Métodos de protección con contraseña, organización de la protección con contraseña, contraseñas de un solo uso. Proteja la información usando una contraseña. Soluciones estándar para organizar sistemas clave

Métodos de protección con contraseña, organización de la protección con contraseña, contraseñas de un solo uso. Proteja la información usando una contraseña. Soluciones estándar para organizar sistemas clave

La visión de los problemas que surgen en relación con la necesidad de garantizar la seguridad de la información en una empresa moderna es radicalmente diferente de las ideas que dominaban hace apenas diez años. Formalmente, el conjunto de requisitos para los sistemas de seguridad todavía encaja en la tríada clásica: confidencialidad, integridad y disponibilidad. Sin embargo, a estos “tres pilares” se le ha añadido otro requisito (principalmente debido a la intensificación del intercambio de documentos electrónicos): la rendición de cuentas.

En diccionarios especializados nacionales. este término traducido como “una oportunidad para que los responsables de la protección de la información restablezcan el proceso de una violación o intento de violación de la seguridad de un sistema de información”, lo que no refleja plenamente su significado. Este concepto incluye las obligaciones de la fuente por la información que se le transmite, incluida la imposibilidad de rechazarla, y la responsabilidad del destinatario por la información recibida, en primer lugar, la imposibilidad de rechazarla. Pero la implementación de estos requisitos en las condiciones modernas está cambiando notablemente y una de las tendencias es una integración de los sistemas de información significativamente diferente a la anterior.

Una de las manifestaciones de la nueva actitud hacia la cultura de la seguridad debe considerarse la dirección de la gestión segura de contenidos, cuyo nombre puede traducirse como "gestión segura de contenidos" o, más bien, "gestión de seguridad de contenidos". A veces también se le llama “seguridad de contenido basada en políticas”.

Las tecnologías relevantes incluyen necesariamente mecanismos antivirus, antispam y herramientas antiphishing. Además, esta categoría también incluye el filtrado de contenido, que incluye proporcionar control sobre el acceso de los usuarios a Internet, administrar el acceso de los empleados a Internet, escanear (más precisamente, ilustrar) los mensajes salientes y entrantes. correos electrónicos, análisis de códigos móviles maliciosos y protección contra ellos.

2.1.Identificación y autenticación

La base de cualquier sistema de seguridad de un sistema de información es la identificación y autenticación, ya que todos los mecanismos de seguridad de la información están diseñados para funcionar con sujetos y objetos nombrados del AS. Recordemos que los sujetos AS pueden ser tanto usuarios como procesos, y los objetos AS pueden ser información y otros recursos de información del sistema.

Asignar un identificador personal para acceder a sujetos y objetos y compararlo con una lista determinada se llamaidentificación . La identificación garantiza las siguientes funciones:

establecer la autenticidad y determinar las facultades del sujeto al momento de su ingreso al sistema;

control de los poderes establecidos en el proceso de trabajo;

registro de acciones, etc.

Autenticación (autenticación) Se denomina comprobar la propiedad del identificador presentado por el sujeto de acceso y confirmar su autenticidad.. En otras palabras, la autenticación consiste en comprobar si la entidad que se conecta es quien dice ser.

Si la autenticidad del sujeto se establece durante el proceso de autenticación, entonces el sistema de seguridad de la información debe determinar sus poderes (conjunto de derechos). Esto es necesario para el posterior control y diferenciación del acceso a los recursos.

Según el componente controlado del sistema, los métodos de autenticación se pueden dividir en autenticación de socios de comunicación y autenticación de la fuente de datos. La autenticación de los socios de comunicación se utiliza al establecer (y verificar periódicamente) una conexión durante una sesión. Sirve para prevenir amenazas como el enmascaramiento y la repetición de la sesión de comunicación anterior. La autenticación de la fuente de datos es la confirmación de la autenticidad de la fuente de un solo dato.

En términos de dirección, la autenticación puede ser unidireccional (el usuario demuestra su autenticidad al sistema, por ejemplo, al iniciar sesión en el sistema) y bidireccional (mutua).

Normalmente, los métodos de autenticación se clasifican según los medios utilizados. En este caso, estos métodos se dividen en cuatro grupos:

1. Basado en el conocimiento por parte de una persona con derecho a acceder a los recursos del sistema de cierta información secreta: una contraseña.

2. Basado en el uso de un elemento único: token, tarjeta electrónica, etc.

3. Basado en la medición de parámetros biométricos humanos: atributos fisiológicos o de comportamiento de un organismo vivo.

4. Basado en información asociada al usuario, por ejemplo, sus coordenadas.

Echemos un vistazo a estos grupos.

1. Los métodos de autenticación simples y familiares más comunes son los que se basan en contraseñas: identificadores secretos de los sujetos. Las contraseñas se han integrado desde hace mucho tiempo en los sistemas operativos y otros servicios. Aquí, cuando el sujeto ingresa su contraseña, el subsistema de autenticación la compara con la contraseña almacenada de forma cifrada en la base de datos de referencia. Si las contraseñas coinciden, el subsistema de autenticación permite el acceso a los recursos de AS.

Los métodos de contraseña deben clasificarse según el grado en que se pueden cambiar las contraseñas:

Métodos que utilizan contraseñas permanentes (reutilizables)

Métodos que utilizan contraseñas de un solo uso (que cambian dinámicamente).

La mayoría de los oradores utilizan contraseñas reutilizables. En este caso, la contraseña del usuario no cambia de una sesión a otra durante el período de validez establecido por el administrador del sistema. Esto simplifica los procedimientos de administración, pero aumenta el riesgo de que se comprometa la contraseña.

Hay muchas formas conocidas de descifrar una contraseña: desde mirar por encima del hombro hasta interceptar una sesión de comunicación. La probabilidad de que un atacante abra una contraseña aumenta si la contraseña es significativa, de corta longitud, escrita en un registro, no tiene restricciones en cuanto a la duración de su existencia, etc. Es importante si se permite ingresar la contraseña solo en el diálogo modo o si es posible acceder a él desde el programa.

Una forma más segura es utilizar contraseñas de un solo uso o que cambian dinámicamente. Se conocen los siguientes métodos. protección con contraseña basado en contraseñas de un solo uso:

Métodos para modificar el esquema de contraseña simple;

Métodos de solicitud-respuesta;

Métodos funcionales.

En el primer caso, el usuario recibe una lista de contraseñas. Durante la autenticación, el sistema solicita al usuario una contraseña, cuyo número en la lista está determinado por una ley aleatoria. La longitud y el número de secuencia del carácter inicial de la contraseña también se pueden configurar de forma aleatoria. Cuando se utiliza el método de desafío-respuesta, el sistema le hace algunas preguntas al usuario. general, cuyas respuestas correctas solo las conoce un usuario específico.

Los métodos funcionales se basan en el uso de una función especial de conversión de contraseña. Esto hace posible cambiar (según alguna fórmula) las contraseñas de usuario con el tiempo. La función especificada debe cumplir los siguientes requisitos:

Para una contraseña determinada, x es fácil de calcular Nueva contraseña ;

Conociendo x e y, es difícil o imposible determinar la función

Los ejemplos más famosos de métodos funcionales son: el método de transformación funcional y el método de apretón de manos.

La idea del método de transformación funcional es cambiar periódicamente la función misma. Esto último se logra mediante la presencia en la expresión funcional de parámetros que cambian dinámicamente, por ejemplo, una función de una fecha y hora determinadas. Se informa al usuario de la contraseña inicial, la función real y la frecuencia de cambio de contraseña. Es fácil ver que las contraseñas del usuario para periodos de tiempo determinados serán las siguientes: x, f(x), f(f(x)), ..., f(x)n-1.

El software más famoso. generador de contraseñas de un solo uso es el sistema S / CLAVE de Bellcore. El sistema S/KEY tiene el estatus de estándar de Internet (RFC 1938).

El método de apretón de manos es el siguiente. La función de conversión de contraseña sólo la conocen el usuario y el sistema de seguridad. Al ingresar al AS, el subsistema de autenticación genera una secuencia aleatoria incógnita, que se envía al usuario. El usuario calcula el resultado de la función. y=F(incógnita) y lo devuelve al sistema. El sistema compara su propio resultado calculado con el recibido del usuario. Si los resultados especificados coinciden, la autenticidad del usuario se considera probada.

La ventaja del método es que se minimiza la transmisión de cualquier información que podría ser utilizada por un atacante.

Recientemente, se han generalizado los métodos de identificación combinados que requieren, además de conocer la contraseña, la presencia de una tarjeta (token), un dispositivo especial que confirma la autenticidad del sujeto.

Las tarjetas se dividen en dos tipos:

Pasivo (tarjetas de memoria);

Activo (tarjetas inteligentes).

Las más habituales son las tarjetas pasivas con banda magnética, que se leen mediante un dispositivo especial que dispone de teclado y procesador. Al utilizar la tarjeta especificada, el usuario ingresa su número de identificación. Si coincide con la versión electrónica codificada en la tarjeta, el usuario accede al sistema. Esto le permite identificar de manera confiable a la persona que obtuvo acceso al sistema y evitar el uso no autorizado de la tarjeta por parte de un atacante (por ejemplo, si se pierde). Este método suele denominarse autenticación de dos factores.

A veces (generalmente para control de acceso físico) las tarjetas se utilizan solas, sin requerir un número de identificación personal.

La ventaja de utilizar tarjetas es que el procesamiento de la información de autenticación lo realiza el lector, sin ser transferido a la memoria de la computadora. Esto elimina la posibilidad de interceptación electrónica a través de canales de comunicación.

Las desventajas de las tarjetas pasivas son las siguientes: son mucho más caras que las contraseñas, requieren dispositivos de lectura especiales y su uso requiere procedimientos especiales para una contabilidad y distribución seguras. También es necesario protegerlos de los intrusos y, por supuesto, no dejarlos en dispositivos de lectura. Se conocen casos de falsificación de tarjetas pasivas.

La biometría es un conjunto de métodos automatizados para identificar y/o autenticar a las personas en función de sus características fisiológicas y de comportamiento. Los métodos de autenticación basados ​​en la medición de parámetros biométricos humanos (ver Tabla 2.1) proporcionan casi el 100% de identificación, resolviendo los problemas de pérdida de contraseñas e identificadores personales.

Sin embargo, estos métodos no se pueden utilizar para identificar procesos o datos (objetos de datos), ya que apenas están comenzando a desarrollarse (hay problemas de estandarización y distribución) y aún requieren equipos complejos y costosos. Esto determina hasta ahora su uso sólo en instalaciones y sistemas especialmente importantes.

Ejemplos de la implementación de estos métodos son los sistemas de identificación de usuarios basados ​​en el patrón del iris, las huellas de las palmas, la forma de las orejas, los patrones infrarrojos de los vasos capilares, la escritura, el olfato, el timbre de la voz e incluso el ADN.

Ejemplos de métodos biométricos Tabla 2.1.

Una nueva dirección es el uso de características biométricas en tarjetas de pago inteligentes, tokens de paso y elementos de comunicación celular. Por ejemplo, al pagar en una tienda, el titular de la tarjeta pone el dedo en el escáner para confirmar que la tarjeta es realmente suya.

Nombramos los atributos biométricos más utilizados y los sistemas correspondientes.

· Huellas dactilares. Estos escáneres son de tamaño pequeño, universales y relativamente económicos. La repetibilidad biológica de una huella dactilar es del 10-5%. Actualmente está siendo promovido por los organismos encargados de hacer cumplir la ley debido a las grandes asignaciones a archivos electrónicos de huellas dactilares.

· Geometría de la mano. Estos dispositivos se utilizan cuando los escáneres dactilares son difíciles de utilizar debido a suciedad o lesiones. La repetibilidad biológica de la geometría de la mano es aproximadamente del 2%.

· Iris. Estos dispositivos tienen la mayor precisión. La probabilidad teórica de que dos iris coincidan es de 1 en 1078.

· Imagen facial térmica. Los sistemas permiten identificar a una persona a una distancia de hasta decenas de metros. En combinación con la búsqueda en bases de datos, estos sistemas se utilizan para identificar a los empleados autorizados y descartar al personal no autorizado. Sin embargo, cuando cambia la iluminación, los escáneres faciales tienen una tasa de error relativamente alta.

· Voz. La verificación por voz es conveniente para su uso en aplicaciones de telecomunicaciones. La probabilidad de error es del 2 al 5%. Esta tecnología es adecuada para la verificación de voz a través de canales de comunicación telefónica y es más confiable que la marcación por frecuencia de un número personal. Hoy en día, se están desarrollando instrucciones para identificar a una persona y su estado mediante la voz: excitado, enfermo, diciendo la verdad, no en sí mismo, etc.

· Entrada de teclado. Aquí, al ingresar, por ejemplo, una contraseña, se monitorean la velocidad y los intervalos entre las pulsaciones de teclas.

· Firma. Los digitalizadores se utilizan para controlar las firmas manuscritas.

La tendencia más reciente en autenticación es demostrar la identidad de un usuario remoto en función de su ubicación. Este mecanismo de protección se basa en el uso de un sistema de navegación espacial, tipo de GPS(Sistema de Posicionamiento Global). Un usuario con equipo GPS envía repetidamente las coordenadas de satélites específicos ubicados en la línea de visión. El subsistema de autenticación, conociendo las órbitas de los satélites, puede determinar la ubicación del usuario con una precisión de hasta un metro. La alta fiabilidad de la autenticación está determinada por el hecho de que las órbitas de los satélites están sujetas a fluctuaciones bastante difíciles de predecir. Además, las coordenadas cambian constantemente, lo que niega la posibilidad de interceptarlas.

El equipo GPS es simple y confiable de usar y relativamente económico. Esto permite su uso en casos en los que un usuario remoto autorizado debe estar en la ubicación deseada.

Resumiendo las capacidades de las herramientas de autenticación, se pueden clasificar según el nivel de seguridad de la información en tres categorías:

1. Autenticación estática;

2. Autenticación sólida;

3. Autenticación constante.

La primera categoría brinda protección solo contra el acceso no autorizado en sistemas donde un atacante no puede leer la información de autenticación durante una sesión de trabajo. Un ejemplo de herramienta de autenticación estática son las contraseñas persistentes tradicionales. Su eficacia depende principalmente de la dificultad para adivinar las contraseñas y, de hecho, de su protección.

Para comprometer la autenticación estática, un atacante puede espiar, adivinar, adivinar o interceptar datos de autenticación, etc.

La autenticación sólida utiliza datos de autenticación dinámica que cambian con cada sesión. Las implementaciones de autenticación fuerte son sistemas que utilizan contraseñas de un solo uso y firmas electrónicas. La autenticación sólida proporciona protección contra ataques en los que un atacante puede interceptar información de autenticación e intentar utilizarla en sesiones futuras.

Sin embargo, una autenticación sólida no proporciona protección contra ataques activos, durante los cuales un atacante enmascarado puede rápidamente (durante la sesión de autenticación) interceptar, modificar e insertar información en el flujo de datos transmitido.

La autenticación persistente garantiza que cada bloque de datos transmitido esté identificado, evitando modificaciones o inserciones no autorizadas. Un ejemplo de implementación de esta categoría de autenticación es el uso de algoritmos para generar firmas electrónicas para cada bit de información transmitida.

Atrás

CAPÍTULO IV

TECNOLOGÍAS DE HACKING DE PROTECCIONES DE SOFTWARE

Evitar la difusión de información sobre ataques crea una peligrosa ilusión de seguridad...

Chris Kaspersky. Tecnología y filosofía ataques de piratas informáticos.

Programador experto en métodos. proteccion tecnica Sin duda, es necesario conocer la tecnología de protección contra piratería para, en primer lugar, no repetir errores. sistemas existentes y en segundo lugar, crear mecanismos más eficientes y fiables. El autor de la protección también debe conocer bien las herramientas de los piratas informáticos modernos y tener en cuenta las posibilidades. fondos existentes investigación de programas (depuradores, desensambladores, visores) a la hora de diseñar mecanismos y sistemas de protección de software.

En este capítulo, veremos las ideas, técnicas, algoritmos y tecnologías básicas que le permiten eliminar, eludir o piratear la protección del software. También daremos algunas recomendaciones para mejorar los mecanismos de protección.

Los experimentos para piratear el famoso estándar criptográfico estadounidense son ampliamente conocidos: Algoritmo DES (Estándar de cifrado de datos). Clave DES de 56 bits -El algoritmo fue inquebrantable durante unos veinte años. “... cayó el 17 de junio de 1997, 140 días después del inicio de la competencia (al mismo tiempo, se probaron y gastaron alrededor del 25% de todas las claves posibles). 450 MIPS -años " . En 1998, se informó de un hackeo. DES -algoritmo en 56 horas.

Con un fuerte salto en el rendimiento tecnología informática chocó primero algoritmo RSA, para revelar que es necesario resolver el problema de factorización. En marzo de 1994 se completó la factorización de un número de 129 dígitos (428 bits6), que duró 8 meses. Para ello participaron 600 voluntarios y 1.600 máquinas conectadas por correo electrónico. Gastado tiempo de la máquina era equivalente a aproximadamente 5.000 MIPS-años.

El 29 de enero de 1997, RSA Labs anunció un concurso para la disección algoritmo simétrico RC5. ¡La clave de 40 bits se reveló 3,5 horas después del inicio de la competición! (Esto ni siquiera requirió conectar computadoras a través de Internet; una red local de 250 máquinas en la Universidad de Berkeley fue suficiente). Después de 313 horas, también se abrió la clave de 48 bits [24].

Incluso un programador novato puede escribir un programa que construya todas las secuencias posibles de símbolos a partir de un conjunto secuencial enumerable dado. Evidentemente, el autor del cálculo de la defensa debería basarse en el hecho de que una búsqueda completa llevaría un período de tiempo superior al razonable. Y lo primero que utilizan los desarrolladores para esto es aumentar la longitud de la clave (contraseña). A su manera tienen razón. Pero

En primer lugar, como ya se señaló, la potencia de las computadoras está creciendo, y si una búsqueda completa ayer requirió un largo período de tiempo, lo más probable es que el tiempo que la computadora necesitará mañana sea aceptable para eliminar la protección.

Debido al fuerte crecimiento poder de computación Los ataques de fuerza bruta tienen muchas más posibilidades de éxito que antes. Si para el sistema UNIX la función crypt(), responsable del hash de contraseñas, se implementó de tal manera que tardó casi 1 segundo en ejecutarse en una máquina de clase PDP, entonces en veinte años la velocidad de su cálculo ha aumentado en 10.000 veces (!). Por lo tanto, si antes los piratas informáticos (y los desarrolladores que limitaban la longitud de la contraseña a 8 caracteres) ni siquiera podían imaginar una búsqueda completa, hoy un ataque de este tipo tendrá éxito en promedio en 125 días.

En segundo lugar, para aumentar la velocidad de enumeración, ya se han propuesto algoritmos efectivos que pueden mejorarse (generalmente basados ​​​​en lógica formal y utilizando la teoría de conjuntos, la teoría de la probabilidad y otras áreas de las matemáticas). Además, también se utilizan algoritmos. búsqueda rápida. (Por ejemplo, para atacar RSA y se proponen sistemas similares para utilizar la búsqueda de tablas autoorganizadas).

Además, ya se ha creado un equipo especial que realiza funciones de búsqueda.

Es importante tener en cuenta que almacenar una función hash de contraseña no elimina la posibilidad de un ataque de fuerza bruta, sino que sólo cambia el tiempo necesario para descifrarla. De hecho, ahora el programa que busca contraseñas debe complementarse calculando la función hash de cada opción y comparando el resultado con el estándar hash.

Prestemos atención a otra circunstancia relacionada con la protección basada en hash de contraseñas. Algunas funciones hash pueden devolver el mismo resultado que el original para una contraseña incorrecta. Para quitar la protección de en este caso solo encuentra cualquiera contraseña adecuada, lo que obviamente debilita la protección y reduce el coste del hackeo. (Las funciones hash tienen esta propiedad, dando un resultado comparable en longitud (en bits) a una contraseña).

Veamos otro tipo de técnica de búsqueda de contraseñas por fuerza bruta: la llamada Ataque de diccionario . Este es un método que se puede utilizar para descifrar una contraseña significativa. El método se basa en el hecho de que el usuario, para memorizar más fácilmente, selecciona una palabra (del diccionario) que existe en un determinado idioma. Teniendo en cuenta que no hay más de 100.000 palabras en cualquier idioma, es obvio que se realizará una búsqueda completa de palabras en el diccionario en un corto período de tiempo.

Hoy en día están muy extendidos los programas que seleccionan contraseñas basándose en palabras del diccionario. Ahora sólo un usuario irresponsable o perezoso puede decidirse por una contraseña significativa. Recordemos que, además de consultar el diccionario, estos programas “pueden” cambiar los casos de los caracteres, “conocer” los signos de puntuación, “adivinar” que el usuario puede invertir una palabra, unir dos palabras mediante un signo de puntuación o un número, etc. transformaciones.

Cabe destacar que los modernos medios de protección contra el acceso no autorizado, que permiten al usuario elegir de forma independiente una contraseña de acceso, están equipados con módulos que verifican que la contraseña seleccionada pertenezca a dichos diccionarios y, en este caso, no permiten el uso de la contraseña. .

Los programas que llevan a cabo ataques de diccionario funcionan con bastante rapidez, ya que implementan algoritmos de búsqueda y comparación eficientes. Por ejemplo, no utilizan una comparación lenta de cadenas, sino una comparación de sumas de comprobación, etc. Muchos de ellos ni siquiera contienen una base de datos de palabras, sino que utilizan diccionarios integrados en editores de texto comunes.

_____________________________

* La protección con contraseña debe usarse en los casos en que un ataque de fuerza bruta sea ineficaz o que el atacante no tenga acceso a herramientas informáticas suficientemente potentes para llevar a cabo un ataque de fuerza bruta (no debemos olvidarnos de la posibilidad de utilizar tecnologías de red). ).

* Para fortalecer la protección con contraseña, debe utilizar técnicas originales que reduzcan la velocidad de búsqueda de contraseñas.

* Puede fortalecer ligeramente la protección de la contraseña realizando dos comprobaciones (dependientes) en el programa: tanto la contraseña como el resultado de la función hash de la contraseña, mientras que en el nivel adecuado "oculta" el mecanismo de protección o, como mínimo, abandona comparación directa. En este caso, es aconsejable seleccionar específicamente una función hash que produzca una gran cantidad de contraseñas que coincidan con el estándar hash. Con esta implementación del mecanismo de defensa, el atacante necesitará atacar dos parámetros.

* La protección funciona aún más eficazmente si la contraseña (y mejor función contraseña) sirve como clave de cifrado para alguna parte del código del programa. En este caso, el cracker, después de probar todas las contraseñas posibles (lo que da un resultado hash determinado), tendrá que descifrar el código.

Tenga en cuenta que en este tipo de protección, es decir, cuando se verifican varios parámetros simultáneamente, una función hash que proporciona el resultado requerido para una gran cantidad de contraseñas complica significativamente el descifrado.

___________________________________________________________

Más detalles

1. Ejemplos de ataques a mecanismos de seguridad: Chris Kaspersky "Técnica y filosofía de los ataques de piratas informáticos".

2. Generación de secuencias de números pseudoaleatorios - Yu.S. Kharin, V.I. Bernik, G.V. Matveev “Fundamentos matemáticos de la criptología”, págs. 153-188; V. Zhelnikov "Criptografía del papiro a la computadora", págs. 181-207.

"Calificación 2017: 123456 - líder

Como informa Bleeping Computer, a esta conclusión llegaron los expertos de la empresa californiana SplashData (que produce administradores de contraseñas, incluidos TeamsID y Gpass) después de analizar millones de contraseñas que terminaron en Internet como resultado de varias filtraciones.

"123456" es una contraseña muy débil, pero las otras en la lista son cien peores contraseñas 2017 no es mejor. Los términos deportivos (fútbol, ​​béisbol, fútbol, ​​hockey, Lakers, jordan23, golfista, Rangers, Yankees), marcas de automóviles (Mercedes, Corvette, Ferrari, Harley) y expresiones (iloveyou, letmein, lo que sea, blabla) son muy populares.

Sea como fuere, los verdaderos líderes de la lista de las peores contraseñas son los nombres: Robert (#31), Matthew (#32), Jordan (#33), Daniel (#35), Andrew (#36), Andrea. (#38), Joshua (#40), George (#48), Nicole (#53), Hunter (#54), Chelsea (#62), Phoenix (#66), Amanda (#67), Ashley (# 69), Jessica (#74), Jennifer (#76), Michelle (#81), William (#86), Maggie (#92), Charlie (#95) y Martin (#96).

Las primeras 25 contraseñas del top 100 de las peores contraseñas de 2017:

1 - 123456 2 - contraseña 3 - 12345678 4 - qwerty 5 - 12345 6 - 123456789 7 - letmein 8 - 1234567 9 - fútbol 10 - iloveyou 11 - admin 12 - bienvenido 13 - mono 14 - iniciar sesión 15 - abc123 16 - starwars 1 7 - 123123 18 - dragón 19 - contraseña 20 - maestro 21 - hola 22 - libertad 23 - lo que sea 24 - qazwsx 25 - confianzano1

"Calificación 2016: 123456 - líder

En enero de 2017 se supo que 123456 sigue siendo la contraseña más popular del mundo. Así lo afirma un estudio publicado por Keeper Security. Según los investigadores, en 2016, al menos el 17% de los internautas utilizan o han utilizado esta contraseña en el pasado muy reciente.

El tema del estudio fue total 10 millones publicados online tras varios hackeos a gran escala. 123456 ocupó el primer lugar en popularidad. En el segundo, la contraseña "más compleja" 123456789, en el tercero, el "legendario" qwerty. También abundan 111111, 123123, 123321, google, 987654321 y otras combinaciones "complejas" que se seleccionan al azar.

Si bien los propios usuarios son los primeros a quienes se culpa por este desprecio por la seguridad básica, parte de la responsabilidad también recae en los propietarios de sitios que no intentan imponer reglas de contraseñas más estrictas y permiten combinaciones de contraseñas que son fáciles de adivinar o adivinar.


La publicación Keeper Security señala otro detalle interesante. La lista de las contraseñas más populares incluye combinaciones como 18atcskd2w y 3rjs1la7qe. Estas contraseñas parecen aleatorias, pero la frecuencia de su uso demuestra que no es así.

Según los investigadores, los bots utilizan habitualmente estas contraseñas para registrar automáticamente nuevas cuentas en servicios de correo electrónico. Estas cuentas luego se utilizan para spam y phishing.

Lo más probable es que esto signifique que los proveedores servicios postales No haga suficientes esfuerzos para combatir los bots: contraseñas idénticas "aleatorias" son un motivo claro para sospechar seriamente.

"Calificación" 2015: 123456 - líder

SplashData presenta las contraseñas más utilizadas cada año. La empresa obtiene información de fuentes que “filtran” las contraseñas de otras personas a una amplia variedad de sitios en Internet. En 2015, SplashData analizó 2 millones diferentes contraseñas, comparando los resultados con 2014.

La primera y segunda línea, como el año anterior, estuvieron ocupadas por las contraseñas “123456” y contraseña. Pasó al tercer lugar marcación digital"12345678", desplazando al más simple "12345". El famoso qwerty también subió un lugar y ocupó el cuarto lugar.

Cuando se trata de contraseñas "significativas", los nombres de deportes (fútbol y béisbol) siguen siendo igual de populares. También entre los “recién llegados” a la lista se encontraban Contraseñas Solo y Starwars, que se refieren claramente al lanzamiento de la secuela de la saga cinematográfica Star Wars. Ocuparon los lugares 23 y 25 en la cima, respectivamente.

"Calificación" 2014: 123456 - líder

Publicado en línea en septiembre de 2014. archivo de texto con 1,26 millones de inicios de sesión y contraseñas de cuentas Yandex. La empresa afirma que no es el resultado de un pirateo o una filtración. Los usuarios estiman que la contraseña "123456" aparece en el archivo unas 38 mil veces, "123456789" unas 13 mil veces, "111111" unas 9,5 mil y "qwerty" unas 7,7 mil. “7777777”, “123321”, “000000”, “666666”, etc.

"Rating" 2013: 123456 toma la delantera

En 2013, “contraseña” dejó de ser la contraseña más popular entre los usuarios de Internet, según SplashData, que publica la lista anual de las peores contraseñas.

La combinación de números “123456” le ganó el campeonato al líder de las peores contraseñas, la palabra “contraseña”, que cayó al segundo lugar en popularidad. Antes de esto, "contraseña" encabezó la clasificación durante dos años consecutivos, en 2011 y 2012.

La combinación “12345678” quedó en tercer lugar. Entre los diez primeros también se encuentran las siguientes contraseñas: “qwerty”, “abc123”, “123456789”, “111111”, “1234567”, “iloveyou” y “adobe123”.

La presencia de la contraseña "adobe123" entre los diez primeros se asocia con la mayor filtración de la historia, que expuso los datos de 150 millones de usuarios del desarrollador de Photoshop Adobe Systems.

"Rating" 2012: Contraseña - líder

El Informe de seguridad global 2012 de Trustwave se centra en las vulnerabilidades en la seguridad de la información de una empresa. Los autores del informe examinaron más de 300 incidentes en 18 países que ocurrieron en 2011.

El informe se centra en el continuo crecimiento de los ciberataques, así como en el aumento del número de atacantes en el ámbito de seguridad de la información.

La mayoría de los incidentes surgen como resultado de problemas organizativos y administrativos. El estudio encontró que el 76% de las violaciones se produjeron debido a vulnerabilidades de seguridad en los departamentos responsables del soporte y desarrollo del sistema de la empresa.

Gran parte de la investigación está dedicada al problema del uso de contraseñas débiles. Según los expertos de Trustwave, el 80% de los incidentes se producen como consecuencia de contraseñas débiles. Las contraseñas débiles siguen siendo una vulnerabilidad importante utilizada por los atacantes tanto en empresas grandes como pequeñas.

De hecho, el uso de contraseñas débiles y estándar facilita la penetración de los piratas informáticos. sistemas de información. A veces los delincuentes no necesitan utilizar métodos complejos y sofisticados para entrar. Según Trustwave, la contraseña más utilizada en la web es "Contraseña1". El estudio señaló que el uso de contraseñas estándar también es inherente cuando se trabaja con servidores, equipos de red y varios dispositivos usuarios.

En su investigación, Trustwave proporciona una lista de las contraseñas más utilizadas. palabra inglesa`Password` (contraseña) se utiliza en el 5% de los casos, y la palabra Welcome (saludo) en el 1,3% de los casos. También vale la pena prestar atención al uso de estaciones y fechas. No utilice tales contraseñas y sus variantes:

  • Contraseña1
  • bienvenido
  • 123456
  • Invierno10
  • Primavera2010

También uno de los problemas es que muchos dispositivos y aplicaciones se utilizan con el original. contraseñas estándar, a menudo proporcionando derechos de acceso completos, según el estudio.

"Rating" 2011: Contraseña - líder

¿Hemos alcanzado nuestro límite de contraseñas?

Un estudio de Experian, publicado el 3 de agosto de 2017, encontró una creciente brecha generacional en la forma en que las personas administran sus cuentas. Los millennials corren un mayor riesgo de sufrir un robo de identidad porque priorizan la comodidad sobre la seguridad. Los diferentes grupos de edad se comportan de manera diferente en Internet: algunos están dispuestos a experimentar molestias, pero se sienten protegidos, otros descuidan las medidas de seguridad y no quieren salir de su "zona de confort".

La investigación de Experian ha demostrado una vez más que las personas diferentes generaciones tienen sus propias características de uso de Internet y gestión de cuentas, contraseñas e inicios de sesión”, señaló Natalia Frolova, directora de marketing de Experian en Rusia y los países de la CEI. - La generación más joven da prioridad a la comodidad y, por regla general, no tiene más de 5 contraseñas únicas para todas sus cuentas. Además, estos usuarios suelen iniciar sesión en varias cuentas utilizando el mismo inicio de sesión en la red social. Sin embargo, probablemente no se dan cuenta de que el deseo de comodidad los pone en riesgo. información personal. Anotado rápido crecimiento robo de identidad, cuyas víctimas son representantes de este grupo de edad en particular.

Las estadísticas del sistema Hunter de Experian muestran que en el Reino Unido, el número de víctimas de robo de identidad entre personas menores de 30 años aumenta un 5% cada año, y quienes viven en diferentes tipos dormitorios, donde varias personas utilizan constantemente un dispositivo para acceder a Internet. En Gran Bretaña, uno de cada tres fraudes relacionados con el robo de identidad se comete contra este grupo.

La generación mayor optó por la línea de comportamiento opuesta. Es mucho más probable que los representantes de esta categoría creen una contraseña separada para cada cuenta, cuidando la protección de datos, incluso a expensas de su conveniencia. Uno de cada cuatro británicos afirmó utilizar 11 o más contraseñas.

Por supuesto, es difícil tener en cuenta constantemente tal volumen de información, señaló Experian. No sorprende que una proporción importante de personas mayores de 55 años se vean obligadas a realizar gran esfuerzo para recordar sus datos de registro. Esta carga de memoria es un problema creciente: 4 de cada 10 encuestados admitieron que se ven obligados a utilizar un servicio de memorización de contraseñas para no olvidar nada. Los recordatorios constantes de que es mejor no escribir las contraseñas, sino recordarlas de memoria, ayudan a aumentar la vigilancia, pero al mismo tiempo aumentan el estrés. Más de la mitad (55%) de los encuestados utilizan la misma contraseña para varias cuentas.

El estudio de Experian también encontró que existe confusión sobre qué es una cuenta: uno de cada tres encuestados (31%) admite que no lo sabe y otro 61% elige definiciones diferentes. Tres de cada cinco británicos (61%) no siempre entienden lo que aceptan cuando marcan la casilla al registrar un nuevo perfil en línea, y uno de cada nueve (11%) nunca lo entiende.


Para prevenir el robo de identidad, Experian recomienda:

  • No contestar llamadas telefónicas y correos electrónicos de personas desconocidas.
  • Crear contraseñas separadas para diferentes cuentas, especialmente para correo electrónico y banca en línea.
  • Cree contraseñas seguras que consten de tres palabras arbitrarias; puede crearlas agregando números y símbolos, así como letras en mayúsculas y minúsculas.
  • Al usar redes publicas Wi-Fi, no vayas a sitios donde necesites ingresar una contraseña (por ejemplo, tu banco, redes sociales y correo electrónico) y no ingreses información personal como datos de tarjetas bancarias.
  • Descargue siempre el software más reciente en su teléfono, tableta o computadora. Esto aumentará su protección contra el malware.

El robo de contraseñas es el principal riesgo para la seguridad de los datos corporativos

Las investigaciones muestran que alrededor del 40% de todos los usuarios eligen contraseñas que son fáciles de adivinar automáticamente. Las contraseñas fáciles de adivinar (123, admin) se consideran débiles y vulnerables. Las contraseñas que son muy difíciles o imposibles de adivinar se consideran más seguras. Algunas fuentes recomiendan utilizar contraseñas generadas a partir de hashes fuertes como MD5, SHA-1 a partir de secuencias pseudoaleatorias ordinarias.

El robo de contraseñas es el principal riesgo de seguridad para los datos corporativos. Los expertos advirtieron sobre esto en el verano de 2014. empresa antivirus ESET (Eslovaquia). El 76% de los ataques en línea a empresas fueron causados ​​por contraseñas débiles o robadas (Departamento de Empresas, Innovación y Capacidades y PWC). El daño medio por pérdida de información depende del tipo de ataque y de la legislación vigente en materia de protección de datos y alcanza los 199 euros por cuenta. Al mismo tiempo, parámetros como el tiempo de inactividad del personal, la disminución de la productividad, las pérdidas de reputación y la pérdida de activos, incluidas las instalaciones. propiedad intelectual, son incalculables (Ponemon Institute: 2013 Cost of Data Breach Study: Global Analysis).

El foco de los ciberdelincuentes está en las pequeñas y medianas empresas. No siempre son el objetivo principal, pero a menudo son víctimas debido a violaciones de seguridad existentes. Según algunos datos, el 67% de los ciberataques están dirigidos a pequeñas empresas, mientras que el 76% de los ataques no son planificados. El 75% de los ataques son llevados a cabo por delincuentes con fines de lucro (Verizon Data Breach Report, 2013).

El 66% de las violaciones de seguridad de las empresas pueden pasar desapercibidas durante meses, lo que pone información corporativa. Entre los agujeros de seguridad más comunes se encuentran los problemas de contraseñas: el 61% de los usuarios usa la misma contraseña y el 44% cambia su contraseña solo una vez al año (CSID Customer Survey: Password Habits 2012).

Las contraseñas gramaticales son fáciles de descifrar

Investigadores de la Universidad Carnegie Mellon desarrollaron un algoritmo experimental para adivinar contraseñas que utiliza reglas gramaticales y probaron su eficacia en más de 1.400 contraseñas de 16 o más caracteres. Aproximadamente el 18% de estas contraseñas estaban compuestas por varias palabras, combinadas según las reglas gramaticales en una frase corta. Aunque este tipo de contraseñas son más fáciles de recordar, tener una estructura limita significativamente el número de combinaciones posibles y también hace que sea más fácil descifrarlas, señalan los investigadores.

La longitud de una contraseña por sí sola no puede indicar su seguridad. La dificultad de descifrar dos contraseñas de la misma longitud puede diferir en un orden de magnitud dependiendo de su estructura gramatical. Por ejemplo, hay menos pronombres en el idioma que verbos, adjetivos y sustantivos, por lo que la contraseña Shehave3cats, que comienza con el pronombre She, es mucho más débil que Andyhave3cats, que comienza con el nombre Andy.

Los investigadores tuvieron en cuenta las conocidas posibilidades de sustituir letras por números similares, cambiar entre mayúsculas y minúsculas y añadir puntuación al final. Tampoco mejoran significativamente la seguridad de las contraseñas, como afirman algunos autores.

Para la mayoría de los sitios es mejor utilizar contraseñas simples.

Todos hemos escuchado más de una vez que para cualquier cuenta debemos definir contraseñas únicas y complejas utilizando una utilidad especial para almacenarlas. Sin embargo, los investigadores de Microsoft Research concluyeron que este enfoque puede ser incorrecto (datos del verano de 2014). A primera vista, las recomendaciones generalmente aceptadas parecen bastante lógicas.

Cuando se utilizan contraseñas largas y complejas para cada sitio y servicio, que consisten en combinaciones aleatorias de caracteres, la probabilidad de que sean pirateadas se reduce drásticamente y, si la contraseña se ve comprometida, solo una cuenta está en riesgo. Recordar secuencia aleatoria De 10 a 20 caracteres es bastante difícil, y aquí es donde las utilidades de administración de contraseñas vienen al rescate, permitiéndole almacenarlas todas en un solo lugar. Es sencillo. En la práctica, la mayoría de la gente ignora las contraseñas complejas, sin mencionar el uso de una contraseña única para cada sitio y servicio. Con filtraciones a gran escala, vemos que pocas personas siguen las recomendaciones para elegir una contraseña. La actitud hacia las utilidades de gestión de contraseñas también es muy escéptica. Después de todo, si olvida la contraseña de la utilidad, perderá todas sus contraseñas a la vez y, si se piratea el programa o servicio correspondiente, el atacante obtiene acceso completo a toda su información. Por lo tanto, los investigadores sugieren utilizar contraseñas simples en sitios donde se almacenan datos que no tienen un valor particular y dejan contraseñas complejas para cuentas bancarias. Depende de usted decidir. Si, a pesar de las recomendaciones de los expertos en seguridad, continúa utilizando contraseñas simples todo el tiempo, puede que tenga sentido adoptar este enfoque.

Hacking y el coste de las contraseñas informáticas

El pirateo de contraseñas es uno de los tipos comunes de ataques a sistemas de información que utilizan contraseña o autenticación de nombre de usuario-contraseña. La esencia del ataque se reduce a que el atacante se apodere de la contraseña de un usuario que tiene derecho a iniciar sesión en el sistema.

El atractivo del ataque para un atacante es que si obtiene una contraseña con éxito, se le garantiza que recibirá todos los derechos del usuario cuya cuenta fue comprometida y, además, iniciar sesión con una cuenta existente generalmente genera menos sospechas entre los administradores del sistema. .

Técnicamente, un ataque se puede implementar de dos maneras: múltiples intentos de autenticación directa en el sistema o analizando hashes de contraseñas obtenidos de otra manera, por ejemplo, interceptando el tráfico.

Se pueden utilizar los siguientes enfoques:

  • Búsqueda directa. Buscar entre todas las combinaciones posibles de caracteres permitidos en una contraseña.
  • Selección de diccionario. El método se basa en el supuesto de que la contraseña utiliza palabras existentes de un idioma o combinaciones de las mismas.
  • Método de ingeniería social. Partiendo del supuesto de que el usuario utilizó como contraseña información personal, como su nombre o apellido, fecha de nacimiento, etc.

Se han desarrollado muchas herramientas para llevar a cabo el ataque, por ejemplo, John el Destripador.

Criterios de seguridad de la contraseña

Según los enfoques para llevar a cabo un ataque, es posible formular criterios para la seguridad de la contraseña.

  • La contraseña no debe ser demasiado corta, ya que esto facilita su descifrado mediante fuerza bruta. La longitud mínima más común es de ocho caracteres. Por la misma razón, no debe constar únicamente de números.
  • La contraseña no debe ser una palabra del diccionario o una simple combinación de ellas; esto simplifica su selección en un diccionario.
  • La contraseña no debe consistir sólo en información disponible públicamente sobre el usuario.

Las recomendaciones para crear una contraseña incluyen usar una combinación de palabras con números y caracteres especiales (#, $, *, etc.), usar palabras menos comunes o inexistentes y mantener una longitud mínima.

Microsoft realizó un estudio de sistemas de seguridad en el verano de 2014 y descubrió que es mejor utilizar contraseñas cortas y sencillas para sitios que no almacenan información personal. Debe utilizar contraseñas largas y complejas para proteger sus cuentas en recursos web que contengan datos bancarios, nombres, apellidos, contraseñas, etc.

La reutilización de contraseñas es un tabú para los profesionales de la seguridad en últimos años después de una gran cantidad de ciberataques y filtraciones de datos personales. Las recomendaciones de los expertos parecen bastante lógicas.

Los piratas informáticos con direcciones de correo electrónico y contraseñas podrían utilizar esas credenciales contra otros sitios para obtener acceso ilegal a ellos. Sucesivamente, reutilizar La contraseña en sitios con un bajo grado de protección contra la piratería cibernética es necesaria para que los usuarios puedan recordarla. códigos únicos, seleccionado para recursos más serios. Los expertos de Microsoft todavía recomiendan que los usuarios utilicen contraseñas simples en sitios gratuitos que no contengan información importante. Lo mejor, dicen los expertos en TI, es “reprimirse” por mucho tiempo. contraseñas únicas para sitios web bancarios y otros depósitos de información confidencial.

Las contraseñas son como la ropa interior: cámbialas periódicamente y no las muestres en público

Los números y las mayúsculas y minúsculas no fortalecen la contraseña

Un científico de la Universidad de Glasgow y su colega del laboratorio de investigación Symantec descubrieron que los números y los caracteres en mayúsculas no hacen que una contraseña sea más segura. Los resultados se publicaron en el otoño de 2015 en las actas de ACM CSS 2015.

Los investigadores utilizaron algoritmos inteligentes que previamente fueron entrenados en una base de datos que representa 10 millones de contraseñas disponibles en línea en formulario abierto. A continuación, probaron la eficacia de los algoritmos en otras 32 millones de contraseñas. Resultó que los números y símbolos en mayúsculas no le permiten complicar la contraseña. Este efecto se puede lograr alargando la contraseña o usando caracteres especiales.

Los investigadores dicen que la gente tiende a utilizar caracteres en mayúsculas al principio de sus contraseñas y números al final. Según los autores, para hacer que una contraseña sea más segura, es necesario alargarla y agregar caracteres especiales.

Métodos de defensa de ataque

Los métodos de protección se pueden dividir en dos categorías: garantizar la resistencia a la piratería de la contraseña y prevenir la implementación de un ataque. El primer objetivo se puede lograr verificando que la contraseña establecida cumpla con los criterios de complejidad. Para tal verificación, existen soluciones automatizadas, que generalmente funcionan en conjunto con utilidades de cambio de contraseña, por ejemplo, cracklib.

El segundo objetivo consiste en evitar que el hash sea secuestrado. contraseña transmitida y protección contra múltiples intentos de autenticación en el sistema. Para evitar la interceptación, puede utilizar canales de comunicación seguros (cifrados). Para que a un atacante le resulte más difícil seleccionar mediante autenticación múltiple, normalmente imponen un límite en el número de intentos por unidad de tiempo (ejemplo de herramienta: fail2ban) o permiten el acceso solo desde direcciones confiables.

Las soluciones integrales de autenticación centralizada, como Red Hat Directory Server o Active Directory, ya incluyen herramientas para realizar estas tareas.

Generación de contraseña

En estilo Unix sistemas operativos puedes usar la utilidad pwgen. Por ejemplo

generará 1 contraseña de 10 caracteres de longitud.

Métodos para transmitir una contraseña a través de la red.

Fácil transferencia de contraseña

La contraseña se transmite en texto claro. En este caso, se puede interceptar usando remedios simples monitorear el tráfico de la red.

Transmisión a través de canales cifrados

El riesgo de que las contraseñas sean interceptadas a través de Internet se puede reducir, entre otros enfoques, mediante el uso de Transport Layer Security TLS, anteriormente llamado SSL; estas funciones están integradas en muchos navegadores de Internet.

basado en hash

La contraseña se transmite al servidor como un hash (por ejemplo, al enviar un formulario en una página web, la contraseña se convierte en un hash md5 cuando Ayuda de JavaScript), y en el servidor el hash resultante se compara con el hash almacenado en la base de datos. Este método de transmisión de la contraseña reduce el riesgo de obtener la contraseña mediante un rastreador.

Autenticación multifactor (dos factores)

Reglas para administrar contraseñas de usuarios.

Métodos generales para mejorar la seguridad. software Los sistemas protegidos con contraseña incluyen:

  • Restringir la longitud mínima de la contraseña (algunos sistemas unix las contraseñas están limitadas a 8 caracteres).
  • Requiere que vuelvas a ingresar tu contraseña después de un cierto período de inactividad.
  • Requerir cambios periódicos de contraseña.
  • Asignar contraseñas seguras (generadas utilizando una fuente de hardware) números aleatorios, o utilizando un generador de números pseudoaleatorios, cuya salida se procesa mediante transformaciones hash persistentes).

Para propia seguridad El usuario debe considerar varios factores al redactar una contraseña:

  • si es posible, su longitud debe ser superior a 8 caracteres;
  • la contraseña no debe contener elementos del diccionario;
  • No sólo se deben utilizar minúsculas, sino también mayúsculas;
  • La contraseña debe constar de números, letras y símbolos;
  • la contraseña debe ser diferente del inicio de sesión (nombre de usuario);
  • Al registrarse en cada nuevo sitio, la contraseña debe cambiar

¿Qué puedes usar en lugar de una contraseña?

Numerosos tipos de contraseñas reutilizables pueden verse comprometidos y han contribuido al desarrollo de otros métodos. Algunos de ellos están cada vez más disponibles para los usuarios que buscan una alternativa más segura.

  • Contraseñas de un solo uso
  • Tecnología de inicio de sesión único
  • ID abierto

Reconocimiento de firma: ¿un sustituto fiable de las contraseñas?

Siempre que pagues tarjeta bancaria o te obligan a firmar una pantalla digital con un lápiz electrónico, se utilizan para confirmar tu identidad sistemas de reconocimiento de firmas. En este caso, el sistema compara su firma con la firma de muestra almacenada en el sistema bancario.

Sin embargo, esta no es una simple comparación de dos imágenes. Un programa de seguridad especial no sólo coloca dos imágenes una al lado de la otra para comprobar si coinciden o al menos si son similares. De hecho, el sistema de reconocimiento de firmas compara la forma en que se crearon las dos imágenes, buscando el mismo patrón de comportamiento.

Ventajas y desventajas

Si bien puede parecer fácil falsificar una firma, es casi imposible replicar la velocidad y la presión de la escritura. Entonces, los sistemas de reconocimiento de firmas que utilizan la mayoría tecnologías avanzadas, se convierte en un sustituto ideal de las contraseñas en transacciones, por ejemplo, con cuentas bancarias corporativas.

Sin embargo, como todos los demás métodos de identificación, éste tiene sus inconvenientes. Una de las principales desventajas es que, por diversos motivos, cada uno de nosotros puede firmar de forma diferente, y esto es un problema grave. Para que el sistema sea práctico, es importante poder distinguir, por ejemplo, una firma que se dibuja lentamente como consecuencia de algún tipo de lesión o como consecuencia de un intento de falsificarla.

Además, al menos por el momento, esto no es del todo manera efectiva acceso a los servicios. De hecho, cuando firmas algo cuando pagas por algo, esos datos no se utilizan en tiempo real. En cambio, los datos se envían a su banco, donde serán verificados más adelante.

Sin embargo, la presencia de deficiencias en los sistemas de reconocimiento de firmas aún no cierra la puerta a esta tecnología. Es probable que las futuras empresas operaciones bancarias se permitirá simplemente iniciando sesión en una tableta o teléfono inteligente.

Contraseñas basadas en emojis

Según una información del verano de 2015, la empresa británica Intelligent Environments afirma haber inventado una forma de utilizar una serie de emoticonos, imágenes que expresan emociones, que sustituirán el código PIN digital de un teléfono inteligente para que nuestro cerebro pueda recordarlo más fácilmente. secuencia, porque las personas recuerdan más fácilmente una serie consciente de imágenes. El uso de un PIN "emocional" se basa en la capacidad evolutiva de los humanos para recordar imágenes. Además, la mayor complejidad de este método hace que sea más difícil seleccionar un código PIN.

Un PIN tradicional de cuatro dígitos consta de cuatro dígitos del 0 al 9 con repeticiones: un total de 104 o 10.000 repeticiones. El número de “imágenes emocionales” es 444 o 3.748.096, que, como ve, es mucho más.

Vale la pena señalar que esta tecnología es probablemente el futuro, y además bastante lejano.

Historial de contraseñas

Las contraseñas se han utilizado desde la antigüedad. Polibio (201 a. C.) describe el uso de contraseñas en la Antigua Roma de la siguiente manera:

La forma en que garantizan el paso seguro durante la noche es la siguiente: de los diez manípulos de cada rama de infantería y caballería, que se encuentran en la parte baja de la calle, el comandante elige quién está exento de guardia, y va Todas las noches va a la tribuna, y recibe su contraseña: una tablilla de madera con la palabra. Regresa a su unidad y luego pasa con la contraseña y la tableta al siguiente comandante, quien a su vez pasa la tableta al siguiente.

Modelo de sistema de protección

Al construir sistemas para proteger contra amenazas de violación de la confidencialidad de la información en sistemas automatizados, se utiliza un enfoque integrado. El diagrama de la defensa en capas construida tradicionalmente se muestra en la Fig. 1.3.1.

Como puede verse en el diagrama anterior, la protección primaria se lleva a cabo mediante medidas organizativas implementadas y mecanismos para controlar el acceso físico al AS. Posteriormente, en la etapa de control acceso lógico, la protección se lleva a cabo utilizando varios servicios. seguridad de red. En todos los casos, se debe implementar en paralelo un conjunto de medios técnicos y de ingeniería para proteger la información, bloqueando la posibilidad de fuga a través de canales técnicos.

Detengámonos con más detalle en cada uno de los subsistemas involucrados en la implementación de la protección.

1.3.2 Medidas organizativas y de seguridad

Estos mecanismos en caso general proporcionar :

  • Implementación de un sistema para controlar y delimitar el acceso físico a elementos del sistema automatizado.
  • creación de un servicio de seguridad y vigilancia física.
  • organizar mecanismos para controlar el movimiento de empleados y visitantes (mediante sistemas de videovigilancia, tarjetas de proximidad, etc.);
  • desarrollo e implementación de regulaciones, descripciones de trabajo y documentos reglamentarios similares;
  • regulación del procedimiento para trabajar con medios que contengan información confidencial.

Sin afectar la lógica del funcionamiento del AS, estas medidas, si se implementan correcta y adecuadamente, son un mecanismo de protección extremadamente eficaz y son vitales para garantizar la seguridad de cualquier sistema real.

1.3.3. Identificación y Autenticación

Recordemos que bajo identificación Es común entender la asignación de identificadores únicos para acceder a los sujetos y la comparación de dichos identificadores con una lista de posibles. Sucesivamente, autenticación se entiende como la verificación de que el sujeto de acceso es propietario del identificador por él presentado y la confirmación de su autenticidad.

Así, la tarea de la identificación es responder a la pregunta “¿quién es este?”, y la de autenticación es “¿es realmente él?”

El esquema básico de identificación y autenticación se muestra en la Fig. 1.3.2.

El diagrama anterior tiene en cuenta posibles errores operador durante el procedimiento de autenticación: si la autenticación no se completa, pero numero valido Si no se superan los intentos, se solicita al usuario que vuelva a realizar el procedimiento de identificación y autenticación.

Todo el conjunto de métodos de autenticación utilizados actualmente se puede dividir en 4 grandes grupos:

  1. Métodos basados ​​en el conocimiento de alguna información secreta.. Un ejemplo clásico de tales métodos es protección con contraseña cuando, como medio de autenticación, se le pide al usuario que ingrese una contraseña: una determinada secuencia de caracteres. Estos métodos de autenticación son los más comunes.
  2. Métodos basados ​​en el uso de un artículo único.. Dicho elemento puede ser una tarjeta inteligente, un token, llave electrónica etc.
  3. Métodos basados ​​en el uso de características biométricas humanas.. En la práctica, se utilizan con mayor frecuencia una o más de las siguientes características biométricas:
    • huellas dactilares;
    • patrón de la retina o iris del ojo;
    • dibujo térmico de la mano;
    • fotografía o dibujo térmico de un rostro;
    • escritura a mano (pintura);
    • voz.
      Los escáneres más utilizados son los de huellas dactilares y los de retina e iris.
  4. Métodos basados ​​en información asociada al usuario.. Un ejemplo de dicha información podrían ser las coordenadas del usuario, determinadas por Asistencia GPS. Este enfoque Es poco probable que se utilice como único mecanismo de autenticación, pero es bastante aceptable como uno de varios mecanismos compartidos.

Práctica generalizada intercambio varios de los mecanismos enumerados anteriormente; en tales casos hablamos de autenticación multifactor.

Características de los sistemas de autenticación de contraseñas.

Con toda la variedad de mecanismos de autenticación existentes, el más común sigue siendo la protección con contraseña. Hay varias razones para esto, de las cuales destacamos las siguientes:

  • Relativa facilidad de implementación. De hecho, implementar un mecanismo de protección con contraseña normalmente no requiere hardware adicional.
  • Tradicionalidad. Los mecanismos de protección mediante contraseña son familiares para la mayoría de los usuarios de sistemas automatizados y no provocan rechazo psicológico, a diferencia de, por ejemplo, los escáneres de imágenes de retina.

Al mismo tiempo, los sistemas de protección con contraseña se caracterizan por una paradoja que complica su implementación efectiva: las contraseñas seguras no son muy adecuadas para el uso humano. De hecho, la seguridad de la contraseña aumenta a medida que se vuelve más compleja; pero cuanto más compleja es la contraseña, más difícil es recordarla, y el usuario se siente tentado a escribir una contraseña incómoda, lo que crea canales adicionales para desacreditarlo.

Echemos un vistazo más de cerca a los principales. amenazas a la seguridad de los sistemas de contraseñas. En general, un atacante puede obtener una contraseña de una de estas tres formas principales:

  1. Explotando las debilidades del factor humano. Los métodos para obtener contraseñas aquí pueden ser muy diferentes: espiar, escuchar a escondidas, chantajear, amenazar y, finalmente, utilizar la de otra persona. cuentas con el permiso de sus legítimos dueños.
  2. Por selección. Se utilizan los siguientes métodos:
    • búsqueda completa. este método le permite adivinar cualquier contraseña, independientemente de su complejidad; sin embargo, para una contraseña segura, el tiempo necesario para este ataque debería exceder significativamente los recursos de tiempo permitidos por el atacante.
    • Selección de diccionario. Una parte importante de las contraseñas utilizadas en la práctica son palabras o expresiones significativas. Existen diccionarios de las contraseñas más habituales, que en muchos casos permiten prescindir de la fuerza bruta.
    • Selección utilizando información del usuario. Este método inteligente de selección de contraseña se basa en el hecho de que si la política de seguridad del sistema permite a los usuarios asignar contraseñas de forma independiente, en la gran mayoría de los casos se seleccionará una determinada contraseña. información personal, asociado al usuario de AC. Y aunque dicha información puede ser desde el cumpleaños de tu suegra hasta el apodo de tu perro favorito, tener información sobre el usuario te permite consultar las opciones más comunes (cumpleaños, nombres de los niños, etc.).
  3. Aprovechando las deficiencias en la implementación de sistemas de contraseñas. Tales fallas de implementación incluyen vulnerabilidades explotables de los servicios de red que implementan ciertos componentes del sistema de protección con contraseña, o capacidades no declaradas del software o hardware correspondiente.

Al construir un sistema de protección con contraseña, es necesario tener en cuenta las características específicas del AS y guiarse por los resultados del análisis de riesgos realizado. Al mismo tiempo, se pueden dar las siguientes recomendaciones prácticas:

  • Establecer una longitud mínima de contraseña. Obviamente, la regulación de la longitud mínima permitida de la contraseña dificulta que un atacante adivine la contraseña mediante fuerza bruta.
  • Aumentando el poder del alfabeto de contraseñas. Al aumentar la potencia (que se consigue, por ejemplo, mediante uso obligatorio caracteres especiales) también puede complicar la búsqueda exhaustiva.
  • Verificar y rechazar contraseñas usando un diccionario. Este mecanismo dificulta la adivinación de contraseñas utilizando un diccionario al rechazar contraseñas que obviamente son fáciles de adivinar.
  • Instalación plazo máximo acciones de contraseña. La caducidad de la contraseña limita la cantidad de tiempo que un atacante puede dedicar a intentar adivinar la contraseña. Por lo tanto, acortar el período de validez de la contraseña reduce la probabilidad de adivinar la contraseña con éxito.
  • Establecer una edad mínima para la contraseña. Este mecanismo evita que el usuario cambie inmediatamente la nueva contraseña por la anterior.
  • Rechazo basado en el registro del historial de contraseñas. El mecanismo impide la reutilización de contraseñas, posiblemente de contraseñas previamente comprometidas.
  • Limitar el número de intentos de contraseña. El mecanismo correspondiente dificulta la adivinación interactiva de contraseñas.
  • Cambio de contraseña forzado al iniciar sesión el primer usuario. Si la generación inicial de contraseñas para todos los usuarios la realiza el administrador, es posible que se le solicite al usuario que cambie la contraseña inicial al iniciar sesión por primera vez; en este caso, el administrador no conocerá la nueva contraseña.
  • Retardo de entrada contraseña incorrecta . El mecanismo evita la adivinación interactiva de contraseñas.
  • Prohibir al usuario elegir una contraseña y generar una contraseña automáticamente. Este mecanismo le permite garantizar la seguridad de las contraseñas generadas; sin embargo, no olvide que en este caso los usuarios inevitablemente tendrán problemas para recordar las contraseñas.

Evaluación de la solidez de los sistemas de contraseñas

Evaluemos las relaciones elementales entre los principales parámetros de los sistemas de contraseñas. Introduzcamos la siguiente notación:

  • A – poder del alfabeto de contraseña;
  • L – longitud de la contraseña;
  • S=A L – potencia del espacio de contraseña;
  • V – velocidad de selección de contraseña;
  • T – período de validez de la contraseña;
  • P – probabilidad de adivinar la contraseña durante su período de validez.

Obviamente, la siguiente relación es válida:

Normalmente, la velocidad de adivinación de la contraseña V y el período de validez de la contraseña T pueden considerarse conocidos. En este caso, al especificar el valor aceptable de la probabilidad P de adivinar la contraseña durante su período de validez, se puede determinar la potencia requerida del espacio de contraseña S.

Tenga en cuenta que reducir la velocidad de adivinación de contraseña V reduce la probabilidad de adivinar la contraseña. De esto, en particular, se deduce que si las contraseñas se seleccionan calculando una función hash y comparando el resultado con valor dado, entonces el uso de una función hash lenta garantizará una mayor seguridad del sistema de contraseñas.

Métodos de almacenamiento de contraseñas

En general, hay tres posibles Mecanismo para almacenar contraseñas en el AS. :

  1. Abierto. Por supuesto, esta opción no es óptima, ya que crea automáticamente muchos canales para filtrar información de contraseñas. La necesidad real de almacenar contraseñas en texto claro es extremadamente rara y, por lo general, esta solución es consecuencia de la incompetencia del desarrollador.
  2. Como valor hash. Este mecanismo es conveniente para verificar contraseñas, ya que los valores hash están asociados de forma única con la contraseña, pero no son de interés para un atacante en sí mismos.
  3. cifrado. Las contraseñas se pueden cifrar utilizando algún algoritmo criptográfico y la clave de cifrado se puede almacenar:
    • en uno de los elementos permanentes del sistema;
    • en algún medio (llave electrónica, tarjeta inteligente, etc.) presentado durante la inicialización del sistema;
    • la clave se puede generar a partir de otros parámetros de seguridad del AS, por ejemplo, a partir de la contraseña del administrador al inicializar el sistema.

Transferir contraseñas a través de la red

Las opciones de implementación más comunes son:

  1. Pasar contraseñas en texto claro. El enfoque es extremadamente vulnerable, ya que las contraseñas pueden ser interceptadas en los canales de comunicación. A pesar de esto, muchos utilizan en la práctica. protocolos de red(por ejemplo, FTP) requieren la transmisión de contraseñas en texto claro.
  2. Pasar contraseñas como hashes a veces se encuentra en la práctica, pero generalmente no tiene significado: un atacante puede interceptar y retransmitir los hash de contraseña a través de un canal de comunicación.
  3. Transferencia de contraseñas en forma cifrada en la mayoría de los casos es la opción más razonable y justificada.

1.3.4. control de acceso

Bajo control de acceso Generalmente se acepta entender el establecimiento de facultades de los sujetos para controlar aún más el uso autorizado de los recursos disponibles en el sistema. Se acostumbra distinguir dos principales método de control de acceso: discrecional y obligatorio.

discrecional Se llama control de acceso entre sujetos nombrados y objetos nombrados. En la práctica, se puede implementar un control de acceso discrecional, por ejemplo, utilizando una matriz de acceso (Fig. 1.3.4).

Como puede verse en la figura, la matriz de acceso define los derechos de acceso de cada usuario en relación con cada recurso.

Evidentemente, en lugar de una matriz de acceso, se pueden utilizar listas de permisos: por ejemplo, cada usuario puede estar asociado a una lista de recursos disponibles para él con los derechos correspondientes, o cada recurso puede estar asociado a una lista de usuarios que indican sus derechos. para acceder a un recurso determinado.

Control de acceso obligatorio Generalmente se implementa como control de acceso basado en niveles de seguridad. Los permisos de cada usuario se fijan de acuerdo con el nivel máximo de privacidad al que está admitido. En este caso, todos los recursos de AS deben clasificarse según niveles de privacidad.

La diferencia fundamental entre el control de acceso discrecional y obligatorio es la siguiente: si en el caso del control de acceso discrecional, los derechos de acceso a un recurso para los usuarios los determina su propietario, entonces en el caso del control de acceso obligatorio, los niveles de privacidad se establecen externamente. , y el propietario del recurso no puede influir en ellos. El término "obligatorio" en sí mismo es una traducción fallida de la palabra "obligatorio". Por tanto, el control de acceso obligatorio debe entenderse como forzado.

1.3.5. Métodos criptográficos para garantizar la confidencialidad de la información.

Para garantizar la confidencialidad de la información, se utilizan las siguientes primitivas criptográficas:


simétrico y criptosistemas asimétricos, así como varias combinaciones de los mismos, se utilizan en AS principalmente para cifrar datos en diversos medios y cifrar el tráfico.

1.3.6. Métodos de protección del perímetro externo.

Subsistema de seguridad perímetro exterior Un sistema automatizado suele incluir dos mecanismos principales: medios. cortafuegos y herramientas de detección de intrusos. Al resolver problemas relacionados, estos mecanismos a menudo se implementan en el marco de un producto y funcionan como un todo. Al mismo tiempo, cada uno de los mecanismos es autosuficiente y merece una consideración separada.

Cortafuegos

Cortafuegos(ME) realiza las funciones de delimitar los flujos de información en el borde del sistema automatizado protegido. Esto le permite:

  • aumentar la seguridad de los objetos en el entorno interno ignorando solicitudes no autorizadas del entorno externo;
  • controlar los flujos de información al entorno externo;
  • asegurar el registro de los procesos de intercambio de información.

Los flujos de información se controlan mediante filtracióninformación, es decir. analizándolo según un conjunto de criterios y tomando una decisión sobre su distribución hacia o desde el AS.

Dependiendo de los principios operativos, existen varios clases de firewall. Principal signo de clasificación es el nivel del modelo ISO/OSI en el que opera el ME.


La mayoría de los cortafuegos que se utilizan actualmente se clasifican como cortafuegos expertos. Los cortafuegos más conocidos y extendidos son CISCO PIX y CheckPoint FireWall-1.

Sistemas de detección de intrusos

Detección de intrusiones es el proceso de identificar el acceso no autorizado (o intentos de acceso no autorizado) a los recursos de un sistema automatizado. Un sistema de detección de intrusos (IDS) en el caso general es un complejo de software y hardware que resuelve este problema.

La estructura general del IDS se muestra en la Fig. 1.3.6.2:

El algoritmo de funcionamiento del sistema IDS se muestra en la Fig. 1.3.6.3:

Como puede verse en las figuras, el funcionamiento de los sistemas IDS es en muchos aspectos similar al de los firewalls: los sensores reciben el tráfico de la red y el kernel, comparando el tráfico recibido con los registros de la base de datos de firmas de ataques existente, intenta identificar rastros de ataques no autorizados. intentos de acceso. El módulo de respuesta es un componente opcional que se puede utilizar para bloquear rápidamente una amenaza: por ejemplo, se puede generar una regla para cortafuegos, bloqueando la fuente del ataque.

Hay dos principales Categorías del sistema IDS:

  1. IDS a nivel de red.
    En tales sistemas, el sensor opera en un host dedicado para estos fines en un segmento de red protegido. Generalmente adaptador de red Este host opera en modo promiscuo, lo que le permite analizar todo el tráfico de la red que pasa por el segmento.
  2. IDS a nivel de host.
    Si el sensor funciona a nivel de host, se puede utilizar la siguiente información para el análisis:
    • archivos medios estándar registro del sistema operativo;
    • información sobre los recursos utilizados;
    • perfiles de comportamiento esperado del usuario.

Cada tipo de IDS tiene sus propias ventajas y desventajas. El IDS a nivel de red no se reduce rendimiento general sistemas, pero los IDS a nivel de host son más efectivos para detectar ataques y permitir el análisis de la actividad asociada con un host individual. En la práctica, es aconsejable utilizar sistemas que combinen ambos enfoques descritos.

Hay desarrollos dirigidos al uso de métodos en sistemas IDS. inteligencia artificial. Vale la pena señalar que actualmente los productos comerciales no soncontienen tales mecanismos.

1.3.7. Registro y auditoría

El subsistema de registro y auditoría es componente obligatorio cualquier orador. Explotación florestal, o registro, es un mecanismo de responsabilidad del sistema de seguridad de la información que registra todos los eventos relacionados con cuestiones de seguridad. Sucesivamente, auditoría– este es el análisis de la información registrada para pronta identificación y prevenir violaciones del régimen de seguridad de la información.

Los sistemas de detección de intrusiones a nivel de host pueden considerarse sistemas de auditoría activa.

Objetivo Mecanismo de registro y auditoría:

  • garantizar la responsabilidad de los usuarios y administradores;
  • garantizar la posibilidad de reconstruir la secuencia de eventos (lo que puede ser necesario, por ejemplo, al investigar incidentes relacionados con la seguridad de la información);
  • detección de intentos de violar la seguridad de la información;
  • proporcionar información para identificar y analizar problemas técnicos no relacionados con la seguridad.

Los datos registrados se colocan en registro, que es un conjunto de registros ordenados cronológicamente de los resultados de las actividades de los sujetos AS, suficiente para restaurar, visualizar y analizar la secuencia de acciones con el fin de controlar el resultado final.

Una entrada de registro típica se ve así (Fig. 1.3.7.1).

Dado que los registros del sistema son la principal fuente de información para auditorías posteriores y detección de violaciones de seguridad, la cuestión de la seguridad registros del sistema Se debe tener sumo cuidado contra modificaciones no autorizadas. El sistema de registro debe diseñarse de tal manera que ningún usuario (¡incluidos los administradores!) pueda modificar arbitrariamente las entradas del registro del sistema.

No menos importante es la cuestión de cómo se almacenan los registros del sistema. Dado que los archivos de registro se almacenan en algún tipo de medio, inevitablemente surge el problema de desbordar el tamaño máximo permitido del registro del sistema. En este caso, la reacción del sistema puede ser diferente, por ejemplo:

  • el sistema puede bloquearse hasta que se resuelva el problema con el espacio disponible en el disco;
  • Las entradas de registro del sistema más antiguas se pueden eliminar automáticamente;
  • el sistema puede continuar funcionando suspendiendo temporalmente el registro de información.

Indudablemente, última opción en la mayoría de los casos es inaceptable y el almacenamiento de registros del sistema debe estar claramente regulado en la política de seguridad de la organización.



Popular en la categoría:
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba