Wachtwoordbeveiliging
Rol wachtwoordbeveiliging bij het waarborgen van de veiligheid van AIS. Cryptografische methoden, in het bijzonder encryptie, bieden een goede bescherming van informatie (vertrouwelijkheid, integriteit, authenticiteit, enz.) tegen een externe indringer. Een dergelijke indringer zou mogelijk berichten kunnen onderscheppen die via een communicatiekanaal worden verzonden en deze in sommige gevallen kunnen wijzigen en zelfs zijn eigen berichten in de communicatiesessie kunnen invoegen (vaak proberen ze voor te doen als berichten van een andere bron). De informatie in het communicatiekanaal wordt echter eerst onderworpen aan cryptografische transformaties en overeenkomstig verzonden cryptografische protocollen, specifiek ontworpen om te voorkomen dat een aanvaller beveiligingsbedreigingen implementeert. Om de veiligheid van de informatie die in het systeem circuleert te schenden, moet hij een kwetsbaarheid vinden in het beveiligingssysteem of in de cryptografische algoritmen die daarin worden gebruikt. Soortgelijke problemen doen zich voor voor een aanvaller die toegang heeft gekregen tot een beschermd AIS als een gebruiker die niet over de rechten beschikt die nodig zijn om toegang te krijgen tot de gegevens die voor hem van belang zijn.
De situatie verandert echter als de aanvaller toegang krijgt tot het systeem namens een gebruiker die geautoriseerd is om bewerkingen uit te voeren met de gegevens die voor hem van belang zijn (bijvoorbeeld het kopiëren van vertrouwelijke bestanden, het vernietigen van kritieke gegevens, enz.). In dit geval is alle cryptografische bescherming nutteloos. Het meest kwetsbare punt van een geautomatiseerd informatiesysteem zijn dus de toegangspunten. Deze toegangspunten worden beschermd door authenticatieprotocollen (gebruikersauthenticatie). En de meest gebruiksvriendelijke en meest gebruikte vorm van authenticatie is wachtwoordbeveiliging.
Er zijn een aantal standaardtechnieken die door aanvallers worden gebruikt om wachtwoordbeveiliging te omzeilen. Voor elk van deze technieken is een tegenmaatregel ontwikkeld.
Technieken om wachtwoordbeveiliging te omzeilen en methoden om deze tegen te gaan.
1. Volledige zoekopdracht (methode brute kracht, brute kracht).
De eenvoudigste (vanuit technisch oogpunt) aanval op een wachtwoord is het uitproberen van alle combinaties van geldige tekens (te beginnen met wachtwoorden die uit één teken bestaan). Moderne rekenkracht maakt het mogelijk om binnen enkele seconden alle wachtwoorden met een lengte van maximaal vijf of zes tekens uit te proberen.
Sommige systemen laten geen brute-force-aanvallen toe omdat ze reageren op meerdere onjuiste wachtwoordpogingen op rij.
Er zijn echter veel systemen die eindeloos zoeken mogelijk maken. Bijvoorbeeld naar een met een wachtwoord beveiligd bestand ( rar-archief of zip-document Microsoft Office enz.) je kunt het proberen verschillende wachtwoorden eindeloos. Er zijn veel programma's waarmee u deze procedure kunt automatiseren: Geavanceerde RAR Wachtwoordherstel, Geavanceerd PDF-wachtwoordherstel, Geavanceerd Office XP-wachtwoordherstel. Bovendien slaan veel programma's de wachtwoord-hash op beschikbaar bestand. Dit is bijvoorbeeld hoe een e-mailclient (die op een openbare computer draait) gebruikerswachtwoorden kan opslaan. Er zijn manieren om een bestand te stelen dat hashes van toegangswachtwoorden bevat. besturingssysteem. Hierna kunt u wachtwoorden selecteren die het systeem omzeilen, met behulp van speciale programma's.
Belangrijk kenmerk Wat een wachtwoord moeilijk brute force maakt, is de lengte ervan. Een modern wachtwoord moet minimaal 12 tekens lang zijn.
Twee extra tekens in een wachtwoord verlengen de zoektijd met 40.000 keer, en vier tekens met 1.600.000.000 keer. De rekenkracht van computers groeit echter voortdurend (een paar jaar geleden werd een wachtwoord van 8 tekens als veilig beschouwd).
2. Overkill binnen een beperkt bereik.
Het is bekend dat veel gebruikers bij het samenstellen van een wachtwoord tekens gebruiken die voorkomen in bepaald bereik. Bijvoorbeeld een wachtwoord dat alleen uit Russische letters bestaat of alleen Latijnse letters of gewoon cijfers. Zo'n wachtwoord is veel gemakkelijker te onthouden, maar de taak van de vijand die de zoekopdracht uitvoert, is ongelooflijk vereenvoudigd.
Laat n = 70 het aantal tekens zijn waaruit een wachtwoord kan worden samengesteld, waarvan 10 cijfers, 30 letters van de ene taal en 30 letters van een andere taal. Laten we een wachtwoord maken met de lengte m = 4 tekens.
Als het wachtwoord volledig willekeurig wordt aangemaakt, is het aantal mogelijke combinaties (die moeten worden geprobeerd) 704 = 24010000. De vijand kan er echter van uitgaan dat het wachtwoord uit tekens uit dezelfde reeks bestaat (zelfs als het onbekend is). welke). Er zijn in totaal 104 + 304 + 304 = 10000 + 810000 + 810000 = 163000. Als hij gelijk had, nam het aantal combinaties (en dus de tijd die nodig was om te zoeken) met 147 keer af. Dit aantal neemt dramatisch toe naarmate de lengte van het wachtwoord en het aantal tekenreeksen waaruit het kan worden samengesteld toeneemt.
Als gevolg hiervan een sterk wachtwoord moet tekens bevatten uit verschillende bereiken . Het wordt aanbevolen om Russisch en Engels, hoofdletters en te gebruiken kleine letters, cijfers en andere symbolen (leestekens, onderstrepingstekens, enz.).
3. Woordenboekaanval
Heel vaak wordt een woord als wachtwoord gekozen. Het automatische wachtwoordzoekprogramma controleert de woorden in het wachtwoord opgegeven bestand met een woordenboek (er zijn een groot aantal van dit soort woordenboeken beschikbaar voor verschillende talen). Een woordenboek van tweehonderdduizend woorden wordt door zo'n programma in enkele seconden gecontroleerd.
Veel gebruikers zijn van mening dat als je een eenvoudige transformatie op het bedoelde woord toepast, het bijvoorbeeld achterstevoren of in Russische letters schrijft Engelse lay-out of opzettelijk een fout maakt, zal dit de veiligheid garanderen. In vergelijking met het raden van een willekeurig wachtwoord, maakt het raden van een wachtwoord met behulp van een woordenboek met behulp van verschillende transformaties (de eerste letter met een hoofdletter schrijven, alle letters met een hoofdletter schrijven, twee woorden combineren, enz.) een onmogelijke taak heel goed mogelijk.
Een sterk wachtwoord mag niet gebaseerd zijn op woorden in natuurlijke taal.
4. Persoonlijke woordenboekaanval
Als een woordenboekaanval en het brute forceren van wachtwoorden van korte lengte of bestaande uit karakters uit dezelfde groep niet helpen, kan een aanvaller profiteren van het feit dat veel gebruikers, om het gemakkelijker te onthouden, persoonlijke gegevens kiezen (nummer mobiele telefoon, geboortedatum achterstevoren geschreven, naam van de hond, enz.).
Als het doel van de aanvaller is om de wachtwoordbeveiliging van deze specifieke gebruiker te omzeilen, kan hij een persoonlijk woordenboek persoonlijke gegevens en gebruik vervolgens een automatisch programma voor het raden van wachtwoorden dat wachtwoorden genereert op basis van dit woordenboek.
Een sterk wachtwoord zou volkomen zinloos moeten zijn.
5. Verzameling van wachtwoorden opgeslagen op openbare plaatsen
In veel organisaties worden wachtwoorden aangemaakt en verspreid door de systeembeheerder, die de bovenstaande regels hanteert. Gebruikers zijn verplicht het aan hen toegewezen wachtwoord te gebruiken. Omdat dit wachtwoord echter moeilijk te onthouden is, wordt het vaak in geschreven vorm bij de hand gehouden. Er zijn vaak gevallen waarin het wachtwoord op een plakbriefje wordt geschreven en op de monitor wordt geplakt, of daarin is opgenomen notitieboekje.
Gebruikers nemen de beveiliging van hun servicewachtwoord vaak niet serieus. Ga ondertussen het pand van de organisatie binnen en voer uit visuele inspectie– een vrij eenvoudige taak voor een aanvaller.
Het wachtwoord mag niet op een publiek toegankelijke plaats worden bewaard. De ideale optie is om het te onthouden en nergens op te slaan. Als het wachtwoord in een notitieboekje staat, mag dit niet onbeheerd worden achtergelaten en mogen er bij het invoeren van het wachtwoord geen vreemden aanwezig zijn die over hun schouder in het boek kunnen kijken.
6. Sociale engineering
Social engineering is het manipuleren van mensen om de beschermde systemen van een gebruiker of organisatie binnen te dringen. Als u een wachtwoord niet kunt raden of stelen, kunt u proberen de gebruiker te misleiden om zelf het wachtwoord op te geven. Klassieke tactiek sociale engineering - telefoontje aan het slachtoffer namens iemand die er recht op heeft de gevraagde informatie te kennen. Een aanvaller kan zich bijvoorbeeld voorstellen systeembeheerder en onder overtuigend voorwendsel om een wachtwoord (of andere informatie) vragen. Het overtuigen van een gebruiker om een link of bijlage te openen die hij of zij niet mag openen, of het naar een nepsite lokken, worden ook als social engineering-methoden beschouwd.
U moet de regel onthouden: u mag uw wachtwoord nooit aan vreemden bekendmaken. Zelfs als deze personen het recht hebben hem te kennen. De enige uitzondering kan zijn als een rechtbank of wetshandhavingsinstantie u verplicht het wachtwoord op te geven op straffe van aansprakelijkheid wegens weigering om te getuigen. Maar zelfs in dit geval is het noodzakelijk om ervoor te zorgen dat wetshandhavers precies zijn wie ze zeggen dat ze zijn.
7. Phishing
Phishing – Dit is een procedure voor het “vissen” naar wachtwoorden willekeurige gebruikers Internet. Meestal houdt dit in dat er ‘dummy’-sites worden gemaakt die de gebruiker ertoe verleiden zijn wachtwoord in te voeren.
Om bijvoorbeeld het wachtwoord voor te verkrijgen bankrekening kan een website worden gemaakt met een ontwerp dat identiek is aan de website van een bepaalde bank. Het adres van deze site zal uiteraard anders zijn, maar meestal registreert de aanvaller zich domeinnaam, één voor één verschillend van de bank. Als gevolg hiervan komt de gebruiker, nadat hij een typefout heeft gemaakt, op een nepsite terecht en zal hij zijn fout niet opmerken. Om gebruikers te lokken kunnen bankklanten ook e-mails ontvangen met inhoud als ‘controleer uw account’ of ‘bekijk nieuwe promoties’, en de e-mail bevat een link die naar een nepwebsite leidt.
Wanneer bankklanten op de website van de aanvaller terechtkomen, wordt hen (net als op de echte website) gevraagd een login en wachtwoord in te voeren om toegang te krijgen tot de rekening. Deze informatie wordt opgeslagen in de database van de aanvaller, waarna de client wordt doorgestuurd startpagina van deze site. De gebruiker ziet dat het invoeren van het wachtwoord ‘niet werkte’ en denkt dat hij een fout heeft gemaakt of dat de site simpelweg ‘met fouten’ werkt. Hij probeert het wachtwoord opnieuw in te voeren en logt deze keer succesvol in. Dit neemt zijn vermoedens weg. Ondertussen is het wachtwoord al gelekt...
Een ander type phishing is gebaseerd op het feit dat veel gebruikers hetzelfde wachtwoord gebruiken voor verschillende bronnen. Als gevolg hiervan kunt u, door een succesvolle aanval uit te voeren op een minder beschermde bron, toegang krijgen tot een beter beschermde bron.
Er wordt bijvoorbeeld een website gemaakt die potentieel interessant is voor een bepaalde kring van gebruikers. Als het doelwit van de aanval is specifieke persoon, dan worden eerst zijn interesses en hobby's bestudeerd. Informatie over deze site wordt doorgegeven aan potentiële slachtoffers. Een gebruiker die de site bezoekt, wordt met name gevraagd zich te registreren om een wachtwoord te bedenken. Nu hoeft u alleen nog maar te kijken of het ingevoerde wachtwoord geschikt is voor andere bronnen van deze gebruiker (bijvoorbeeld e-mail, wiens adres is opgegeven tijdens de registratie).
Om de dreiging van phishing tegen te gaan, moet u het websiteadres zorgvuldig controleren voordat u de website bezoekt belangrijk wachtwoord. Het is het beste om dit adres in de bladwijzers van uw browser te plaatsen en uitsluitend deze bladwijzers te gebruiken, en nooit op links te klikken e-mails. U moet verschillende wachtwoorden gebruiken om toegang te krijgen tot verschillende services.
Het opvolgen van alle zeven hierboven genoemde aanbevelingen is behoorlijk moeilijk. Het is moeilijk om meerdere sterke (lange en betekenisloze) wachtwoorden te onthouden, en de kans is groter dat u uw wachtwoord vergeet dan dat u wordt gehackt. Er zijn echter een aantal tools die deze taak eenvoudiger maken, met name programma's voor het opslaan van wachtwoorden.
In het programma KeePass draagbaar alle wachtwoorden worden opgeslagen in een gecodeerd bestand, waarvoor u een wachtwoord moet invoeren (het enige dat u echt hoeft te onthouden). Het programma geeft deze wachtwoorden echter niet op het scherm weer uitdrukkelijk. Als u een wachtwoord wilt invoeren om toegang te krijgen tot een bron (bijvoorbeeld een specifieke website of e-mail), moet u de bron uit de lijst selecteren en selecteren contextmenu team Kopieer wachtwoord naar klembord. Het wachtwoord wordt op het klembord geplaatst. Zelfs als hij de acties van de gebruiker nauwlettend in de gaten houdt, zal de vijand geen wachtwoord zien dat niet op het toetsenbord is getypt en niet expliciet op het scherm verschijnt. Vervolgens hoeft u alleen maar naar het venster van het programma te gaan waarvoor een wachtwoord vereist is en dit vanaf het klembord in het invoerveld te plaatsen (door op Ctrl + V te drukken of de opdracht Invoegen contextmenu). Het wachtwoord wordt onmiddellijk weergegeven als sterretjes. Na een paar seconden wordt het automatisch uit de buffer verwijderd. Met het programma kunt u ook genereren willekeurige wachtwoorden van een bepaalde lengte, en de gebruiker weet misschien niet eens welk wachtwoord het programma voor hem heeft gemaakt - het is belangrijk dat het dit wachtwoord elke keer geeft als hij moet inloggen. Ten slotte vereist KeePass Portable geen installatie op het systeem: het programma kan naar een flashstation worden overgebracht en er rechtstreeks vanaf worden uitgevoerd.
Niemand wil de toegang tot accounts verliezen sociale netwerken of brievenbussen, maar heel vaak gebeurt dit nog steeds. Meestal is de oorzaak van dit probleem de onvoldoende sterkte van het gebruikte wachtwoord. Veel sites staan geen wachtwoorden toe die korter zijn dan 8 tekens, maar deze maatregel is niet altijd effectief.
De beste optie is generatie gebruikerswachtwoord gespecialiseerd programma Houd er echter rekening mee dat zelfs het meest hackbestendige wachtwoord kan worden gestolen of eenvoudigweg verloren kan gaan. Bescherming vertrouwelijke informatie moet alomvattend worden uitgevoerd, maar het moet beginnen met de creatie sterk wachtwoord. Laten we eens kijken naar de belangrijkste methoden die aanvallers gebruiken om wachtwoorden te kraken:
Woordenschat kapot
Gebruik van malware
Met deze methode kan een aanvaller een wachtwoordbestand uit een browser stelen, of eenvoudigweg de reeks gegevens registreren en opslaan die wordt ingevoerd bij het inloggen (gebruikt voor dit doel) en deze vervolgens ter verwerking naar een willekeurig adres sturen. Om een dergelijke aanval te voorkomen, dient u alleen software van vertrouwde leveranciers te installeren en de toegang van buitenstaanders tot uw computer zoveel mogelijk te beperken;
Directe wachtwoorddiefstal
Eenvoudig maar geweldig effectieve methode. Naar kantoor gerenommeerd bedrijf er komt een loodgieter, een seingever of een elektricien binnen, waar niemand op let. Integendeel, hij legt zorgvuldig alles vast wat zijn camera of een ervaren oog kan opmerken. In elk kantoor zie je stickers met kalligrafische logins en wachtwoorden op de monitoren, vooral voor lieve dames... Een dergelijke minachting voor de veiligheid kan een bedrijf gemakkelijk ruïneren. Je kunt en moet vechten door de interne discipline te versterken;
Spin Methode
Professionele hackers hebben al lang gemerkt dat de meeste woorden en zinnen die als wachtwoord worden gebruikt, verband houden met de hoofdactiviteiten van bedrijven of individuen. Doorgegaan wereldwijde web, websites van concurrenten of gespecialiseerde literatuur, is het mogelijk om de zoekbasis aanzienlijk te verkleinen. Het heeft geen zin om te vechten, maar wel te profiteren automatische generatie wachtwoord, annuleert de gebruiker pogingen om deze techniek tegen hem te gebruiken.
Alle andere methoden vertegenwoordigen wijzigingen van de vermelde methoden. Het doel van dit artikel was de noodzaak om de aandacht van gebruikers niet alleen te vestigen op het maken van kraakbestendige wachtwoorden, maar ook op de noodzaak om deze zorgvuldig op te slaan.
Wachtwoordsterkte controleren
Het probleem van wachtwoordbeveiliging is over de hele wereld relevant, dus er zijn veel sites die een geschatte berekening bieden van de tijd die nodig is om ze te kraken. We nodigen de gebruiker uit om zelf met zijn wachtwoorden te experimenteren. Er kan veel worden geleerd om methoden te begrijpen om de hackweerstand te vergroten door verschillende wachtwoorden te testen op weerstand tegen hacking op een website. De analyse maakt gebruik van de basismethoden die worden gebruikt door automatische hackprogramma's.
Met zijn hulp kunt u het registratie- en autorisatieproces op alle sites, forums en sociale netwerken aanzienlijk vereenvoudigen. netwerken. Om dit te doen, genereren we bij registratie op een site een profiel, kopiëren we de benodigde velden ervan naar de site, verwijderen onnodige velden in het profiel, downloaden en bewaren we het gemaakte profiel op de computer met de naam van de site waar het was gebruikt. Klaar.
Bovendien kunt u met zijn hulp bedenken interessante foto naar een avatar voor Instagram, VKontakte en andere sociale netwerken.
Bookmark, gebruik en deel op sociale netwerken met vrienden!
Dynamische wachtwoordverificatiemethoden bieden grotere veiligheid, aangezien de frequentie van wachtwoordwijzigingen daarin maximaal is: het wachtwoord voor elke gebruiker verandert dagelijks of om de paar dagen. In dit geval verandert elk volgend wachtwoord ten opzichte van het vorige volgens de regels, afhankelijk van de gebruikte authenticatiemethode.
Er zijn volgende methoden wachtwoordbeveiliging op basis van het gebruik van een dynamisch veranderend wachtwoord:
Methoden voor circuitmodificatie eenvoudige wachtwoorden;
Methoden voor het identificeren en authenticeren van onderwerpen en diverse voorwerpen;
Verzoek-antwoordmethode;
Functionele methoden.
De meest effectieve van deze methoden zijn functioneel.
Methoden voor het wijzigen van een eenvoudig wachtwoordschema. Methoden voor het wijzigen van het eenvoudige wachtwoordschema omvatten het willekeurig maken van wachtwoordtekens en het eenmalig gebruik van wachtwoorden.
Bij gebruik van de eerste methode krijgt elke gebruiker een vrij lang wachtwoord toegewezen en elke keer wordt niet het volledige wachtwoord gebruikt voor identificatie, maar slechts een deel ervan. Tijdens het authenticatieproces vraagt het systeem de gebruiker om een groep tekens onder een bepaald volgnummer. Het aantal tekens en hun volgnummers voor het verzoek worden bepaald met behulp van een pseudowillekeurige getalsensor.
Bij eenmalig gebruik van wachtwoorden krijgt elke gebruiker een lijst met wachtwoorden toegewezen. Tijdens het aanvraagproces wordt het in te voeren wachtwoordnummer opeenvolgend uit een lijst of volgens een willekeurig steekproefschema geselecteerd.
Het nadeel van eenvoudige methoden voor het wijzigen van wachtwoordschema's is dat gebruikers het moeten onthouden lange wachtwoorden of hun lijsten. Het opschrijven van wachtwoorden op papier brengt het risico met zich mee van verlies of diefstal van opslagmedia waarop wachtwoorden zijn geschreven.
Methoden voor het identificeren en authenticeren van onderwerpen en verschillende objecten.
Het verdient in ieder geval aanbeveling om bij het uitwisselen van informatie te voorzien in een wederzijdse verificatie van de authenticiteit van de autoriteit van het voorwerp of subject. Als informatie via een netwerk wordt uitgewisseld, moet de procedure worden gevolgd. Dit vereist dat elk van de objecten en onderwerpen een unieke naam krijgt. Elk van de objecten (onderwerpen) moet in zijn eigen geheugen worden opgeslagen (ontoegankelijk voor onbevoegde personen) een lijst met de namen van objecten (onderwerpen) waarmee de processen voor het uitwisselen van beschermde gegevens zullen worden uitgevoerd.
Verzoek-antwoordmethode. Bij gebruik van de ‘request-response’-methode in het informatiesysteem wordt vooraf een reeks vragen aangemaakt en vooral beveiligd, inclusief beide vragen algemeen, evenals persoonlijke vragen met betrekking tot specifieke gebruiker bijvoorbeeld vragen over zaken uit zijn leven die alleen bij de gebruiker bekend zijn.
Om de authenticiteit van de gebruiker te bevestigen, stelt het systeem hem achtereenvolgens een reeks willekeurig geselecteerde vragen waarop hij moet antwoorden. De identificatie wordt als positief beschouwd als de gebruiker alle vragen correct beantwoordt.
De belangrijkste vereiste voor vragen bij deze authenticatiemethode is uniciteit, wat betekent dat alleen de gebruikers voor wie deze vragen bedoeld zijn de juiste antwoorden op de vragen kennen.
Functionele methoden. Van de functionele methoden zijn de functionele methoden voor wachtwoordconversie en de handshake-methode de meest voorkomende.
De functionele transformatiemethode is gebaseerd op het gebruik van een bepaalde functie F, die aan de volgende eisen moeten voldoen:
· Voor gegeven nummer of woorden X gemakkelijk te berekenen Y=F(X),
· weten X En Y, is het moeilijk of onmogelijk om de functie te definiëren Y=F(X).
Een noodzakelijke voorwaarde vervulling van deze eisen is de aanwezigheid in de functie F(X) dynamisch veranderende parameters bijvoorbeeld huidige data, tijd, dag van de week of leeftijd van de gebruiker.
De gebruiker wordt geïnformeerd:
· initieel wachtwoord - woord of nummer X, bijvoorbeeld het nummer 31;
· functie F(X), Bijvoorbeeld, Y= (X mod 100) D+W, Waar (X mod 100) - handeling waarbij de rest wordt weggenomen gehele deling X tegen 100, D- huidige dag van de weeknummer, a W- huidige weeknummer in de huidige maand;
· frequentie van wachtwoordwijzigingen, bijvoorbeeld elke dag, elke drie dagen of elke week.
De gebruikerswachtwoorden voor de reeks gespecificeerde geldigheidsperioden van één wachtwoord zullen respectievelijk zijn X, F(X), F(F(X)), F(F(F(X))) enz., d.w.z. voor i- van de geldigheidsduur van één wachtwoord, zal het wachtwoord van de gebruiker zijn Fi-1(X). Om het volgende wachtwoord te berekenen nadat de geldigheidsperiode van het gebruikte wachtwoord is verstreken, hoeft de gebruiker het initiële (oorspronkelijke) wachtwoord daarom niet te onthouden. Het is alleen belangrijk om de wachtwoordconversiefunctie en het wachtwoord dat tot dan toe werd gebruikt niet te vergeten. nu.
Om te bereiken hoog niveau beveiliging moet de wachtwoordconversiefunctie die voor elke gebruiker is ingesteld periodiek worden gewijzigd, bijvoorbeeld elke maand. Bij het vervangen van een functie is het raadzaam een nieuw initieel wachtwoord in te stellen.
Volgens de "handshake"-methode is er een functie F, alleen bekend bij de gebruiker en het informatiesysteem. Deze functie moet aan dezelfde eisen voldoen als die welke zijn gedefinieerd voor de functie die wordt gebruikt in de functionele transformatiemethode.
Wanneer een gebruiker het informatiesysteem betreedt, genereert het beveiligingssysteem willekeurig nummer of willekeurige reeks karakters X, en de functie wordt berekend F(X), gegeven voor gegeven gebruiker.
Volgende X uitvoer naar de gebruiker die moet berekenen F"(X) en voer de resulterende waarde in het systeem in. Waarden F(X), F"(X) worden door het systeem vergeleken en als ze overeenkomen, krijgt de gebruiker toegang.
In een informatiesysteem wordt bijvoorbeeld een willekeurig getal bestaande uit zeven cijfers gegenereerd en aan de gebruiker gegeven. Om een aanvaller in verwarring te brengen, kan op elke plek een nummer worden ingevoegd decimaalteken. Als functie F geaccepteerd:
Y=(<сумма 1e, 2e en 5e cijfer van het nummer>)2 -<сумма 3e, 4e, 6e en 7e cijfer van het nummer > +<сумма цифр текущего времени в часах>.
Voor hoge beveiliging Het is raadzaam om de handshake-functie cyclisch op bepaalde, bijvoorbeeld ingestelde, tijdsintervallen te wijzigen verschillende functies voor de even en oneven dagen van de maand.
Het voordeel van de handshake-methode is dat er geen vertrouwelijke informatie wordt overgedragen tussen de gebruiker en het informatiesysteem. Om deze reden is de effectiviteit deze methode is vooral geweldig bij gebruik in netwerken om de authenticiteit te bevestigen van gebruikers die toegang proberen te krijgen tot servers of centrale computers.
In sommige gevallen moet de gebruiker mogelijk de authenticiteit verifiëren van het informatiesysteem waartoe hij toegang wil krijgen. De behoefte aan wederzijdse verificatie kan ook ontstaan wanneer twee gebruikers van het systeem via een communicatielijn met elkaar willen communiceren. Eenvoudige wachtwoordmethoden, evenals methoden voor het wijzigen van eenvoudige wachtwoordschema's, zijn in dit geval niet geschikt. De meest geschikte methode hierbij is de ‘handdruk’. Bij gebruik ervan ontvangt geen van de deelnemers aan de communicatiesessie geheime informatie.
Rug
HOOFDSTUK IV
TECHNOLOGIEËN VOOR HACKING-SOFTWAREBESCHERMINGEN
Het voorkomen van de verspreiding van informatie over aanvallen creëert een gevaarlijke illusie van veiligheid...
Chris Kasperski. Technologie en filosofie aanvallen van hackers.
Programmeur met kennis van methoden technische bescherming, ongetwijfeld, moet de technologie van hackbeveiliging kennen om in de eerste plaats geen fouten te herhalen bestaande systemen en ten tweede: creëer efficiëntere en betrouwbaardere mechanismen. De auteur van de bescherming moet ook goed bekend zijn met de tools van moderne hackers en rekening houden met de mogelijkheden bestaande fondsen onderzoek van programma's (debuggers, disassemblers, viewers) bij het ontwerpen van mechanismen en softwarebeschermingssystemen.
In dit hoofdstuk bekijken we de basisideeën, technieken, algoritmen en technologieën waarmee je deze kunt verwijderen, omzeilen of hacken softwarebescherming. We zullen ook enkele aanbevelingen doen om de beschermingsmechanismen te verbeteren.
Experimenten met het hacken van de beroemde Amerikaanse cryptografische standaard zijn algemeen bekend: DES-algoritme (Data Encryption Standard). 56-bit DES-sleutel -Het algoritme was ongeveer twintig jaar onbreekbaar. “... het viel op 17 juni 1997, 140 dagen na de start van de competitie (tegelijkertijd ongeveer 25% van alle mogelijke sleutels en besteed≈ 450 MIPS -jaren". In 1998 werd een hack gemeld DES -algoritme in 56 uur.
Met een scherpe sprong in prestaties computertechnologie als eerste in botsing gekomen RSA-algoritme, om te onthullen wat nodig is om het factorisatieprobleem op te lossen. In maart 1994 werd de factorisatie van een getal van 129 cijfers (428 bit6), die acht maanden duurde, voltooid. Hierbij waren 600 vrijwilligers en 1.600 machines betrokken die via e-mail met elkaar verbonden waren. De doorgebrachte machinetijd kwam overeen met ongeveer 5.000 MIPS-jaren.
Op 29 januari 1997 kondigde RSA Labs een wedstrijd aan om het symmetrische RC5-algoritme te openen. De 40-bits sleutel werd 3,5 uur na de start van de competitie onthuld! (Hiervoor was niet eens het aansluiten van computers via internet nodig - een lokaal netwerk van 250 machines aan de Berkeley University was voldoende). Na 313 uur werd ook de 48-bits sleutel geopend [24].
Zelfs een beginnende programmeur kan een programma schrijven dat alle mogelijke reeksen symbolen construeert uit een gegeven sequentiële opsombare set. Het is duidelijk dat de auteur van de berekening van de verdediging gebaseerd moet zijn op het feit dat een volledige zoektocht meer tijd in beslag zou nemen dan wat redelijk is. En het eerste dat ontwikkelaars hiervoor gebruiken, is het vergroten van de lengte van de sleutel (wachtwoord). Op hun eigen manier hebben ze gelijk. Maar
Ten eerste groeit, zoals al opgemerkt, de kracht van computers, en als een volledige zoektocht gisteren veel tijd in beslag nam, zal de tijd die de computer morgen nodig zal hebben hoogstwaarschijnlijk acceptabel zijn om de bescherming te verwijderen.
Vanwege de sterke groei rekenkracht Brute force-aanvallen hebben een veel grotere kans op succes dan voorheen. Als voor UNIX-systemen De crypt()-functie, die verantwoordelijk is voor het hashen van wachtwoorden, werd zo geïmplementeerd dat het bijna 1 seconde duurde om uit te voeren op een PDP-klasse machine, maar in twintig jaar tijd is de snelheid van de berekening ervan 10.000 keer (!) toegenomen. . Daarom, als eerdere hackers (en ontwikkelaars die de wachtwoordlengte tot 8 tekens beperkten) zich niet eens een volledige zoekopdracht konden voorstellen, zal een dergelijke aanval tegenwoordig gemiddeld binnen 125 dagen tot succes leiden.
Ten tweede zijn er, om de snelheid van de opsomming te vergroten, al effectieve algoritmen voorgesteld die verbeterd kunnen worden (meestal gebaseerd op formele logica en met behulp van verzamelingenleer, waarschijnlijkheidstheorie en andere gebieden van de wiskunde). Daarnaast worden er ook algoritmes gebruikt snel zoeken. (Bijvoorbeeld om aan te vallen RSA en soortgelijke systemen worden voorgesteld om zelforganiserende tabelzoekopdrachten te gebruiken.)
Bovendien is er al speciale apparatuur gemaakt die zoekfuncties uitvoert.
Het is belangrijk op te merken dat het opslaan van een wachtwoordhashfunctie de mogelijkheid van een brute force-aanval niet elimineert, maar alleen de tijd verandert die nodig is voor het kraken. In feite moet het programma dat naar wachtwoorden zoekt nu worden aangevuld door de hashfunctie van elke optie te berekenen en het resultaat te vergelijken met de hashstandaard.
Laten we aandacht besteden aan nog een omstandigheid met betrekking tot beveiliging op basis van wachtwoordhashing. Sommige hash-functies kunnen bij een onjuist wachtwoord hetzelfde resultaat opleveren als het origineel. Om de bescherming te verwijderen in dit geval vind er maar een geschikt wachtwoord, wat uiteraard de bescherming verzwakt en de kosten van hacking verlaagt. (Hash-functies hebben deze eigenschap en geven een resultaat dat qua lengte (in bits) vergelijkbaar is met een wachtwoord.)
Laten we stilstaan bij een ander type brute-force wachtwoordzoektechniek - de zogenaamde Woordenboek aanval . Dit is een methode die kan worden gebruikt om een betekenisvol wachtwoord te kraken. De werkwijze is gebaseerd op het feit dat de gebruiker meer wil gemakkelijk te onthouden selecteert een (woordenboek)woord dat in een bepaalde taal bestaat. Gezien het feit dat er in geen enkele taal meer dan 100.000 woorden bestaan, ligt het voor de hand dat binnen korte tijd een volledige zoekopdracht naar woordenboekwoorden zal plaatsvinden.
Tegenwoordig zijn programma's die wachtwoorden selecteren op basis van woordenboekwoorden wijdverspreid. Nu kan alleen een onverantwoordelijke of luie gebruiker genoegen nemen met een betekenisvol wachtwoord. Laten we niet vergeten dat dergelijke programma's, naast het controleren van het woordenboek, de hoofdletters kunnen veranderen, leestekens kunnen 'kennen', kunnen 'raden' dat de gebruiker een woord kan omdraaien, twee woorden aan elkaar kunnen plakken met behulp van een leesteken of cijfer, enz. transformaties.
Het is opmerkelijk dat modern ontwikkelde beschermingsmiddelen tegen ongeoorloofde toegang, waardoor de gebruiker zelfstandig een wachtwoord voor toegang kan kiezen, zijn uitgerust met modules die het geselecteerde wachtwoord controleren op deelname aan dergelijke woordenboeken en in dit geval niet toestaan dat het wachtwoord wordt gebruikt .
Programma's die woordenboekaanvallen uitvoeren, werken vrij snel, omdat ze efficiënte zoek- en vergelijkingsalgoritmen implementeren. Ze gebruiken bijvoorbeeld geen langzame tekenreeksvergelijking, maar vergelijking controlesommen enz. Velen van hen bevatten niet eens een woordbasis, maar gebruiken woordenboeken die in gewone teksteditors zijn ingebouwd.
_____________________________
* Wachtwoordbeveiliging moet worden gebruikt in gevallen waarin een aanval met brute kracht ineffectief zal zijn, of de aanvaller geen toegang heeft tot voldoende krachtige computerhulpmiddelen om een aanval met brute kracht uit te voeren (we mogen de mogelijkheid niet vergeten om netwerktechnologieën te gebruiken ).
* Om de wachtwoordbeveiliging te versterken, moet u originele technieken gebruiken die de snelheid van het zoeken naar wachtwoorden verminderen.
* U kunt de wachtwoordbeveiliging enigszins versterken door twee (afhankelijke) controles in het programma uit te voeren: zowel het wachtwoord als het resultaat van de wachtwoordhashfunctie, terwijl u op het juiste niveau het beveiligingsmechanisme “verbergt”, of op zijn minst achterwege laat. directe vergelijking. In dit geval is het raadzaam om specifiek een hashfunctie te selecteren die een groot aantal wachtwoorden oplevert die voldoen aan de hashstandaard. Met deze implementatie verdedigingsmechanisme een aanvaller zou twee parameters moeten aanvallen.
* Beveiliging werkt nog effectiever als het wachtwoord (en betere functie wachtwoord) dient als coderingssleutel voor een deel van de programmacode. In dit geval zal de cracker, nadat hij alle mogelijke wachtwoorden heeft geprobeerd (wat een bepaald hashresultaat oplevert), de code moeten decoderen.
Houd er rekening mee dat bij dit type bescherming, dat wil zeggen bij het gelijktijdig controleren van meerdere parameters, de hashfunctie het gewenste resultaat oplevert grote hoeveelheden wachtwoorden, maakt het veel moeilijker om te kraken.
___________________________________________________________
Meer details
1. Voorbeelden van aanvallen op beveiligingsmechanismen - Chris Kaspersky "Techniek en filosofie van hackeraanvallen".
2. Pseudo-willekeurige nummerreeksen genereren - Yu.S. Kharin, V.I. Bernik, G.V. Matveev “Wiskundige grondslagen van cryptologie”, pp. 153-188; V. Zhelnikov “Cryptografie van papyrus naar computer”, pp. 181-207.
De basis van elk beveiligingssysteem informatiesystemen zijn identificatie en authenticatie, aangezien alle izijn ontworpen om te werken met benoemde subjecten en objecten van de AS. Laten we niet vergeten dat zowel gebruikers als processen als AS-subjecten kunnen fungeren, en dat informatie en anderen als AS-objecten kunnen fungeren. informatiebronnen systemen.
Het toekennen van een persoonlijke identificatie aan onderwerpen en toegang tot objecten en het vergelijken ervan met een bepaalde lijst wordt identificatie genoemd. Identificatie zorgt voor de volgende functies:
Het vaststellen van de authenticiteit en het bepalen van de bevoegdheden van het subject bij zijn toelating tot het systeem,
Controle van gevestigde bevoegdheden tijdens een werksessie;
Registratie van acties etc.
Authenticatie (authenticatie) is de verificatie van het eigendom van de toegangssubject van de door hem gepresenteerde identificatie en de bevestiging van de authenticiteit ervan. Met andere woorden, authenticatie gaat over het controleren of de verbindende entiteit is wie hij beweert te zijn.
De algemene procedure voor het identificeren en authenticeren van een gebruiker bij toegang tot het AS wordt weergegeven in Fig. 2.10. Als de authenticatie van de proefpersoon tijdens het authenticatieproces tot stand komt, moet het informatiebeveiligingssysteem zijn bevoegdheden (set van rechten) bepalen. Dit is nodig voor de daaropvolgende controle en differentiatie van de toegang tot hulpbronnen.
Op basis van de gecontroleerde component van het systeem kunnen authenticatiemethoden worden onderverdeeld in authenticatie van communicatiepartners en authenticatie van de gegevensbron. Authenticatie van communicatiepartners wordt gebruikt bij het tot stand brengen (en periodiek controleren) van een verbinding tijdens een sessie. Het dient om bedreigingen zoals maskerade en herhaling van de vorige communicatiesessie te voorkomen. Authenticatie van gegevensbronnen is de bevestiging van de authenticiteit van de bron van een enkel gegeven.
Qua richting kan authenticatie eenrichtingsverkeer zijn (de gebruiker bewijst zijn authenticiteit aan het systeem bijvoorbeeld door in te loggen op het systeem) en tweerichtingsverkeer (wederzijds).
Rijst. 2.10. Klassieke identificatie- en authenticatieprocedure
Normaal gesproken worden authenticatiemethoden geclassificeerd op basis van de gebruikte middelen. In dit geval zijn deze methoden verdeeld in vier groepen:
1. Gebaseerd op kennis van een persoon die recht heeft op toegang tot systeembronnen van bepaalde geheime informatie - een wachtwoord.
2. Op basis van het gebruik van een uniek item: token, elektronische kaart, enz.
3. Gebaseerd op de meting van menselijke biometrische parameters - fysiologische of gedragskenmerken van een levend organisme.
4. Gebaseerd op informatie die verband houdt met de gebruiker, bijvoorbeeld zijn coördinaten.
Laten we naar deze groepen kijken.
1. De meest voorkomende eenvoudige en bekende authenticatiemethoden zijn die gebaseerd op wachtwoorden - geheime identificatiegegevens van proefpersonen. Wanneer de persoon hier zijn wachtwoord invoert, vergelijkt het authenticatiesubsysteem dit met het wachtwoord dat in gecodeerde vorm is opgeslagen in de referentiedatabase. Als de wachtwoorden overeenkomen, staat het authenticatiesubsysteem toegang tot AS-bronnen toe.
Wachtwoordmethoden moeten worden geclassificeerd op basis van de mate waarin wachtwoorden kunnen worden gewijzigd:
Methoden die permanente (herbruikbare) wachtwoorden gebruiken
Methoden waarbij gebruik wordt gemaakt van eenmalige (dynamisch veranderende) wachtwoorden.
De meeste sprekers gebruiken herbruikbare wachtwoorden. In dit geval verandert het wachtwoord van de gebruiker niet van sessie tot sessie gedurende de geldigheidsperiode die is ingesteld door de systeembeheerder. Dit vereenvoudigt de beheerprocedures, maar vergroot het risico op wachtwoordcompromis. Er zijn veel manieren bekend om een wachtwoord te kraken: van over je schouder gluren tot het onderscheppen van een communicatiesessie. De kans dat een aanvaller een wachtwoord opent, neemt toe als het wachtwoord een semantische betekenis heeft (geboortejaar, meisjesnaam), kort van lengte is, in één register wordt getypt, geen beperkingen heeft op de bestaansduur, etc. Het is belangrijk of het wachtwoord mag alleen worden ingevoerd in de interactieve modus of de mogelijkheid om toegang te krijgen vanuit het programma.
In het laatste geval is het mogelijk om een programma voor het raden van wachtwoorden uit te voeren - een "crusher".
Een veiligere manier is om eenmalige of dynamisch veranderende wachtwoorden te gebruiken.
De volgende wachtwoordbeveiligingsmethoden op basis van eenmalige wachtwoorden zijn bekend:
Methoden voor het wijzigen van het eenvoudige wachtwoordschema;
Verzoek-antwoordmethoden;
Functionele methoden.
In het eerste geval krijgt de gebruiker een lijst met wachtwoorden. Tijdens de authenticatie vraagt het systeem de gebruiker om een wachtwoord, waarvan het nummer in de lijst wordt bepaald door een willekeurige wet. Lengte en serienummer Het beginteken van het wachtwoord kan ook willekeurig worden ingesteld.
Bij gebruik van de challenge-response-methode stelt het systeem de gebruiker een aantal algemene vragen, waarvan de juiste antwoorden alleen bekend zijn bij een specifieke gebruiker.
Functionele methoden zijn gebaseerd op het gebruik speciale functie wachtwoord conversie. Dit maakt het mogelijk om (volgens een bepaalde formule) gebruikerswachtwoorden in de loop van de tijd te wijzigen. Gespecificeerde functie moet aan de volgende eisen voldoen:
Voor een bepaald wachtwoord is x eenvoudig te berekenen Nieuw wachtwoord ;
Als je x en y kent, is het moeilijk of onmogelijk om de functie te bepalen.
De bekendste voorbeelden van functionele methoden zijn: de functionele transformatiemethode en de handshakemethode.
Het idee van de functionele transformatiemethode is periodieke verandering de functie zelf. Dit laatste wordt bereikt door de aanwezigheid in de functionele uitdrukking van dynamisch veranderende parameters, bijvoorbeeld een functie van een bepaalde datum en tijd. De gebruiker wordt geïnformeerd over het initiële wachtwoord, de daadwerkelijke functie en de frequentie waarmee het wachtwoord wordt gewijzigd. Het is gemakkelijk in te zien dat de wachtwoorden van de gebruiker voor bepaalde tijdsperioden de volgende zijn: x, f(x), f(f(x)), ..., f(x)n-1.
De handshake-methode is als volgt. De wachtwoordconversiefunctie is alleen bekend bij de gebruiker en het beveiligingssysteem. Bij het betreden van de AS genereert het authenticatiesubsysteem een willekeurige reeks x, die naar de gebruiker wordt verzonden. De gebruiker berekent het resultaat van de functie y=f(x) en stuurt dit terug naar het systeem. Het systeem vergelijkt zijn eigen berekende resultaat met dat van de gebruiker. Als de opgegeven resultaten overeenkomen, wordt de authenticiteit van de gebruiker als bewezen beschouwd.
Het voordeel van de methode is dat de overdracht van informatie die door een aanvaller kan worden gebruikt, wordt geminimaliseerd.
In sommige gevallen moet de gebruiker mogelijk de authenticiteit verifiëren van een andere externe gebruiker of een AS waartoe hij toegang wil krijgen. De meest geschikte methode hier is de “handshake”-methode, aangezien geen van de deelnemers aanwezig is informatie uitwisseling ontvangt geen vertrouwelijke informatie.
Houd er rekening mee dat authenticatiemethoden op basis van eenmalige wachtwoorden ook geen absolute bescherming bieden. Als een aanvaller bijvoorbeeld de mogelijkheid heeft om verbinding te maken met het netwerk en verzonden pakketten te onderscheppen, kan hij deze laatste als zijn eigen pakketten verzenden.
2. Onlangs zijn gecombineerde identificatiemethoden wijdverbreid geworden, waarbij naast het kennen van het wachtwoord ook de aanwezigheid van een kaart (token) vereist is - een speciaal apparaat dat de authenticiteit van het onderwerp bevestigt.
Kaarten zijn onderverdeeld in twee soorten:
Passief (geheugenkaarten);
Actief (smartcards).
De meest voorkomende zijn passieve kaarten met een magneetstrip, die worden gelezen door een speciaal apparaat met een toetsenbord en een processor. Bij gebruik van de opgegeven kaart voert de gebruiker zijn identificatienummer in. Als het overeenkomt elektronische versie, gecodeerd in de kaart, krijgt de gebruiker toegang tot het systeem. Hiermee kunt u op betrouwbare wijze de persoon identificeren die toegang heeft gekregen tot het systeem en ongeoorloofd gebruik van de kaart door een aanvaller voorkomen (bijvoorbeeld bij verlies). Deze methode wordt vaak tweefactorauthenticatie genoemd.
Soms (meestal voor fysieke toegangscontrole) worden kaarten op zichzelf gebruikt, zonder dat een persoonlijk identificatienummer nodig is.
Het voordeel van het gebruik van kaarten is dat de verwerking van authenticatie-informatie door de lezer wordt uitgevoerd, zonder dat deze naar het computergeheugen wordt overgebracht. Dit elimineert de mogelijkheid van elektronische onderschepping via communicatiekanalen.
De nadelen van passieve kaarten zijn de volgende: ze zijn aanzienlijk duurder dan wachtwoorden die ze nodig hebben speciale apparaten Voor lezingen impliceert het gebruik ervan speciale procedures voor een veilige boekhouding en distributie. Ze moeten ook worden beschermd tegen indringers en mogen uiteraard niet in leesapparaten worden achtergelaten. Er zijn gevallen bekend van vervalsing van passieve kaarten.
Naast geheugen hebben smartcards hun eigen microprocessor. Hierdoor kun je implementeren verschillende opties methoden voor wachtwoordbeveiliging: herbruikbare wachtwoorden, dynamisch veranderende wachtwoorden, reguliere challenge-response-methoden. Alle kaarten bieden tweecomponentenauthenticatie.
Aan deze voordelen van smartcards moeten we hun veelzijdigheid toevoegen. Ze kunnen niet alleen voor veiligheidsdoeleinden worden gebruikt, maar bijvoorbeeld ook voor financiële transacties. Een bijkomend nadeel van kaarten zijn hun hoge kosten.
Een veelbelovende richting in de ontwikkeling van kaarten is om ze uit te rusten met de PCMCIA (PC Card) draagbare systeemuitbreidingsstandaard. Dergelijke kaarten zijn draagbare PC Card-apparaten die in een PC Card-sleuf worden geplaatst en waarvoor geen speciale lezers nodig zijn. Momenteel zijn ze behoorlijk duur.
3. Authenticatiemethoden gebaseerd op het meten van menselijke biometrische parameters (zie Tabel 2.6) zorgen voor bijna 100% identificatie, waardoor de problemen van het verlies van wachtwoorden en persoonlijke identificatiegegevens worden opgelost. Dergelijke methoden kunnen echter niet worden gebruikt om processen of gegevens (dataobjecten) te identificeren, omdat ze zich nog maar net beginnen te ontwikkelen (er zijn problemen met standaardisatie en distributie) en nog steeds complexe en dure apparatuur vereisen. Dit bepaalt tot nu toe alleen het gebruik ervan bij speciale gelegenheden. belangrijke plaatsen en systemen.
Voorbeelden van de implementatie van deze methoden zijn gebruikersidentificatiesystemen gebaseerd op het patroon van de iris, handpalmafdrukken, oorvormen, infraroodpatronen van capillaire vaten, handschrift, geur, stemtimbre en zelfs DNA.
Tabel 2.6
Voorbeelden van biometrische methoden
|
Fysiologische methoden |
Gedragsmethoden |
|
Vingerafdrukken Iris scannen Netvliesscan Handgeometrie Herkenning van gezichtskenmerken |
Toetsenbordhandschriftanalyse |
Een nieuwe richting is het gebruik van biometrische kenmerken in slimme betaalkaarten, pastokens en mobiele communicatie-elementen. Bij het betalen in een winkel legt de kaarthouder bijvoorbeeld zijn vinger op de scanner om te bevestigen dat de kaart echt van hem is.
Laten we de meest gebruikte biometrische kenmerken en de bijbehorende systemen benoemen.
· Vingerafdrukken. Dergelijke scanners hebben klein formaat, universeel, relatief goedkoop. De biologische herhaalbaarheid van een vingerafdruk is 10-5%. Wordt momenteel gepromoveerd wetshandhavingsinstanties vanwege grote toewijzingen in elektronische archieven vingerafdrukken.
· Handgeometrie. Wanneer vingersscanners door vuil of letsel moeilijk te gebruiken zijn, worden geschikte apparaten gebruikt. De biologische herhaalbaarheid van handgeometrie is ongeveer 2%.
· Iris. Deze apparaten hebben hoogste nauwkeurigheid. De theoretische kans dat twee irissen overeenkomen is 1 op 1078.
· Thermisch gezichtsbeeld. De systemen maken het mogelijk om een persoon te identificeren op een afstand van maximaal tientallen meters. In combinatie met het zoeken in databases worden dergelijke systemen gebruikt om geautoriseerde medewerkers te identificeren en ongeautoriseerd personeel uit te sluiten. Gezichtsscanners hebben echter een relatief hoog foutenpercentage bij veranderende verlichting.
· Stem. Spraakverificatie is handig voor gebruik in telecommunicatietoepassingen. Vereist voor deze 16-bit geluidskaart En condensator microfoon kost minder dan $ 25. De kans op fouten bedraagt 2 – 5%. Deze technologie geschikt voor stemverificatie via telefonische communicatiekanalen, het is betrouwbaarder vergeleken met frequentiekiezen persoonlijk nummer. Tegenwoordig worden er aanwijzingen ontwikkeld voor het identificeren van een persoon en zijn toestand met zijn stem - opgewonden, ziek, de waarheid vertellend, niet in zichzelf, enz.
· Toetsenbordinvoer. Hierbij worden bij het invoeren van bijvoorbeeld een wachtwoord de snelheid en intervallen tussen toetsaanslagen bewaakt.
· Handtekening. Digitizers worden gebruikt om handgeschreven handtekeningen te controleren.
4. De nieuwste richting op het gebied van authenticatie is het bewijzen van de authenticiteit van een externe gebruiker aan de hand van zijn locatie. Dit beschermingsmechanisme is gebaseerd op het gebruik van een ruimtenavigatiesysteem zoals GPS (Global Positioning System). Een gebruiker met GPS-apparatuur verzendt herhaaldelijk de coördinaten van specifieke satellieten die zich in de gezichtslijn bevinden. Het authenticatiesubsysteem, dat de satellietbanen kent, kan de locatie van de gebruiker bepalen met een nauwkeurigheid van maximaal een meter. De hoge betrouwbaarheid van authenticatie wordt bepaald door het feit dat satellietbanen onderhevig zijn aan schommelingen, die vrij moeilijk te voorspellen zijn. Bovendien veranderen de coördinaten voortdurend, wat de mogelijkheid van onderschepping ervan teniet doet.
GPS-apparatuur is eenvoudig en betrouwbaar in gebruik en relatief goedkoop. Hierdoor kan het worden gebruikt in gevallen waarin een geautoriseerde gebruiker op afstand moet op de juiste plaats staan.
Als we de mogelijkheden van authenticatietools samenvatten, kunnen we deze op niveau indelen informatiebeveiliging in drie categorieën:
1. Statische authenticatie;
2. Sterke authenticatie;
3. Constante authenticatie.
De eerste categorie biedt alleen bescherming tegen ongeautoriseerde toegang in systemen waarbij een aanvaller tijdens een werksessie geen authenticatie-informatie kan lezen. Een voorbeeld van een statische authenticatietool is traditioneel permanente wachtwoorden. Hun effectiviteit hangt vooral af van de moeilijkheidsgraad van het raden van wachtwoorden en, in feite, van hoe goed ze beschermd zijn.
Om statische authenticatie in gevaar te brengen, kan een aanvaller authenticatiegegevens bespioneren, raden, raden of onderscheppen, enz.
Sterke authenticatie maakt gebruik van dynamische authenticatiegegevens die bij elke sessie veranderen. Implementaties van sterke authenticatie zijn systemen die gebruik maken van eenmalige wachtwoorden En elektronische handtekeningen. Sterke authenticatie biedt bescherming tegen aanvallen waarbij een aanvaller authenticatie-informatie kan onderscheppen en deze in toekomstige sessies kan proberen te gebruiken.
Sterke authenticatie biedt echter geen bescherming tegen actieve aanvallen, waarbij een vermomde aanvaller snel (tijdens de authenticatiesessie) informatie kan onderscheppen, wijzigen en in de verzonden datastroom kan invoegen.
Permanente authenticatie zorgt ervoor dat elk verzonden gegevensblok wordt geïdentificeerd, waardoor ongeoorloofde wijziging of invoeging wordt voorkomen. Een voorbeeld van de implementatie van deze categorie van authenticatie is het gebruik van algoritmen voor het genereren van elektronische handtekeningen voor elk bit verzonden informatie.
