ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №3

Тема:             Методы аутентификации, использующие пароли

Цель:              изучить алгоритмы различных методов аутентификации

Задачи:

-         формирование знаний об алгоритмах аутентификации на основе многоразовых паролей;

-         формирование знаний об алгоритмах аутентификации на основе одноразовых паролей

Оборудование: персональный компьютер, ОС Windows XP.

Вид работы: групповой

Время выполнения: 2 часа

Теоретические сведения

В соответствии с сертификационными требованиями к системам безопасности операционных систем при подключении пользователей должен реализовываться механизм аутентификации и/или идентификации.

Идентификация и аутентификация применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).

Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным.

Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать степень обеспечиваемых ею гарантий того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя, В этом смысле, чем выше стойкость системы аутентификации, тем сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированным доступом к информации (НСД) любой информационной системы.

Различают три группы методов аутентификации, основанных на наличии у каждого пользователя:

­   индивидуального объекта заданного типа;

­   знаний некоторой известной только ему и проверяющей стороне информации;

­   индивидуальных биометрических характеристик.

К первой группе относятся методы аутентификации, использующие удостоверения, пропуска, магнитные карты и другие носимые устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от НСД к средствам вычислительной техники.

Во вторую группу входят методы аутентификации, использующие пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.

Последнюю группу составляют методы аутентификации, основанные на применении оборудования для измерения и сравнения с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков пальцев, структуры радужной оболочки глаза и др. Такие средства позволяют с высокой точностью аутентифицировать обладателя конкретного биометрического признака, причем «подделать» биометрические параметры практически невозможно. Однако широкое распространение подобных технологий сдерживается высокой стоимостью необходимого оборудования.

Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, такая процедура называется непосредственной аутентификацией (direct password authentication). Если же в процессе аутентификации участвуют не только эти стороны, но и другие, вспомогательные, говорят об аутентификации с участием доверенной стороны (trusted third party authentication). При этом третью сторону называют сервером аутентификации (authentication server) или арбитром (arbitrator).

Наиболее распространенные методы аутентификации основаны на применении многоразовых или одноразовых паролей. Из-за своего широкого распространения и простоты реализации парольные схемы часто в первую очередь становятся мишенью атак злоумышленников. Эти методы включают следующие разновидности способов аутентификации:

-    по хранимой копии пароля или его свёртке (plaintext-equivalent);

-    по некоторому проверочному значению (verifier-based);

-    без непосредственной передачи информации, о пароле проверяющей стороне (zero-knowledge);

-    с использованием пароля для получения криптографического ключа (cryptographic).

Обычные парольные системы проще и дешевле для реализации, но менее безопасны, чем системы с криптографическими протоколами. Последние обеспечивают более надежную защиту и дополнительно решают задачу распределения ключей. Однако используемые в них технологии могут быть объектом законодательных ограничений.

Для более детального рассмотрения принципов построения парольных систем сформулируем несколько основных определений.

Идентификатор пользователя — некоторое уникальное количество информации, позволяющее различать индивидуальных пользователей парольной системы (проводить их идентификацию). Часто идентификатор также называют именем пользователя или именем учетной записи пользователя.

Пароль пользователя — некоторое секретное количество информации, известное только пользователю и парольной системе, которое может быть запомнено пользователем и предъявлено для прохождения процедуры аутентификации. Одноразовый пароль дает возможность пользователю однократно пройти аутентификацию. Многоразовый пароль может быть использован для проверки подлинности повторно.

Учетная запись пользователя — совокупность его идентификатора и его пароля.

База данных пользователей парольной системы содержит учетные записи всех пользователей данной парольной системы.

Основными компонентами парольной системы являются:

-    интерфейс пользователя;

-    интерфейс администратора;

-    модуль сопряжения с другими подсистемами безопасности;

-    база данных учетных записей.

Примеры:

Пример 1. Задание определить время перебора всех паролей, состоящих из 6 цифр.

Алфавит составляют цифры n=10.

Длина пароля 6 символов k=6.

Таким образом, получаем количество вариантов:

Примем скорость перебора s=10 паролей в секунду. Получаем время перебора всех паролей секунд  минут  часов  дня.

Примем, что после каждого из m=3 неправильно введенных паролей идет пауза в v=5 секунд. Получаем время перебора всех паролей

T=t*5/3=16667 секунд  минут  часов  дня.

T_итог=t+T=1,2+1,9=3,1 дня.

Пример 2. Определить минимальную длину пароля, алфавит которого состоит из 10 символов, время перебора которого было не меньше 10 лет.

Алфавит составляют символы n=10

Длина пароля рассчитывается: k=log_nC=lgC.

Определим количество вариантов C= t * s=10лет*10 паролей в сек. =

10*10*365*24*60*603,15* 10⁹ вариантов

Таким образом, получаем длину пароля: k=lg (3,15*10⁹) = 9,5

Очевидно, что длина пароля должна быть не менее 10 символов.

Задания к практической работе

Задания.

1. Определить время перебора всех паролей с параметрами.

Алфавит состоит из n символов.

Длина пароля символов k.

Скорость перебора s паролей в секунду.

После каждого из m неправильно введенных паролей идет пауза в v секунд.

2. Определить минимальную длину пароля, алфавит которого состоит из n символов, время перебора которого было не меньше t лет.

Скорость перебора s паролей в секунду.

3. Определить количество символов алфавита, пароль состоит из k символов, время перебора которого было не меньше t лет.

Скорость перебора s паролей в секунду.

Контрольные вопросы

1.     Что понимается под идентификацией и аутентификацией пользователя?

2.     Перечислите возможные идентификаторы при реализации механизмов идентификации и аутентификации.

3.     Какой из видов аутентификации (устойчивая аутентификации и постоянная аутентификация) более надежный?

4.     Для чего используется оснастка «Локальная политика безопасности»?

Скачано с www.znanio.ru