Парольные методы защиты информации в компьютерных системах от несанкционированного доступа
Реферат - Компьютеры, программирование
Другие рефераты по предмету Компьютеры, программирование
°ктовать, как изменение ПРД к ресурсам пользователем не администратором безопасности, что противоречит формальным требованиям к системе защиты).
В общем же случае механизмы биометрической идентификации пользователя (естественно, при их корректной реализации) предотвращают возможность какой-либо передачи парольной информации между пользователями. А это достаточно важно при реализации централизованной (без участия пользователя) схемы администрирования механизмов защиты. В этом и заключается несомненное достоинство данных подходов парольной защиты по сравнению с применением внешних аппаратных носителей парольных данных (всевозможных ключей, смарт-карт и т.д.). Другими словами, корректно в общем случае концепция централизованного администрирования системы защиты может быть реализована с применением биометрических систем контроля доступа.
Достоинством же применения внешних аппаратных, носителей парольных данных является большая универсальность в смысле возможности хранения учетных данных. То есть на них может храниться не только информация, идентифицирующая пользователя, но и ключи шифрования, а также иные данные.
Основные способы усиления
парольной защиты, используемые
в современных ОС и приложениях.
Классификация основных способов усиления пароля, используемых в современных ОС и в приложениях:
Все они призваны воспрепятствовать подбору пароля злоумышленником.
Анализ способов усиления парольной защиты.
Проиллюстрируем цели применения рассматриваемых способов усиления пароля.
Пусть А - исходный алфавит для задания пароля (некоторое число символов, включая их типы, для назначения пароля), а L -длина пароля. В этих предположениях число возможных парольных комбинаций составит:
R = f (A,L).
Обозначим вероятность подбора злоумышленником пароля с одной попытки Р1 (в предположении, что все парольные комбинации равновероятны: Р1 = 1/ R). Если для подбора пароля злоумышленником совершается n попыток в единицу времени то за интервал времени T (число единиц времени), вероятность подбора пароля злоумышленником будет описываться следующей зависимостью:
P = F (A, L, P1, n(t), T).
Теперь, в соответствии с полученной зависимостью, рассмотрим, какие способы усиления пароля (рисунок выше) на какой параметр призваны влиять.
Применение способов усиления пароля, посредством задания дополнительных требований к параметрам пароля в соответствии с зависимостью R = f (А, L) призваны увеличить число возможных парольных комбинаций.
Ограничения на число типов символов в пароле, возможность задания простых паролей, и на повторяемость паролей задаются с
целью уменьшения параметра Р1, то есть с целью, по возможности, обеспечить равновероятность для злоумышленника всех исходных парольных комбинаций.
Ограничение на число неверно введенных значений пароля реализует возможность совершить пользователю только заданное число N попыток подбора пароля. В случае превышения этого количества может либо блокироваться учетная запись данного пользователя, либо блокироваться защищаемый объект в целом.
Данное ограничение является одним из важнейших, т.к. оно призвано противодействовать возможности автоматического подбора паролей. В этом случае число попыток подбора злоумышленником жестко фиксировано параметром N и исходная зависимость для вероятности подбора пароля злоумышленником принимает следующий вид:
Р = Р (А, L, Р1, N).
Данное ограничение можно рассматривать как альтернативу применению способов усиления пароля, основанных на дополнительных требованиях к параметрам пароля в соответствии с зависимостью R = f (A, L). То есть, уменьшая параметр N, тем самым можно снижать требования к параметру L. А ЭТО, как отмечали ранее, крайне важно при использовании механизма парольной защиты, предполагающего ввод пароля с клавиатуры.
Очевидно, что без использования данного ограничения с учетом больших темпов роста производительности компьютеров, приводящего к заметному увеличению параметра n(t), без применения данного ограничения соответственно возрастают требования к параметрам А, L.
Ранее было отмечено, что в основе проектирования системы защиты должен лежать системный подход. В рамках этого подхода при проектировании механизмов парольной защиты необходимо учитывать наличие других механизмов в системе защиты.
Так, если в системе защиты обеспечена замкнутость программной среды, которая не позволит пользователю запустить программу подбора паролей, т.е. реализовать автоматический способ подбора, то не столь актуальным становится и реализация ограничения на число неверно введенных значений пароля. Действительно, в этом случае параметр n(t) уже имеет значение: 1 попытка за 5...15 с. (определяется скоростью ручного ввода пароля пользователем), что не позволит сколько-нибудь эффективно противодействовать парольной защите.
С учетом сказанного может быть сделан следующий важный вывод: существуют альтернативные подходы к усилению пароля с целью преодоления возможности его подбора. Наиболее эффективным из них можно признать Ограничение на число неверно введенных значений пароля, использование которого п