logo
Курс лекций по Информатике-2008-часть 2

Парольная защита операционных систем

До настоящего времени единственным средством защиты компьютерной сети от санкционированного доступа была парольная система. При стандартной процедуре входа в сеть каждый пользователь должен знать свое сетевое имя и сетевой пароль. Администратор, назначающий эти атрибуты, как правило, не применяет случайных и плохо запоминаемых последовательностей символов, поскольку это может привести к тому, что сетевое имя и пароль могут быть записаны на какой-либо носитель (бумагу, дискету и т. п.), что может привести к утечке секретного пароля и имени пользователя.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность, что так действовать будут только законные владельцы или пользователи программного обеспечения.

В соответствии с установившейся практикой перед началом сеанса работы с операционной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль. Имя нужно операционной системе для идентификации пользователя, а пароль служит подтверждением правильности произведенной идентификации. Информация, введенная пользователем в диалоговом режиме, сравнивается с той, которая имеется в распоряжении операционной системы. Если проверка дает положительный результат, то пользователю будут доступны все ресурсы операционной системы, связанные с его именем.

Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных операционных системах, в подавляющем большинстве случаев слишком стойкие для того, чтобы можно было надеяться отыскать методы их дешифровки, которые окажутся более эффективными, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с и пользованием того же самого криптографического алгоритма, который применяете для их засекречивания в атакуемой операционной системе, и сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные пароли ее пользователей. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из некоторого набора символов. Данным способом можно взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из этого набора. Максимальное время, требуемое для взлома пароля, зависит от числа символов в наборе, предельной длины пароля и от производительности компьютера, на котором производится взлом ее парольной защиты (зависит от операционной системы быстродействия).

С увеличением числа символов в исходном наборе, число перебираемых комбинаций растет экспоненциально, поэтому такие атаки парольной защиты операционной системы могут занимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем не затрудняют себя выбором стойких паролей (т. е. таких, которые трудно взломать). Поэтому для более эффективного подбора паролей парольные взломщики обычно используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто применяемых в качестве паролей.

Противостоять таким атакам можно лишь в том случае, если использовать стойкие пароли. Пароли можно подразделить на семь основных групп:

Первая группа наиболее распространена. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и прописные буквы вперемешку с цифрами; заведомо очевидные пароли, например, Интернет, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются.

Когда пользователь впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и актуальных для всех тем – особенно если у пользователя не хватает времени. Все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. И пользователи выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В результате пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, можно раскрыть достаточно быстро.

Случайные пароли и коды, устанавливаемые системой, бывают нескольких разновидностей. Системное программное обеспечение может использовать полностью случайную последовательность символов, вплоть до случайного выбора регистров, цифр, пунктуации длины; или же использовать ограничения в генерирующих процедурах. Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы.

Полуслова частично создаются пользователем, а частично – каким-либо случайным процессом. Это значит, что если даже пользователь придумает легко угадываемый пароль, например, «абзац», компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа «абзац, Зю37».

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим» или не иметь смысла, например, «ловящий рыбу нос». Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции ключевых фраз близка концепция кодового акронима, которую эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Интерактивные последовательности «вопрос-ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного плана: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «правильными». Системы с использованием «вопрос- ответ» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не применяются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Пароли этого типа часто встречаются в системах с одноразовыми кодами.

Одноразовые коды – это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем вам следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

Итак, для того чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

Одно или несколько из этих правил должны обязательно соблюдаться. Необходимо помнить, что пароль – это самая слабая часть любой системы защиты данных, изощренной и надежной она ни была. Именно поэтому его выбору и хранению уделить должное внимание.