На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Парольная защита операционных систем

Контрольдоступа, основанный на обладании специфической информацией, наибо­лее распространен. Он характеризуется тем, что правом доступа обладают лишь те, кто способен продемонстрировать знание определенного секрета, обычно пароля. Это самый простой и дешевый метод защиты любой компьютерной системы. Поскольку его использование не требует больших затрат времени, сил и места в памяти компью­тера, то он применяется даже в тех компьютерах, которые вовсе не нуждаются в сред­ствах защиты. Кроме того, владение паролем дает пользователю ощущение психоло­гического комфорта. Более того, это широко используется в системах, уже защищенных другими средствами — магнитными картами или иными программными средствами, типа шифрования, что в еще большей степени повышает уровень защиты от несанкци­онированного доступа.
До настоящего времени единственным средством защиты компьютерной сети от несанкционированного доступа была парольная система. При стандартной процедуре входа в сеть каждый пользователь должен знать свое сетевое имя и сетевой пароль. Администратор, назначающий эти атрибуты, как правило, не применяет случайных или плохо запоминаемых последовательностей символов, поскольку это может при­вести к тому, что сетевое имя и пароль могут быть записаны на какой-либо носитель (бумагу, дискету и т. п.), что может привести к утечке секретного пароля и имени пользователя.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверен­ность, что так действовать будут только законные владельцы или пользователи про­граммного обеспечения.
И по сей день во многих случаях для злоумышленника основным (иногда един­ственным) защитным рубежом против атак в компьютерной сети остается система
парольной защиты, которая есть во всех современных операционньгх системах. В со­ответствии с установившейся практикой перед началом сеанса работы с операцион­ной системой пользователь обязан зарегистрироваться, сообщив ей свое имя и пароль. Имя нужно операционной системе для идентификации пользователя, а пароль служит подтверждением правильности произведенной идентификации. Информация, введен­ная пользователем в диалоговом режиме, сравнивается с той, которая имеется в рас­поряжении операционной системы. Если провер-кадает положительныйрезультат, то пользователю
будут доступны все ресурсы операционной систе­мы, связанные с его именем.
Трудно представить, что сегодня какому-нибудь злоумышленнику может прийти в голову шальная мысль о том, чтобы попытаться подобрать имя и пароль для входа в операционную систему, по оче­реди перебирая в уме, все возможные варианты и вводя их с клавиатуры. Скорость такого подбора
пароля будет чрезвычайно низкой, тем более, что


в операционный системах с хорошо продуманной парольной защитой количество под­ряд идущих повторных вводов конкретного пользовательского имени и соответствую­щего ему пароля всегда можно ограничить двумя-тремя и сделать так, что если это число будет превышено, то вход в систему с использованием данного имени блокиру­ется в течение фиксированного периода времени или до прихода системного админис­тратора.
Поэтому чаще используют более опасный и гораздо более эффективный метод взло­ма парольной защиты операционной системы, при использовании которого атаке под­вергается системный файл, содержащий информацию о ее легальных пользователях и их паролях.
Однако любая современная операционная система надежно защищает пользова­тельские пароли, которые хранятся в этом файле при помощи шифрования. Доступ к таким файлам по умолчанию запрещен, как правило, даже для системный администра­торов, не говоря уже о рядовых пользователях. Иногда злоумышленнику удается пу­тем различных ухищрений получить в свое распоряжение файл с именами пользовате­лей и их зашифрованными паролями. И тогда ему на помощь приходят специализированные программы — парольные взломщики, которые и служат для взло­ма паролей операционн^гх систем. Как же действуют эти программы?
Криптографические алгоритмы, применяемые для шифрования паролей пользова­телей в современных операционных системах, в подавляющем большинстве случаев слишком стойкие для того, чтобы можно было надеятыся отыскать методы их дешиф­ровки, которые окажутся более эффективными, чем тривиальный перебор возможных вариантов. Поэтому парольные взломщики иногда просто шифруют все пароли с ис­пользованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой операционной системе, и сравнивают результаты шифрования с тем, что записано в системном файле, где находятся шифрованные па­роли ее полызователей. При этом в качестве вариантов паролей парольные взломщики используют символьные последовательности, автоматически генерируемые из неко­торого набора символов. Данным способом можно взломать все пароли, если но их представление в зашифрованном виде и они содержат только символы из этого набора. Максимальное время, требуемое для взлома пароля, зависит от числа симво­лов в наборе, предельной длины пароля и от производительности компьютера, на ко­тором производится взлом ее парольной защиты (зависит от операционной системы и
быстродействия).
С увеличением числа символов в исходном наборе, число перебираемых комбина­ций растет экспоненциально, поэтому такие атаки парольной защиты операционной системы могут занимать слишком много времени. Однако хорошо известно, что боль­шинство пользователей операционных систем не затрудняют себя выбором стойких
паролей (т. е. таких, которые трудно взломать). Поэтому для более эффективного под­бора паролей парольные взломщики обычно используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто приме­няемых в качестве паролей.
Для каждого слова из словаря парольный взломщик использует одно или несколь­ко правил. В соответствии с этими правилами слово изменяется и порождает допол­нительное множество опробуемых паролей. Производится попеременное изменение


буквенного регистра, в котором набрано слово, порядок следования букв в слове меняется на обратный, в начало и в конец каждого слова приписывается цифра 1, некоторые буквы заменяются на близкие по начертанию цифры (в результате, на­пример, из слова password получается pa55wOrd). Это повышает вероятность под­бора пароля, поскольку в современных операционных системах, как правило, разли­чаются пароли, набранные прописными и строчными буквами, а пользователям этих систем настоятельно рекомендуется выбирать пароли, в которых буквы чередуются
с цифрами.
Противостоять таким атакам можно лишь в том случае, если использовать стойкие к взлому пароли. Перед тем как ответить на вопрос «Как правильно выбрать пароль?», рассмотрим, какие же пароли используются вообще.
Пароли можно подразделить на семь основных групп:
□ пароли, устанавливаемые пользователем;
□ пароли, генерируемые системой;
□ случайные коды доступа, генерируемые системой; полуслова;
□ ключевые фразы;
□ интерактивные последовательности типа «вопрос-ответ»;
□ «строгие» пароли.
Первая группа наиболее распространена. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходи­мо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и прописные буквы впере­мешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматри­вают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются.
Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и актуальных для всех тем — особенно если у пользователя не хватает времени. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют при­мерно одинаково. И пользователи выдают первое, что приходит им в голову. А в голо­ву приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В результате пароль создается в спешке, а щая его замена на более надежный происходит достаточно редко. Таким образом, мно­гие пароли, созданные пользователями, можно раскрыть достаточно быстро.
Случайные пароли и коды, устанавливаемые системой, бывают нескольких разно­видностей. Системное программное обеспечение может использовать полностью слу­чайную последовательность символов, вплотьдо случайного выбора регистров, цифр, пунктуации длины; или же использовать ограничения в генерирующих процедурах.
Создаваемые компьютером пароли могут также случайным образом извлекаться из
списка обычных или ничего не значащих слов, созданных авторами программы, кото­рые образуют пароли вроде onah.foopn, или ocar-back-treen.
Полуслова частично создаются пользователем, а частично — каким-либо случай­ным процессом. Это значит, что если даже пользователь придумает легко угадывае­мый пароль, например, «абзац», компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».
Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим» или не иметь смысла, например, «ловящий рыбу нос». Следует заметить, что в програм­мировании постепенно намечается тенденция к переходу на более широкое примене­ние ключевых фраз. К концепции ключевых фраз близка концепция кодового акрони­ма, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и Подобные нововведения в теории паролей значительно затрудняют занятия
электронным шпионажем.
Интерактивные последовательности «вопрос- ответ», предлагают пользователю от­ветить на несколько вопросов, как правило, личного плана: «Девичья фамилия вашей «Ваш любимый и т. д. В компьютере хранятся ответы на множество
таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «правильными». Системы с использованием «вопрос- ответ» склонны преры­вать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти
не применяются. Когда их придумали, идея казалась неплохой, но раздражающий фак­тор прерывания привел к тому, что данный метод практически исчез из обихода.
«Строгие» пароли обычно используются совместно с каким-нибудь внешним элек­тронным или механическим устройством. В этом случае компьютер обычно с просто­душным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Пароли этого типа часто встречаются в систе­мах с одноразовыми кодами.
Одноразовые коды — это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользо­ватель входит в нее в первый раз; затем вам следует поменять свой пароль на более
секретный персональный код. В случаях, когда системой пользуется группа людей, но
при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий дате или дню недели.
Итак, для того чтобы пароль был действительно надежен, он должен отвечать оп­ределенным требованиям:
□ бьпь определенной длины;
включать в себя прописные и строчные буквы; О включать в себя одну и более цифр;
□ включать в себя один нецифровой и один неалфавитный символ.


Одно или несколько из этих правил должны обязательно соблюдаться. Необходи­мо помнить, что пароль — это самая слабая часть любой системы защиты данных, какой бы изощренной и надежной она ни была. Именно поэтому его выбору и хране­нию надо уделить должное внимание. Не стоит обольщаться и тешиться своей безо­пасностью при работе с Windows 95/98, если видите, в каком-либо диалоговом окне ваш пароль, скрытый звездочками — это защита «от дурака». С помощью крохотной программы можно посмотреть скрытый звездочками пароль, всего лишь установив курсор мыши    диалоговое окно.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика