Методические указания для проведения лабораторной работы №1 по дисциплине «Информационная безопасность автоматизированных систем»
жүктеу/скачать 78,13 Kb.
|
LR1 (1)
- Бұл бет үшін навигация:
- ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ» Аутентификация. Количественная оценка стойкости парольной защиты
- Теоретические сведения
|
Министерство образования и науки Российской Федерации федеральное государственное автономное образовательное учреждение высшего образования «НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ» Аутентификация. Количественная оценка стойкости парольной защиты Методические указания для проведения лабораторной работы № 1 по дисциплине «Информационная безопасность автоматизированных систем». Томск – 2022 Цель работы: изучить метод количественной оценки стойкости парольной защиты и программно реализовать простейший генератор паролей, обладающий требуемой стойкостью к взлому. Теоретические сведения Подсистемы идентификации и аутентификации пользователя играют важную роль в системах защиты информации (СЗИ). Стойкость подсистемы аутентификации пользователя в СЗИ во многом определяет устойчивость к взлому самой СЗИ. Аутентификация (от греч. «реальный, подлинный») в широком смысле представляет собой процедуру проверки подлинности. Различные методы аутентификации необходимы, фактически, во всех системах ограничения и разграничения доступа к данным – как распределенных, так и предназначенных для защиты отдельного компьютера. Парольные системы аутентификации являются одними из основных и наиболее распространенных в СЗИ методами пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю. В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству – простоте использования. Однако парольная аутентификация имеет множество недостатков: В отличие от случайно формируемых криптографических ключей (которые, например, может содержать уникальный предмет, используемый для аутентификации), пароль пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства пользователей к его формированию. Часто встречаются случаи выбора пользователями легко предугадываемых паролей, например: пароль эквивалентен идентификатору (имени) пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т.д.); паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки» - перебора всех слов согласно словарю, содержащему все слова и общеупотребительные фразы используемого языка; достаточно часто пользователи применяют короткие пароли, которые взламываются методом «грубой силы», т.е. простым перебором всех возможных вариантов. Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Пароль может быть получен путем применения насилия к его владельцу. Пароль может быть подсмотрен или перехвачен при вводе. Методы парольной аутентификации пользователя наиболее просты и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми. Основными минимальными требованиями к выбору пароля и к подсистеме парольной аутентификации пользователя являются следующие. К паролю: 1) минимальная длина пароля должна быть не менее 6 символов; 2) пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.); 3) не должны использоваться реальные слова, имена, фамилии и т.д. К подсистеме парольной аутентификации: 1) администратор СЗИ должен устанавливать максимальный срок действия пароля, после чего, пароль следует сменить; 2) в подсистеме парольной аутентификации необходимо установить ограничение числа попыток ввода пароля (как правило, не более трёх); 3) в подсистеме парольной аутентификации требуется установить временную задержку в случае ввода неправильного пароля. Как правило, для генерирования паролей в СЗИ, удовлетворяющих перечисленным требованиям, используются программы-генераторы паролей пользователей. жүктеу/скачать 78,13 Kb. Достарыңызбен бөлісу:
|