вгадати методом грубої сили, використовуючи, бути може, словник. Якщо файл паролів зашифрований, але доступний на читання, його можна перекачати до себе на комп'ютер і спробувати підібрати пароль, запрограмувавши повний перебір.
Паролі уразливі по відношенню до електронного перехоплення - це найбільш принциповий недолік, який не можна компенсувати поліпшенням адміністрування або навчанням користувачів. Практично єдиний вихід - використання криптографії для шифрування паролів перед передачею по лініях зв'язку.
Проте, такі заходи дозволяють значно підвищити надійність парольного захисту:
накладення технічних обмежень (пароль повинен бути не дуже коротким, він повинен містити літери, цифри, знаки пунктуації тощо.);
управління терміном дії паролів, їх періодична зміна;
обмеження доступу до файлу паролів;
обмеження числа невдалих спроб входу в систему, що ускладнить застосування методу грубої сили;
навчання і виховання користувачів;
використання програмних генераторів паролів, які, грунтуючись на нескладних правилах, можуть породжувати тільки благозвучні і, отже, запам'ятовуються паролі.
Перераховані заходи доцільно застосовувати завжди, навіть якщо поряд з паролями використовуються інші методи аутентифікації, засновані, наприклад, на застосуванні токенов.
Токен (рис. 1.8) - це предмет або пристрій, володіння яким підтверджує справжність користувача. Розрізняють токени з пам'яттю (пасивні, які тільки зберігають, але не обробляють інформацію) та інтелектуальні токени (активні).
Рис.1.8. Смарт-карти і USB -брелокі eToken.
Найпоширенішою різновидом токенов з пам'яттю є картки з магнітною смугою. Для використання подібних токенов необхідно пристрій читання, забезпечене також клавіатурою і процесором. Зазвичай користувач набирає на цій клавіатурі свій особистий ідентифікаційний номер, після чого процесор перевіряє його збіг з тим, що записано на картці, а також справжність самої картки. Таким чином, тут фактично застосовується комбінація двох способів захисту, що істотно ускладнює дії зловмисника.
Необхідна обробка аутентификационной інформації самим пристроєм читання, без передачі в комп'ютер - це виключає можливість електронного перехоплення.
Іноді (зазвичай для фізичного контролю доступу) картки застосовують самі по собі, без запиту особистого ідентифікаційного номера.
Як відомо, одним з найбільш потужних засобів в руках зловмисника є зміна програми аутентифікації, при якому паролі не тільки перевіряються, але й запам'ятовуються для подальшого несанкціонованого використання.
Інтелектуальні токени характеризуються наявністю власної обчислювальної потужності. Вони поділяються на інтелектуальні карти, стандартизовані ISO та інші токени. Карти потребують интерфейсном пристрої, інші токени зазвичай володіють ручним інтерфейсом (дисплеєм і клавіатурою) і за зовнішнім виглядом нагадують калькулятори. Щоб токен почав працювати, користувач повинен ввести свій особистий ідентифікаційний номер.
За принципом дії інтелектуальні токени можна розділити на наступні категорії.
Статичний обмін паролями: користувач звичайним чином доводить токені свою справжність, потім токен перевіряється комп'ютерною системою.
Динамічна генерація паролів: токен генерує паролі, періодично змінюючи їх. Комп'ютерна система повинна мати синхронізований генератор паролів. Інформація від токена надходить за електронною інтерфейсу або набирається користувачем на клавіатурі терміналу.
запитання-відповідь системи: комп'ютер видає випадкове число, яке перетворюється криптографічним механізмом, вбудованим в токен, після чого результат повертається в комп'ютер для перевірки. Тут також можливе використання електронного або ручного інтерфейсу. В останньому випадку користувач читає запит з екрана термінала, набирає його на клавіатурі токена (можливо, в цей час вводиться і особистий номер), а на дисплеї токена бачить відповідь і переносить його на клавіатуру терміналу.
. 5 Управління доступом
Засоби управління доступом дозволяють специфікувати і контролювати дії, які суб'єкти - користувачі і процеси можуть виконувати над об'єктами - інформацією та іншими комп'ютерними ресурсами. Йдеться про логічне управлінні доступом, який реалізується програмними засобами. Логічне керування доступом - це основний механізм багатокористувацьких систем, покликаний забезпечити конфіденційність і цілісність об'єктів і, до деякої міри, їх доступність шляхом заборони обслуговув...
