Een van de gebruikelijke authenticatieschema's is eenvoudige authenticatie, die gebaseerd is op het gebruik van traditionele herbruikbare wachtwoorden en tegelijkertijd overeenstemming bereikt over de middelen voor het gebruik en de verwerking ervan. Authenticatie op basis van herbruikbare wachtwoorden is een eenvoudig en duidelijk voorbeeld van het gebruik van gedeelde informatie. Momenteel is in de meeste beveiligde virtuele netwerken VPN (Virtual Private Network) clienttoegang tot de server toegestaan ​​met behulp van een wachtwoord.

Authenticatie op basis van herbruikbare wachtwoorden. Het basisprincipe van ‘single sign-on’ gaat ervan uit dat een enkele voldoende is om toegang te krijgen tot alle netwerkbronnen. Daarom bieden moderne besturingssystemen een gecentraliseerde authenticatieservice, die wordt uitgevoerd door een van de netwerkservers en voor zijn werk een database gebruikt. In deze database worden de inloggegevens van netwerkgebruikers opgeslagen. Deze inloggegevens omvatten gebruikers-ID's en wachtwoorden, samen met andere informatie.

In een eenvoudig authenticatieschema kan de overdracht van het wachtwoord en de gebruikers-ID op de volgende manieren plaatsvinden:

· in niet-versleutelde vorm; Volgens het PAP-wachtwoordauthenticatieprotocol (Password Authentication Protocol) worden wachtwoorden bijvoorbeeld in een open, onbeschermde vorm via de communicatielijn verzonden;

· in beschermde vorm; Alle verzonden gegevens (gebruikers-ID en wachtwoord, willekeurig getal en tijdstempels) worden beschermd door middel van codering of een eenrichtingsfunctie.

Het is duidelijk dat de authenticatieoptie waarbij het wachtwoord van de gebruiker in ongecodeerde vorm wordt verzonden, zelfs geen minimaal beveiligingsniveau garandeert, aangezien deze vatbaar is voor talrijke aanvallen en gemakkelijk kan worden gecompromitteerd. Om het wachtwoord te beschermen, moet het worden gecodeerd voordat het via een onveilig kanaal wordt verzonden. Voor dit doel omvat het schema middelen voor codering EK en decodering DK, bestuurd door een gedeelde geheime sleutel K. Gebruikersauthenticatie is gebaseerd op een vergelijking van het wachtwoord PA dat door de gebruiker is verzonden en de originele PA-waarde die is opgeslagen op de authenticatieserver. komen de PA- en PA-waarden overeen, dan wordt het PA-wachtwoord als echt beschouwd en wordt Gebruiker A als legitiem beschouwd.

Regelingen voor het organiseren van eenvoudige authenticatie verschillen niet alleen in de methoden voor het verzenden van wachtwoorden, maar ook in de soorten opslag en verificatie. De meest gebruikelijke methode is het opslaan van gebruikerswachtwoorden in leesbare tekst in systeembestanden, waarbij voor deze bestanden lees- en schrijfbeveiligingskenmerken worden ingesteld (bijvoorbeeld door de overeenkomstige bevoegdheden te beschrijven in de toegangscontrolelijsten van het besturingssysteem). Het systeem vergelijkt het door de gebruiker ingevoerde wachtwoord met de wachtwoordinvoer die in het bestand is opgeslagen. Deze methode maakt geen gebruik van cryptografische mechanismen zoals encryptie of eenrichtingsfuncties. Het voor de hand liggende nadeel van deze methode is de mogelijkheid dat een aanvaller beheerdersrechten in het systeem verkrijgt, inclusief toegangsrechten tot systeembestanden en in het bijzonder tot het wachtwoordbestand.

Vanuit veiligheidsoogpunt is het gebruik van eenrichtingsfuncties de voorkeursmethode voor het verzenden en opslaan van wachtwoorden. Meestal wordt een van de bekende cryptografisch sterke hashfuncties gebruikt om de wachtwoorden in de gebruikerslijst te coderen. In de lijst met gebruikers wordt niet het wachtwoord zelf opgeslagen, maar een afbeelding van het wachtwoord, die het resultaat is van het toepassen van een hashfunctie op het wachtwoord.

In het eenvoudigste geval wordt het resultaat van het coderen van een constante in het wachtwoord gebruikt als een hashfunctie. Een eenrichtingsfunctie h(·) kan bijvoorbeeld als volgt worden gedefinieerd:

waarbij P - gebruikerswachtwoord; ID - gebruikersidentificatie;

EP is een coderingsprocedure die wordt uitgevoerd met het wachtwoord P als sleutel.

Dergelijke functies zijn handig als het wachtwoord en de sleutel dezelfde lengte hebben. In dit geval bestaat de authenticatie van gebruiker A met behulp van het wachtwoord PA uit het verzenden van de mapping () AhP naar de authenticatieserver en het vergelijken ervan met het equivalent h"(PA) dat vooraf is berekend en opgeslagen in de database van de authenticatieserver - Fig. 2.17 Als de mapping h(PA) en h"(PA) gelijk zijn, wordt aangenomen dat de gebruiker de authenticatie met succes heeft doorstaan.

Rijst. 2.17

In de praktijk bestaan ​​wachtwoorden uit slechts enkele tekens, zodat gebruikers ze kunnen onthouden. Korte wachtwoorden zijn kwetsbaar voor brute-force-aanvallen. Om een ​​dergelijke aanval te voorkomen, kan de functie h(P) anders worden gedefinieerd, bijvoorbeeld in de volgende vorm:

waarbij K en ID respectievelijk de sleutel en het identificatienummer van de afzender zijn.

Er zijn twee vormen van representatie van objecten die de gebruiker authenticeren:

· een extern authenticatieobject dat niet tot het systeem behoort;

· een intern object dat behoort tot het systeem waarnaar informatie wordt overgedragen van een extern object.

Laten we aannemen dat er n gebruikers zijn geregistreerd in het computersysteem. Laat het i-de authenticatieobject van de i-de gebruiker twee informatievelden bevatten:

· IDi - onveranderlijke identificatie van de i-de gebruiker, die analoog is aan een naam en wordt gebruikt om de gebruiker te identificeren;

· Ki - gebruikersauthenticatie-informatie, die kan worden gewijzigd en wordt gebruikt voor authenticatie (bijvoorbeeld wachtwoord Pi = Ki).

De geaggregeerde informatie in het sleutelmedium kan de primaire authenticatie-informatie van de i-de gebruiker worden genoemd. Het is duidelijk dat het interne authenticatieobject gedurende langere tijd niet in het systeem mag bestaan ​​(meer dan de werktijd van een bepaalde gebruiker). Voor langdurige opslag moeten gegevens in een veilige vorm worden gebruikt.

Eenvoudige authenticatiesystemen op basis van herbruikbare wachtwoorden zijn minder krachtig omdat ze authenticatie-informatie selecteren uit een relatief klein aantal woorden. De geldigheidsduur van herbruikbare wachtwoorden moet worden gedefinieerd in het beveiligingsbeleid van de organisatie, en dergelijke wachtwoorden moeten regelmatig worden gewijzigd. U moet wachtwoorden zo kiezen dat ze moeilijk te raden zijn en niet in het woordenboek staan.

Authenticatie op basis van eenmalige wachtwoorden. De essentie van het eenmalige wachtwoordschema is om voor elk nieuw toegangsverzoek een ander wachtwoord te gebruiken. Een eenmalig dynamisch wachtwoord is slechts één keer geldig en vervalt daarna. Zelfs als iemand het zou onderscheppen, zou het wachtwoord nutteloos zijn. Een dynamisch wachtwoordmechanisme is een van de beste manieren om het authenticatieproces te beschermen tegen externe bedreigingen. Meestal worden authenticatiesystemen met een eenmalig wachtwoord gebruikt om externe gebruikers te verifiëren.

De volgende methoden voor het gebruik van eenmalige wachtwoorden voor gebruikersauthenticatie zijn bekend:

1) Gebruik van een tijdstempelmechanisme gebaseerd op het uniforme tijdsysteem.

2) Het gebruik van een lijst met willekeurige wachtwoorden die zowel de legale gebruiker als de recensent gemeen hebben, en een betrouwbaar mechanisme om deze te synchroniseren.

3) Gebruik van een generator voor pseudo-willekeurige getallen die zowel de gebruiker als de verificateur gemeen hebben, met dezelfde beginwaarde.

Eenmalige wachtwoorden kunnen worden gegenereerd door hardware of software. Sommige hardwaretoegangsapparaten op basis van eenmalige wachtwoorden worden geïmplementeerd in de vorm van miniatuurapparaten met een ingebouwde microprocessor, die qua uiterlijk lijken op plastic betaalkaarten. Dergelijke kaarten, meestal sleutels genoemd, kunnen een toetsenbord en een klein display hebben.

Als voorbeeld van de implementatie van de eerste methode kunnen we de SecurID-authenticatietechnologie overwegen, gebaseerd op eenmalige wachtwoorden met behulp van hardwaresleutels en een tijdsynchronisatiemechanisme. Deze authenticatietechnologie is ontwikkeld door Security Dynamics en geïmplementeerd in communicatieservers van een aantal bedrijven, met name in servers van onder meer Cisco Systems.

Bij gebruik van dit authenticatieschema is uiteraard een strikte tijdsynchronisatie van de hardwaresleutel en de server vereist. Omdat een hardwaresleutel meerdere jaren kan functioneren, is het goed mogelijk dat de interne klok van de server en de hardwaresleutel geleidelijk niet meer synchroon lopen. Om dit probleem op te lossen gebruikt Security Dynamics twee methoden:

· tijdens de productie van een hardwaresleutel wordt de afwijking van de frequentie van de timer van de nominale waarde nauwkeurig gemeten. Met de omvang van deze afwijking wordt rekening gehouden als een parameter van het serveralgoritme;

· de server monitort codes die door een specifieke hardwaresleutel worden gegenereerd en past zich indien nodig dynamisch aan deze sleutel aan.

Er is nog een probleem met een op tijd gebaseerd authenticatieschema. Het willekeurige getal dat door de hardwaresleutel wordt gegenereerd, is een betrouwbaar wachtwoord voor een korte, eindige periode. Daarom is het in principe mogelijk dat er zich op korte termijn een situatie voordoet waarin een hacker de pincode en het willekeurige nummer kan onderscheppen en deze kan gebruiken om toegang te krijgen tot het netwerk. Dit is het meest kwetsbare punt van een authenticatieschema gebaseerd op tijdsynchronisatie.

Er zijn andere opties voor hardware-implementatie van de authenticatieprocedure met behulp van eenmalige wachtwoorden, bijvoorbeeld challenge-response-authenticatie. Wanneer een gebruiker probeert in te loggen op het netwerk, stuurt de authenticatieserver hem een ​​verzoek in de vorm van een willekeurig getal. De hardwaresleutel van de gebruiker codeert dit willekeurige getal met behulp van bijvoorbeeld het DES-algoritme en de geheime sleutel van de gebruiker die is opgeslagen in het geheugen van de hardwaresleutel en in de database van de server. Het willekeurige zoeknummer wordt gecodeerd teruggestuurd naar de server. De server codeert op zijn beurt ook zijn eigen gegenereerde willekeurige getal met behulp van hetzelfde DES-algoritme en dezelfde geheime gebruikerssleutel die uit de serverdatabase wordt gehaald. De server vergelijkt vervolgens het resultaat van de codering met het nummer dat afkomstig is van de hardwaresleutel. Als deze cijfers overeenkomen, krijgt de gebruiker toestemming om het netwerk te betreden. Opgemerkt moet worden dat het challenge-response-authenticatieschema moeilijker te gebruiken is vergeleken met het tijdgesynchroniseerde authenticatieschema.

De tweede methode voor het gebruik van eenmalige wachtwoorden voor gebruikersauthenticatie is gebaseerd op het gebruik van een lijst met willekeurige wachtwoorden die gemeenschappelijk zijn voor de gebruiker en de verificateur, en een betrouwbaar mechanisme om deze te synchroniseren. Een gedeelde lijst met eenmalige wachtwoorden wordt weergegeven als een reeks of reeks geheime wachtwoorden, waarbij elk wachtwoord slechts één keer wordt gebruikt. Deze lijst moet vooraf worden verspreid tussen de partijen bij de authenticatie-uitwisseling. Een variatie op deze methode is het gebruik van een responsverzoektabel, die de verzoeken en antwoorden bevat die door de partijen worden gebruikt om authenticatie uit te voeren, waarbij elk paar slechts één keer hoeft te worden gebruikt.

De derde methode voor het gebruik van eenmalige wachtwoorden om gebruikers te authenticeren is gebaseerd op het gebruik van een generator van pseudo-willekeurige getallen die de gebruiker en de verificateur gemeen hebben, met dezelfde initiële waarde. De volgende implementaties van deze methode zijn bekend:

· reeks converteerbare eenmalige wachtwoorden. Tijdens de volgende authenticatiesessie creëert en verzendt de gebruiker een wachtwoord specifiek voor deze sessie, gecodeerd met een geheime sleutel verkregen uit het wachtwoord van de vorige sessie;

· wachtwoordreeksen gebaseerd op een eenrichtingsfunctie. De essentie van deze methode is het sequentiële gebruik van een eenrichtingsfunctie (het bekende Lamport-schema). Deze methode verdient vanuit veiligheidsoogpunt de voorkeur boven de sequentieel geconverteerde wachtwoordmethode.

Een van de meest voorkomende authenticatieprotocollen voor eenmalige wachtwoorden is het internetgestandaardiseerde S/Key-protocol (RFC 1760). Dit protocol is geïmplementeerd in veel systemen die authenticatie van externe gebruikers vereisen, met name in Cisco's TACACS+-systeem.

Bij gebruik van de eerste methode krijgt elke gebruiker een vrij lang wachtwoord toegewezen en elke keer wordt niet het volledige wachtwoord gebruikt voor identificatie, maar slechts een deel ervan. Tijdens het authenticatieproces vraagt ​​het systeem de gebruiker om een ​​groep tekens met behulp van gespecificeerde volgnummers. Het aantal tekens en hun volgnummers voor het verzoek worden bepaald met behulp van een pseudowillekeurige getalsensor.

Bij eenmalig gebruik van wachtwoorden krijgt elke gebruiker een lijst met wachtwoorden toegewezen. Tijdens het aanvraagproces wordt het in te voeren wachtwoordnummer opeenvolgend uit een lijst of volgens een willekeurig steekproefschema geselecteerd.

Een nadeel van eenvoudige methoden voor het wijzigen van wachtwoordschema's is dat gebruikers lange wachtwoorden of lijsten daarvan moeten onthouden. Het schrijven van wachtwoorden op papier of in notitieboekjes leidt tot het risico van verlies of diefstal van opslagmedia waarop wachtwoorden zijn geschreven.

1.3.2. Verzoek-antwoordmethode

Bij gebruik van de ‘request-response’-methode bij de strijdkrachten wordt vooraf een reeks vragen gecreëerd en vooral beschermd, waaronder zowel vragen van algemene aard als persoonlijke vragen die betrekking hebben op een specifieke gebruiker, bijvoorbeeld vragen die betrekking hebben op zaken uit zijn leven is alleen bekend bij de gebruiker.

Om de authenticiteit van de gebruiker te bevestigen, stelt het systeem hem achtereenvolgens een reeks willekeurig geselecteerde vragen waarop hij moet antwoorden. De identificatie wordt als positief beschouwd als de gebruiker alle vragen correct beantwoordt.

De belangrijkste vereiste voor vragen bij deze authenticatiemethode is uniciteit, wat betekent dat alleen de gebruikers voor wie deze vragen bedoeld zijn de juiste antwoorden op de vragen kennen.

1.3.3. Functionele methoden

Van de functionele methoden zijn de functionele methoden voor wachtwoordconversie en de handshake-methode de meest voorkomende.

De functionele transformatiemethode is gebaseerd op het gebruik van een bepaalde functie F, die aan de volgende eisen moet voldoen:

Voor een bepaald getal of woord X is het eenvoudig om Y=F(X) te berekenen;

Als je X en Y kent, is het moeilijk of onmogelijk om de functie Y=F(X) te bepalen.

Een noodzakelijke voorwaarde om aan deze eisen te voldoen is de aanwezigheid in de functie F(X) van dynamisch veranderende parameters, bijvoorbeeld de huidige datum, tijd, nummer van de dag van de week of de leeftijd van de gebruiker.

De gebruiker wordt geïnformeerd:

Het initiële wachtwoord is een woord of getal X, bijvoorbeeld het getal 31:

Functie F(X), bijvoorbeeld Y=(X mod 100) * D + WJ, waarbij (X mod 100) de bewerking is waarbij de rest van een gehele deling van X door 100 wordt genomen, D het huidige getal is van de dag van de week, en W is het huidige nummer van de week in de huidige maand;

Frequentie van wachtwoordwijzigingen, bijvoorbeeld elke dag, elke drie dagen of elke week.

De gebruikerswachtwoorden voor de reeks gespecificeerde geldigheidsperioden van één wachtwoord zijn respectievelijk X, F(X), F(F(X)), F(F(F(X))), enz., d.w.z. voor de eerste geldigheidsperiode van één wachtwoord is het gebruikerswachtwoord F""1(X). Om het volgende wachtwoord na de geldigheidsperiode van het gebruikte wachtwoord te berekenen, hoeft de gebruiker daarom het initiële (oorspronkelijke) wachtwoord niet te onthouden. Het is alleen belangrijk om de wachtwoordconversiefunctie en het tot nu toe gebruikte wachtwoord niet te vergeten.

Om een ​​hoog beveiligingsniveau te bereiken, moet de voor elke gebruiker ingestelde wachtwoordconversiefunctie periodiek, bijvoorbeeld elke maand, worden gewijzigd. Bij het vervangen van een functie is het raadzaam een ​​nieuw initieel wachtwoord in te stellen.

Volgens de handshake-methode is er een functie F die alleen bekend is bij de gebruiker en de BC. Deze functie moet aan dezelfde eisen voldoen als die welke zijn gedefinieerd voor de functie die wordt gebruikt in de functionele transformatiemethode.

Wanneer een gebruiker het vliegtuig betreedt, genereert het beveiligingssysteem een ​​willekeurig getal of een willekeurige reeks tekens X en berekent de functie F(X) die voor deze gebruiker is gespecificeerd (zie figuur 1.2). Vervolgens wordt X uitgevoerd naar de gebruiker, die F(X) moet berekenen en de resulterende waarde in het systeem moet invoeren. De waarden van F(X) en F(X) worden door het systeem vergeleken en als deze overeenkomen, krijgt de gebruiker toegang tot het vliegtuig.

Rijst. 1.2. Handshake-authenticatieschema

In BC wordt bijvoorbeeld een willekeurig getal bestaande uit zeven cijfers gegenereerd en aan de gebruiker gegeven. Om een ​​aanvaller in verwarring te brengen, kan op elke plek in het getal een decimaalpunt worden ingevoegd. Er wordt aangenomen dat de functie F Y = (<сумма 1-й, 2-й и 5-й цифр числа>)2 - <сумма 3-й, 4-й, 6-й и 7-й цифр числа> + <сумма цифр текущего времени в часах>.

Voor een hoge veiligheid is het raadzaam om de handshake-functie met bepaalde tussenpozen cyclisch te wijzigen, bijvoorbeeld verschillende functies voor de even en oneven dagen van de maand te installeren.

Het voordeel van de ‘handshake’-methode is dat er geen vertrouwelijke informatie wordt overgedragen tussen de gebruiker en het vliegtuig. Om deze reden is de effectiviteit van deze methode vooral groot wanneer deze in computernetwerken wordt gebruikt om de authenticiteit te bevestigen van gebruikers die toegang proberen te krijgen tot servers of centrale computers.

In sommige gevallen kan het nodig zijn dat de gebruiker de authenticiteit verifieert van het vliegtuig waartoe hij toegang wil hebben. De noodzaak van wederzijdse verificatie kan ook nodig zijn wanneer twee vliegtuiggebruikers via een communicatielijn met elkaar willen communiceren. Eenvoudige wachtwoordmethoden, evenals methoden voor het wijzigen van eenvoudige wachtwoordschema's, zijn in dit geval niet geschikt. De meest geschikte methode hierbij is de ‘handdruk’. Bij gebruik ervan ontvangt geen van de deelnemers aan de communicatiesessie geheime informatie.

2 STANDAARDOPLOSSINGEN IN DE ORGANISATIE VAN SLEUTELSYSTEMEN

Laten we eens kijken naar datastructuren en identificatie- en authenticatie-algoritmen op basis van sleutelinformatie, evenals de sleutelopslaghiërarchie.

Omdat verwacht wordt dat zowel identificatie- als authenticatieprocedures zullen worden uitgevoerd, nemen we aan dat het i-de authenticatieobject (i-de sleuteldrager) twee informatievelden bevat: IDi - de onveranderlijke identificatie van de i-de gebruiker, die een analoog is. van de naam en wordt gebruikt om de gebruiker te identificeren, en K, - gebruikersauthenticatie-informatie, die kan worden gewijzigd en wordt gebruikt voor authenticatie.

In feite kan IDi overeenkomen met verschillende gebruikers. Een Touch Memory-medium bevat bijvoorbeeld 8 bytes van een onveranderlijke media-identificatie, maar het TM kan naar verschillende gebruikers worden overgedragen.

De geaggregeerde informatie in het sleutelmedium zullen we de primaire authenticatie-informatie van de i-ro-gebruiker noemen. De beschreven structuur komt overeen met vrijwel alle belangrijke media die worden gebruikt om de gebruiker te identificeren. Een TM heeft bijvoorbeeld 8 bytes van een niet-hernieuwbaar, niet-herhalend serienummer dat op unieke wijze een specifiek TM karakteriseert, en een bepaalde hoeveelheid herschrijfbaar geheugen dat overeenkomt met authenticatie-informatie Kj. Op dezelfde manier worden voor media zoals plastic kaarten onveranderlijke informatie IDi van de primaire personalisatie van de gebruiker en een object in de bestandsstructuur van de kaart met Ki toegewezen.

Niemand wil de toegang tot sociale netwerkaccounts of mailboxen verliezen, maar heel vaak gebeurt dit nog steeds. Meestal is de oorzaak van dit probleem de onvoldoende sterkte van het gebruikte wachtwoord. Veel sites staan ​​geen wachtwoorden toe die korter zijn dan 8 tekens, maar deze maatregel is niet altijd effectief.

De beste optie is om een ​​gebruikerswachtwoord te genereren met een gespecialiseerd programma, maar houd er rekening mee dat zelfs het meest hackbestendige wachtwoord kan worden gestolen of eenvoudigweg verloren kan gaan. Het beschermen van vertrouwelijke informatie moet veelomvattend zijn, maar het begint met het creëren van een sterk wachtwoord. Laten we eens kijken naar de belangrijkste methoden die aanvallers gebruiken om wachtwoorden te kraken:

Woordenschat kapot

Gebruik van malware

Met deze methode kan een aanvaller een wachtwoordbestand uit een browser stelen, of eenvoudigweg de reeks gegevens registreren en opslaan die wordt ingevoerd bij het inloggen (gebruikt voor dit doel) en deze vervolgens ter verwerking naar een willekeurig adres sturen. Om een ​​dergelijke aanval te voorkomen, dient u alleen software van vertrouwde leveranciers te installeren en de toegang van buitenstaanders tot uw computer zoveel mogelijk te beperken;

Directe wachtwoorddiefstal

Een eenvoudige maar verrassend effectieve methode. Een loodgieter, seingever of elektricien loopt het kantoor van een gerenommeerd bedrijf binnen en niemand besteedt aandacht aan hem. Integendeel, hij legt zorgvuldig alles vast wat zijn camera of een ervaren oog kan opmerken. In elk kantoor zie je stickers met kalligrafische logins en wachtwoorden op de monitoren, vooral voor lieve dames... Een dergelijke minachting voor de veiligheid kan een bedrijf gemakkelijk ruïneren. Je kunt en moet vechten door de interne discipline te versterken;

Spin Methode

Professionele hackers hebben al lang gemerkt dat de meeste woorden en zinnen die als wachtwoord worden gebruikt, verband houden met de hoofdactiviteiten van bedrijven of individuen. Door het World Wide Web, sites van concurrenten of gespecialiseerde literatuur af te speuren, is het mogelijk om de zoekbasis aanzienlijk te verkleinen. Het heeft geen zin om te vechten, maar door gebruik te maken van het automatisch genereren van wachtwoorden, annuleert de gebruiker pogingen om deze techniek tegen hem te gebruiken.

Alle andere methoden vertegenwoordigen wijzigingen van de vermelde methoden. Het doel van dit artikel was de noodzaak om de aandacht van gebruikers niet alleen te vestigen op het maken van kraakbestendige wachtwoorden, maar ook op de noodzaak om deze zorgvuldig op te slaan.

Wachtwoordsterkte controleren

Het probleem van wachtwoordbeveiliging is over de hele wereld relevant, dus er zijn veel sites die een geschatte berekening bieden van de tijd die nodig is om ze te kraken. We nodigen de gebruiker uit om zelf met zijn wachtwoorden te experimenteren. Er kan veel worden geleerd om methoden te begrijpen om de hackweerstand te vergroten door verschillende wachtwoorden te testen op weerstand tegen hacking op een website. De analyse maakt gebruik van de basismethoden die worden gebruikt door automatische hackprogramma's.

Met zijn hulp kunt u het registratie- en autorisatieproces op alle sites, forums en sociale netwerken aanzienlijk vereenvoudigen. netwerken. Om dit te doen, genereren we bij registratie op een site een profiel, kopiëren we de benodigde velden ervan naar de site, verwijderen onnodige velden in het profiel, downloaden en bewaren we het gemaakte profiel op de computer, waarbij we de naam noteren van de site waar het zich bevindt was gebruikt. Klaar.

Bovendien kun je met zijn hulp een interessante foto bedenken voor je avatar voor Instagram, VKontakte en andere sociale netwerken.

Bookmark, gebruik en deel op sociale netwerken met vrienden!

Wachtwoord beveiliging

De rol van wachtwoordbeveiliging bij het garanderen van AIS-beveiliging. Cryptografische methoden, in het bijzonder encryptie, bieden een goede bescherming van informatie (vertrouwelijkheid, integriteit, authenticiteit, enz.) tegen een externe indringer. Een dergelijke indringer zou mogelijk berichten kunnen onderscheppen die via een communicatiekanaal worden verzonden en deze in sommige gevallen kunnen wijzigen en zelfs zijn eigen berichten in de communicatiesessie kunnen invoegen (vaak proberen ze voor te doen als berichten van een andere bron). Informatie in het communicatiekanaal wordt echter eerst onderworpen aan cryptografische transformaties en verzonden in overeenstemming met cryptografische protocollen die specifiek zijn ontworpen om te voorkomen dat een aanvaller beveiligingsbedreigingen implementeert. Om de veiligheid van de informatie die in het systeem circuleert te schenden, moet hij een kwetsbaarheid vinden in het beveiligingssysteem of in de cryptografische algoritmen die daarin worden gebruikt. Soortgelijke problemen doen zich voor voor een indringer die toegang heeft gekregen tot een beschermd AIS als een gebruiker die niet over de rechten beschikt die nodig zijn om toegang te krijgen tot de gegevens die voor hem van belang zijn.

De situatie verandert echter als de aanvaller toegang krijgt tot het systeem namens een gebruiker die geautoriseerd is om bewerkingen uit te voeren met de gegevens die voor hem van belang zijn (bijvoorbeeld het kopiëren van vertrouwelijke bestanden, het vernietigen van kritieke gegevens, enz.). In dit geval is alle cryptografische bescherming nutteloos. Het meest kwetsbare punt van een geautomatiseerd informatiesysteem zijn dus de toegangspunten. Deze toegangspunten worden beschermd door authenticatieprotocollen (gebruikersauthenticatie). En de meest gebruiksvriendelijke en meest gebruikte vorm van authenticatie is wachtwoord beveiliging.

Er zijn een aantal standaardtechnieken die door aanvallers worden gebruikt om wachtwoordbeveiliging te omzeilen. Voor elk van deze technieken is een tegenmaatregel ontwikkeld.

Technieken om wachtwoordbeveiliging te omzeilen en methoden om deze tegen te gaan.

1. Volledige zoekopdracht (brute force-methode).

De eenvoudigste (vanuit technisch oogpunt) aanval op een wachtwoord is het uitproberen van alle combinaties van geldige tekens (te beginnen met wachtwoorden die uit één teken bestaan). Moderne rekenkracht maakt het mogelijk om binnen enkele seconden alle wachtwoorden met een lengte van maximaal vijf of zes tekens uit te proberen.

Sommige systemen staan ​​het uitvoeren van brute force-aanvallen niet toe, omdat ze reageren op meerdere onjuiste wachtwoordpogingen achter elkaar.

Er zijn echter veel systemen die eindeloos zoeken mogelijk maken. Voor een met een wachtwoord beveiligd bestand (rar- of zip-archief, Microsoft Office-document, enz.) kunt u bijvoorbeeld eindeloos verschillende wachtwoorden proberen. Er zijn veel programma's waarmee u deze procedure kunt automatiseren: Geavanceerd RAR-wachtwoordherstel, Geavanceerd PDF-wachtwoordherstel, Geavanceerd Office XP-wachtwoordherstel. Bovendien slaan veel programma's de wachtwoord-hash op in een toegankelijk bestand. Dit is bijvoorbeeld hoe een e-mailclient (die op een openbare computer draait) gebruikerswachtwoorden kan opslaan. Er zijn manieren om een ​​bestand te stelen dat hashes van wachtwoorden voor het besturingssysteem bevat. Hierna kunt u wachtwoorden selecteren die het systeem omzeilen, met behulp van speciale programma's.

Een belangrijk kenmerk van een wachtwoord dat brute kracht lastig maakt, is de lengte ervan. Een modern wachtwoord moet minimaal 12 tekens lang zijn.

Twee extra tekens in een wachtwoord verlengen de zoektijd met 40.000 keer, en vier tekens met 1.600.000.000 keer. De rekenkracht van computers groeit echter voortdurend (een paar jaar geleden werd een wachtwoord van 8 tekens lang als veilig beschouwd).

2. Overkill binnen een beperkt bereik.

Het is bekend dat veel gebruikers bij het samenstellen van een wachtwoord tekens gebruiken die zich binnen een bepaald bereik bevinden. Bijvoorbeeld een wachtwoord dat alleen uit Russische letters bestaat, of alleen uit Latijnse letters of alleen uit cijfers. Zo'n wachtwoord is veel gemakkelijker te onthouden, maar de taak van de vijand die de zoekopdracht uitvoert, is ongelooflijk vereenvoudigd.

Laat n = 70 het aantal tekens zijn waaruit een wachtwoord kan worden samengesteld, waarvan 10 cijfers, 30 letters van de ene taal en 30 letters van een andere taal. Laten we een wachtwoord maken met de lengte m = 4 tekens.

Als het wachtwoord volledig willekeurig wordt aangemaakt, is het aantal mogelijke combinaties (die moeten worden geprobeerd) 704 = 24010000. De vijand kan er echter van uitgaan dat het wachtwoord uit tekens uit dezelfde reeks bestaat (zelfs als het onbekend is). welke). Er zijn in totaal 104 + 304 + 304 = 10000 + 810000 + 810000 = 163000. Als hij gelijk had, nam het aantal combinaties (en dus de tijd die nodig was om te zoeken) met 147 keer af. Dit aantal neemt dramatisch toe naarmate de lengte van het wachtwoord en het aantal tekenreeksen waaruit het kan worden samengesteld toeneemt.

Vervolgens, een sterk wachtwoord moet tekens uit verschillende reeksen bevatten. Het wordt aanbevolen om Russisch en Engels, hoofdletters en kleine letters, cijfers en andere symbolen (leestekens, onderstrepingstekens, enz.) te gebruiken.

3. Woordenboekaanval

Heel vaak wordt een woord als wachtwoord gekozen. Een automatisch wachtwoordzoekprogramma controleert de woorden in een bepaald woordenboekbestand (er zijn een groot aantal van dit soort woordenboeken beschikbaar voor verschillende talen). Een woordenboek van tweehonderdduizend woorden wordt door zo'n programma in enkele seconden gecontroleerd.

Veel gebruikers zijn van mening dat als u een eenvoudige transformatie op het bedoelde woord toepast, bijvoorbeeld achterstevoren of in Russische letters in de Engelse lay-out schrijft, of opzettelijk een fout maakt, dit de veiligheid zal garanderen. In vergelijking met het raden van een willekeurig wachtwoord, maakt het raden van een wachtwoord met behulp van een woordenboek met behulp van verschillende transformaties (de eerste letter met een hoofdletter schrijven, alle letters met een hoofdletter schrijven, twee woorden combineren, enz.) een onmogelijke taak heel goed mogelijk.

Een sterk wachtwoord mag niet gebaseerd zijn op woorden in natuurlijke taal.

4. Persoonlijke woordenboekaanval

Als een woordenboekaanval en het brute forceren van wachtwoorden die kort zijn of uit karakters van dezelfde groep bestaan, niet helpen, kan een aanvaller profiteren van het feit dat veel gebruikers persoonlijke gegevens als wachtwoord kiezen om het gemakkelijker te onthouden. (mobiel telefoonnummer, geboortedatum achterstevoren gespeld, naam van de hond enz.).

Als het doel van de aanvaller is om de wachtwoordbeveiliging van deze specifieke gebruiker te omzeilen, kan hij een persoonlijk woordenboek met persoonlijke gegevens voor hem maken en vervolgens een automatisch programma voor het raden van wachtwoorden gebruiken dat wachtwoorden genereert op basis van dit woordenboek.

Een sterk wachtwoord zou volkomen zinloos moeten zijn.

5. Verzameling van wachtwoorden opgeslagen op openbare plaatsen

In veel organisaties worden wachtwoorden aangemaakt en verspreid door de systeembeheerder, die de bovenstaande regels hanteert. Gebruikers zijn verplicht het aan hen toegewezen wachtwoord te gebruiken. Omdat dit wachtwoord echter moeilijk te onthouden is, wordt het vaak in geschreven vorm bij de hand gehouden. Er zijn vaak gevallen waarin het wachtwoord op een notitie wordt geschreven en op de monitor wordt geplakt, of in een notitieboekje staat.

Gebruikers nemen de beveiliging van hun servicewachtwoord vaak niet serieus. Ondertussen is het betreden van de gebouwen van een organisatie en het uitvoeren van een visuele inspectie voor een aanvaller een vrij eenvoudige taak.

Het wachtwoord mag niet op een publiek toegankelijke plaats worden bewaard. De ideale optie is om het te onthouden en nergens op te slaan. Als het wachtwoord in een notitieboekje staat, mag dit niet onbeheerd worden achtergelaten en mogen er bij het invoeren van het wachtwoord geen vreemden aanwezig zijn die over hun schouder in het boek kunnen kijken.

6. Sociale engineering

Social engineering is het manipuleren van mensen om de beschermde systemen van een gebruiker of organisatie binnen te dringen. Als u een wachtwoord niet kunt raden of stelen, kunt u proberen de gebruiker te misleiden om zelf het wachtwoord op te geven. Een klassieke social engineering-tactiek is om het slachtoffer te bellen namens iemand die het recht heeft om te weten welke informatie wordt opgevraagd. Een aanvaller kan zich bijvoorbeeld voordoen als systeembeheerder en onder overtuigend voorwendsel om een ​​wachtwoord (of andere informatie) vragen. Het overtuigen van een gebruiker om een ​​link of bijlage te openen die hij of zij niet mag openen, of het naar een nepsite lokken, worden ook als social engineering-methoden beschouwd.

U moet de regel onthouden: u mag uw wachtwoord nooit aan vreemden bekendmaken. Zelfs als deze personen het recht hebben hem te kennen. De enige uitzondering kan zijn als een rechtbank of wetshandhavingsinstantie van u eist dat u het wachtwoord opgeeft, op straffe van aansprakelijkheid wegens weigering om te getuigen. Maar zelfs in dit geval is het noodzakelijk om ervoor te zorgen dat wetshandhavers precies zijn wie ze zeggen dat ze zijn.

7. Phishing

Phishing – Dit is een procedure voor het “vissen” naar wachtwoorden van willekeurige internetgebruikers. Meestal houdt dit in dat er ‘dummy’-sites worden gemaakt die de gebruiker ertoe verleiden zijn wachtwoord in te voeren.

Om bijvoorbeeld een wachtwoord voor een bankrekening te verkrijgen, kan een website worden gemaakt met een ontwerp dat identiek is aan de website van een bepaalde bank. Het adres van deze site zal uiteraard anders zijn, maar meestal registreert de aanvaller een domeinnaam die één voor één karakter verschilt van de bank. Als gevolg hiervan komt de gebruiker, nadat hij een typefout heeft gemaakt, op een nepsite terecht en zal hij zijn fout niet opmerken. Om gebruikers te lokken kunnen bankklanten ook e-mails ontvangen met inhoud als “controleer uw account” of “bekijk nieuwe promoties”, en de e-mail bevat een link die naar een nepwebsite leidt.

Wanneer bankklanten op de website van de aanvaller terechtkomen, wordt hen (net als op de echte website) gevraagd een login en wachtwoord in te voeren om toegang te krijgen tot de rekening. Deze informatie wordt opgeslagen in de database van de aanvaller, waarna de client wordt doorgestuurd naar de hoofdpagina van de echte website. De gebruiker ziet dat het invoeren van het wachtwoord ‘niet werkte’ en denkt dat hij een fout heeft gemaakt of dat de site simpelweg ‘met fouten’ werkt. Hij probeert het wachtwoord opnieuw in te voeren en logt deze keer succesvol in. Dit neemt zijn vermoedens weg. Ondertussen is het wachtwoord al gelekt...

Een ander type phishing is gebaseerd op het feit dat veel gebruikers hetzelfde wachtwoord gebruiken voor verschillende bronnen. Als gevolg hiervan kunt u, door een succesvolle aanval uit te voeren op een minder beschermde bron, toegang krijgen tot een beter beschermde bron.

Er wordt bijvoorbeeld een website gemaakt die potentieel interessant is voor een bepaalde kring van gebruikers. Als het doelwit van de aanval een specifieke persoon is, worden eerst zijn interesses en hobby's bestudeerd. Informatie over deze site wordt doorgegeven aan potentiële slachtoffers. Een gebruiker die de site bezoekt, wordt met name gevraagd zich te registreren om een ​​wachtwoord te bedenken. Nu hoeft u alleen nog maar te kijken of het ingevoerde wachtwoord geschikt is voor andere bronnen van deze gebruiker (bijvoorbeeld het e-mailadres waarvan het adres is opgegeven tijdens de registratie).

Om de dreiging van phishing tegen te gaan, moet u het websiteadres zorgvuldig controleren voordat u een belangrijk wachtwoord invoert. Het is het beste om dit adres in de bladwijzers van uw browser te plaatsen en uitsluitend deze bladwijzers te gebruiken, en nooit op links in e-mails te klikken. U moet verschillende wachtwoorden gebruiken om toegang te krijgen tot verschillende services.

Het opvolgen van alle zeven bovenstaande aanbevelingen is behoorlijk moeilijk. Het is moeilijk om meerdere sterke (lange en betekenisloze) wachtwoorden te onthouden, en de kans is groter dat u uw wachtwoord vergeet dan dat u wordt gehackt. Er zijn echter een aantal tools die deze taak eenvoudiger maken, met name programma's voor het opslaan van wachtwoorden.

In een programma KeePass draagbaar alle wachtwoorden worden opgeslagen in een gecodeerd bestand, waarvoor u een wachtwoord moet invoeren (het enige dat u echt hoeft te onthouden). Het programma geeft deze wachtwoorden echter niet expliciet op het scherm weer. Om een ​​wachtwoord in te voeren om toegang te krijgen tot een bron (bijvoorbeeld een specifieke website of e-mail), moet u de bron uit de lijst selecteren en de opdracht in het contextmenu selecteren Wachtwoord kopiëren naar klembord. Het wachtwoord wordt op het klembord geplaatst. Zelfs als hij de acties van de gebruiker nauwlettend in de gaten houdt, zal de vijand geen wachtwoord zien dat niet op het toetsenbord is getypt en niet expliciet op het scherm verschijnt. Vervolgens hoeft u alleen maar naar het venster van het programma te gaan waarvoor een wachtwoord vereist is en dit vanaf het klembord in het invoerveld te plaatsen (door op Ctrl + V te drukken of de opdracht Invoegen contextmenu). Het wachtwoord wordt onmiddellijk weergegeven als sterretjes. Na een paar seconden wordt het automatisch uit de buffer verwijderd. Met het programma kun je ook willekeurige wachtwoorden van een bepaalde lengte genereren, en de gebruiker weet misschien niet eens welk wachtwoord het programma voor hem heeft gemaakt - het is belangrijk dat het dit wachtwoord elke keer geeft als je moet inloggen. Ten slotte vereist KeePass Portable geen installatie op het systeem: het programma kan naar een flashstation worden overgebracht en er rechtstreeks vanaf worden uitgevoerd.

Onder wachtwoordwordt opgevat als een bepaalde reeks karakters, geheim gehouden en gepresenteerd bij toegang tot een computersysteem. Wachtwoordinvoer gebeurt meestal via het toetsenbord. Het belangrijkste voordeel van wachtwoordauthenticatie is eenvoud en vertrouwdheid. Wachtwoorden zijn al lang ingebouwd in besturingssystemen en andere services. Bij correct gebruik kunnen wachtwoorden voor veel organisaties een acceptabel beveiligingsniveau bieden.

Soms worden wachtwoorden niet vanaf het begin geheim gehouden, omdat ze standaardwaarden hebben die in de documentatie zijn gespecificeerd, en ze worden niet altijd gewijzigd nadat het systeem is geïnstalleerd.

U kunt uw wachtwoordinvoer bespioneren. Soms worden zelfs optische apparaten gebruikt voor spionage. Het wachtwoord kan met brute kracht worden geraden, bijvoorbeeld met behulp van een woordenboek. Als het wachtwoordbestand gecodeerd maar leesbaar is, kunt u het naar uw computer downloaden en proberen het wachtwoord te raden door een brute force-aanval te programmeren (ervan uitgaande dat het coderingsalgoritme bekend is).

De volgende maatregelen kunnen de betrouwbaarheid van wachtwoordbeveiliging aanzienlijk vergroten:

Het opleggen van technische beperkingen (het wachtwoord mag niet te kort zijn, het moet letters, cijfers, leestekens, enz. bevatten);

het beheren van de vervaldata van wachtwoorden en het periodiek wijzigen ervan;

Beperking van de toegang tot het wachtwoordbestand;

Het beperken van het aantal mislukte inlogpogingen (dit maakt het moeilijker om brute force-methoden te gebruiken);

Gebruikerstraining;

Software-wachtwoordgeneratoren gebruiken (een dergelijk programma, gebaseerd op eenvoudige regels, kan alleen welluidende en daarom gedenkwaardige wachtwoorden genereren).

Het is raadzaam om de genoemde maatregelen altijd toe te passen, ook als naast wachtwoorden ook andere authenticatiemethoden worden gebruikt.

Bestaande wachtwoordmethoden voor het authenticeren van gebruikers bij het betreden van een informatiesysteem kunnen in twee groepen worden verdeeld:

· authenticatiemethoden gebaseerd op een eenvoudig wachtwoord;

· authenticatiemethoden gebaseerd op dynamisch veranderende wachtwoorden.

Het gebruikersverificatiewachtwoord verandert bij gebruik van een eenvoudig wachtwoord niet van sessie tot sessie gedurende de levensduur die is ingesteld door de beveiligingsbeheerder.

Bij gebruik van een dynamisch veranderend wachtwoord verandert het wachtwoord van de gebruiker voor elke nieuwe sessie of nieuwe geldigheidsperiode van één wachtwoord volgens regels die afhankelijk zijn van de gebruikte methode.

Met behulp van een eenvoudig wachtwoord

De authenticatieprocedure met behulp van een eenvoudig wachtwoord kan worden weergegeven als de volgende reeks acties:

De gebruiker stuurt een verzoek om toegang tot het computersysteem en voert zijn identificatie in;

Het systeem vraagt ​​om een ​​wachtwoord;

De gebruiker voert een wachtwoord in;

Het systeem vergelijkt het ontvangen wachtwoord met het gebruikerswachtwoord dat is opgeslagen in de beveiligingsreferentiedatabase en staat toegang toe als de wachtwoorden overeenkomen; anders heeft de gebruiker geen toegang tot computersysteembronnen.

Omdat de gebruiker een fout kan maken bij het invoeren van een wachtwoord, moet het systeem een ​​acceptabel aantal herhalingen bieden voor het invoeren van het wachtwoord.

In een referentiedatabase mogen wachtwoorden, net als andere informatie, nooit expliciet worden opgeslagen, maar alleen gecodeerd. In dit geval kunt u zowel omkeerbare als onomkeerbare versleutelingsmethoden gebruiken.

Volgens de omkeerbare encryptiemethode wordt het referentiewachtwoord, wanneer het in de referentiedatabase wordt ingevoerd, gecodeerd met een sleutel die overeenkomt met dit referentiewachtwoord, en wordt het gebruikerswachtwoord dat wordt ingevoerd na identificatie ter vergelijking met het referentiewachtwoord ook gecodeerd met een sleutel die overeenkomt met dit ingevoerde wachtwoord. Bij vergelijking zijn de referentie- en ingevoerde wachtwoorden dus gecodeerd en komen ze alleen overeen als het origineel ingevoerde wachtwoord overeenkomt met het origineel. Als het oorspronkelijk ingevoerde wachtwoord niet overeenkomt met het oorspronkelijke hoofdwachtwoord, zal het oorspronkelijk ingevoerde wachtwoord anders worden gecodeerd, omdat de coderingssleutel anders is dan de sleutel die het hoofdwachtwoord heeft gecodeerd, en na codering zal deze niet overeenkomen met het gecodeerde hoofdwachtwoord.

De volgende hoofdmethoden kunnen worden geïdentificeerd om de sterkte van het beveiligingssysteem in de authenticatiefase te vergroten:

Het verhogen van de mate van niet-trivialiteit van het wachtwoord;

Het vergroten van de lengte van de tekenreeks van het wachtwoord;

Het verhogen van de vertragingstijd tussen toegestane pogingen om een ​​onjuist ingevoerd wachtwoord opnieuw in te voeren;

Toenemende beperkingen op de minimale en maximale geldigheidsduur van het wachtwoord.

Een dynamisch veranderend wachtwoord gebruiken

Dynamische wachtwoordverificatiemethoden bieden meer veiligheid omdat de frequentie van wachtwoordwijzigingen maximaal is: het wachtwoord voor elke gebruiker verandert dagelijks of om de paar dagen. In dit geval verandert elk volgend wachtwoord ten opzichte van het vorige volgens de regels, afhankelijk van de gebruikte authenticatiemethode.

Er zijn de volgende methoden voor wachtwoordbeveiliging, gebaseerd op het gebruik van een dynamisch veranderend wachtwoord:

Methoden voor het wijzigen van het eenvoudige wachtwoordschema;

Methoden voor het identificeren en vaststellen van de authenticiteit van onderwerpen en verschillende objecten;

Verzoek-antwoordmethode;

Functionele methoden.

De meest effectieve van deze methoden zijn functioneel.

Methoden voor het wijzigen van een eenvoudig wachtwoordschema.Methoden voor het wijzigen van het eenvoudige wachtwoordschema omvatten het willekeurig maken van wachtwoordtekens en het eenmalig gebruik van wachtwoorden. Bij gebruik van de eerste methode krijgt elke gebruiker een vrij lang wachtwoord toegewezen en elke keer wordt niet het volledige wachtwoord gebruikt voor identificatie, maar slechts een deel ervan. Tijdens het authenticatieproces vraagt ​​het systeem de gebruiker om een ​​groep tekens onder een bepaald volgnummer. Het aantal tekens en hun volgnummers voor het verzoek worden bepaald met behulp van een pseudowillekeurige getalsensor. Bij eenmalig gebruik van wachtwoorden krijgt elke gebruiker een lijst met wachtwoorden toegewezen. Tijdens het aanvraagproces wordt het in te voeren wachtwoordnummer opeenvolgend uit een lijst of volgens een willekeurig steekproefschema geselecteerd. Een nadeel van eenvoudige methoden voor het wijzigen van wachtwoordschema's is dat gebruikers lange wachtwoorden of lijsten daarvan moeten onthouden. Het opschrijven van wachtwoorden op papier brengt het risico met zich mee van verlies of diefstal van opslagmedia waarop wachtwoorden zijn geschreven.

Methoden voor het identificeren en authenticeren van onderwerpen en verschillende objecten.Het verdient in ieder geval aanbeveling om bij het uitwisselen van informatie te voorzien in een wederzijdse verificatie van de authenticiteit van de autoriteit van het voorwerp of subject. Als informatie via een netwerk wordt uitgewisseld, moet de procedure worden gevolgd. Dit vereist dat elk van de objecten en onderwerpen een unieke naam krijgt. Elk van de objecten (subjecten) moet in zijn geheugen (ontoegankelijk voor onbevoegde personen) een lijst opslaan met de namen van de objecten (subjecten) waarmee de processen voor het uitwisselen van beschermde gegevens zullen worden uitgevoerd.

Verzoek-antwoordmethode.Bij gebruik van de ‘request-response’-methode in een informatiesysteem wordt vooraf een reeks vragen aangemaakt en vooral beschermd, waaronder zowel vragen van algemene aard als persoonlijke vragen die betrekking hebben op een specifieke gebruiker, bijvoorbeeld vragen die betrekking hebben op zaken uit zijn leven is alleen bekend bij de gebruiker. Om de authenticiteit van de gebruiker te bevestigen, stelt het systeem hem achtereenvolgens een reeks willekeurig geselecteerde vragen waarop hij moet antwoorden. De identificatie wordt als positief beschouwd als de gebruiker alle vragen correct beantwoordt. De belangrijkste vereiste voor vragen bij deze authenticatiemethode is uniciteit, wat betekent dat alleen de gebruikers voor wie deze vragen bedoeld zijn de juiste antwoorden op de vragen kennen.

Functionele methoden.Van de functionele methoden is de functionele methode voor wachtwoordconversie de meest voorkomende. De functionele transformatiemethode is gebaseerd op het gebruik van een bepaalde functieF,die aan de gestelde eisen moeten voldoen.

Eenmalige wachtwoorden

Eenmalig wachtwoordis een wachtwoord dat slechts voor één sessie geldig isauthenticatie . Ook kan de geldigheid van een eenmalig wachtwoord beperkt worden tot een bepaalde periode. Het voordeel van een eenmalig wachtwoord ten opzichte van een statisch wachtwoord is dat het wachtwoord niet opnieuw kan worden gebruikt. Een aanvaller die gegevens van een succesvolle authenticatiesessie heeft onderschept, kan het gekopieerde wachtwoord dus niet gebruiken om toegang te krijgen tot het beveiligde informatiesysteem. Het gebruik van eenmalige wachtwoorden beschermt op zichzelf niet tegen aanvallen die gebaseerd zijn op actieve interferentie in het communicatiekanaal dat voor authenticatie wordt gebruikt (bijvoorbeeld tegen aanvallen zoals"man in het midden" ).

Algoritmen voor het maken van eenmalige wachtwoorden gebruiken meestal willekeurige getallen. Dit is nodig omdat het anders gemakkelijk zou zijn om volgende wachtwoorden te voorspellen op basis van kennis van eerdere wachtwoorden. Er zijn verschillende benaderingen voor het maken van eenmalige wachtwoorden:

· Wiskundige algoritmen gebruiken om een ​​nieuw wachtwoord te maken op basis van eerdere wachtwoorden (wachtwoorden vormen feitelijk een keten en moeten in een bepaalde volgorde worden gebruikt).

· Gebaseerd op tijdsynchronisatie tussen server en client waarbij een wachtwoord wordt verstrekt (wachtwoorden zijn korte tijd geldig)

· Met behulp van een wiskundig algoritme, waarbij het nieuwe wachtwoord is gebaseerd op een uitdaging (bijvoorbeeld een willekeurig getal gekozen door de server of een deel van een inkomend bericht) en/of een teller.

Er zijn ook verschillende manieren om de gebruiker het volgende wachtwoord te vertellen. Sommige systemen maken gebruik van speciale elektronica Munten , dat de gebruiker bij zich draagt, maakt eenmalige wachtwoorden aan en geeft deze vervolgens op een klein scherm weer. Andere systemen bestaan ​​uit programma's die de gebruiker vanaf een mobiele telefoon uitvoert. Nog andere systemen genereren eenmalige wachtwoorden op de server en sturen deze vervolgens naar de gebruiker via kanalen van derden, zoals sms -berichten. Ten slotte worden in sommige systemen eenmalige wachtwoorden op een stuk papier of op papier afgedrukt Kras kaart , die de gebruiker bij zich moet hebben.

Implementatie van eenmalige wachtwoorden:

Wiskundige algoritmen

Tijdgesynchroniseerd - eenmalige wachtwoorden worden meestal geassocieerd met fysieke hardwareMunten (Elke gebruiker krijgt bijvoorbeeld een persoonlijk token dat een eenmalig wachtwoord genereert). In het token is een nauwkeurige klok ingebouwd, die wordt gesynchroniseerd met de klok op de server. In deze OTP-systemen is tijd een belangrijk onderdeel van het algoritme voor het genereren van wachtwoorden, aangezien het genereren van een nieuw wachtwoord gebaseerd is op de huidige tijd en niet op het vorige wachtwoord of de geheime sleutel.

Prompt - Het gebruik van eenmalige uitdagingswachtwoorden vereist dat de gebruiker tijdgesynchroniseerde prompts geeft om authenticatie te laten plaatsvinden. Dit kunt u doen door een waarde in het token zelf in te voeren. Om duplicaten te voorkomen wordt er doorgaans een extra teller opgenomen, zodat als er twee identieke verzoeken binnenkomen dit alsnog tot verschillende eenmalige wachtwoorden zal leiden. Bij berekeningen wordt echter meestal niet de vorige OTP meegenomen, omdat hierdoor taken worden gesynchroniseerd.

Eenmalig wachtwoord via sms - Een veelgebruikte technologie die wordt gebruikt om eenmalige wachtwoorden af ​​te leveren issms . Omdat SMS een alomtegenwoordig communicatiekanaal is dat op alle telefoons te vinden is en door een groot aantal klanten wordt gebruikt, hebben SMS-berichten het grootste potentieel voor alle consumenten tegen lage kosten. Tokens, smartcards en andere traditionele authenticatiemethoden zijn veel duurder om te implementeren en te gebruiken, en stuiten vaak op weerstand van consumenten. Ze zijn ook veel kwetsbaarder voor aanvallen zoals"man in het midden" , waarbij phishers eenmalige wachtwoorden stelen door middel van misleiding of zelfs omdat de eenmalige wachtwoorden op het tokenscherm worden weergegeven. Ook kunnen tokens verloren gaan en kan de integratie van eenmalige wachtwoorden in mobiele telefoons veiliger en eenvoudiger zijn, omdat gebruikers geen extra draagbare apparaten hoeven mee te nemen. Tegelijkertijd kunnen eenmalige wachtwoorden via sms minder veilig zijn naarmate mobiele operators onderdeel worden van de vertrouwensketen. Bij roaming moet u meer dan één mobiele operator vertrouwen.

Eenmalig wachtwoord op mobiele telefoon - Vergeleken met een hardware-token-implementatie, waarbij de gebruiker het token-apparaat bij zich moet dragen, verlaagt token op een mobiele telefoon de kosten aanzienlijk en biedt het een ongekend niveau van gemak. Deze oplossing vermindert ook de logistieke vereisten, omdat het niet nodig is om aan elke gebruiker een afzonderlijk apparaat te verstrekken. Mobiele tokens zoals FiveBarGate, FireID of PROTECTIMUS SMART ondersteunen bovendien een aantal tokens per applicatie-installatie, waardoor de gebruiker zich vanaf één apparaat kan authenticeren bij meerdere bronnen. Deze optie biedt ook specifieke toepassingen voor verschillende telefoonmodellen van de gebruiker. Tokens voor mobiele telefoons zijn ook aanzienlijk veiliger dan eenmalige sms-wachtwoorden, omdat sms-berichten via het GSM-netwerk worden verzonden in een tekstformaat dat kan worden onderschept.

Organisatie van wachtwoordbeveiliging

Instructies voor wachtwoordbeveiliging omvatten:

1. Regels voor het aanmaken van een persoonlijk wachtwoord

2. Wachtwoordinvoer

3. Procedure voor het wijzigen van wachtwoorden

4. Wachtwoordopslag

5. Verantwoordelijkheid voor het organiseren van wachtwoordbeveiliging