6048

Захист інформації за допомогою пароля

Лабораторная работа

Информатика, кибернетика и программирование

Захист інформації за допомогою пароля Мета роботи: дослідження захисту з застосуванням пароля, а також дослідження методів протидії атакам на пароль. Теоретична частина 1 Атаки на пароль На сьогоднішній день пароль є найбільш пр...

Украинкский

2014-12-28

132 KB

16 чел.

Захист інформації за допомогою пароля

Мета роботи:  дослідження захисту з застосуванням пароля, а також дослідження методів протидії атакам на пароль.

Теоретична частина

1 Атаки на пароль

На сьогоднішній день пароль є найбільш прийнятним і тому найбільше часто використовуваним засобом установлення дійсності, заснованим на знаннях суб'єктів доступу.

У будь-якій критичній системі помилки людини-оператора є чи ледве не самими дорогими і розповсюдженими. У випадку криптосистем, непрофесійні дії користувача зводять нанівець самий стійкий криптоалгоритм і саму коректну його реалізацію і застосування.

У першу чергу це зв'язано з вибором паролів. Очевидно, що короткі або осмислені паролі легко запам'ятовуються людиною, але вони набагато простіші для розкриття. Використання довгих і безглуздих паролів безумовно краще з погляду криптостойкости, але людина звичайно не може них запам'ятати і записує на папірці, що потім або губиться, або попадає в руки зловмисникові. Саме з того, що недосвідчені користувачі звичайно вибирають або короткі, або осмислені паролі, існують два методи їхнього розкриття: атака повним перебором і атака по словнику.

Захищеність пароля при його підборі залежить, у загальному випадку, від швидкості перевірки паролів і від розміру повної безлічі можливих паролів, що, у свою чергу, залежить від довжини пароля і розміру застосовуваного алфавіту символів. Крім того, на захищеність сильно впливає реалізація парольного захисту.

У зв'язку з різким ростом обчислювальних потужностей атаки повним перебором мають набагато більше шансів на успіх, ніж раніше. Крім того, активно використовуються розподілені обчислення, тобто рівномірний розподіл задачі на велику кількість машин, що працюють паралельно. Це дозволяє багаторазово скоротити час злому.

Однак повернемося на кілька років назад, коли обчислювальної потужності для повного перебору всіх паролів не вистачало. Проте, хакерами був придуманий дотепний метод, заснований на тому, що як пароль людиною вибирається існуюче слово або яка-небудь інформація про себе або своїх знайомих (ім'я, дата народження і т.п.). Ну, а оскільки в будь-якій мові не більш 100000 слів, то їхній перебір займе досить невеликий час, і від 40 до 80% існуючих паролів може бути вгадане за допомогою простої схеми, називаною “атакою по словнику”. До речі, до 80% цих паролів може бути вгадані з використанням словника розміром всього 1000 слів!

Нехай сьогодні користувачі вже розуміють, що вибирати такі паролі не можна, але, навірно, ніколи експерти по комп'ютерній безпеці не дочекаються використання таких простих і що радують душу паролів, як 34jхs5U@bта!6;). Тому навіть спокушений користувач хитрить і вибирає такі паролі, як hоре1, user1997, рAsSwOrD, toor, roottoor, раго1, gfhjkm, аsхz. Видно, що усі вони, як правило, базуються на осмисленому слові і деякому простому правилі його перетворення: додати цифру, додати рік, перевести через букву в інший регістр, записати слово навпаки, додати записане навпаки слово, записати російське слово латинськими буквами, набрати російське слово на клавіатурі з латинською розкладкою, скласти пароль із поруч розташованих на клавіатурі клавіш і т.п.

Тому не треба дивуватися, якщо такий “хитрий” пароль буде розкритий хакерами — вони не дурніші самих користувачів, і уже вставили у свої програми ті правила, по яких може йти перетворення слів. У програмах (John The Ripper, Password Cracking library) ці правила можуть бути програмувальними і задаватися за допомогою спеціальної мови самим хакером.

Приведемо приклад ефективності такої стратегії перебору. У багатьох книгах по безпеці пропонується вибирати як надійний пароль два осмислених слова, розділених деяким знаком (наприклад, good!password). Підрахуємо, за скільки часу всередньому будуть зламані такі паролі, якщо таке правило включене в набір програми-зломщика (нехай словник 10000 слів, знаками можуть бути 10 цифр і 32 розділові знаки і спеціальні символи, машина класу Pentium зі швидкістю 15000 паролів/сек): 10000*(32+10)*10000/15000*2=140000 секунд або менш 1.5 дні (старі дані).

Чим більше довжина пароля, тим більшу безпеку буде забезпечувати система, тому що будуть потрібні великі зусилля для його відгадування. Це можна представити в термінах очікуваного часу розкриття пароля або очікуваного безпечного часу. Очікуваний безпечний час (Тб) — половина добутку числа можливих паролів і часу, необхідного для того, щоб спробувати кожен пароль з послідовності запитів. Представимо це у виді формули:

                                           (1)

де t— час, необхідний на спробу введення пароля, рівний E/R;

E — число символів у переданому повідомленні при спробі одержати доступ (включаючи пароль і службові символи);

R — швидкість передачі (символи/хв) у лінії зв'язку;

S — довжина пароля;

А — число символів в алфавіті, з яких складається пароль.

Якщо після кожної невдалої спроби підбору автоматично передбачається десятисекундна затримка, то безпечний час різко збільшується.

Тому при використанні аутентификації на основі паролів захищеною системою повинні дотримуватися наступні правила:

а) не дозволяються паролі менше 6–8 символів;

б) паролі повинні перевірятися відповідними контролерами;

в) символи пароля при їхньому введенні не повинні з'являтися в явному виді;

г) після введення правильного пароля видається інформація про останній вхід у систему;

д) обмежується кількість спроб уведення пароля;

е) уводиться затримка часу при неправильному паролі;

ж) при передачі по каналах зв'язку паролі повинні шифруватися;

з) паролі повинні зберігатися в пам'яті тільки в зашифрованому вигляді у файлах, недоступних користувачам;

и) користувач повинний мати можливість самому змінювати пароль;

к) адміністратор не повинний знати паролі користувачів, хоча може їх змінювати;

л) паролі повинні періодично мінятися;

м) установлюються терміни дії паролів, після закінчення яких треба зв'язатися з адміністратором.

2 Проблема вибору пароля

Вибір довжини пароля в значній мірі визначається розвитком технічних засобів, їхньої елементної бази та її швидкодією. В даний час широко застосовуються багатосимвольні паролі, де S>10. У зв'язку з цим виникають питання: як і де його зберігати і як зв'язати його з аутентификацією особистості користувача? На ці питання відповідає комбінована система паролів, у якій код пароля складається з двох частин. Перша частина складається з 3–4-х десяткових знаків, якщо код цифровий, і більше 3–4-х, якщо код буквений, котрі легко запам'ятати людині. Друга частина містить кількість знаків, обумовлена вимогами до захисту і можливостями технічної реалізації системи, вона міститься на фізичному носії і визначає ключ-пароль, розрахунок довжини коду якого ведеться по зазначеній вище методиці. У цьому випадку частина пароля буде недоступна для порушника.

Однак при розрахунку довжини коду пароля не слід забувати про те, що при збільшенні довжини пароля не можна збільшувати періодичність його зміни. Коди паролів необхідно змінювати обов'язково, тому що за великий період часу збільшується імовірність їхнього перехоплення шляхом прямого розкрадання носія, зняття його копії, примуса людини. Вибір періодичності необхідно визначати з конкретних умов роботи системи, але не рідше одного разу в рік. Причому бажано, щоб дата заміни і періодичність повинні носити випадковий характер.

Для перевірки уразливості паролів використовуються спеціальні контролери паролів. Наприклад, відомий контролер Кляйна, здійснює спроби злому пароля шляхом перевірки використання як пароль вхідного імені користувача, його ініціалів і їхніх комбінацій, перевірки використання як пароль слів з різних словників, починаючи від найбільш уживаних як пароль, перевірки різних перестановок слів, а також перевірки слів мовою користувача-іноземця. Перевірка паролів в обчислювальних мережах за допомогою контролера Кляйна показала досить високі результати — більшість користувачів використовують прості паролі. Показовий приклад, коли контролер Кляйна дозволив визначити 100 паролів з 5 символів, 350 паролів з 6 символів, 250 паролів з 7 символів і 230 паролів з 8 символів.

Приведений аналіз дозволяє сформулювати наступні правила зниження уразливості паролів і спрямовані на протидію відомим атакам на них:

– розширюйте застосовуваний у паролі алфавіт — використовуйте прописні і малі літери латинського і російського, українського алфавітів, цифри і знаки;

– не використовуйте в паролі осмислені слова;

– не використовуйте повторювані групи символів;

– не застосовуйте паролі довжиною менш 6–8 символів, тому що запам'ятати їх не представляє великої праці, а пароль саме потрібно запам'ятовувати, а не записувати. По тій же причині не має змісту вимагати довжину неосмисленого пароля більш 15 символів, тому що запам'ятати його нормальній людині практично неможливо;

– не використовуйте той самий пароль у різних системах, тому що при компрометації одного пароля постраждають усі системи;

– перевіряйте паролі перед їхнім використанням контролерами паролів.

Для складання пароля можна дати рекомендації, якими користуватися треба дуже обережно:

– виберіть кілька рядків з пісні або поеми (тільки не ті, котрі Ви повторюєте першому зустрічному) і використовуйте першу (або другу) букву кожного слова — при цьому пароль повинний мати велику довжину (більш 15 символів), інакше потрібно змінювати регістри букв, застосовувати латинські букви замість російських або навпаки, можна вставляти цифри і знаки;

– заміните в слові із семи-восьми букв одну приголосну й одну або дві голосні на знаки або цифри. Це дасть вам слово-абракадабру, що звичайно вимовне і тому легко запам'ятовується.

Підіб'ємо підсумок:

Що таке поганий пароль:

  •  Власне ім'я;
  •  Слово, що є в словнику;
  •  Ідентифікатор, привласнений Вам якою-небудь системою, або будь-які його варіації;
  •  Дата народження;
  •  Повторений символ (наприклад: AAA);
  •  Пароль менше 6 символів;
  •  Пароль, установлений Вам чужою людиною;
  •  Пароль, що складається із сусідніх символів на клавіатурі (наприклад: QWERTY або ЙЦУКЕ);
  •  Пароль, який складається з паспортних даних: персональний номер, номер прав водія і т.д.

Що таке гарний пароль:

  •  Безглузда фраза;
  •  Випадковий набір символів упереміш з буквами.

3 Робота з програмами злому на прикладі AZPR

У даній лабораторній роботі використовується програмний продукт для розкриття закритих паролем архівів: Advanced ZIP Password Recovery .

Програма AZPR використовується для відновлення забутих паролів ZIP-архівів. Існує два способи розкриття паролів: перебір (brute force) і атака по словнику (dictionary-based attack).

Панель керування:

  •  кнопки Відкрити (Open) і Зберегти (Save) дозволяють працювати з проектом, у якому зазначений файл, що розкривається, набір символів, останній протестований пароль. Це дозволяє призупиняти і відновляти розкриття.
  •  кнопки Старт (Start) і Стоп (Stop)  дозволяють відповідно починати і закінчувати підбір пароля.
  •  кнопка Набір (Range) дозволяє задати свою множину символів, якщо відомі символи, з яких складається пароль.
  •  кнопка Довідка (Help) виводить допомогу по програмі.
  •  кнопка O AZPR виводить інформацію про програму.
  •  кнопка Вихід (Quit) дозволяє вийти з програми

Розглянемо можливості програми:

Вибирається архів для розкриття і тип атаки (див. рис).

Вибираються параметри роботи:

  •  Закладка Набір (Range)

Програма дозволяє вибрати область перебору (набір символів). Це значно скорочує час перебору. Можна використовувати набір користувача, заданий за допомогою кнопки Набір. Можна обмежити кількість тестованих паролів, задавши початковий пароль. У випадку якщо відомо частину пароля, дуже ефективна атака по масці. Потрібно вибрати відповідний тип атаки, після цього стане доступним поле маска. У ньому потрібно увести відому частину пароля у виді P?s?W?r? , де на місці невідомих символів потрібно поставити знак питання. Можна використовувати будь-який інший символ, увівши його в поле символ маски.

Закладка Довжина (Length)

Дозволяє вибрати довжину пароля.

  •  Закладка Словник (Dictionary)

Дозволяє вибрати файл-словник. Вибирайте файл English.dic, він містить набір англійських слів і набори символів, що найбільше часто використовуються як паролі.

  •  Закладка Автозберігання (Avto-save)

Можна вибрати ім'я файлу для збереження результатів роботи й інтервал автозбереження.

  •  Закладка Опції (Options)

Вибирається пріоритет роботи (фоновий або високий), інтервал відновлення інформації про тестований у даний момент пароль. Збільшення інтервалу підвищує швидкодію, але знижує інформативність. Також можна установити режим ведення протоколу роботи і можливість мінімізації програми в tray (маленька іконка поруч з годинником).

4 Порядок виконання роботи

4.1.Проведення атаки перебором (bruteforce attack)

  1.  Використовуючи програму для розкриття паролів зробити атаку на зашифрований файл *.rar (*.arj, *.zip – у залежності від варіанту). Область перебору – усі символи, що друкуються, довжина пароля від 1 до 4 символів. Перевірити правильність визначеного пароля, розпакувавши файл і ознайомивши з його вмістом.
  2.  Виконавши пункт 1, скоротити область перебору до фактично використовуваного (наприклад якщо пароль 6D1A – то вибрати прописні англійські букви і цифри). Провести повторне розкриття. Порівняти витрачений час.

4.2.Проведення атаки по словнику (dictionary attack)

1. Стиснути який-небудь невеликий файл, вибравши як пароль англійське слово довжиною до 5 символів (наприклад love, god, table, admin і т.д.). Провести атаку по словнику. Для цього вибрати вид атаки й у закладці Словник вибрати файл English.dic. Він містить набір англійських слів і набори символів, що найбільше часто використовуються як паролі.

  1.  Спробувати визначити пароль методом прямого перебору. Порівняти витрачений час.

5.ЗМІСТ ЗВІТУ

1) титульний лист;

2) формулювання мети роботи;

3) опис результатів виконання;

4) висновки, погоджені з метою роботи.

6. КОНТРОЛЬНІ ПИТАННЯ

  1.  Які види атак на пароль Ви знаєте?
  2.  Що таке поганий пароль?
  3.  Як можна протистояти атаці повним перебором?

4.   Як довжина пароля впливає на імовірність розкриття пароля?

5.  Які рекомендації зі складання паролів Ви можете дати?


 

А также другие работы, которые могут Вас заинтересовать

1528. Расчет материальных затрат предприятия 67.99 KB
  Расчет расходов по освоению изделия и на специальную технологическую оснастку. Расчет заводской себестоимости и полной себестоимости агрегата. Структура основных материалов в черном весе турбоагрегата. Расчет стоимости реализуемых отходов.
1529. Логіка і методологія 166.5 KB
  РОБИТЬСЯ СПРОБА РОЗГЛЯНУТИ ПИТАННЯ, ЧИ ЛОГІКА Є МИСТЕЦТВОМ, ШЛЯХОМ ВИЗНАЧЕННЯ Й ПОДІЛУ МИСТЕЦТВА ВЗАГАЛІ. СТВЕРДЖУЄТЬСЯ, ЩО ЛОГІКА Є МИСТЕЦТВО, І ВІДКИДАЄТЬСЯ ТЕ, ЩО ЗАПЕРЕЧУЄ ЦЮ ДУМКУ. ПИТАННЮ, ЧИ ГІДНА ЛОГІКА НАЗИВАТИСЬ НАУКОЮ, ПЕРЕДУЄ РОЗВІДКА ПРО ВИЗНАЧЕННЯ І ПОДІЛ НАУКИ ВЗАГАЛІ. ВСТАНОВЛЮЄТЬСЯ, ЩО ЛОГІКА Є НАУКОЮ У ПРЯМОМУ РОЗУМІННІ СЛОВА, Й ВІДКИДАЮТЬСЯ АРГУМЕНТИ ПРОТИВНИКІВ У ЦЬОМУ ПИТАННІ.
1530. Приспособление для сверления отверстий и фрезерования поверхностей детали 94.69 KB
  Деталь Щит представляет собой литой корпус. Метод получения заготовки – литье в кокиль. Деталь изготавливается из алюминиевого сплава АЛ7ч(АЛ9). АЛ9 – конструкционный герметичный сплав, отличается высокими литейными свойствами и герметичностью изготовленных из них отливок, обладает удовлетворительной коррозионной стойкостью.
1531. Расчет продуктов производства пива 54.85 KB
  Производим расчет выхода товарного пива на 100кг перерабатываемого сырья. Характеристика готовой продукции и процент выпуска пива. Расчёт количества промежуточных продуктов и готового пива.
1532. Общая психология 86.72 KB
  Современные проблемы и направления в психологии. Психология познавательных процессов. Эмоциональные состояния. Эмоциональный интеллект и методы его изучения. Основные фазы мышления. Основные мыслительные действия. Формы познания. Понятие мышления. Место мышления в структуре познавательной деятельности.
1533. Векторы позитивности: опыт локального исследования 196.05 KB
  Диагностика коммуникативной толерантности (В.В. Бойко). Обработка и интерпретация результатов теста. Отношение к национальности. Опрос проводился на фоне обострения российско-грузинских взаимоотношений.
1534. Проектирование одноэтажного здания и его технико-экономические показатели 198.73 KB
  В здании запроектированы столбчатые фундаменты монолитные стаканного типа с подколонником, в котором предусмотрено уширенное отверстие – стакан, имеющий форму усеченной пирамиды. Основные несущие конструкции покрытия. Спецификация основных железобетонных элементов.
1535. Анализ производства мощностью 80 тонн перерабатываемого молока в смену, выпускающего сыр Эснонский 58.25 KB
  Определение объема производства и реализации продукции в натуральном выражении. Определение полной себестоимости продукции молочного производства. Определение и реализация продукции в стоимостном выражении.
1536. Сущность вооружено-политического конфликта 80.33 KB
  Причины и основные этапы югославского конфликта. Комплекс мероприятий по его урегулированию. Развал СРФЮ. Перерастание конфликта на Балканах в вооруженное столкновение. Возможности и проблемы урегулирования конфликтов. Понятие конфликта как особенного общественного явления. Миротворческая операция в Боснии и Герцеговине