Обнаружение вредоносных закладок

бразования  используется  односторонняя
криптографическая  функция  y=F(x),  обладающая  следующим  свойством:   для
данного аргумента  x  значение  F(x)  вычисляется  легко,  а  по  данному  y
вычислительно сложно найти значение аргумента  х,  соответствующего  данному
у. В таблице паролей хранятся значения односторонних  функций,  для  которых
пароли берутся в качестве аргументов. При вводе пароля система защиты  легко
вычисляет значение функции от пароля текущего пользователя и  сравнивает  со
значением,   приведенным   в   таблице   для   пользователя   с    выбранным
идентификатором. Нарушитель, захвативший компьютер, может прочитать  таблицу
значений  функций  паролей,  однако   вычисление   пароля   практически   не
реализуемо.
    При работе  с  паролями  должна  предусматриваться  и  такая  мера,  как
недопустимость их  распечатки  или  вывода  на  экраны  мониторов.  Поэтому
система защиты должна обеспечивать ввод пользователями  запрошенных  у  них
паролей без отображения этих паролей на мониторах.
    Можно выделить следующие основные способы  повышения  стойкости  системы
защиты на этапе аутентификации:
    - повышение степени не тривиальности пароля;
    - увеличение длины последовательности символов пароля;
    -увеличение времени задержки  между  разрешенными  попытками  повторного
     ввода неправильно введенного пароля;
    -  повышение   ограничений   на   минимальное   и   максимальное   время
     действительности пароля.
    Чем не тривиальнее пароль, тем сложнее его запомнить. Плохо запоминаемый
пароль может быть записан на листе бумаги, что повышает риск его раскрытия.
Выходом здесь является использование определенного числа не записываемых на
бумаге пробелов или других символов в  начале,  внутри,  а  также  в  конце
последовательности основных символов пароля. Кроме того, отдельные  символы
пароля могут набираться на другом регистре (например, вместо строчных  быть
прописными или наоборот) что также не должно отражаться на листе бумаги.  В
этом случае незаконно полученный лист бумаги с основными  символами  пароля
не будет достаточным условием раскрытия пароля целиком.
    Вероятность подбора пароля уменьшается также при увеличении его длины  и
времени задержки между разрешенными попытками повторного ввода  неправильно
введенного пароля. Ожидаемое время раскрытия пароля Т, можно  вычислить  на
основе следующей полученной экспериментально приближенной формулы[2]:
    Т> (As*Ty)/2.
    Здесь:
    А - число символов в алфавите, используемом для набора символов пароля;
    S - длина пароля в символах, включая пробелы и другие служебные символы;
    Ту - время ввода пароля с учетом  времени  задержки  между  разрешенными
попытками повторного ввода неправильно введенного пароля.
    Например,  если  А  =  26  символов  (учтены  только  буквы  английского
алфавита), Ty = 2 секунды, a S = б символов, то ожидаемое  время  раскрытия
Тy приблизительно равно одному году. Если в  данном  примере  после  каждой
неудачной попытки  ввода  пароля  предусмотреть  временную  задержку  в  10
секунд, то ожидаемое время раскрытия увеличится в 5 раз.
    Из приведенной выше формулы становится понятно, что повышения  стойкости
системы защиты на этапе аутентификации можно достигнуть и увеличением  числа
символов  алфавита,  используемого  для  набора   символов   пароля.   Такое
увеличение  можно  обеспечить  путем  использования   нескольких   регистров
(режимов ввода) клавиатуры  для  набора  символов  пароля,  например,  путем
использования строчных и прописных латинских символов, а  также  строчных  и
прописных символов кириллицы.

Для  исключения  необходимости   запоминания   пользователями   длинных   и
нетривиальных паролей в системе защиты может быть предусмотрена возможность
записи паролей в зашифрованном виде на информационные  носители,  например,
дискеты, магнитные карты, носители данных в микросхемах  и  т.д.,  а  также
считывания паролей  с  этих  информационных  носителей.  Такая  возможность
позволяет повысить безопасность  за  счет  значительного  увеличения  длины
паролей, записываемых на носители информации. Однако при этом администрации
службы безопасности  следует  приложить  максимум  усилий  для  разъяснения
пользователям  ВС  о   необходимости   тщательной   сохранности   носителей
информации с их паролями.
    На  степень  информационной  безопасности  при  использовании   простого
парольного  метода  проверки  подлинности  пользователей   большое   влияние
оказывают ограничения на минимальное и максимальное  время  действительности
каждого  пароля.  Чем  чаще  меняется  пароль,  тем  обеспечивается  большая
безопасность.
    Минимальное  время  действительности  пароля  задает  время,  в  течении
которого пароль  менять  нельзя,  а  максимальное  -  время,  по  истечении
которого пароль будет недействительным. Соответственно, пароль должен  быть
заменен в промежутке между минимальным и         максимальным временем  его
существования. Поэтому понятно, что более частая

смена пароля обеспечивается при  уменьшении  минимального  и  максимального
времени его действительности.
    Минимальное и максимальное время действительности  пароля  задаются  для
каждого пользователя администратором  службы  безопасности,  который  должен
постоянно контролировать своевременность смены паролей пользователей.



1.3.  Использование динамически изменяющегося пароля
Методы проверки  подлинности  на  основе  динамически  изменяющегося  пароля
обеспечивают большую безопасность, так  как  частота  смены  паролей  в  них
максимальна - пароль для каждого пользователя меняется ежедневно  или  через
несколько  дней.  При  этом  каждый  следующий  па  роль  по   отношению   к
предыдущему  изменяется  по  правилам,  зависящим  от  используемого  метода
проверки подлинности.
    Существуют   следующие   методы   парольной   защиты,   основанные    на
использовании динамически изменяющегося пароля[2]:
    - методы модификации схемы простых паролей;
    - метод «запрос-ответ»;
    - функциональные методы.
    Наиболее эффективными из  данных  методов,  как  станет  понятно  далее,
являются функциональные методы.

1.3.1. Методы модификации схемы простых паролей.
    К методам модификации схемы простых паролей  относят  случайную  выборку
символов пароля и одноразовое использование паролей.
    При  использовании  первого  метода  каждому   пользователю   выделяется
достаточно длинный пароль, причем каждый раз для  опознавания  используется
не  весь  пароль,  а  только  его  некоторая  часть.  В  процессе  проверки
подлинности система запрашивает у пользователя группу символов по  заданным
порядковым номерам. Количество символов и их порядковые номера для  запроса
определяются с помощью датчика псевдослучайных чисел.
    При одноразовом использовании паролей  каждому  пользователю  выделяется
список паролей. В процессе запроса номер пароля, который необходимо ввести,
выбирается последовательно по списку или по схеме случайной выборки.
    Недостатком  методов  модификации   схемы   простых   паролей   является
необходимость запоминания пользователями длинных паролей  или  их  списков.
Запись же паролей на бумагу или в  записные  книжки  приводит  к  появлению
риска  потери  или  хищения  носителей  информации  с  записанными  на  них
паролями.

1.3.2. Метод «запрос-ответ»
    При использовании метода «запрос-ответ» в ВС заблаговременно создается и
особо защищается массив вопросов, включающий  в  себя  как  вопросы  общего
характера,  так  и  персональные   вопросы,   относящиеся   к   конкретному
пользователю, например, вопросы, касающиеся известных  только  пользователю
случаев из его жизни.
    Для  подтверждения  подлинности  пользователя  система   последовательно
задает ему ряд случайно выбранных  вопросов,  на  которые  он  должен  дать
ответ.  Опознание  считается  положительным,  если  пользователь  правильно
ответил на все вопросы.
    Основным требованием к вопросам в данном методе аутентификации  является
уникальность, подразумевающая,  что  правильные  ответы  на  вопросы  знают
только пользователи, для которых эти вопросы предназначены.

1.3.3. Функциональные методы
    Среди функциональных методов наиболее распространенными  являются  метод
функционального преобразования пароля, а также метод «рукопожатия».
    Метод функционального преобразования основан на использовании  некоторой
функции F, которая должна удовлетворять следующим требованиям[2]:
    - для заданного числа или слова X легко вычислить Y=F(X);
    - зная X и Y сложно или невозможно определить функцию Y=F(X).
     Необходимым условием выполнения данных требований  является  наличие  в
 функции F(X) динамически изменяющихся параметров, например,  текущих  даты,
 времени, номера дня недели, или возраста пользователя.
     Пользователю сообщается:
    -исходный пароль - слово или число X, например число 31:
    -функция F(X), например, Y=(X mod 100) * D + WJ,  где (X mod 100)
    -операция взятия остатка от целочисленного деления X на 100, D -текущий
    номер дня недели, a W - текущий номер недели в текущем месяце;
    - периодичность смены пароля, например, каждый день,  каждые три дня
    или каждую неделю.
    Паролями пользователя  для  последовательности  установленных  периодов
действия одного пароля будут соответственно X, F(X), F(F(X)), F(F(F(X)))  и
т.д., т.е. для 1-го периода действия  одного  пароля  паролем  пользователя
будет F'"1(X). Поэтому  для  того,  чтобы  вычислить  очередной  пароль  по
истечении периода  действия  используемого  пароля  пользователю  не  нужно
помнить  начальный  (исходный)  пароль,  важно  лишь  не   забыть   функцию
парольного преобразования и  пароль,  используемый  до  настоящего  момента
времени.
    С целью достижения высокого уровня безопасности  функция  преобразования
пароля, з

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно