logo
MethodFull

Идентификация и авторизация

Сегодня большим и малым предприятиям и организациям необходимы доступные по цене средства безопасности. Пароль – это один из наиболее фундаментальных и повсеместно используемым элементом информационной безопасности. Большинство систем и алгоритмов защиты информации основываются на использовании паролей. Умение правильно выбрать и использовать пароль – это тот фундамент, на котором строятся все остальное. Даже самая надежная система безопасности, самый умный алгоритм могут оказаться бессильными, если используемый пароль окажется не подходящим.

И так что представляет из себя пароль и чем хороший пароль отличается от плохого? В теории защиты информации все как в жизни – как бы неприступным не был замок в нем обязательно должны присутствовать ворота. Как бы хорошо не был защищен сейф, он все равно должен уметь кем-то открываться. Какую бы совершенную систему защиты мы не создали, все равно, она должна обеспечивать кому-то доступ к защищаемым данным. Как можно отличить того, кому доступ в систему разрешен от того, кого пропускать нельзя. Нужный человек (программа) должен знать то, чего не может знать злоумышленник – пароль.

Пароль, как правило, представляет собой обычную строку (слово) текста. Примером пароля (но не хорошего пароля!) может служить строка «welcome».

Как уже говорилось, самое главное в пароле – это его секретность. Пароль хорош до тех пор, пока его не узнает злоумышленник. Однако, зачастую, просто хранить его в секрете не достаточно. Часто, даже не зная пароль его можно просто угадать. Так если в качестве пароля выбрано имя его владельца, номер его (или его друзей) телефона, имя его собаки, дата рождения, то пароль уже нельзя считать надежным, ведь эту информацию может с легкостью узнать и злоумышленник!

Сформулируем требования, которым должен удовлетворять пароль для того, чтобы считаться надежным:

  1. Как уже говорилось, пароль не должен содержать никой информации, какую можно угадать, а значит не должен содержать никакой личной информации о его владельце (да и вообще о ком-либо).

  2. Пароль должен быть достаточно длинным; пароль «me» можно очень быстро подобрать последовательным перебором вариантов («a», «b», … , «z», «aa», «ab», ..., «md», «me»). Как правило, пароль должен быть не короче 8 символов.

  3. Пароль не должен содержать никаких словарных слов. Так слово «encyclopedia», не смотря на то, что в нем целых 12 символов будет найдено злоумышленником. Взломщику ничто не стоит составить словарь всех возможных слов в языке (а в любом языке осмысленных слов из 12 букв гораздо меньше, чем всех возможных вариантов слов той же длинны). Перебором по словарю любое осмысленное слово будет найдено очень быстро.

  4. Любые модификации словарных слов, вроде замена «a» на «@», «o» на «0» и т.п. недопустимы, т.к. взломщик может это предусмотреть и составить словарь слов в разных вариантах написания (включая распространенные орфографические ошибки).

  5. Хороший пароль содержит символы из разных классов (строчные буквы, заглавные буквы, цифры, знаки препинания, символы разных языков, если это допустимо). В идеальном пароле появление любого из допустимых символов равновероятно. Так в русском языке буква «е» встречается гораздо чаще буква «ы», но только не в хороших паролях!

  6. Хороший пароль не должен быть где-либо записан. Куда бы он не был записан, всегда есть вероятность, что там его прочтет кто-то еще.

  7. Хороший пароль всегда придумывается заново для каждого случая. Если один и тот же пароль использовать повсеместно (даже самый хороший) и он каким-либо образом попадет в руки злоумышленника, то ему сразу будет обеспечен доступ во все системы, защищенные этим паролем, чего бы не произошло иначе.

Суммируя, вышеперечисленные пункты, можно придти к выводу, что идеальный пароль – длинное и совершенно бессмысленное слово (или несколько слов). На пример: «kls7di0$oz84rt7_90y+h». Подобрать такой пароль практически невозможно, но правда и запомнить тоже очень сложно. Поэтому говорят, что чем выше степень защищенности (надежности) пароля, тем менее он удобен для самого человека.

Помните, что самое главное для пароля – это хранить его в секрете. Самый надежный пароль, если его не хранить в секрете способен превратить ваш замок в карточный домик!

Впрочем, в некоторых случаях, когда к безопасности системы не предъявляется особых требований, такой подход вполне оправдан. Однако по мере развития компьютерных сетей и расширения сфер автоматизации ценность информации неуклонно возрастает. Государственные секреты, наукоемкие ноу-хау, коммерческие, юридические и врачебные тайны все чаще доверяются компьютеру, который, как правило, подключен к локальным и корпоративным сетям. Популярность глобальной сети Интернет не только открывает огромные возможности для электронной коммерции, но и создает потребность в более надежных средствах безопасности для защиты корпоративных данных от доступа извне.

Компьютер можно обмануть, представившись под чужим именем. Для этого необходимо знать лишь некую идентифицирующую информацию, которой, с точки зрения системы безопасности, обладает один-единственный человек. «Чужак», выдав себя за сотрудника компании, получает в свое распоряжение все ресурсы, доступные тому в соответствии с его полномочиями и должностными обязанностями. Это может привести к различным противоправным действиям, начиная от кражи информации и заканчивая выводом из строя всего информационного комплекса.

В настоящее время все больше компаний сталкиваются с необходимостью обеспечения безопасности для предотвращения несанкционированного доступа к своим системам и защиты транзакций в электронном бизнесе. Проведенное институтом компьютерной безопасности при ФБР США исследование «Компьютерная преступность и безопасность» показывает, что средний ущерб от несанкционированного доступа сотрудников к данным своих компаний в 1998 г. составил около 2,8 млн. долл.

Таким образом, встает вопрос об эффективном разграничении и контроле доступа к информации. Простым вводом имени и пароля здесь уже не обойтись из-за низкой надежности такого способа, и на помощь приходят иные современные технологии.

Однако стоит отметить, что, поскольку требования различных корпоративных инфраструктур к безопасности неодинаковы, существующие решения в большинстве случаев не являются универсальными и не оправдывают ожиданий клиентов.