Metody ochrany heslem, organizace ochrany heslem, jednorázová hesla. Chraňte informace pomocí hesla. Standardní řešení pro organizaci klíčových systémů

Vize problémů vznikajících v souvislosti s potřebou zajistit informační bezpečnost moderního podniku se radikálně liší od představ, které dominovaly před pouhými deseti lety. Formálně soubor požadavků na bezpečnostní systémy stále zapadá do klasické triády – důvěrnost, integrita a dostupnost. K těmto „třem pilířům“ však přibyl další požadavek (zejména z důvodu zintenzivnění výměny elektronických dokumentů) – odpovědnost.

V tuzemských specializovaných slovnících tento termín přeloženo jako „možnost pro osoby odpovědné za ochranu informací obnovit proces narušení nebo pokusu o narušení bezpečnosti informačního systému“, což plně nevystihuje jeho význam. Tento pojem zahrnuje povinnosti zdroje za informace, které mu byly předány, včetně nemožnosti je odmítnout, a odpovědnost adresáta za obdržené informace, především nemožnost je odmítnout. Zavádění těchto požadavků v moderních podmínkách se ale znatelně mění a jedním z trendů je výrazně jiná integrace informačních systémů než dříve.

Za jeden z projevů nového postoje ke kultuře bezpečnosti je třeba považovat směřování bezpečné správy obsahu, jejíž název lze přeložit jako „správa bezpečného obsahu“ nebo spíše jako „správa zabezpečení obsahu“. Někdy se tomu také říká „zabezpečení obsahu založené na zásadách“.

Mezi relevantní technologie nutně patří antivirové mechanismy, antispamové a antiphishingové nástroje. Kromě toho je do této kategorie zahrnuto také filtrování obsahu, včetně poskytování kontroly nad přístupem uživatelů k internetu, řízení přístupu zaměstnanců k internetu, skenování (přesněji ilustrování) odchozích a příchozích e-maily, analýza škodlivých mobilních kódů a ochrana proti nim.

2.1.Identifikace a autentizace

Základem každého bezpečnostního systému informačního systému je identifikace a autentizace, protože všechny mechanismy informační bezpečnosti jsou navrženy pro práci s pojmenovanými AS subjekty a objekty. Připomeňme, že subjekty AS mohou být jak uživatelé, tak procesy a objekty AS mohou být informacemi a dalšími informačními zdroji systému.

Nazývá se přiřazení osobního identifikátoru pro přístup k subjektům a objektům a jeho porovnání s daným seznamemidentifikace . Identifikace zajišťuje následující funkce:

stanovení pravosti a určení pravomocí subjektu při jeho přijetí do systému;

kontrola zavedených pravomocí v procesu práce;

registrace akcí atd.

Autentizace (ověření) se nazývá kontrola vlastnictví identifikátoru předloženého subjektem přístupu a potvrzení jeho pravosti. Jinými slovy, autentizace je o kontrole, zda je spojovací entita tím, za koho se vydává.

Pokud je při autentizačním procesu zjištěna autenticita subjektu, pak systém informační bezpečnosti musí určit jeho pravomoci (soubor práv). To je nutné pro následnou kontrolu a diferenciaci přístupu ke zdrojům.

Na základě řízené komponenty systému lze autentizační metody rozdělit na autentizaci komunikačních partnerů a autentizaci zdroje dat. Autentizace komunikačních partnerů se používá při navazování (a periodické kontrole) spojení během relace. Slouží k prevenci hrozeb, jako je maškaráda a opakování předchozí komunikační relace. Autentizace zdroje dat je potvrzením pravosti zdroje jednoho kusu dat.

Směrově může být autentizace jednosměrná (uživatel prokazuje svou pravost systému např. při přihlašování do systému) a obousměrná (vzájemná).

Obvykle jsou metody ověřování klasifikovány podle použitých prostředků. V tomto případě jsou tyto metody rozděleny do čtyř skupin:

1. Na základě znalosti některé tajné informace osobou oprávněnou k přístupu do systémových zdrojů - heslo.

2. Na základě použití unikátního předmětu: tokenu, elektronické karty atp.

3. Na základě měření lidských biometrických parametrů - fyziologických nebo behaviorálních atributů živého organismu.

4. Na základě informací spojených s uživatelem, například jeho souřadnice.

Podívejme se na tyto skupiny.

1. Nejběžnější jednoduché a známé metody autentizace jsou ty, které jsou založeny na heslech – tajných identifikátorech subjektů. Hesla jsou již dlouho zabudována do operačních systémů a dalších služeb. Zde, když subjekt zadá své heslo, autentizační subsystém jej porovná s heslem uloženým v zašifrované podobě v referenční databázi. Pokud se hesla shodují, autentizační subsystém umožní přístup k prostředkům AS.

Metody hesel by měly být klasifikovány podle míry, do jaké lze hesla změnit:

Metody, které používají trvalá (opakovaně použitelná) hesla

Metody, které používají jednorázová (dynamicky se měnící) hesla.

Většina reproduktorů používá opakovaně použitelná hesla. V tomto případě se heslo uživatele nemění od relace k relaci během doby platnosti nastavené správcem systému. To zjednodušuje administrativní procedury, ale zvyšuje riziko kompromitace hesla.

Existuje mnoho známých způsobů, jak prolomit heslo: od nakouknutí přes rameno až po zachycení komunikační relace. Pravděpodobnost, že útočník otevře heslo, se zvyšuje, pokud je heslo smysluplné, krátké, napsané v jednom registru, nemá žádná omezení na dobu své existence atd. Je důležité, zda je povoleno heslo zadat pouze v dialogu režimu nebo zda je možné k němu přistupovat z programu.

Bezpečnějším způsobem je použití jednorázových nebo dynamicky se měnících hesel. Jsou známy následující metody ochrana heslem na základě jednorázových hesel:

Metody pro úpravu jednoduchého schématu hesel;

Metody žádost-odpověď;

Funkční metody.

V prvním případě dostane uživatel seznam hesel. Při autentizaci se systém zeptá uživatele na heslo, jehož číslo v seznamu je určeno náhodným zákonem. Délku a pořadové číslo počátečního znaku hesla lze také nastavit náhodně. Při použití metody výzva-odpověď se systém zeptá uživatele na několik otázek generál, jejichž správné odpovědi zná pouze konkrétní uživatel.

Funkční metody jsou založeny na použití speciální funkce konverze hesla. To umožňuje měnit (podle nějakého vzorce) uživatelská hesla v průběhu času. Zadaná funkce musí splňovat následující požadavky:

Pro dané heslo se x snadno spočítá Nové heslo ;

Při znalosti x a y je obtížné nebo nemožné funkci určit

Nejznámějšími příklady funkčních metod jsou: metoda funkční transformace a metoda handshake.

Myšlenkou metody funkční transformace je periodická změna samotné funkce. Toho posledního je dosaženo přítomností ve funkčním vyjádření dynamicky se měnících parametrů, například funkce určitého data a času. Uživatel je informován o výchozím hesle, aktuální funkci a četnosti změn hesla. Je snadné vidět, že uživatelská hesla pro daná časová období budou následující: x, f(x), f(f(x)), ..., f(x)n-1.

Nejznámější software generátor jednorázových hesel je systém S / KEY od Bellcore. Systém S/KEY má status internetového standardu (RFC 1938).

Metoda podání ruky je následující. Funkci konverze hesla zná pouze uživatel a bezpečnostní systém. Při vstupu do AS generuje autentizační subsystém náhodnou sekvenci x, který je zaslán uživateli. Uživatel vypočítá výsledek funkce y=F(x) a vrátí jej do systému. Systém porovnává svůj vlastní vypočítaný výsledek s tím, který obdržel od uživatele. Pokud se zadané výsledky shodují, pravost uživatele se považuje za prokázanou.

Výhodou metody je, že je minimalizován přenos jakýchkoli informací, které by mohl útočník využít.

V poslední době se rozšířily kombinované metody identifikace vyžadující kromě znalosti hesla i přítomnost karty (tokenu) – speciálního zařízení, které potvrzuje pravost subjektu.

Karty se dělí na dva typy:

Pasivní (paměťové karty);

Aktivní (chytré karty).

Nejběžnější jsou pasivní karty s magnetickým proužkem, které čte speciální zařízení, které má klávesnici a procesor. Při použití uvedené karty uživatel zadá své identifikační číslo. Pokud se shoduje s elektronickou verzí zakódovanou na kartě, uživatel získá přístup do systému. To vám umožní spolehlivě identifikovat osobu, která získala přístup do systému, a zabránit neoprávněnému použití karty útočníkem (například při její ztrátě). Tato metoda se často nazývá dvoufaktorová autentizace.

Někdy (obvykle pro kontrolu fyzického přístupu) se karty používají samostatně, aniž by bylo vyžadováno osobní identifikační číslo.

Výhodou použití karet je, že zpracování autentizačních informací provádí čtečka, aniž by se přenášely do paměti počítače. Tím se eliminuje možnost elektronického odposlechu prostřednictvím komunikačních kanálů.

Nevýhody pasivních karet jsou následující: jsou výrazně dražší než hesla, vyžadují speciální čtecí zařízení a jejich použití vyžaduje speciální postupy pro bezpečné účtování a distribuci. Také je třeba je chránit před vetřelci a samozřejmě je nenechávat ve čtecích zařízeních. Jsou známy případy padělání pasivních karet.

Biometrie je soubor automatizovaných metod pro identifikaci a/nebo autentizaci lidí na základě jejich fyziologických a behaviorálních charakteristik. Autentizační metody založené na měření lidských biometrických parametrů (viz tabulka 2.1) zajišťují téměř 100% identifikaci, řeší problémy se ztrátou hesel a osobních identifikátorů.

Takové metody však nelze použít k identifikaci procesů nebo dat (datových objektů), protože se teprve začínají vyvíjet (existují problémy se standardizací a distribucí) a stále vyžadují složité a drahé vybavení. To určuje jejich použití zatím pouze u zvláště důležitých zařízení a systémů.

Příklady implementace těchto metod jsou systémy identifikace uživatele založené na vzoru duhovky, otisků dlaní, tvarech uší, infračervených vzorcích kapilárních cév, rukopisu, čichu, zabarvení hlasu a dokonce DNA.

Příklady biometrických metod Tabulka 2.1.

Novým směrem je využití biometrických charakteristik v chytrých platebních kartách, průchozích tokenech a prvcích mobilní komunikace. Například při platbě v obchodě držitel karty přiložením prstu na skener potvrdí, že karta je skutečně jeho.

Jmenujme nejpoužívanější biometrické atributy a jim odpovídající systémy.

· Otisky prstů. Takové skenery jsou malé, univerzální a relativně levné. Biologická opakovatelnost otisku prstu je 10-5%. V současné době je propagován donucovacími orgány kvůli velkému množství přidělených elektronických archivů otisků prstů.

· Geometrie ruky. Tato zařízení se používají tam, kde je obtížné používat skenery prstů kvůli nečistotám nebo zranění. Biologická opakovatelnost geometrie ruky je asi 2 %.

· Duhovka. Tato zařízení mají nejvyšší přesnost. Teoretická pravděpodobnost shody dvou duhovek je 1 ku 1078.

· Tepelný snímek obličeje. Systémy umožňují identifikovat osobu na vzdálenost až desítek metrů. V kombinaci s vyhledáváním v databázi se tyto systémy používají k identifikaci oprávněných zaměstnanců a odfiltrování neoprávněných zaměstnanců. Skenery obličeje však mají poměrně vysokou chybovost při změně osvětlení.

· Hlas. Hlasové ověření je vhodné pro použití v telekomunikačních aplikacích. Pravděpodobnost chyby je 2 – 5 %. Tato technologie je vhodná pro hlasové ověření prostřednictvím telefonních komunikačních kanálů, je spolehlivější ve srovnání s frekvenční volbou osobního čísla. V dnešní době se vyvíjejí směry, jak hlasově identifikovat člověka a jeho stav – vzrušený, nemocný, říkat pravdu, ne v sobě atd.

· Vstup z klávesnice. Zde se při zadávání např. hesla hlídá rychlost a intervaly mezi stisky kláves.

· Podpis. Ke kontrole vlastnoručních podpisů se používají digitizéry.

Nejnovějším směrem v autentizaci je prokázání identity vzdáleného uživatele na základě jeho polohy. Tento ochranný mechanismus je založen na použití vesmírného navigačního systému, Typ GPS(Globální polohovací systém). Uživatel s GPS zařízením opakovaně posílá souřadnice určených satelitů umístěných v zorném poli. Autentizační subsystém, který zná oběžné dráhy satelitu, dokáže určit polohu uživatele s přesností až na metr. Vysoká spolehlivost autentizace je dána skutečností, že oběžné dráhy satelitů podléhají kolísání, které je poměrně obtížné předvídat. Souřadnice se navíc neustále mění, což neguje možnost jejich zachycení.

Zařízení GPS je jednoduché, spolehlivé a relativně levné. To umožňuje jeho použití v případech, kdy oprávněný vzdálený uživatel musí být na požadovaném místě.

Shrneme-li možnosti autentizačních nástrojů, lze je rozdělit podle úrovně zabezpečení informací do tří kategorií:

1. Statická autentizace;

2. Silná autentizace;

3. Neustálá autentizace.

První kategorie poskytuje ochranu pouze před neoprávněným přístupem v systémech, kde útočník nemůže číst autentizační informace během pracovní relace. Příkladem nástroje statické autentizace jsou tradiční trvalá hesla. Jejich účinnost závisí především na obtížnosti uhodnutí hesel a vlastně na tom, jak dobře jsou chráněna.

Ke kompromitaci statického ověřování může útočník slídit, hádat, hádat nebo zachytit autentizační data atd.

Silná autentizace využívá dynamická autentizační data, která se mění s každou relací. Implementacemi silné autentizace jsou systémy, které používají jednorázová hesla a elektronické podpisy. Silná autentizace poskytuje ochranu proti útokům, kdy útočník může zachytit autentizační informace a pokusit se je použít v budoucích relacích.

Silná autentizace však neposkytuje ochranu proti aktivním útokům, během kterých může maskovaný útočník rychle (během autentizační relace) zachytit, upravit a vložit informace do přenášeného datového toku.

Trvalá autentizace zajišťuje, že každý blok přenášených dat je identifikován, což zabraňuje neoprávněné úpravě nebo vkládání. Příkladem implementace této kategorie autentizace je použití algoritmů pro generování elektronických podpisů pro každý bit přenášené informace.

Zadní

KAPITOLA IV

TECHNOLOGIE SOFTWAROVÉ OCHRANY HACKOVÁNÍ

Zabránění šíření informací o útocích vytváří nebezpečnou iluzi bezpečnosti...

Chris Kaspersky. Technologie a filozofie hackerské útoky.

Programátor zběhlý v metodách technickou ochranu, nepochybně musí znát technologii ochrany proti hackerům, aby se za prvé neopakovaly chyby stávající systémy a za druhé vytvořit účinnější a spolehlivější mechanismy. Autor ochrany musí také dobře znát nástroje moderních hackerů a počítat s možnostmi stávající fondy výzkum programů (debuggerů, disassemblerů, prohlížečů) při navrhování mechanismů a systémů ochrany softwaru.

V této kapitole se podíváme na základní myšlenky, techniky, algoritmy a technologie, které umožňují odstranit, obejít nebo hacknout softwarovou ochranu. Uvedeme také několik doporučení pro zlepšení ochranných mechanismů.

Experimenty s hackováním slavného amerického kryptografického standardu jsou široce známé - Algoritmus DES (Data Encryption Standard). 56bitový klíč DES -Algoritmus byl neprolomitelný asi dvacet let. “... padl 17. června 1997, 140 dní po zahájení soutěže (současně bylo testováno a utraceno asi 25 % všech možných klíčů≈ 450 MIPS -lety“. V roce 1998 byl hlášen hack DES -algoritmus za 56 hodin.

S prudkým skokem ve výkonu výpočetní technika se srazil jako první Algoritmus RSA, abychom odhalili, které je nutné vyřešit problém faktorizace. V březnu 1994 byla dokončena faktorizace 129místného čísla (428 bit6), která trvala 8 měsíců. To zahrnovalo 600 dobrovolníků a 1 600 strojů připojených prostřednictvím e-mailu. Utraceno strojový čas bylo ekvivalentní přibližně 5 000 MIPS let.

29. ledna 1997 vyhlásily RSA Labs soutěž na otevření symetrický algoritmus RC5. 40bitový klíč byl odhalen 3,5 hodiny po začátku soutěže! (To ani nevyžadovalo připojení počítačů přes internet – stačila lokální síť 250 strojů na Berkeley University). Po 313 hodinách byl otevřen také 48bitový klíč [24].

Dokonce i začínající programátor může napsat program, který zkonstruuje všechny možné sekvence symbolů z dané sekvenční spočetné množiny. Je zřejmé, že autor výpočtu obhajoby by měl vycházet ze skutečnosti, že úplné pátrání by trvalo delší dobu, než je rozumné. A první věc, kterou k tomu vývojáři používají, je zvětšení délky klíče (hesla). Svým způsobem mají pravdu. Ale

Za prvé, jak již bylo uvedeno, výkon počítačů roste, a pokud úplné prohledávání včera vyžadovalo dlouhou dobu, čas, který bude počítač zítra potřebovat, bude s největší pravděpodobností přijatelný na odstranění ochrany.

Kvůli prudkému růstu výpočetní výkonÚtoky hrubou silou mají mnohem větší šanci na úspěch než dříve. Pokud byla pro systém UNIX funkce crypt(), která je zodpovědná za hashování hesel, implementována tak, že její spuštění na stroji třídy PDP trvalo téměř 1 sekundu, pak se za dvacet let rychlost jejího výpočtu zvýšila o 10 000 krát (!). Pokud si tedy dřívější hackeři (a vývojáři, kteří omezili délku hesla na 8 znaků) ani nedokázali představit kompletní vyhledávání, dnes takový útok povede v průměru k úspěchu za 125 dní.

Za druhé, pro zvýšení rychlosti výčtu již byly navrženy efektivní algoritmy, které lze zlepšit (obvykle založené na formální logice a využívající teorii množin, teorii pravděpodobnosti a další oblasti matematiky). Kromě toho se používají také algoritmy rychlé vyhledávání. (Například k útoku RSA a podobné systémy se navrhují používat samoorganizující se vyhledávání v tabulce.)

Kromě toho již bylo vytvořeno speciální zařízení, které provádí vyhledávací funkce.

Je důležité si uvědomit, že uložení funkce hash hesla nevylučuje možnost útoku hrubou silou, ale pouze mění čas potřebný k prolomení. Ve skutečnosti nyní musí být program, který vyhledává hesla, doplněn o výpočet hashovací funkce každé možnosti a porovnání výsledku s hashovacím standardem.

Věnujme pozornost ještě jedné okolnosti související s ochranou založenou na hašování hesel. Některé hašovací funkce mohou v případě nesprávného hesla vrátit stejný výsledek jako původní. Chcete-li odstranit ochranu z v tomto případě stačí najít nějaké vhodné heslo, což evidentně oslabuje ochranu a snižuje náklady na hackování. (Hašovací funkce mají tuto vlastnost a poskytují výsledek srovnatelný s délkou (v bitech) s heslem.)

Podívejme se na další typ techniky hledání hesel hrubou silou – tzv Slovníkový útok . Toto je metoda, kterou lze použít k prolomení smysluplného hesla. Metoda je založena na tom, že uživatel pro snadnější zapamatování vybere (slovníkové) slovo, které existuje v určitém jazyce. Vzhledem k tomu, že v žádném jazyce není více než 100 000 slov, je zřejmé, že během krátké doby dojde k úplnému prohledání slov ve slovníku.

V dnešní době jsou rozšířené programy, které vybírají hesla na základě slov ze slovníku. Nyní se se smysluplným heslem může spokojit pouze nezodpovědný nebo líný uživatel. Připomeňme, že kromě kontroly slovníku takové programy „umí“ měnit velká a malá písmena, „znat“ interpunkční znaménka, „hádat“, že uživatel dokáže otočit slovo, slepit dvě slova dohromady pomocí interpunkčního znaménka nebo čísla, atd. transformace.

Je pozoruhodné, že moderně vyvinuté prostředky ochrany proti neoprávněnému přístupu, které umožňují uživateli nezávisle zvolit heslo pro přístup, jsou vybaveny moduly, které kontrolují, zda zvolené heslo patří do takových slovníků a v tomto případě neumožňují použití hesla. .

Programy, které provádějí slovníkové útoky, fungují poměrně rychle, protože implementují efektivní vyhledávací a srovnávací algoritmy. Například nepoužívají pomalé porovnávání řetězců, ale porovnávání kontrolních součtů atp. Mnohé z nich ani neobsahují databázi slov, ale využívají slovníky zabudované v běžných textových editorech.

_____________________________

* Ochrana heslem by měla být použita v případech, kdy buď bude útok hrubou silou neúčinný, nebo útočník nebude mít přístup k dostatečně výkonným výpočetním nástrojům k provedení útoku hrubou silou (nesmíme zapomenout ani na možnost využití síťových technologií ).

* Pro posílení ochrany heslem byste měli používat jakékoli originální techniky, které snižují rychlost vyhledávání hesel.

* Ochranu heslem můžete mírně posílit provedením dvou (závislých) kontrol v programu: jak hesla, tak výsledku funkce hash hesla, přičemž ochranný mechanismus „skryjete“ na správné úrovni, nebo minimálně opustíte přímé srovnání. V tomto případě je vhodné konkrétně vybrat hašovací funkci, která produkuje velké množství hesel odpovídajících hašovacímu standardu. S touto implementací obranného mechanismu bude muset útočník zaútočit na dva parametry.

* Ochrana funguje ještě efektivněji, pokud heslo (a lepší funkce heslo) slouží jako šifrovací klíč pro některé části programového kódu. V tomto případě bude cracker muset po vyzkoušení všech možných hesel (poskytnutí daného výsledku hashování) kód dešifrovat.

Všimněte si, že u tohoto typu ochrany, tedy při kontrole několika parametrů současně, hašovací funkce, která dává požadovaný výsledek pro velký počet hesel, výrazně komplikuje prolomení.

___________________________________________________________

Další podrobnosti

1. Příklady útoků na bezpečnostní mechanismy - Chris Kaspersky „Technika a filozofie hackerských útoků“.

2. Generování pseudonáhodných číselných řad - Yu.S. Kharin, V.I. Berník, G.V. Matveev „Matematické základy kryptologie“, s. 153-188; V. Želnikov „Kryptografie od papyru k počítači“, s. 181-207.

"Hodnocení 2017: 123456 - vedoucí

Jak uvádí Bleeping Computer, k tomuto závěru dospěli odborníci z kalifornské společnosti SplashData (která vyrábí správce hesel včetně TeamsID a Gpass) poté, co analyzovali miliony hesel, která skončila na internetu v důsledku různých úniků.

"123456" je velmi slabé heslo, ale ostatní na seznamu jsou stovky nejhorší hesla 2017 není o nic lepší. Sportovní výrazy (fotbal, baseball, fotbal, hokej, Lakers, jordan23, golfer, Rangers, Yankees), značky aut (Mercedes, Corvette, Ferrari, Harley) a výrazy (iloveyou, letmein, cokoliv, blabla) jsou velmi oblíbené.

Ať je to jak chce, skutečnými lídry seznamu nejhorších hesel jsou jména: Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35), Andrew (#36), Andrea (#38), Joshua (#40), George (#48), Nicole (#53), Hunter (#54), Chelsea (#62), Phoenix (#66), Amanda (#67), Ashley (# 69), Jessica (#74), Jennifer (#76), Michelle (#81), William (#86), Maggie (#92), Charlie (#95) a Martin (#96).

Prvních 25 hesel ze 100 nejhorších hesel roku 2017:

1 - 123456 2 - heslo 3 - 12345678 4 - qwerty 5 - 12345 6 - 123456789 7 - letmein 8 - 1234567 9 - fotbal 10 - iloveyou 11 - admin 3 a6bc - star1211 17 - 123123 18 - drak 19 - passw0rd 20 - mistr 21 - ahoj 22 - svoboda 23 - cokoliv 24 - qazwsx 25 - trustno1

"Hodnocení 2016: 123456 - vedoucí

V lednu 2017 bylo známo, že 123456 zůstává nejoblíbenějším heslem na světě. Uvádí to studie zveřejněná společností Keeper Security. Podle výzkumníků v roce 2016 minimálně 17 % uživatelů internetu používá nebo v nedávné minulosti používalo toto konkrétní heslo.

Předmětem studie bylo celkový 10 milionů zveřejněných online po různých rozsáhlých hackech. 123456 obsadil první místo v popularitě. Na druhém - „složitější“ heslo 123456789, na třetím - „legendární“ qwerty. V hojnosti jsou také 111111, 123123, 123321, google, 987654321 a další „složité“ kombinace, které jsou vybrány náhodně.

I když jsou za toto ignorování základní bezpečnosti obviňováni jako první samotní uživatelé, část odpovědnosti leží také na majitelích stránek, kteří se nesnaží prosazovat přísnější pravidla pro hesla a umožňují kombinace hesel, které lze snadno uhodnout nebo uhodnout.

Publikace Keeper Security upozorňuje na další zajímavý detail. Seznam nejoblíbenějších hesel zahrnuje takové kombinace jako 18atcskd2w a 3rjs1la7qe. Tato hesla se zdají být náhodná, ale četnost jejich používání ukazuje, že tomu tak není.

Podle výzkumníků tato hesla běžně používají roboti k automatické registraci nových účtů v e-mailových službách. Tyto účty jsou pak využívány pro spam a phishing.

To s největší pravděpodobností znamená, že poskytovatelé poštovní služby nevyvíjejí dostatečné úsilí v boji proti robotům: stejná „náhodná“ hesla jsou jasným důvodem k vážnému podezření.

"Hodnocení" 2015: 123456 - vedoucí

SplashData představuje každoročně nejpoužívanější hesla. Společnost získává informace ze zdrojů, které „unikají“ cizím heslům na širokou škálu stránek na internetu. V roce 2015 SplashData analyzovaly 2 miliony různá hesla, porovnání výsledků s rokem 2014.

První a druhý řádek stejně jako v minulém roce obsadila hesla „123456“ a heslo. Posunuto na třetí místo digitální vytáčení"12345678", nahradí jednodušší "12345". O jednu příčku se posunula i slavná qwerty, která obsadila čtvrté místo.

Pokud jde o „smysluplná“ hesla, sportovní názvy (fotbal a baseball) zůstávají stejně populární. Mezi „nováčky“ v seznamu patřila také hesla solo a starwars, která jasně odkazují na vydání pokračování filmové ságy Star Wars. V čele obsadili 23. a 25. místo.

"Hodnocení" 2014: 123456 - vedoucí

Publikováno online v září 2014 textový soubor s 1,26 miliony přihlašovacích údajů a hesel z účtů Yandex. Společnost tvrdí, že to není výsledek hacku nebo úniku. Uživatelé odhadují, že heslo „123456“ se v souboru vyskytuje asi 38 tisíckrát, „123456789“ - asi 13 tisíckrát, „111111“ - asi 9,5 tisíce a „qwerty“ - asi 7,7 tisíc „7777777“, „123321“, „000000“, „666666“ atd.

"Hodnocení" 2013: 123456 se ujímá vedení

V roce 2013 přestalo být „heslo“ nejoblíbenějším heslem mezi uživateli internetu, uvádí SplashData, která každoročně vydává seznam nejhorších hesel.

Kombinace čísel „123456“ vyhrála prvenství od lídra nejhorších hesel, slova „heslo“, které kleslo na druhé místo v oblíbenosti. Předtím bylo „heslo“ na vrcholu žebříčku dva roky po sobě - ​​v letech 2011 a 2012.

Na třetím místě zůstala kombinace „12345678“. V první desítce byla také následující hesla: „qwerty“, „abc123“, „123456789“, „111111“, „1234567“, „iloveyou“ a „adobe123“.

Přítomnost hesla „adobe123“ v první desítce je spojena s největším únikem v historii, který odhalil data 150 milionů uživatelů Photoshop developer Adobe Systems.

"Hodnocení" 2012: Heslo - vůdce

Zpráva společnosti Trustwave o globální bezpečnosti za rok 2012 se zaměřuje na slabá místa v informační bezpečnosti společnosti. Autoři zprávy zkoumali více než 300 incidentů v 18 zemích, ke kterým došlo v roce 2011.

Zpráva se zaměřuje na pokračující růst kybernetických útoků a také na nárůst počtu útočníků v oblasti informační bezpečnost.

Většina incidentů vzniká v důsledku organizačních a administrativních problémů. Studie zjistila, že k 76 % porušení došlo kvůli bezpečnostním zranitelnostem v odděleních odpovědných za systémovou podporu a rozvoj společnosti.

Velká část výzkumu je věnována problému používání slabých hesel. Podle expertů Trustwave dochází k 80 % incidentů v důsledku slabých hesel. Slabá hesla jsou i nadále hlavní zranitelností používanou útočníky ve velkých i malých společnostech.

Ve skutečnosti používání slabých a standardních hesel usnadňuje hackerům proniknout informační systémy. Někdy zločinci nemusí používat složité a sofistikované metody, aby se do nich vloupali. Podle Trustwave je nejpoužívanějším heslem na webu `Password1`. Studie poznamenala, že používání standardních hesel je také neodmyslitelné při práci se servery, síťovým zařízením a různá zařízení uživatelů.

Trustwave ve svém výzkumu uvádí seznam nejčastěji používaných hesel. anglické slovo„Heslo“ (heslo) se používá v 5 % případů a slovo Vítejte (pozdrav) v 1,3 % případů. Vyplatí se také věnovat pozornost používání ročních období a dat. Nepoužívejte tato hesla a jejich varianty:

• Heslo1
• Vítejte
• 123456
• Zima 10
• jaro 2010

Jedním z problémů je také to, že mnoho zařízení a aplikací se používá s originálem standardní hesla, často poskytující plná přístupová práva, uvádí studie.

"Hodnocení" 2011: Heslo - vůdce

Dosáhli jsme limitu hesla?

Studie společnosti Experian, kterou zveřejnila 3. srpna 2017, zjistila rostoucí generační propast v tom, jak lidé spravují své účty. Mileniálové jsou vystaveni většímu riziku krádeže identity, protože upřednostňují pohodlí před bezpečností. Různé věkové skupiny se na internetu chovají odlišně: některé jsou připraveny zažít nepříjemnosti, ale cítí se chráněny, jiné zanedbávají bezpečnostní opatření a nechtějí opustit svou „komfortní zónu“.

Experian výzkum opět prokázal, že lidé různé generace mají své vlastní charakteristiky používání internetu a správy účtů, hesel a přihlášení,“ poznamenala Natalia Frolova, marketingová ředitelka společnosti Experian v Rusku a zemích SNS. - Mladší generace upřednostňuje pohodlí a zpravidla nemá více než 5 jedinečných hesel pro všechny své účty. Navíc se takoví uživatelé obvykle přihlašují k více účtům pomocí stejného přihlašovacího jména na sociální síti. Pravděpodobně si však neuvědomují, že touha po pohodlí je vystavuje riziku. osobní údaje. Poznamenáno rychlý růst krádeže identity, jejíž obětí jsou zástupci této konkrétní věkové skupiny.

Statistiky ze systému Experian's Hunter ukazují, že ve Spojeném království se počet obětí krádeže identity mezi lidmi mladšími 30 let každým rokem zvyšuje o 5 %, přičemž ti, kteří žijí v různé typy ubytovny, kde několik lidí neustále používá jedno zařízení pro přístup k internetu. V Británii je proti této skupině spáchán jeden ze tří podvodů zahrnujících krádež identity.

Starší generace zvolila opačnou linii chování. Zástupci této kategorie si mnohem pravděpodobněji vytvoří samostatné heslo pro každý účet, přičemž se starají o ochranu dat, a to i na úkor jejich pohodlí. Jeden ze čtyř Britů uvedl, že používá 11 nebo více hesel.

Samozřejmě, že takový objem informací je těžké neustále mít na paměti, poznamenal Experian. Není divu, že značná část lidí starších 55 let je nucena dělat velké úsilí abyste si zapamatovali své registrační údaje. Toto namáhání paměti je rostoucí problém: 4 z 10 respondentů přiznali, že jsou nuceni používat službu paměti hesel, aby na nic nezapomněli. Neustálé připomínání, že je lepší si hesla nezapisovat, ale pamatovat si je nazpaměť, pomáhají zvyšovat ostražitost, ale zároveň zvyšují stres. Více než polovina (55 %) respondentů používá stejné heslo pro více účtů.

Studie Experian také zjistila, že existuje zmatek ohledně toho, co je účet, přičemž jeden ze tří respondentů (31 %) přiznává, že neví, a dalších 61 % volí jiné definice. Tři z pěti Britů (61 %) ne vždy chápou, s čím souhlasí, když zaškrtnou políčko při registraci nového online profilu, a jeden z devíti (11 %) nerozumí nikdy.

Aby se zabránilo krádeži identity, Experian doporučuje:

• Neodpovídat na telefonní hovory a e-maily od neznámých osob.
• Vytvořit samostatná hesla pro různé účty – zejména pro e-mail a online bankovnictví.
• Vytvářejte silná hesla sestávající ze tří libovolných slov – můžete je vytvořit přidáním čísel a symbolů, stejně jako velkých a malých písmen.
• Při použití veřejné sítě Wi-Fi, nechoďte na stránky, kde potřebujete zadat heslo (například vaše banka, sociální sítě a e-mail) a nezadávejte osobní údaje, jako jsou údaje o bankovní kartě.
• Vždy si stáhněte nejnovější software do telefonu, tabletu nebo počítače. To zvýší vaši ochranu před malwarem.

Krádež hesla je hlavním rizikem pro zabezpečení firemních dat

Výzkum ukazuje, že asi 40 % všech uživatelů volí hesla, která lze snadno automaticky uhodnout. Snadno uhodnutelná hesla (123, admin) jsou považována za slabá a zranitelná. Hesla, která je velmi obtížné nebo nemožné uhodnout, jsou považována za silnější. Některé zdroje doporučují používat hesla generovaná na silných hashích jako MD5, SHA-1 z běžných pseudonáhodných sekvencí.

Krádež hesla je hlavním bezpečnostním rizikem pro firemní data. Odborníci na to varovali už v létě 2014 antivirová společnost ESET (Slovensko). 76 % online útoků na společnosti bylo způsobeno slabými nebo odcizenými hesly (Department for Business, Innovation and Skills and PWC). Průměrná škoda způsobená ztrátou informací závisí na typu útoku a aktuální legislativě na ochranu dat a dosahuje 199 eur na účet. Zároveň takové parametry, jako jsou prostoje zaměstnanců, pokles produktivity, ztráty reputace a ztráty majetku, včetně zařízení duševní vlastnictví, jsou nevyčíslitelné (Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis).

Středem zájmu kyberzločinců jsou malé a střední podniky. Nejsou vždy hlavním cílem, ale často se stávají oběťmi v důsledku existujících narušení bezpečnosti. Podle některých údajů je 67 % kybernetických útoků zaměřeno na malé společnosti, zatímco 76 % útoků je neplánovaných. 75 % útoků je prováděno zločinci za účelem finančního zisku (Verizon Data Breach Report, 2013).

66 % narušení bezpečnosti společnosti může zůstat nezjištěno celé měsíce firemní informace. Mezi nejčastější bezpečnostní díry patří problémy s hesly: 61 % uživatelů používá stejné heslo a 44 % si heslo mění pouze jednou za rok (CSID Customer Survey: Password Habits 2012).

Gramatická hesla lze snadno prolomit

Výzkumníci z Carnegie Mellon University vyvinuli experimentální algoritmus pro hádání hesel, který používá gramatická pravidla, a testovali jeho účinnost na více než 1400 heslech o 16 nebo více znacích. Přibližně 18 % těchto hesel bylo složeno z několika slov, spojených podle gramatických pravidel do krátké fráze. Ačkoli jsou taková hesla snadněji zapamatovatelná, jejich struktura výrazně omezuje počet možných kombinací a také usnadňuje jejich prolomení, upozorňují vědci.

Samotná délka hesla nemůže indikovat jeho sílu. Obtížnost prolomení dvou hesel stejné délky se může řádově lišit v závislosti na jejich gramatické struktuře. Například v jazyce je méně zájmen než sloves, přídavných jmen a podstatných jmen, takže heslo Shehave3cats, které začíná zájmenem She, je mnohem slabší než Andyhave3cats, které začíná jménem Andy.

Výzkumníci vzali v úvahu dobře známé možnosti nahrazení písmen podobnými čísly, změna velikosti písmen a přidání interpunkce na konec. Výrazně také nezvyšují sílu hesel, jak tvrdí někteří autoři.

Pro většinu webů je lepší používat jednoduchá hesla

Všichni jsme nejednou slyšeli, že pro každý účet bychom měli definovat jedinečná a složitá hesla pomocí speciálního nástroje pro jejich uložení. Výzkumníci z Microsoft Research však došli k závěru, že tento přístup může být nesprávný (údaje z léta 2014). Na první pohled obecně přijímaná doporučení vypadají celkem logicky.

Když používáte dlouhá a složitá hesla pro každý web a službu, skládající se z náhodných kombinací znaků, pravděpodobnost jejich napadení se prudce sníží, a pokud je heslo prozrazeno, je ohrožen pouze jeden účet. Pamatujte si náhodná sekvence 10-20 znaků je poměrně obtížné a právě zde přicházejí na pomoc nástroje pro správu hesel, které vám umožní uložit je všechny na jednom místě. Je to jednoduché. V praxi většina lidí ignoruje složitá hesla, nemluvě o používání jedinečného hesla pro každý web a službu. U rozsáhlých úniků vidíme, že doporučení pro volbu hesla dodržuje málokdo. Postoj k utilitám pro správu hesel je také velmi skeptický. Koneckonců, pokud zapomenete heslo pro nástroj, ztratíte všechna hesla najednou a pokud je odpovídající program nebo služba hacknuta, útočník získá přístup ke všem vašim informacím v plném rozsahu. Vědci proto doporučují používat jednoduchá hesla na stránkách, kde jsou uložena data, která nemají zvláštní hodnotu, a ponechat složitá hesla k bankovním účtům. Je jen na vás, jak se rozhodnete. Pokud i přes doporučení bezpečnostních expertů budete i nadále neustále používat jednoduchá hesla, může mít smysl zvolit tento přístup.

Hackování a cena počítačových hesel

Hackování hesel je jedním z běžných typů útoků na informační systémy, které využívají ověřování pomocí hesla nebo uživatelského jména a hesla. Podstata útoku spočívá v tom, že se útočník zmocní hesla uživatele, který má právo se přihlásit do systému.

Atraktivita útoku pro útočníka spočívá v tom, že pokud úspěšně získá heslo, zaručeně získá všechna práva uživatele, jehož účet byl kompromitován, a navíc přihlášení pod existujícím účtem obvykle způsobí menší podezření mezi správci systému. .

Technicky lze útok realizovat dvěma způsoby: vícenásobnými pokusy o přímou autentizaci v systému nebo analýzou hash hesel získaných jiným způsobem, například zachycením provozu.

Lze použít následující přístupy:

• Přímé vyhledávání. Prohledávání všech možných kombinací znaků povolených v hesle.
• Výběr slovníku. Metoda je založena na předpokladu, že heslo používá existující slova jazyka nebo jejich kombinace.
• Metoda sociálního inženýrství. Na základě předpokladu, že uživatel použil jako heslo osobní údaje, jako je jeho jméno nebo příjmení, datum narození atd.

K provedení útoku bylo vyvinuto mnoho nástrojů, například John the Ripper.

Kritéria síly hesla

Na základě přístupů k provedení útoku je možné formulovat kritéria pro sílu hesla proti němu.

• Heslo by nemělo být příliš krátké, protože to usnadňuje prolomení hrubou silou. Nejběžnější minimální délka je osm znaků. Ze stejného důvodu by se nemělo skládat pouze z čísel.
• Heslo by nemělo být slovem ze slovníku nebo jejich jednoduchou kombinací, což zjednodušuje jeho výběr ze slovníku.
• Heslo by se nemělo skládat pouze z veřejně dostupné informace o uživateli.

Mezi doporučení pro vytvoření hesla patří použití kombinace slov s čísly a speciálními znaky (#, $, * atd.), používání méně obvyklých nebo neexistujících slov a zachování minimální délky.

Společnost Microsoft provedla studii bezpečnostních systémů v létě 2014 a zjistila, že pro weby, které neukládají osobní údaje, je nejlepší používat krátká a jednoduchá hesla. K ochraně svých účtů na webových zdrojích obsahujících bankovní údaje, jména, příjmení, hesla atd. byste měli používat dlouhá a složitá hesla.

Opětovné použití hesla je pro bezpečnostní profesionály tabu posledních letech po obrovském množství kybernetických hacků a úniků osobních údajů. Doporučení odborníků se zdají celkem logická.

Hackeři s e-mailovými adresami a hesly by mohli tyto přihlašovací údaje použít proti jiným webům, aby k nim získali nelegální přístup. na oplátku opětovné použití heslo na stránkách s nízkým stupněm ochrany proti kybernetickému hackingu je nutné, aby si je uživatelé mohli zapamatovat unikátní kódy, vybrané pro vážnější zdroje. Odborníci Microsoftu stále doporučují, aby uživatelé používali jednoduchá hesla na bezplatných webech, které neobsahují důležité informace. Podle odborníků na IT je nejlepší se dlouho „držet zpátky“. unikátní hesla pro bankovní webové stránky a další úložiště důvěrných informací.

Hesla jsou jako spodní prádlo: pravidelně je měňte a neukazujte je na veřejnosti

Čísla a velká a malá písmena heslo nezpevní

Vědec z University of Glasgow a jeho kolega z výzkumné laboratoře Symantec zjistili, že čísla a velká písmena nezvyšují bezpečnost hesla. Výsledky byly publikovány na podzim 2015 ve sborníku ACM CSS 2015.

Výzkumníci použili inteligentní algoritmy, které byly dříve trénovány na databázi představující 10 milionů hesel dostupných online v otevřený formulář. Dále testovali účinnost algoritmů na 32 milionech dalších hesel. Ukázalo se, že velká čísla a symboly vám nedovolí heslo zkomplikovat. Tohoto efektu lze dosáhnout prodloužením hesla nebo použitím speciálních znaků.

Vědci tvrdí, že lidé mají tendenci používat velká písmena na začátku hesla a čísla na konci. Aby bylo heslo bezpečnější, je podle autorů potřeba jej prodloužit a přidat speciální znaky.

Metody obrany proti útoku

Metody ochrany lze rozdělit do dvou kategorií: zajištění odolnosti vůči hacknutí samotného hesla a zabránění provedení útoku. Prvního cíle lze dosáhnout kontrolou nastaveného hesla, aby splňovalo kritéria složitosti. Pro takovou kontrolu existují automatizovaná řešení, obvykle pracující ve spojení s nástroji pro změnu hesla, například cracklib.

Druhým cílem je zabránit tomu, aby byl hash unesen přenášené heslo a ochranu proti vícenásobným pokusům o ověření v systému. Chcete-li zabránit odposlechu, můžete použít zabezpečené (šifrované) komunikační kanály. Aby útočník ztížil výběr prostřednictvím vícenásobné autentizace, obvykle stanoví limit na počet pokusů za jednotku času (příklad nástroje: fail2ban) nebo povolí přístup pouze z důvěryhodných adres.

Komplexní řešení centralizované autentizace, jako je Red Hat Directory Server nebo Active Directory, již obsahují nástroje pro provádění těchto úkolů.

Generování hesla

V unixovém stylu operační systémy můžete použít nástroj pwgen. Například

vygeneruje 1 heslo o délce 10 znaků.

Metody přenosu hesla po síti

Snadný přenos hesla

Heslo se přenáší jako prostý text. V tomto případě jej lze zachytit pomocí jednoduché prostředky sledování síťového provozu.

Přenos prostřednictvím šifrovaných kanálů

Riziko zachycení hesel přes internet lze kromě jiných přístupů snížit použitím protokolu Transport Layer Security TLS, dříve nazývaného SSL, takové funkce jsou zabudovány do mnoha internetových prohlížečů.

Na základě hash

Heslo se přenáší na server jako hash (například při odesílání formuláře na webové stránce je heslo převedeno na hash md5, když Nápověda JavaScriptu) a na serveru je výsledný hash porovnán s hashem uloženým v databázi. Tento způsob přenosu hesla snižuje riziko získání hesla pomocí snifferu.

Vícefaktorová (dvoufaktorová) autentizace

Pravidla pro správu uživatelských hesel

Obecné metody pro zlepšení bezpečnosti software systémy chráněné heslem zahrnují:

• Omezení minimální délky hesla (některé Unixové systémy hesla jsou omezena na 8 znaků).
• Po určité době nečinnosti vyžaduje opětovné zadání hesla.
• Vyžaduje pravidelné změny hesla.
• Přidělování silných hesel (generovaných pomocí hardwarového zdroje náhodná čísla, nebo pomocí generátoru pseudonáhodných čísel, jehož výstup je zpracováván perzistentními hašovacími transformacemi).

Pro vlastní bezpečnost Při vytváření hesla musí uživatel zvážit několik faktorů:

• pokud je to možné, jeho délka by měla být více než 8 znaků;
• heslo nesmí obsahovat prvky slovníku;
• Musí se používat nejen malá, ale i velká písmena;
• Heslo se musí skládat z čísel, písmen a symbolů;
• heslo se musí lišit od přihlašovacího jména (uživatelského jména);
• Při registraci na každé nové stránce se musí změnit heslo

Co můžete použít místo hesla?

Četné typy opakovaně použitelných hesel mohou být kompromitovány a přispěly k vývoji dalších metod. Některé z nich se stávají dostupnými pro uživatele, kteří hledají bezpečnější alternativu.

• Jednorázová hesla
• Technologie jednotného přihlašování
• OpenID

Rozpoznávání podpisů – spolehlivá náhrada hesel?

Kdykoli zaplatíte bankovní karta nebo jsou nuceni podepsat digitální obrazovku elektronickou tužkou, slouží k potvrzení vaší identity systémy rozpoznávání podpisů. V tomto případě systém porovná váš podpis se vzorovým podpisem uloženým v bankovním systému.

Nejedná se však o jednoduché srovnání dvou obrázků. Speciální bezpečnostní program nejen umístí dva obrázky vedle sebe, aby zkontroloval, zda se shodují, nebo zda jsou si alespoň podobné. Ve skutečnosti systém rozpoznávání podpisů porovnává způsob, jakým byly tyto dva obrázky vytvořeny, a hledá stejný vzorec chování.

Výhody a nevýhody

I když se může zdát snadné padělat podpis, je téměř nemožné napodobit rychlost a tlak psaní. Systémy rozpoznávání podpisů tedy využívají nejvíce pokročilé technologie, stát se ideální náhradou hesel při transakcích, například s firemními bankovními účty.

Stejně jako všechny ostatní způsoby identifikace má však i tento své nevýhody. Jednou z hlavních nevýhod je, že z různých důvodů se každý z nás může podepisovat jinak, a to je vážný problém. Aby byl systém praktický, je důležité umět rozlišit například podpis psaný pomalu v důsledku nějakého zranění nebo v důsledku pokusu o jeho padělání.

Navíc to alespoň prozatím není úplně efektivní způsob přístup ke službám. Ve skutečnosti, když něco podepisujete, když za něco platíte, tato data se nepoužívají v reálném čase. Místo toho jsou data odeslána do vaší banky, kde budou později ověřena.

Přítomnost nedostatků v systémech rozpoznávání podpisů však stále nezavírá dveře této technologii. Je pravděpodobné, že budoucí korporace bankovní operace bude povoleno pouhým přihlášením na tabletu nebo chytrém telefonu.

Hesla založená na emodži

Podle léta 2015 britská společnost Intelligent Environments tvrdí, že vynalezla způsob, jak využít sérii emotikonů, obrázků vyjadřujících emoce, které nahradí digitální PIN kód na smartphonu, aby si to náš mozek snadněji zapamatoval. sekvence, protože si lidé snáze zapamatují vědomou sérii obrázků. Použití „emocionálního“ PIN je založeno na evoluční schopnosti lidí pamatovat si obrázky. Zvýšená složitost této metody navíc ztěžuje výběr PIN kódu.

Tradiční čtyřmístný PIN je čtyřmístný od 0 do 9 s opakováním – celkem 104 nebo 10 000 opakování. Počet „emocionálních obrázků“ je 444 nebo 3 748 096, což je mnohem více.

Stojí za zmínku, že tato technologie je s největší pravděpodobností budoucností, a to poměrně vzdálenou.

Historie hesel

Hesla se používala od pradávna. Polybius (201 př. n. l.) popisuje používání hesel ve starověkém Římě takto:

Způsob, jakým zajišťují bezpečný průjezd v noci, je následující: z deseti manipulů každé větve pěchoty a jízdy, které se nacházejí ve spodní části ulice, velitel vybere, kdo je osvobozen od strážní služby, a jde každý večer na tribunu a obdrží své heslo je dřevěná tabulka se slovem. Vrátí se ke své jednotce a pak jde s heslem a znamením dalšímu veliteli, který zase předá znamení dalšímu.

Model ochranného systému

Při budování systémů na ochranu před hrozbami porušení důvěrnosti informací v automatizovaných systémech se používá integrovaný přístup. Schéma tradičně budované vrstvené obrany je na Obr. 1.3.1.

Jak je patrné z výše uvedeného schématu, primární ochrana je realizována prostřednictvím implementovaných organizačních opatření a mechanismů pro kontrolu fyzického přístupu k AS. Následně ve fázi kontroly logický přístup, ochrana se provádí pomocí různých služeb zabezpečení sítě. Ve všech případech musí být paralelně nasazen soubor inženýrských a technických prostředků k ochraně informací, které blokují možnost úniku technickými kanály.

Podívejme se podrobněji na každý ze subsystémů zapojených do implementace ochrany.

1.3.2 Organizační a bezpečnostní opatření

Tyto mechanismy v obecný případ poskytnout :

• nasazení systému pro řízení a vymezení fyzického přístupu k prvkům automatizovaného systému.
• vytvoření služby ostrahy a fyzické ostrahy.
• organizační mechanismy pro kontrolu pohybu zaměstnanců a návštěvníků (pomocí video monitorovacích systémů, bezdotykových karet atd.);
• vývoj a implementace předpisů, popisy práce a podobné regulační dokumenty;
• úprava postupu při práci s médii obsahujícími důvěrné informace.

Aniž by byla ovlivněna logika provozu AS, jsou tato opatření, jsou-li správně a adekvátně implementována, mimořádně účinným ochranným mechanismem a jsou životně důležitá pro zajištění bezpečnosti každého reálného systému.

1.3.3. Identifikace a autentizace

Připomeňme si to níže identifikace Je běžné chápat přidělování jedinečných identifikátorů přístupovým subjektům a porovnání těchto identifikátorů se seznamem možných. na oplátku autentizace se rozumí ověření, že subjekt přístupu vlastní jím předložený identifikátor a potvrzení jeho pravosti.

Úkolem identifikace je tedy odpovědět na otázku „kdo to je?“ a autentizace je „je to skutečně on?“

Základní schéma identifikace a autentizace je na Obr. 1.3.2.

Výše uvedený diagram bere v úvahu možné chyby operátora během autentizační procedury: pokud autentizace není dokončena, ale platné číslo nebyly překročeny pokusy, je uživatel vyzván, aby znovu prošel procedurou identifikace a autentizace.

Celou sadu aktuálně používaných autentizačních metod lze rozdělit do 4 velkých skupin:

1. Metody založené na znalosti nějaké tajné informace. Klasickým příkladem takových metod je ochrana heslem když je jako prostředek autentizace uživatel požádán o zadání hesla - určité sekvence znaků. Tyto metody ověřování jsou nejběžnější.
2. Metody založené na použití unikátní položky. Takovou položkou může být čipová karta, token, elektronický klíč atd.
3. Metody založené na využití biometrických charakteristik člověka. V praxi se nejčastěji používá jedna nebo více z následujících biometrických charakteristik:
   • otisky prstů;
   • vzor sítnice nebo duhovky oka;
   • tepelné kreslení ruky;
   • fotografie nebo termokresba obličeje;
   • rukopis (malba);
   • hlas.
     Nejpoužívanějšími snímači jsou snímače otisků prstů a snímače sítnice a duhovky.
4. Metody založené na informacích spojených s uživatelem. Příkladem takové informace mohou být souřadnice uživatele určené pomocí GPS asistence. Tento přístup je nepravděpodobné, že bude použit jako jediný autentizační mechanismus, ale je docela přijatelný jako jeden z několika sdílených mechanismů.

Rozšířená praxe sdílení několik z výše uvedených mechanismů - v takových případech mluvíme vícefaktorové ověřování.

Vlastnosti systémů ověřování hesla

Se vší rozmanitostí existujících ověřovacích mechanismů zůstává nejběžnějším z nich ochrana heslem. To má několik důvodů, z nichž si všimneme následujících:

• Relativní snadnost implementace. Implementace mechanismu ochrany heslem obvykle nevyžaduje další hardware.
• Tradičnost. Mechanismy ochrany heslem zná většina uživatelů automatizovaných systémů a nezpůsobují psychické odmítnutí – na rozdíl například od skenerů obrazu sítnice.

Systémy ochrany heslem se zároveň vyznačují paradoxem, který komplikuje jejich efektivní implementaci: silná hesla nejsou pro lidské použití příliš vhodná. Síla hesla se skutečně zvyšuje, jak se stává složitějším; ale čím je heslo složitější, tím je obtížnější si jej zapamatovat a uživatel je v pokušení zapsat si nepohodlné heslo, které vytváří další kanály aby ho zdiskreditoval.

Pojďme se blíže podívat na to hlavní bezpečnostní hrozby pro systémy hesel. Obecně platí, že heslo může útočník získat jedním ze tří hlavních způsobů:

1. Využíváním slabin lidského faktoru. Způsoby získávání hesel zde mohou být velmi odlišné: špehování, odposlouchávání, vydírání, vyhrožování a nakonec používání cizích účty se svolením jejich právoplatných vlastníků.
2. Podle výběru. Používají se následující metody:
   • Dokončete vyhledávání. Tato metoda umožňuje uhodnout jakékoli heslo bez ohledu na jeho složitost, avšak u silného hesla by čas potřebný k tomuto útoku měl výrazně překročit povolené časové zdroje útočníka.
   • Výběr slovníku. Významnou část hesel používaných v praxi tvoří smysluplná slova nebo výrazy. Existují slovníky nejrozšířenějších hesel, které se v mnoha případech obejdou bez hrubé síly.
   • Výběr pomocí informací o uživateli. Tato inteligentní metoda výběru hesla je založena na skutečnosti, že pokud systémová bezpečnostní politika umožňuje uživatelům nezávisle přidělovat hesla, pak bude v naprosté většině případů vybráno určité heslo. osobní údaje, spojený s uživatelem AC. A ačkoli takové informace mohou být cokoli od narozenin vaší tchyně po přezdívku vašeho oblíbeného psa, informace o uživateli vám umožní zkontrolovat nejběžnější možnosti (narozeniny, jména dětí atd.).
3. Využitím nedostatků v implementaci systémů hesel. Mezi takové implementační chyby patří zneužitelná zranitelnost síťových služeb, které implementují určité součásti systému ochrany heslem, nebo nedeklarované schopnosti odpovídajícího softwaru nebo hardwaru.

Při budování systému ochrany heslem je nutné vzít v úvahu specifika AS a řídit se výsledky provedené analýzy rizik. Současně lze poskytnout následující praktická doporučení:

• Nastavení minimální délky hesla. Je zřejmé, že regulace minimální povolené délky hesla ztěžuje útočníkovi uhodnout heslo hrubou silou.
• Zvýšení síly abecedy hesel. Zvýšením výkonu (kterého je dosaženo např povinné použití speciální znaky) můžete také zkomplikovat vyčerpávající hledání.
• Kontrola a odmítání hesel pomocí slovníku. Tento mechanismus ztěžuje uhodnutí hesel pomocí slovníku tím, že odmítne hesla, která lze samozřejmě snadno uhodnout.
• Instalace maximální termín akce s heslem. Vypršení platnosti hesla omezuje dobu, kterou může útočník strávit pokusem o uhodnutí hesla. Zkrácení doby platnosti hesla tedy snižuje pravděpodobnost úspěšného uhodnutí hesla.
• Nastavení minimálního věku hesla. Tento mechanismus zabraňuje uživateli okamžitě změnit nové heslo na předchozí.
• Odmítnutí na základě protokolu historie hesel. Mechanismus zabraňuje opětovnému použití hesel - možná dříve kompromitovaných.
• Omezení počtu pokusů o zadání hesla. Odpovídající mechanismus ztěžuje interaktivní hádání hesla.
• Vynucená změna hesla při prvním přihlášení uživatele. Pokud prvotní generování hesel pro všechny uživatele provádí administrátor, může být uživatel při prvním přihlášení požádán o změnu původního hesla – v tomto případě se nové heslo administrátorovi nedozví.
• Vstupní zpoždění nesprávné heslo . Mechanismus zabraňuje interaktivnímu hádání hesla.
• Zabránění uživateli zvolit si heslo a automaticky heslo vygenerovat. Tento mechanismus vám umožňuje zaručit sílu generovaných hesel – nezapomeňte však, že v tomto případě budou mít uživatelé nevyhnutelně problémy se zapamatováním si hesel.

Posouzení síly systémů hesel

Zhodnoťme elementární vztahy mezi hlavními parametry systémů hesel. Představme si následující zápis:

• A – síla abecedy hesla;
• L – délka hesla;
• S=A L – síla prostoru hesla;
• V – rychlost výběru hesla;
• T – doba platnosti hesla;
• P – pravděpodobnost uhodnutí hesla během doby jeho platnosti.

Je zřejmé, že platí následující vztah:

Typicky lze rychlost hádání hesla V a dobu platnosti hesla T považovat za známé. V tomto případě zadáním přijatelné hodnoty pravděpodobnosti P uhodnutí hesla během doby jeho platnosti můžete určit požadovanou sílu prostoru pro hesla S.

Všimněte si, že snížení rychlosti hádání hesla V snižuje pravděpodobnost hádání hesla. Z toho zejména vyplývá, že pokud jsou hesla vybírána výpočtem hashovací funkce a porovnáním výsledku s daná hodnota, pak použití pomalé hašovací funkce zajistí větší sílu systému hesel.

Způsoby ukládání hesel

Obecně jsou možné tři mechanismus pro ukládání hesel v AS :

1. OTEVŘENO. Tato možnost samozřejmě není optimální, protože automaticky vytváří mnoho kanálů pro únik informací o hesle. Skutečná potřeba ukládat hesla v čistém textu je extrémně vzácná a obvykle je takové řešení důsledkem neschopnosti vývojáře.
2. Jako hash hodnotu. Tento mechanismus je vhodný pro kontrolu hesel, protože hodnoty hash jsou jedinečně spojeny s heslem, ale samy o sobě nejsou pro útočníka zajímavé.
3. Zašifrováno. Hesla lze zašifrovat pomocí nějakého kryptografického algoritmu a šifrovací klíč lze uložit:
   • na jednom ze stálých prvků systému;
   • na nějakém médiu (elektronický klíč, čipová karta atd.) předloženém při inicializaci systému;
   • klíč lze vygenerovat z některých dalších bezpečnostních parametrů AS - například z hesla administrátora při inicializaci systému.

Přenos hesel přes síť

Nejběžnější možnosti implementace jsou:

1. Předávání hesel v čistém textu. Tento přístup je extrémně zranitelný, protože hesla mohou být zachycena v komunikačních kanálech. Navzdory tomu se mnoho používá v praxi síťových protokolů(například FTP) vyžadují přenos hesel v prostém textu.
2. Předávání hesel jako hash někdy se s ním v praxi setkáváme, ale obvykle to nedává smysl – hash hesel může útočník zachytit a znovu přenést přes komunikační kanál.
3. Přenos hesel v zašifrované podobě ve většině případů je to nejrozumnější a nejodůvodněnější varianta.

1.3.4. Kontrola přístupu

Pod řízení přístupu Všeobecně se rozumí stanovení pravomocí subjektů k další kontrole oprávněného využívání zdrojů dostupných v systému. Je zvykem rozlišovat dvě hlavní způsob řízení přístupu: dobrovolné a povinné.

Diskreční se nazývá řízení přístupu mezi pojmenovanými subjekty a pojmenovanými objekty. V praxi lze diskreční řízení přístupu realizovat např. pomocí přístupové matice (obr. 1.3.4).

Jak je vidět z obrázku, přístupová matice definuje přístupová práva pro každého uživatele ve vztahu ke každému zdroji.

Je zřejmé, že namísto přístupové matice lze použít seznamy oprávnění: například každému uživateli může být přiřazen seznam zdrojů, které má k dispozici s odpovídajícími právy, nebo může být každý zdroj spojen se seznamem uživatelů s uvedením jeho práv. pro přístup k danému zdroji.

Povinná kontrola přístupu obvykle implementován jako řízení přístupu založené na úrovních zabezpečení. Oprávnění každého uživatele jsou nastavena v souladu s maximální úrovní soukromí, do které je povolen. V tomto případě musí být všechny prostředky AS klasifikovány podle úrovní soukromí.

Zásadní rozdíl mezi dobrovolným a povinným řízením přístupu je následující: pokud v případě dobrovolného řízení přístupu určuje práva pro přístup ke zdroji pro uživatele jeho vlastník, pak v případě povinného řízení přístupu se úrovně soukromí nastavují externě. a vlastník zdroje je nemůže ovlivnit. Samotný výraz „povinný“ je neúspěšným překladem slova „povinný“. Povinná kontrola přístupu by tedy měla být chápána jako vynucená.

1.3.5. Kryptografické metody pro zajištění důvěrnosti informací

K zajištění důvěrnosti informací se používají následující kryptografická primitiva:

Symetrické a asymetrické kryptosystémy, stejně jako jejich různé kombinace, se v AS používají především k šifrování dat na různých médiích a k šifrování provozu.

1.3.6. Způsoby ochrany vnějšího obvodu

Bezpečnostní subsystém vnější obvod automatizovaný systém obvykle zahrnuje dva hlavní mechanismy: prostředky firewall a nástroje pro detekci narušení. Při řešení souvisejících problémů jsou tyto mechanismy často implementovány v rámci stejného produktu a fungují jako jeden celek. Každý z mechanismů je přitom soběstačný a zaslouží si samostatnou úvahu.

Firewall

Firewall(ME) plní funkce vymezení informačních toků na hranici chráněného automatizovaného systému. To vám umožní:

• zvýšit bezpečnost objektů ve vnitřním prostředí ignorováním neoprávněných požadavků z vnějšího prostředí;
• řídit informační toky do vnějšího prostředí;
• zajistit registraci procesů výměny informací.

Informační toky jsou řízeny prostřednictvím filtrováníinformace, tj. analyzovat jej podle souboru kritérií a rozhodnout o distribuci do nebo z AS.

V závislosti na principu fungování je jich několik třídy firewallu. Hlavní klasifikační znak je úroveň modelu ISO/OSI, na kterém ME funguje.

Většina aktuálně používaných firewallů je klasifikována jako expertní firewally. Nejznámější a nejrozšířenější firewally jsou CISCO PIX a CheckPoint FireWall-1.

Systémy detekce narušení

Detekce narušení je proces identifikace neoprávněného přístupu (nebo pokusů o neoprávněný přístup) ke zdrojům automatizovaného systému. Systém detekce narušení (IDS) je v obecném případě softwarový a hardwarový komplex, který tento problém řeší.

Obecná struktura IDS je znázorněna na Obr. 1.3.6.2:

Funkční algoritmus systému IDS je znázorněn na Obr. 1.3.6.3:

Jak je vidět z obrázků, fungování IDS systémů je v mnoha ohledech podobné firewallům: senzory přijímají síťový provoz a jádro se porovnáváním přijatého provozu se záznamy existující databáze signatur útoku snaží identifikovat stopy neautorizovaných pokusy o přístup. Modul odezvy je volitelná součást, kterou lze použít k rychlému zablokování hrozby: lze pro ni například vygenerovat pravidlo firewall blokuje zdroj útoku.

Existují dva hlavní Kategorie systému IDS:

1. IDS na úrovni sítě.
   V takových systémech senzor pracuje na hostiteli vyhrazeném pro tyto účely v chráněném segmentu sítě. Obvykle síťový adaptér Tento hostitel pracuje v promiskuitním režimu, který vám umožňuje analyzovat veškerý síťový provoz procházející segmentem.
2. IDS na úrovni hostitele.
   Pokud senzor pracuje na úrovni hostitele, lze pro analýzu použít následující informace:
   • evidence standardní prostředky protokolování operačního systému;
   • informace o použitých zdrojích;
   • profily očekávaného chování uživatelů.

Každý typ IDS má své výhody a nevýhody. IDS na úrovni sítě není sníženo celkový výkon systémy, ale IDS na úrovni hostitele jsou efektivnější při odhalování útoků a umožňují analýzu aktivity spojené s jednotlivými hostiteli. V praxi je vhodné používat systémy, které oba popsané přístupy kombinují.

Existuje vývoj zaměřený na použití metod v systémech IDS umělá inteligence. Stojí za zmínku, že v současné době komerční produkty nejsouobsahují takové mechanismy.

1.3.7. Logování a auditování

Subsystém protokolování a auditu je povinná složka jakýkoli reproduktor. Logování nebo registrace, je mechanismus odpovědnosti systému zabezpečení informací, který zaznamenává všechny události související s otázkami bezpečnosti. na oplátku audit– jedná se o analýzu zaznamenaných informací za účelem rychlá identifikace a předcházení porušování režimu informační bezpečnosti.

Systémy detekce narušení na hostitelské úrovni lze považovat za aktivní systémy auditu.

Účel mechanismus registrace a auditu:

• zajištění odpovědnosti uživatele a správce;
• zajištění možnosti rekonstrukce sledu událostí (což může být nezbytné např. při vyšetřování incidentů souvisejících s informační bezpečností);
• detekce pokusů o narušení bezpečnosti informací;
• poskytování informací k identifikaci a analýze nezabezpečených technických problémů.

Zaprotokolovaná data jsou umístěna log, což je chronologicky uspořádaný soubor záznamů o výsledcích činnosti subjektů AS, dostatečný k obnovení, prohlížení a analýze sledu akcí za účelem kontroly konečného výsledku.

Typický záznam protokolu vypadá takto (obr. 1.3.7.1).

Vzhledem k tomu, že systémové protokoly jsou hlavním zdrojem informací pro následné audity a detekci narušení bezpečnosti, je otázka bezpečnosti systémové protokoly Je třeba dbát maximální opatrnosti proti neoprávněným úpravám. Logovací systém musí být navržen tak, aby žádný uživatel (včetně administrátorů!) nemohl svévolně upravovat položky systémového logu.

Neméně důležitá je otázka, jak jsou systémové logy uloženy. Protože soubory protokolu jsou uloženy na nějakém typu média, nevyhnutelně vyvstává problém s přetečením maximální povolené velikosti systémového protokolu. V tomto případě může být reakce systému odlišná, například:

• systém může být zablokován, dokud nebude vyřešen problém s dostupným místem na disku;
• Nejstarší položky systémového protokolu lze automaticky smazat;
• systém může pokračovat ve funkci dočasným pozastavením protokolování informací.

Nepochybně, poslední možnost ve většině případů je nepřijatelné a ukládání systémových protokolů by mělo být jasně upraveno v bezpečnostní politice organizace.