Vii. Безопасность и защита
жүктеу/скачать 100.25 Kb.
|
| 16.5.2 Уязвимости паролей Пароли чрезвычайно распространены, потому что их легко понять и использовать. К сожалению, пароли часто могут быть угаданы, случайно раскрыты, прослушаны (прочитаны перехватчиком) или незаконно переданы от авторизованного пользователя неавторизованному, как мы покажем далее. Существует три распространенных способа угадать пароль. Один из способов - злоумышленник (человек или программа) знает пользователя или может получить информацию об этом пользователе. Часто люди используют очевидную информацию (такую как имя их собеседников) как парольные слова. Другой способ - использовать грубую силу, пробуя перечисление - или все возможные комбинации действительных символов пароля (буквы, цифры, и пунктуация в некоторых системах) - пока не найден пароль. Короткие пароли особенно уязвимы для этого метода. Например, четырехсимвольный пароль предоставляет только 10 000 вариантов. В среднем угадывание 5000 раз даст правильный удар. Для программы, которая может пытаться ввести пароль каждую миллисекунду, потребуется около 5 секунд, чтобы угадать пароль. Перечисление менее успешно, когда системы допускают более длинные пароли, которые включают как прописные, так и строчные буквы, а также цифры и все знаки препинания. Конечно, пользователи должны использовать большое пространство паролей и не должны, например, использовать только строчные буквы. Третий, распространенный метод - атаки по словарю, в которых используются все слова, варианты слов и общие пароли. Вдобавок к предположению, пароль может быть раскрыт как результат визуального или электронного мониторинга. Злоумышленник может смотреть через плечо пользователя (сёрфинг), когда пользователь входит в систему, и может легко узнать пароль, наблюдая за клавиатурой. Кроме того, любой, у кого есть доступ к сети, в которой находится компьютер, может без проблем добавить сетевой монитор, позволяя ему прослушивать или отслеживать все данные, передаваемые в сети, включая идентификаторы пользователей и пароли. Шифрование потока данных, содержащего пароль, решает эту проблему. Однако даже в такой системе могут быть украдены пароли. Например, если файл содержит пароли, он может быть скопирован для анализа вне системы. Или рассмотрите программу троянского коня, установленную в системе, которая фиксирует каждое нажатие клавиши перед отправкой в приложение. Еще один распространенный способ получения паролей, особенно паролей дебетовых карт, заключается в установке физических устройств, на которых используются коды, и записи действий пользователя, например, «скиммера» в банкомате или устройстве, установленном между клавиатурой и компьютером.
Выдержка, в частности, является серьезной проблемой, когда пароль переписывается, когда его можно прочитать или потерять. Некоторые системы вынуждают пользователей выбирать трудные для запоминания или длинные пароли, или часто менять свой пароль, что может заставить пользователя записать пароль или использовать его повторно. В результате такие системы обеспечивают гораздо меньшую безопасность, чем системы, которые позволяют пользователям выбирать простые пароли! Последний тип компрометации пароля, незаконная передача, является результатом человеческой натуры. У большинства компьютерных установок есть правило, которое запрещает пользователям обмениваться учетными записями. Это правило иногда применяется для целей учета, но часто нацелено на повышение безопасности. Например, предположим, что один идентификатор пользователя совместно используется несколькими пользователями, и из-за этого идентификатора пользователя происходит нарушение безопасности. Невозможно узнать, кто использовал идентификатор во время перерыва или даже был ли пользователь авторизованным. С одним пользователем на идентификатор пользователя, любой пользователь может быть непосредственно задан вопрос об использовании учетной записи; кроме того, пользователь может заметить что-то другое в учетной записи и обнаружить взлом. Иногда пользователи нарушают правила совместного использования учетных записей, чтобы помочь друзьям или обойти учетные записи, и такое поведение может привести к тому, что к системе будут обращаться несанкционированные пользователи - возможно, вредные. Пароли могут быть сгенерированы системой или выбраны пользователем. Сгенерированные системой пароли могут быть сложными, и эти пользователи могут записать их. Однако, как уже упоминалось, пароли, выбранные пользователем, часто легко найти (например, имя пользователя или любимый автомобиль). Некоторые системы проверяют предложенный пароль для простоты его угадывания или взлома, прежде чем его принять. Некоторые системы также устаревают пароли, заставляя пользователей менять свои пароли через регулярные промежутки времени (например, каждые три месяца). Этот метод также не является надежным, потому что пользователи могут легко переключаться между двумя паролями. Решение, воплощенное в некоторых системах, представляет собой запись пароля для каждого пользователя. Например, система может записывать последние N паролей и не разрешает их повторное использование. Существует несколько вариантов использования простого пароля. Например, пароль можно менять чаще. В крайнем случае, пароль меняется от сеанса к сеансу. Новый пароль выбирается (либо системой, либо пользователем) в конце каждого сеанса, и этот пароль должен быть использован для следующего сеанса. обнаруживает нарушение безопасности. Затем можно предпринять шаги для восстановления нарушенной безопасности. жүктеу/скачать 100.25 Kb. Достарыңызбен бөлісу:
|