Методические указания для проведения лабораторной работы №1 по дисциплине «Информационная безопасность автоматизированных систем»



бет1/3
Дата30.09.2023
өлшемі78,13 Kb.
#111892
түріМетодические указания
  1   2   3
Байланысты:
LR1


Министерство образования и науки Российской Федерации
федеральное государственное автономное образовательное учреждение
высшего образования
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ
ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»


Аутентификация. Количественная оценка стойкости парольной защиты

Методические указания для проведения


лабораторной работы № 1 по дисциплине
«Информационная безопасность автоматизированных систем».

Томск – 2022


Цель работы: изучить метод количественной оценки стойкости парольной защиты и программно реализовать простейший генератор паролей, обладающий требуемой стойкостью к взлому.

Теоретические сведения


Подсистемы идентификации и аутентификации пользователя играют важную роль в системах защиты информации (СЗИ). Стойкость подсистемы аутентификации пользователя в СЗИ во многом определяет устойчивость к взлому самой СЗИ. Аутентификация (от греч. «реальный, подлинный») в широком смысле ­представляет собой процедуру проверки подлинности. Различные методы аутентификации необходимы, фактически, во всех системах ограничения и разграничения доступа к данным – как распределенных, так и предназначенных для защиты отдельного компьютера.


Парольные системы аутентификации являются одними из ос­новных и наиболее распространенных в СЗИ методами пользовательской аутен­тификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользова­телю.
В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству – простоте использования.
Однако парольная аутентификация имеет множество недостатков:

  1. В отличие от случайно формируемых криптографических ключей (которые, например, может содержать уникальный предмет, используемый для аутентификации), пароль пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства пользователей к его формированию. Часто встречаются случаи выбора пользователями легко предугадываемых паролей, например:

  • пароль эквивалентен идентификатору (имени) пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т.д.);

  • паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки» - перебора всех слов согласно словарю, содержащему все слова и общеупотребительные фразы используемого языка;

  • достаточно часто пользователи применяют короткие пароли, которые взламываются методом «грубой силы», т.е. простым перебором всех возможных вариантов.

  1. Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств.

  2. Пароль может быть получен путем применения насилия к его владельцу.

  3. Пароль может быть подсмотрен или перехвачен при вводе.

Методы парольной аутентификации пользователя наиболее про­сты и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми.
Основными минимальными требованиями к выбору пароля и к подсистеме парольной аутентификации пользователя являются следующие.
К паролю:
1) минимальная длина пароля должна быть не менее 6 символов;
2) пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.);
3) не должны использоваться реальные слова, имена, фа­милии и т.д.
К подсистеме парольной аутентификации:
1) администратор СЗИ должен устанавливать максимальный срок действия пароля, после чего, пароль следует сменить;
2) в подсистеме парольной аутентификации необходимо установить огра­ничение числа попыток ввода пароля (как правило, не более трёх);
3) в подсистеме парольной аутентификации требуется установить вре­менную задержку в случае ввода неправильного пароля.
Как правило, для генерирования паролей в СЗИ, удовлетворяющих перечис­ленным требованиям, используются программы-гене­раторы паролей пользователей.




Достарыңызбен бөлісу:
  1   2   3




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет