Vii. Безопасность и защита
жүктеу/скачать 100.25 Kb.
|
| 16.5.3 Защита паролей Одной из проблем всех этих подходов является сложность сохранения пароля в секрете на компьютере. Как система может надежно хранить пароль, но разрешить его использование для аутентификации, когда пользователь представляет свой пароль? Система UNIX использует безопасное хеширование, чтобы избежать необходимости хранить свой список паролей в секрете. Поскольку пароль хешируется, а не шифруется, система не может расшифровать сохраненное значение и определить исходный пароль. Хеш-функции легко вычислить, но трудно (если не невозможно) инвертировать. То есть, учитывая значение, легко вычислить значение хеш-функции f (x). Получив значение функции f (x), однако вычислить x невозможно. Эта функция используется для кодирования всех паролей. Сохраняются только зашифрованные пароли. Когда пользователь представляет пароль, он хешируется и сравнивается с сохраненным закодированным паролем. Даже если сохраненный зашифрованный пароль виден, он не может быть декодирован, поэтому пароль не может быть определен. Таким образом, файл пароля не нужно хранить в секрете. Недостаток этого метода заключается в том, что сложна система контроля над паролями. Несмотря на то, что пароли хешируются, любой, у кого есть копия файла паролей, может использовать для этого быстрые процедуры хеширования - например, хеширование каждого слова в словаре и сравнение результатов с паролями. Если пользователь выбрал пароль, который также является словом в словаре, пароль взломан. На достаточно быстрых компьютерах или даже на кластерах с медленными компьютерами такое сравнение может занять всего несколько часов. Кроме того, поскольку системы используют хорошо известные алгоритмы хеширования, злоумышленник может сохранить кэш паролей, которые были взломаны ранее. В этих случаях системы включают «salt» или записанное случайное число в алгоритме хеширования. salt-значение добавляется к паролю, чтобы гарантировать, что, если два незашифрованных пароля одинаковы, они приводят к разным значениям хеш-функции. Кроме того, salt-значение делает хеширование словаря неэффективным, потому что каждый словарный термин должен быть объединен с каждым salt-значением для сравнения с сохраненными паролями. В более новых версиях UNIX также хранится хешированный пароль из файла, доступного для чтения только суперпользователю. Программы, которые сравнивают хеш с сохраненной оценкой, в настоящее время могут прочитать этот файл, но другие пользователи не могут.
жүктеу/скачать 100.25 Kb. Достарыңызбен бөлісу:
|