, запуске различных приложений, доступе к информационным ресурсам, входе в компьютерные сети и др. Поэтому оценка надежности ПЗ и разработка практических рекомендаций по ее усилению являются актуальными задачами [5].

Самой распространенным видом защиты является защита при загрузке операционной системы. Согласно международному стандарту ISO/IEC 27001-2005 [4] должна существовать процедура безопасного входа в операционную систему, все пользователи должны иметь уникальный идентификатор для их индивидуального опознавания, система управления паролями должна гарантировать качественные пароли.

Однако исследования, про которые идет речь в статье «Анализ устойчивости к взлому современных механизмов парольной защиты операционных систем» [1], показывают, что было выявлено многочисленное число проблем с использованием данного механизма защиты. Так, в статье указывается, что по информации securitylab в 2008 году 84% случаев взломов систем безопасности компаний и персональных страниц были связаны со слабой парольной защитой. Данную ситуацию можно объяснить низкой компьютерной грамотностью пользователей, а в многочисленных случаях нежеланием запоминать и использовать сложные пароли.

По данным, приведенным в статье «Парольная защита» Владимира Голуба, в 2009 г. самым популярным паролем по-прежнему остается «1234». На втором месте «12345678», на которые приходится 14% взломов. Благодаря подбору только этих двух паролей, хакеры похитили с банковских счетов несколько миллионов долларов. К числу самых популярных паролей относятся «QWERTY» и «AZERTY» (соответствующие клавиши расположены подряд в левой верхней части клавиатуры для англо- и франкоговорящих стран), а также имена детей и их даты рождения.

Анализ вышеизложенного позволяет сделать вывод, что парольная защита является неотъемлемой частью безопасности современного человека. Так, для предотвращения взлома пароля используются рекомендации, которые были составлены опытным путем. К рекомендациям по составлению и защите пароля относятся:

  1. Пароль должен быть секретным: записанный пароль нельзя хранить в местах, доступных неавторизованным лицам, пароль не рекомендуется сохранять в компьютере даже в специальных защищенных файлах.
  2. Пароль должен быть длинным: пароль должен состоять не менее чем из 8 символов.
  3. Пароль должен быть трудно угадываемым.
  4. Пароль не должен представлять собой распространенные слова, имена, названия для защиты от атаки со словарем.
  5. Пароль должен быть сложным, т.е. пароль должен представлять собой случайную комбинацию различных символов для защиты от атаки методом прямого перебора.
  6. Пароль должен регулярно меняться, причем, желательно, чтобы изменения пароля осуществлялись не реже одного раза в 60-90 дней и не по графику, а случайным образом.
  7. Подсказки к паролям не должны использоваться.
  8. Пароль должен немедленно заменяться, если есть подозрения, что он мог быть раскрыт [2].

Рассмотреть уязвимость пароля в зависимости от этих показателей можно, использовав формулу, которая показывает время, необходимое для перебора всех возможных вариантов пароля и называемое временем безопасности пароля. Это время определяется выражением:

Tmax=Mn ∙ t1,

где Tmax– максимальное время подбора пароля.

 M – размер алфавита.

n – количество символов в пароле.

t1 – время, которое затрачивается на проверку одного пароля.

Рассмотрим конкретные случаи составления пароля, используя эту формулу для проверки уязвимости парольной защиты. Для всех случаев возьмем t1 = 10-6, те 0.000001 сек.

Для начала составим пароль, состоящий только из цифр «23409», подставив значения в формулу, получим: M=10, n=5, t1=10-6, тогда
Tmax =0,01 сек. Мы видим, что время, которое будет затрачено программой на подбор пароля, будет равно одной сотой секунде. Можно сделать вывод, что надежность такого пароля очень мала.

Для сравнения полученных результатов воспользуемся буквами латинского алфавита, к примеру «baseball». Подставив значения в нашу формулу, получим: M = 26, n = 8, t1 = 10-6, тогда Tmax ≈ 208827 сек., что составляет ≈ 2,5 дня. Из вышеизложенных вычислений следует, что с изменением размера алфавита, а так же с увеличением количества символов, время безопасности пароля возросло с одной сотой секунды до 2,5 дней, что явно свидетельствует о повышении надежности пароля.

Теперь рассмотрим вариант с комбинированным паролем, который будет состоять, как из букв латинского алфавита, так и из цифр. К примеру: «base2345». Проведем вычисления, где M = 26+10 (суммируем размеры двух алфавитов), n = 8, t1 = 10-6, тогда Tmax ≈ 2821110 сек., что составляет ≈ 32,5 дня. Таким образом, мы видим, что с увеличением размера алфавита, путем комбинирования цифр и букв, безопасность пароля возросла примерно в 13 раз.

Можно сделать вывод, что время необходимое для перебора всех возможных вариантов паролей зависит непосредственно от размера алфавита, а также количества символов в пароле. Также существуют всевозможные комбинации паролей, такие как: комбинирование строчных и заглавных букв алфавита, строчных и заглавных букв алфавита с цифрами, строчные и заглавные буквы алфавитов, цифры, а также знаки препинания. Наиболее надежный по своим составляющим пароль – это пароль, который состоит из всех алфавитно-цифровых символов русифицированной клавиатуры. Его надежность определяется размеров алфавита, который равен 160. Для повышенной надежности следует использовать максимальное количество символов в пароле.

Следует отметить, что использование надежных сложных паролей может создавать определенные сложности. Одной из проблем, затрудняющих использование приведенных правил формирования надежных паролей является сложность запоминания нескольких разных достаточно длинных паролей, сформированных как бессмысленная комбинация букв, цифр и символов. Обычно, если используют такие пароли, то их приходится записывать. Чтобы избежать необходимости записывать сложные пароли, желательно использовать те или иные правила формирования псевдослучайных паролей, которые при этом легко запоминаются. Так, можно использовать фразы из стихотворений, песен, которые преобразуются так, чтобы получилась внешне лишенная смыслового содержания последовательность [3].

Современные технологии и вычислительная мощность дают возможность злоумышленникам без особых трудностей преодолевать систему защиты данных. Таким образом, необходимо говорить о необходимости усиления защиты и контроля персональных данных путем составления усложненных для расшифровки паролей. Из вышеизложенного следует, что к таким способам защиты относятся: увеличение длинны пароля, комбинирование букв, цифр и символов, частая смена пароля, не использовать простых для подбора паролей и т.д. Данные способы защиты данных будет целесообразно применять тем, кто защищает важные данные от взлома, и где время взлома играет большую роль. Если же вы обычный пользователь ПК, то вам будет достаточно следовать базовым правилам защиты своих данных, ведь любой пароль можно взломать, для этого требуется лишь время.

Литература

  1. Анализ устойчивости к взлому современных механизмов парольной защиты операционных систем – Режим доступа: http://igorosa.com/analiz-ustojchivosti-k-vzlomu-sovremennyx-mexanizmov-parolnoj-zashhity-operacionnyx-sistem-nachalo/ – Название с экрана
  2. Голуб В. Парольная защита / Научно-культурологический журнал №17 [197] 01.12.2009 – электронная версия – Режим доступа: http://www.relga.ru/Environ/WebObjects/tgu-www.woa/wa/Main?textid=2516&level1=main&level2=articles – Название с экрана
  3. Даклин Пол. Простые советы по более разумному выбору и использованию паролей / Пол Даклин. – Режим доступа: http://www.infosecurity.ru/_gazeta/content/060525/article01.shtml – название с экрана.
  4. Международный стандарт ISO/IEC 27001:2005E – Режим доступа: http://etr-spektr.com.ua/standarts_download/ISO-IEC_27001-2005.pdf – Название с экрана.
  5. Некоторые аспекты безопасности парольной защиты / С. Л. Емельянов, В. В. Гаращук // Вісник Черкаського державного технологічного університету. – Вип. 2. – 2006. – С. 155-157.
Вы здесь: Home Доклады конференции Список докладов II конференции (2014 г.) Панин Д.А. НЕКОТОРЫЕ АСПЕКТЫ НАДЕЖНОСТИ ПАРОЛЬНОЙ ЗАЩИТЫ