КАТЕГОРИЯ:


Астрономия- (809) Биология- (7483) Биотехнологии- (1457) Военное дело- (14632) Высокие технологии- (1363) География- (913) Геология- (1438) Государство- (451) Демография- (1065) Дом- (47672) Журналистика и СМИ- (912) Изобретательство- (14524) Иностранные языки- (4268) Информатика- (17799) Искусство- (1338) История- (13644) Компьютеры- (11121) Косметика- (55) Кулинария- (373) Культура- (8427) Лингвистика- (374) Литература- (1642) Маркетинг- (23702) Математика- (16968) Машиностроение- (1700) Медицина- (12668) Менеджмент- (24684) Механика- (15423) Науковедение- (506) Образование- (11852) Охрана труда- (3308) Педагогика- (5571) Полиграфия- (1312) Политика- (7869) Право- (5454) Приборостроение- (1369) Программирование- (2801) Производство- (97182) Промышленность- (8706) Психология- (18388) Религия- (3217) Связь- (10668) Сельское хозяйство- (299) Социология- (6455) Спорт- (42831) Строительство- (4793) Торговля- (5050) Транспорт- (2929) Туризм- (1568) Физика- (3942) Философия- (17015) Финансы- (26596) Химия- (22929) Экология- (12095) Экономика- (9961) Электроника- (8441) Электротехника- (4623) Энергетика- (12629) Юриспруденция- (1492) Ядерная техника- (1748) Arhitektura- (3434) Astronomiya- (809) Biologiya- (7483) Biotehnologii- (1457) Военни бизнесмен (14632) Висока technologies- (1363) Geografiya- (913) Geologiya- (1438) на държавата (451) Demografiya- ( 1065) Къща- (47672) журналистика и смирен (912) Izobretatelstvo- (14524) външен >(4268) Informatika- (17799) Iskusstvo- (1338) историята е (13644) Компютри- (11,121) Kosmetika- (55) Kulinariya- (373) културата е (8427) Lingvistika- (374) Literatura- (1642) маркетинг-(23702) математиците на (16968) Механична инженерно (1700) медицина-(12668) Management- (24684) Mehanika- (15423) Naukovedenie- (506) образователна (11852) truda- сигурност (3308) Pedagogika- (5571) Poligrafiya- (1312) Politika- (7869) Лево- (5454) Priborostroenie- (1369) Programmirovanie- (2801) производствено (97 182 ) индустрия- (8706) Psihologiya- (18388) Religiya- (3217) Svyaz (10668) Agriculture- (299) Sotsiologiya- (6455) на (42831) спортист строително (4793) Torgovlya- (5050) транспорт ( 2929) Turizm- (1568) физик (3942) Filosofiya- (17015) Finansy- (26596) химия (22929) Ekologiya- (12095) Ekonomika- (9961) Electronics- (8441) Elektrotehnika- (4623) Мощност инженерно ( 12629) Yurisprudentsiya- (1492) ядрена technics- (1748)

Authentication се основава на пароли, техники за кракване на пароли
За идентификация и автентификация на потребителите в по-голямата част от операционните системи използва име и парола. За идентифициране на потребителя, трябва да въведете името си, и въведете парола за удостоверяване - текстов низ, известна само на него. Потребителското име е обикновено възложени му от системния администратор.

идентификация и автентификация процедура с потребителското име и паролата е изключително прост. Потребителят въвежда име на клавиатура и парола, операционната система търси влизането на потребителския списък за потребителя, и сравнява паролата се съхранява в списъка с потребители, паролата, въведена от потребителя. Ако текстът относно влизането в системата на потребителя присъства в списъка на потребителите и съдържаща се в този запис с въведените мачове с парола, като се смята, че идентификация и разпознаване е успешно и започва идентификация на потребителя. В противен случай, потребителят е отказан достъп, и не може да работи на операционна система, докато тя е била успешно идентифицирани и заверени. Ако удостоверяването и идентификация на потребителя, за да се получи по време на потребителя вход към отдалечен сървър, потребителско име и парола се изпращат по мрежата (обикновено криптирана).

За да се осигури надеждна защита на паролата на операционната система за всеки потребител трябва да е известна само за потребителя и никой друг, включително и системните администратори. На пръв поглед, че администраторът знае паролата на потребителя, а не отрицателно въздействие върху сигурността на системата като администратор, влезте като стандартен потребител, получава обикновено по-малки от тези, той ще получи като отидете в системата от тяхно име. Въпреки това, като влезете като друг потребител, администраторът е в състояние да заобиколят системата за одит, и да извършва действия, компрометиране на потребителя, че не е позволено в защитена система.

Това следва от изложеното по-горе, че паролата на потребителя не трябва да се съхранява в операционната система в ясно. Що се отнася до изпълнението на задълженията си, има достъп до списъка на потребителите (това е необходимо, например, да се регистрират нови потребители) системен администратор, след това, ако паролите се съхраняват там публично, администраторът има достъп до тях. По този начин, администраторът може да влезе в името на всеки регистриран потребител.

Обикновено, криптиране на пароли в списъка на потребителите, използващи един от най-известните устойчиви криптографски хеш функции - legkovychislimuyu функция е, за които f1 на функция (евентуално двусмислено) не може да бъде изчислена в разумен срок. В списъка на потребителите не се съхранява самата парола и образа на парола, която е резултат от прилагането на хеша на паролата. Hash функции не може да се възстанови парола за образа на парола, но дава, хеш функция, за да се получи изображение на паролата, въведена от потребителя, за да се провери коректността на въведената парола. В най-простия случай, резултатът хеш е криптирана с използване на парола константи.разбъркващата функция, използвана в производството на снимки пароли, трябва задължително да криптографски устойчиви. Фактът, че изображенията предоставят за съхранение на пароли в тайна от всички потребители на системата на практика е невъзможно. Работа на системния администратор, като се използват техните привилегии, пароли могат да се четат лесно изображения от файл или база данни, в която те се съхраняват. Когато мрежа потребителска парола за удостоверяване на изображението на сървъра се предава чрез отворени канали за комуникация и могат да бъдат засечени от всяка мрежа монитор. Ако на някой хакер да знае стойността на хеш (образа на паролата на потребителя) е един разумен срок, за да изберете аргумента на функцията съответстваща на стойността (парола за потребители или еквивалентен парола) на, не може да се счита за всяка защита на данните в операционната система. Това не означава, че паролите трябва да са публично достъпни изображения. Съхраняване на пароли в графичния файл или база данни, която е достъпна само за системни процеси, тя създава един допълнителен рисков потенциал на защита.

В поколението на паролата, процедурата трябва да участват Markant - Редица или низ случайно генерирани и съхранявани в свободно с начина на паролата. Това е необходимо, за да се съобразят с една и съща парола за различни изображения. В противен случай, атакуващият може да извършва редица атаки срещу операционната система, най-сериозният от които е, както следва.

Нападателят отнема всеки електронен речник за всяка дума от речника генерира точно същата хеш функция, която се използва в производството на изображението на парола. Думи и съответното им хашиш, съхранявани в базата данни. Улавянето на образа на паролата на потребителя, атакуващият търси в думата на базови данни, съответстващо на имиджа на прихванатите пароли. Това е желания парола (или парола еквивалент желания). Вероятността за успешното получаване на паролата в изображението може да се направи произволно висока -за това само трябва да има достатъчно голям речников запас. В същото време, за да се допълни речника нападателя не е задължително да имат достъп до нападнат операционната система. Освен това, атакуващият може да се съхранява на речника е насочена система, като например домашния си компютър. Тази атака може да се реализира само в случая, когато една и съща парола съответства на паролата същите изображения. Ако се използва Markant, тази атака не е реализуема в генерирането на изображението на парола.

Ако даден потребител влезе в е въведен неправилно потребителското си име или парола, операционната система трябва да му даде съобщение за грешка не посочи коя информация е невярна. В противен случай, изборът на парола е значително опростена.

Ако удостоверяването на потребителя с помощта на пароли, има две основни заплахи за удостоверяване на операционната подсистема система - парола кражба парола познае.

За да се осигури защита срещу кражба на защита на операционната система парола подсистема трябва да отговаря на следните изисквания:

- Парола, въведена от потребителя не се показва на екрана на компютъра;

- Парола не е валидна от командния ред.

В допълнение, операционната система, потребителите трябва да бъдат инструктирани:

- Необходимостта да се съхраняват тайната парола от други потребители, включително администраторите на операционната система;

- Нуждата от незабавна промяна на паролата, след компромиса;

- Необходимостта от редовно промените паролата;

- Недопустимост на запис на парола на хартиен носител или в даден файл.

Що се отнася до избора на паролата преди да се пристъпи към описанието на средство за защита срещу тази заплаха, че е необходимо допълнително да се помисли за грубите методи.

3.2.1. Методи за избор на пароли

Има следните методи за подбор на пароли.

1. чрез строг търсене. В този случай, последователно нападател ще тества всички възможни пароли. Ако паролата е по-дълъг от четири - шест знака, че този метод е напълно неефективно.

2. чрез строг търсене, оптимизирани статистика характер явление. Различни символи са намерени в паролата на потребителя с различна вероятност. Например, вероятността, че да отговаря на буквата "а" в паролата на потребителя, много по-висока вероятност, че символът "А" присъства в паролата. Според различни проучвания статистиката появата на символа в азбуката пароли, подобна на статистиката на възникване на герои в естествен език.

В практиката на този метод, един хакер на пръв ще тества пароли, състоящи се от най-често срещаните символи, при което времето за сортиране е значително намалени. Понякога изборът на пароли е не само статистиката появата на символа, но статистиката появата на digrams и триграми - комбинации от два или три последователни символи съответно.

За избора на пароли по този метод, по различно време е писано много програми. Някои от тях са с редуване подава на входа на операционната система подсистема удостоверяване на различни варианти на паролата за, а други ще тестват възможностите за парола чрез генериране на хеш функция и нейното последващо сравнение с познатия начин паролата. В първия случай, изборът на парола се определя от скоростта на изпълнение на операционната система. Във втория случай, средното време за избор на парола от 6 -8 герои, не включва никакви числа или препинателни знаци, които варират от няколко десетки секунди до няколко часа, в зависимост от изпълнението на компютъра и ефективността на прилагането на хеш функцията за генериране на алгоритъм в програмата, изберете парола.

3. чрез строг търсене, оптимизирана с помощта на речници. В повечето случаи потребителските пароли са думи на английски или руски език. Тъй като потребителят е много по-лесно да се запомни смислена дума от една безсмислена последователност от символи, които потребителите предпочитат да използват като парола смислени думи. Същевременно броят на възможните варианти парола драстично намалява. Наистина, на английски език, съдържа около 100 000 думи (без да се включват научни, технически, медицински, и други условия), което е с 6,5 пъти по-малко от броя на всички комбинации на четирите английски букви.

При използване на този метод, атакуващият груба първоначално тества в паролата всички думи от речника, съдържащ най-вероятните пароли. Такава речника хакер може да се създаде, или може да предприеме, например, в интернет, където има огромен брой такива речници, адаптиран за различните страни. Качват Ако паролата не е в речника, нападателят ще тества всички възможни комбинации от думи от речника, думата от речника с добавени към началото и / или края на една или повече букви, цифри и препинателни знаци и т.н.

Обикновено този метод се използва в комбинация с предишното.

4. Избор на паролата с помощта на знанието на потребителя. Вече споменахме, че потребителите са склонни да използват лесни за запомняне пароли. Много потребители не да забравите паролата си, изберете парола като вашето име, фамилия, дата на раждане, телефонен номер, номер на колата и т.н. В този случай, ако някой хакер знае потребителят, обикновено е достатъчна, за да се извършат тестове във всички 10-20.

5. Избор на изображението на парола. Ако подсистемата за удостоверяване на операционната система е проектирана така, че образът е значително по-кратко парола на парола, нападателят не може да изберете парола, и неговото изображение. Въпреки това, в този случай, на нападателя взе образа на парола, паролата си, трябва да получи съответното да вдигне имиджа, а това е възможно само ако функцията за сегментиране използва в системата не разполага с достатъчно съпротивление.

3.2.2. Защита от компрометираните пароли

Ние казваме, че не е компромис на паролата, ако паролата на потребителя е станало известно някой друг потребител. Компромис може да бъде резултат от небрежност или кражба на потребителя или злонамерен избор парола. Има редица методи за намаляване на заплахата от множество пароли е компрометиран, някои от които ние сега обмислят.

1. Ограничаване на валидност на паролата. При прилагането на този метод, всеки от операционната система на потребителя, трябва да промените паролата на редовни интервали. Максимална парола възраст е подходящо да се ограничи 30-60 дни. По-малко строги ограничения не дават желания ефект, както и използването на по-силни ограничения рязко увеличава вероятността, че потребителят забрави паролата си. След като паролата е с изтекъл срок, потребителят трябва да променят своята парола за известно време (обикновено 1-2 дни) след първото влизане след този период. Ако потребителят не се е променил паролата в определеното време, операционната система забранява му да влезе в системата, стига да не е изрично позволява на системния администратор.

Паролата трябва да бъде ограничено не само от по-горе, но от по-долу. В противен случай, потребителя, промените паролата, може веднага да се върнем към старата парола, за да промените паролата отново.

Също така е препоръчително да се провери всеки път, когато промените паролата уникалността на новата парола. За да направите това, операционната система трябва да се съхранява не само на имиджа на паролата на текущия потребител, но също така и снимки на последните 5-10 паролите, те се прилагат.

2. Ограничения върху съдържанието на паролата. Този метод е, че потребителят може да избере една парола не е толкова произволна поредица от букви, а само линията, която да отговаря на определени условия. Следните термини се използват обичайно:

- Дължина на паролата не трябва да бъде по-малко от определен брой знаци; в литературата компютърна сигурност и документация за операционната система обикновено се препоръчва да се забрани използването на по-кратък 6-8 характер парола, но с бързия напредък на компютърните технологии, сега е препоръчително да се ограничи продължителността на пароли имат 10-14 знаци;

- В паролата трябва да включва най-малко 5-7 различни знаци;

- В паролата трябва да съдържа едновременно главни и малки букви;

- Потребителят парола не трябва да съвпада с името му;

- Паролата не трябва да присъства в списъка на "лошите" пароли, съхранени в системата.

Обикновено, работещи на системните администратори, тези ограничения могат да варират както в рамките на цялата операционна система, или за отделни потребители. Например, ако даден потребител име се използва за влизане гост, налагат ограничения върху паролата, която се използва неподходящо.

При избора на ограничения парола трябва да се има предвид, че, ако паролите са твърде силни ограничения, потребителите ще бъде трудно да се помни паролите си.

3. Заключване на терминала. При използване на този метод, ако потребител многократно грешка при въвеждане на име и парола, терминал, от който потребителят се регистрира, заключена, и потребителят не може да продължи по-нататъшни опити за влизане. Параметрите на този метод са:

- Максималният брой неуспешни опити за влизане от същия терминал;

- Интервалът от време, след което броят на неуспешни опити за влизане се връща на нула;

- Продължителността на клемореда (може да се направи неограничен в този случай, на терминал ключалката може да бъде отстранен само от системния администратор).

4. Lock Потребителя. Този метод се различава от предишната само от факта, че не е блокиран терминала, от който потребителят се логва, и на потребителския акаунт.

5. Създаване на парола за операционната система. В този случай, потребителите не могат самостоятелно да измислят пароли - това е за тях прави операционната система. Когато потребителят трябва да промените паролата, той влиза подходящи команди и получава новата парола на операционната система. Ако предложеният вариант на паролата на потребителя не е доволен, той може да изисква операционна система е друга опция. Основното предимство на този метод е, че операционната система генерира произволни пароли и избират такива пароли е практически невъзможно. От друга страна, тези пароли обикновено са трудно да се помни, което принуждава потребителите да ги напишете на хартия. Ако това не е заплаха за сигурността на системата (например, ако даден потребител влезе в системата само чрез интернет от домашния си компютър), този модел удостоверяване е близо до идеалното. В противен случай, не е възможно да се използва.

6. парола и преглед. При използване на тази схема за удостоверяване, когато потребителят влиза в системата на операционната система издава случайно число или низ, които потребителят трябва да даде правилния обратна връзка. В действителност, паролата са параметрите на трансформацията алгоритъм на искането за операционна система и да правилния отговор. Тези параметри са избрани на случаен принцип от операционната система, за всеки потребител, който ефективно намалява този удостоверяване схема за предишната.

7. еднократна парола. В този случай, паролата на потребителя се променя автоматично след всяко успешно влизане. Тази схема за удостоверяване предпазва парола познае, защото дори ако нападателя и отне известно парола, той ще бъде в състояние да го използва само веднъж. В допълнение, потребителят, чиято парола е изложена на риск, няма да бъде в състояние да влезете в следващия път, тъй като тя ще се опита да влезе в предишния паролата вече се използва от един нападател. Недостатък на тази схема е, че за да си спомня много от постоянно променящите пароли е практически невъзможно. В допълнение, потребителите често "да слезе от сметката" при опит за влизане в въведете парола, която е остаряла или все още не са започнали да действат. Поради тези и други недостатъци в практиката, тази схема не се прилага на практика.

Някои от тези методи могат да бъдат използвани в комбинация.