วิธีการโจมตีรหัสผ่าน การรักษาความปลอดภัยรหัสผ่านของคุณ การขโมยรหัสผ่านโดยตรง เราถึงขีดจำกัดรหัสผ่านแล้วหรือยัง?

การป้องกันด้วยรหัสผ่าน

บทบาท การป้องกันด้วยรหัสผ่านเพื่อรับประกันความปลอดภัยของเอไอเอส. วิธีการเข้ารหัสโดยเฉพาะอย่างยิ่งการเข้ารหัส ให้การปกป้องข้อมูลที่ดี (การรักษาความลับ ความสมบูรณ์ ความถูกต้อง ฯลฯ) จากผู้บุกรุกภายนอก ผู้บุกรุกดังกล่าวอาจสกัดกั้นข้อความที่ส่งผ่านช่องทางการสื่อสาร และในบางกรณี สามารถแก้ไขข้อความเหล่านั้นและแม้แต่แทรกข้อความของเขาเองลงในเซสชันการสื่อสาร (ซึ่งมักจะพยายามส่งต่อเป็นข้อความจากแหล่งอื่น) อย่างไรก็ตาม ข้อมูลในช่องทางการสื่อสารจะถูกแปลงเป็นการเข้ารหัสลับก่อนแล้วจึงถ่ายโอนตาม โปรโตคอลการเข้ารหัสออกแบบมาโดยเฉพาะเพื่อป้องกันไม่ให้ผู้โจมตีใช้ภัยคุกคามด้านความปลอดภัย เพื่อที่จะละเมิดการรักษาความปลอดภัยของข้อมูลที่หมุนเวียนอยู่ในระบบ เขาจำเป็นต้องค้นหาช่องโหว่ในระบบรักษาความปลอดภัยหรือในอัลกอริธึมการเข้ารหัสที่ใช้ในระบบ ปัญหาที่คล้ายกันเกิดขึ้นสำหรับผู้บุกรุกที่สามารถเข้าถึง AIS ที่ได้รับการคุ้มครองในฐานะผู้ใช้ที่ไม่มีสิทธิ์ที่จำเป็นในการเข้าถึงข้อมูลที่เขาสนใจ

อย่างไรก็ตาม สถานการณ์จะเปลี่ยนไปหากผู้โจมตีสามารถเข้าถึงระบบในนามของผู้ใช้ที่ได้รับอนุญาตให้ดำเนินการกับข้อมูลที่เขาสนใจ (เช่น การคัดลอกไฟล์ที่เป็นความลับ การทำลายข้อมูลสำคัญ เป็นต้น) ในกรณีนี้ การป้องกันการเข้ารหัสทั้งหมดไม่มีประโยชน์ ดังนั้นจุดที่เปราะบางที่สุดของระบบข้อมูลอัตโนมัติคือจุดเชื่อมต่อ จุดเชื่อมต่อเหล่านี้ได้รับการป้องกันโดยโปรโตคอลการตรวจสอบความถูกต้อง (การตรวจสอบผู้ใช้) และรูปแบบการรับรองความถูกต้องที่ใช้งานง่ายและใช้มากที่สุดก็คือ การป้องกันด้วยรหัสผ่าน.

มีเทคนิคมาตรฐานจำนวนหนึ่งที่ผู้โจมตีใช้เพื่อหลีกเลี่ยงการป้องกันด้วยรหัสผ่าน สำหรับแต่ละเทคนิคเหล่านี้ ได้มีการพัฒนามาตรการรับมือ

เทคนิคในการเลี่ยงการป้องกันด้วยรหัสผ่านและวิธีการตอบโต้

1. การค้นหาอย่างละเอียดถี่ถ้วน (method กำลังดุร้าย, บรูตฟอร์ซ)

การโจมตีรหัสผ่านที่ง่ายที่สุด (จากมุมมองทางเทคนิค) คือการลองใช้อักขระที่ถูกต้องทั้งหมดผสมกัน (เริ่มจากรหัสผ่านอักขระตัวเดียว) พลังการประมวลผลสมัยใหม่ทำให้สามารถลองใช้รหัสผ่านทั้งหมดที่มีความยาวไม่เกินห้าหรือหกอักขระได้ในเวลาไม่กี่วินาที

บางระบบไม่อนุญาตให้ใช้การโจมตีแบบ brute-force เนื่องจากระบบตอบสนองต่อการพยายามใช้รหัสผ่านไม่ถูกต้องหลายครั้งติดต่อกัน

อย่างไรก็ตาม มีหลายระบบที่ช่วยให้ค้นหาได้ไม่รู้จบ ตัวอย่างเช่น ไปยังไฟล์ที่มีการป้องกันด้วยรหัสผ่าน ( ไฟล์เก็บถาวร rarหรือเอกสารซิป ไมโครซอฟต์ ออฟฟิศฯลฯ ) คุณสามารถลองได้ รหัสผ่านที่แตกต่างกันไม่มีที่สิ้นสุด มีหลายโปรแกรมที่อนุญาตให้คุณทำให้ขั้นตอนนี้เป็นแบบอัตโนมัติ: Advanced RAR การกู้คืนรหัสผ่าน, การกู้คืนรหัสผ่าน PDF ขั้นสูง, การกู้คืนรหัสผ่าน Office XP ขั้นสูง นอกจากนี้ หลายโปรแกรมยังเก็บแฮชรหัสผ่านไว้ด้วย ไฟล์ที่มีอยู่- ตัวอย่างเช่น นี่คือวิธีที่โปรแกรมรับส่งเมล (ทำงานบนคอมพิวเตอร์สาธารณะ) สามารถจัดเก็บรหัสผ่านของผู้ใช้ มีหลายวิธีในการขโมยไฟล์ที่มีแฮชของรหัสผ่านการเข้าถึง ระบบปฏิบัติการ- หลังจากนั้นคุณสามารถเลือกรหัสผ่านที่ข้ามระบบได้โดยใช้โปรแกรมพิเศษ

ลักษณะสำคัญสิ่งที่ทำให้รหัสผ่านยากต่อการบังคับเดรัจฉานคือความยาวของรหัสผ่าน รหัสผ่านสมัยใหม่ต้องมีความยาวอย่างน้อย 12 ตัวอักษร

อักขระพิเศษสองตัวในรหัสผ่านจะเพิ่มเวลาในการค้นหา 40,000 ครั้ง และอักขระสี่ตัว - 1,600,000,000 ครั้ง อย่างไรก็ตาม พลังการประมวลผลของคอมพิวเตอร์มีการเติบโตอย่างต่อเนื่อง (ไม่กี่ปีที่ผ่านมา รหัสผ่านที่มีความยาว 8 อักขระถือว่าปลอดภัย)

2. สังหารมากเกินไปในขอบเขตที่จำกัด

เป็นที่ทราบกันดีว่าผู้ใช้จำนวนมากเมื่อเขียนรหัสผ่านให้ใช้อักขระที่พบใน บางช่วง- เช่น รหัสผ่านที่ประกอบด้วยตัวอักษรรัสเซียเท่านั้นหรือเท่านั้น ตัวอักษรละตินหรือเพียงแค่ตัวเลข รหัสผ่านดังกล่าวจำง่ายกว่ามาก แต่งานของศัตรูในการค้นหานั้นง่ายขึ้นอย่างไม่น่าเชื่อ

ให้ n = 70 เป็นจำนวนอักขระที่ใช้สร้างรหัสผ่านได้ โดย 10 ตัวเป็นตัวเลข 30 ตัวเป็นตัวอักษรของภาษาหนึ่ง และ 30 ตัวเป็นตัวอักษรของอีกภาษาหนึ่ง ให้เราสร้างรหัสผ่านที่มีความยาว m = 4 ตัวอักษร

หากรหัสผ่านถูกสร้างขึ้นแบบสุ่มโดยสมบูรณ์ จำนวนชุดค่าผสมที่เป็นไปได้ (ซึ่งจำเป็นต้องลอง) คือ 704 = 24010000 อย่างไรก็ตาม ศัตรูสามารถสันนิษฐานได้ว่ารหัสผ่านประกอบด้วยอักขระจากช่วงเดียวกัน (แม้ว่าจะไม่ทราบก็ตาม อันไหน) มีทั้งหมด 104 + 304 + 304 = 10,000 + 810000 + 810000 = 163000 ถ้าเขาพูดถูก จำนวนชุดค่าผสม (รวมถึงเวลาที่ต้องใช้ในการค้นหา) จะลดลง 147 เท่า จำนวนนี้จะเพิ่มขึ้นอย่างมากเมื่อความยาวของรหัสผ่านและจำนวนช่วงอักขระที่สามารถเขียนได้เพิ่มขึ้น

ด้วยเหตุนี้ รหัสผ่านที่รัดกุมจะต้องมีอักขระจาก ช่วงต่างๆ - ขอแนะนำให้ใช้ภาษารัสเซียและภาษาอังกฤษ เมืองหลวง และ ตัวอักษรตัวพิมพ์เล็ก, ตัวเลข รวมถึงสัญลักษณ์อื่นๆ (เครื่องหมายวรรคตอน ขีดล่าง ฯลฯ)

3. การโจมตีพจนานุกรม

บ่อยครั้งที่มีการเลือกคำเป็นรหัสผ่าน โปรแกรมค้นหารหัสผ่านอัตโนมัติจะตรวจสอบคำที่มีอยู่ ไฟล์ที่ระบุพร้อมพจนานุกรม (มีพจนานุกรมประเภทนี้อยู่จำนวนมาก ภาษาที่แตกต่างกัน- โปรแกรมดังกล่าวตรวจสอบพจนานุกรมสองแสนคำภายในไม่กี่วินาที

ผู้ใช้หลายคนเชื่อว่าหากคุณใช้การแปลงแบบง่ายๆ กับคำที่ต้องการ เช่น เขียนแบบย้อนกลับหรือเขียนด้วยตัวอักษรรัสเซีย เค้าโครงภาษาอังกฤษหรือจงใจทำผิดพลาดก็จะทำให้เกิดความปลอดภัย ในความเป็นจริง เมื่อเปรียบเทียบกับการเดารหัสผ่านแบบสุ่ม การเดารหัสผ่านโดยใช้พจนานุกรมโดยใช้การแปลงรูปแบบต่างๆ (ใช้ตัวพิมพ์ใหญ่ในอักษรตัวแรก ใช้ตัวพิมพ์ใหญ่ทุกตัวอักษร รวมสองคำเข้าด้วยกัน ฯลฯ) ทำให้งานที่เป็นไปไม่ได้เป็นไปได้เลย

รหัสผ่านที่รัดกุมไม่ควรใช้คำในภาษาธรรมชาติ

4. การโจมตีพจนานุกรมส่วนตัว

หากการโจมตีด้วยพจนานุกรมและรหัสผ่านที่บังคับเดรัจฉานที่มีความยาวสั้น ๆ หรือประกอบด้วยอักขระในกลุ่มเดียวกันไม่ช่วยผู้โจมตีสามารถใช้ประโยชน์จากข้อเท็จจริงที่ว่าเพื่อให้จดจำได้ง่ายขึ้น ผู้ใช้จำนวนมากเลือกข้อมูลส่วนบุคคล (หมายเลข โทรศัพท์มือถือ, วันเดือนปีเกิดเขียนย้อนหลัง, ชื่อสุนัข ฯลฯ)

หากเป้าหมายของผู้โจมตีคือการเลี่ยงการป้องกันด้วยรหัสผ่านของผู้ใช้รายนี้ เขาสามารถสร้าง พจนานุกรมส่วนตัวข้อมูลส่วนบุคคลแล้วใช้โปรแกรมเดารหัสผ่านอัตโนมัติที่จะสร้างรหัสผ่านตามพจนานุกรมนี้

รหัสผ่านที่รัดกุมไม่ควรมีความหมายโดยสิ้นเชิง

5. การรวบรวมรหัสผ่านที่เก็บไว้ในที่สาธารณะ

ในหลายองค์กร ผู้ดูแลระบบจะสร้างและแจกจ่ายรหัสผ่านซึ่งใช้กฎข้างต้น ผู้ใช้จะต้องใช้รหัสผ่านที่กำหนดให้กับพวกเขา อย่างไรก็ตาม เนื่องจากรหัสผ่านนี้จำยาก จึงมักถูกเก็บไว้สะดวกในรูปแบบลายลักษณ์อักษร มักมีกรณีที่รหัสผ่านถูกเขียนลงบนกระดาษโน้ตและติดอยู่ที่จอภาพ หรือมีอยู่ในนั้น สมุดบันทึก.

ผู้ใช้มักไม่ให้ความสำคัญกับการรักษาความปลอดภัยของรหัสผ่านบริการของตนอย่างจริงจัง ขณะเดียวกันให้เข้าไปในสถานที่ขององค์กรและดำเนินการ การตรวจสอบด้วยสายตา– เป็นงานที่ค่อนข้างง่ายสำหรับผู้โจมตี

ไม่ควรเก็บรหัสผ่านไว้ในที่สาธารณะ ทางเลือกที่เหมาะสมที่สุดคือจดจำไว้และไม่เก็บไว้ที่ใด หากมีรหัสผ่านอยู่ในสมุดบันทึก ไม่ควรปล่อยทิ้งไว้โดยไม่มีใครดูแล และเมื่อป้อนรหัสผ่าน ไม่ควรมีใครแปลกหน้าที่สามารถมองเข้าไปในหนังสือโดยมองข้ามไหล่ของพวกเขาได้

6. วิศวกรรมสังคม

วิศวกรรมสังคมคือการบงการผู้คนเพื่อเจาะระบบที่ได้รับการคุ้มครองของผู้ใช้หรือองค์กร หากคุณไม่สามารถเดาหรือขโมยรหัสผ่านได้ คุณสามารถลองหลอกให้ผู้ใช้บอกรหัสผ่านเองได้ กลยุทธ์คลาสสิก วิศวกรรมสังคม - โทรศัพท์แก่ผู้เสียหายในนามของบุคคลที่มีสิทธิทราบข้อมูลที่ร้องขอ เช่น ผู้โจมตีอาจแนะนำตัวเอง ผู้ดูแลระบบและขอรหัสผ่าน (หรือข้อมูลอื่น ๆ ) โดยใช้ข้ออ้างที่น่าเชื่อถือ การโน้มน้าวให้ผู้ใช้เปิดลิงก์หรือไฟล์แนบที่ไม่ควรเปิดหรือล่อลวงให้ไปที่ไซต์ปลอมก็ถือเป็นวิธีการทางวิศวกรรมสังคมเช่นกัน

คุณต้องจำกฎ: คุณไม่ควรเปิดเผยรหัสผ่านของคุณกับคนแปลกหน้า แม้ว่าบุคคลเหล่านี้จะมีสิทธิที่จะรู้จักเขาก็ตาม ข้อยกเว้นเพียงอย่างเดียวอาจเป็นได้หากศาลหรือหน่วยงานบังคับใช้กฎหมายกำหนดให้คุณต้องมอบรหัสผ่านภายใต้บทลงโทษของการปฏิเสธที่จะให้การเป็นพยาน แต่แม้ในกรณีนี้ ก็จำเป็นต้องตรวจสอบให้แน่ใจว่าเจ้าหน้าที่บังคับใช้กฎหมายเป็นคนที่พวกเขาพูดอย่างแท้จริง

7. ฟิชชิ่ง

ฟิชชิ่ง นี่เป็นขั้นตอนในการ "ค้นหา" รหัสผ่าน ผู้ใช้แบบสุ่มอินเทอร์เน็ต. โดยทั่วไปสิ่งนี้เกี่ยวข้องกับการสร้างไซต์ "จำลอง" ที่หลอกให้ผู้ใช้ป้อนรหัสผ่าน

เช่น รับรหัสผ่านสำหรับ บัญชีธนาคารสามารถสร้างเว็บไซต์ได้ด้วยการออกแบบที่เหมือนกับเว็บไซต์ของธนาคารบางแห่ง โดยปกติแล้วที่อยู่ของไซต์นี้จะแตกต่างออกไป แต่ผู้โจมตีมักลงทะเบียน ชื่อโดเมนแตกต่างจากธนาคารทีละตัวอักษร เป็นผลให้ผู้ใช้ที่พิมพ์ผิดจะต้องเข้าสู่ไซต์ปลอมและจะไม่สังเกตเห็นข้อผิดพลาดของเขา เพื่อล่อลวงผู้ใช้ ลูกค้าธนาคารอาจได้รับอีเมลที่มีเนื้อหาเช่น "ตรวจสอบบัญชีของคุณ" หรือ "ตรวจสอบโปรโมชั่นใหม่" และอีเมลมีลิงก์ที่นำไปสู่เว็บไซต์ปลอม

เมื่อลูกค้าธนาคารเข้าสู่เว็บไซต์ของผู้โจมตี พวกเขา (เช่นเดียวกับเว็บไซต์จริง) จะถูกขอให้ป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านเพื่อเข้าถึงบัญชี ข้อมูลนี้จะถูกจัดเก็บไว้ในฐานข้อมูลของผู้โจมตี หลังจากนั้นไคลเอ็นต์จะถูกเปลี่ยนเส้นทางไป หน้าแรกของไซต์นี้ ผู้ใช้เห็นว่าการป้อนรหัสผ่าน “ใช้งานไม่ได้” และคิดว่าเขาทำผิดพลาดหรือไซต์เป็นเพียง “บั๊ก” เขาพยายามป้อนรหัสผ่านอีกครั้ง และคราวนี้ก็เข้าสู่ระบบได้สำเร็จ สิ่งนี้จะขจัดความสงสัยของเขา ในขณะเดียวกันรหัสผ่านก็รั่วไหลไปแล้ว...

ฟิชชิ่งอีกประเภทหนึ่งขึ้นอยู่กับข้อเท็จจริงที่ว่าผู้ใช้จำนวนมากใช้รหัสผ่านเดียวกันสำหรับทรัพยากรที่แตกต่างกัน ผลก็คือ เมื่อโจมตีทรัพยากรที่มีการป้องกันน้อยได้สำเร็จ คุณจะสามารถเข้าถึงทรัพยากรที่มีการป้องกันมากขึ้นได้

ตัวอย่างเช่น มีการสร้างเว็บไซต์ที่อาจน่าสนใจสำหรับผู้ใช้บางกลุ่ม หากเป้าหมายในการโจมตีคือ บุคคลที่เฉพาะเจาะจงจากนั้นจึงศึกษาความสนใจและงานอดิเรกของเขาก่อน ข้อมูลเกี่ยวกับไซต์นี้จะถูกสื่อสารไปยังผู้ที่อาจเป็นเหยื่อ ผู้ใช้ที่เยี่ยมชมไซต์จะถูกขอให้ลงทะเบียนโดยเฉพาะเพื่อสร้างรหัสผ่าน ตอนนี้สิ่งที่เหลืออยู่ก็คือดูว่ารหัสผ่านที่ป้อนนั้นเหมาะสมกับทรัพยากรอื่นของผู้ใช้รายนี้หรือไม่ (ตัวอย่างเช่น อีเมลซึ่งได้ระบุไว้ในขั้นตอนการลงทะเบียน)

เพื่อต่อสู้กับภัยคุกคามจากฟิชชิ่ง คุณควรตรวจสอบที่อยู่เว็บไซต์อย่างรอบคอบก่อนเข้า รหัสผ่านที่สำคัญ- เป็นการดีที่สุดที่จะวางที่อยู่นี้ไว้ในบุ๊กมาร์กของเบราว์เซอร์ของคุณ และใช้บุ๊กมาร์กเหล่านี้โดยเฉพาะ ห้ามคลิกลิงก์จาก อีเมล- คุณควรใช้รหัสผ่านที่แตกต่างกันเพื่อเข้าถึงบริการต่างๆ

การทำตามคำแนะนำทั้ง 7 ข้อข้างต้นนั้นค่อนข้างยาก เป็นการยากที่จะจำรหัสผ่านที่คาดเดายากหลายๆ อัน (ยาวและไม่มีความหมาย) และคุณมีแนวโน้มที่จะลืมรหัสผ่านมากกว่าที่จะถูกแฮ็ก อย่างไรก็ตาม มีเครื่องมือหลายอย่างที่ทำให้งานนี้ง่ายขึ้น โดยเฉพาะโปรแกรมสำหรับจัดเก็บรหัสผ่าน

ในโปรแกรม KeePass แบบพกพารหัสผ่านทั้งหมดจะถูกเก็บไว้ในไฟล์ที่เข้ารหัสเพื่อเข้าถึงซึ่งคุณจะต้องป้อนรหัสผ่าน (รหัสผ่านเดียวที่คุณจะต้องจดจำอย่างแท้จริง) อย่างไรก็ตามโปรแกรมไม่แสดงรหัสผ่านเหล่านี้บนหน้าจอค่ะ อย่างชัดเจน- หากต้องการป้อนรหัสผ่านเพื่อเข้าถึงทรัพยากร (เช่น เว็บไซต์หรืออีเมลเฉพาะ) คุณต้องเลือกทรัพยากรจากรายการและเลือก เมนูบริบททีม คัดลอกรหัสผ่านไปยังคลิปบอร์ด- รหัสผ่านจะถูกวางไว้บนคลิปบอร์ด แม้จะติดตามการกระทำของผู้ใช้อย่างระมัดระวัง ศัตรูจะไม่เห็นรหัสผ่านที่ไม่ได้พิมพ์บนแป้นพิมพ์และไม่ปรากฏบนหน้าจออย่างชัดเจน ถัดไปคุณเพียงแค่ต้องไปที่หน้าต่างโปรแกรมที่ต้องใช้รหัสผ่านแล้ววางจากคลิปบอร์ดลงในช่องป้อนข้อมูล (โดยกด Ctrl + V หรือคำสั่ง แทรกเมนูบริบท) รหัสผ่านจะแสดงเป็นเครื่องหมายดอกจันทันที หลังจากนั้นไม่กี่วินาที มันจะถูกลบออกจากบัฟเฟอร์โดยอัตโนมัติ โปรแกรมยังช่วยให้คุณสร้าง รหัสผ่านแบบสุ่มตามความยาวที่กำหนดและผู้ใช้อาจไม่รู้ด้วยซ้ำว่าโปรแกรมสร้างรหัสผ่านอะไร - สิ่งสำคัญคือต้องระบุรหัสผ่านนี้ทุกครั้งที่ต้องการเข้าสู่ระบบ สุดท้ายนี้ KeePass Portable ไม่จำเป็นต้องติดตั้งบนระบบ: โปรแกรมสามารถถ่ายโอนไปยังแฟลชไดรฟ์และเรียกใช้จากโปรแกรมได้โดยตรง

ไม่มีใครอยากสูญเสียการเข้าถึงบัญชี เครือข่ายทางสังคมหรือ กล่องจดหมายแต่บ่อยครั้งที่สิ่งนี้ยังคงเกิดขึ้น สาเหตุส่วนใหญ่ของปัญหานี้คือรหัสผ่านที่ใช้มีความแข็งแกร่งไม่เพียงพอ เว็บไซต์หลายแห่งไม่อนุญาตให้ใช้รหัสผ่านที่สั้นกว่า 8 ตัวอักษร แต่มาตรการนี้อาจไม่ได้ผลเสมอไป

ตัวเลือกที่ดีที่สุดคือรุ่น รหัสผ่านผู้ใช้ โปรแกรมพิเศษอย่างไรก็ตาม โปรดทราบว่าแม้แต่รหัสผ่านที่ป้องกันการแฮ็กได้มากที่สุดก็อาจถูกขโมยหรือสูญหายได้ การป้องกัน ข้อมูลที่เป็นความลับควรดำเนินการให้ครอบคลุมแต่ต้องเริ่มตั้งแต่การสร้าง รหัสผ่านที่แข็งแกร่ง- มาดูวิธีการหลักที่ผู้โจมตีใช้ในการถอดรหัสรหัสผ่าน:

ทลายคำศัพท์

การใช้มัลแวร์

วิธีการนี้อนุญาตให้ผู้โจมตีขโมยไฟล์รหัสผ่านจากเบราว์เซอร์ หรือเพียงแค่บันทึกและบันทึกลำดับข้อมูลที่ป้อนเมื่อเข้าสู่ระบบ (ใช้เพื่อจุดประสงค์นี้) แล้วส่งไปประมวลผลไปยังที่อยู่ใดก็ได้ เพื่อป้องกันการโจมตีดังกล่าว คุณควรติดตั้งซอฟต์แวร์จากซัพพลายเออร์ที่เชื่อถือได้เท่านั้น และจำกัดการเข้าถึงคอมพิวเตอร์ของคุณจากบุคคลภายนอกให้มากที่สุดเท่าที่จะเป็นไปได้

การขโมยรหัสผ่านโดยตรง

เรียบง่ายแต่น่าทึ่ง วิธีการที่มีประสิทธิภาพ- ไปที่สำนักงาน บริษัทที่มีชื่อเสียงช่างประปา ช่างส่งสัญญาณ หรือช่างไฟฟ้าเข้ามาโดยไม่มีใครสนใจ ในทางตรงกันข้าม เขาบันทึกทุกสิ่งอย่างระมัดระวังซึ่งกล้องหรือสายตาผู้มีประสบการณ์สามารถสังเกตเห็นได้ ในสำนักงานทุกแห่ง คุณจะเห็นสติกเกอร์ที่มีการเข้าสู่ระบบและรหัสผ่านเขียนลายมือบรรจงบนจอภาพ โดยเฉพาะสำหรับผู้หญิงที่น่ารัก... การไม่คำนึงถึงความปลอดภัยดังกล่าวสามารถทำลายบริษัทได้อย่างง่ายดาย คุณสามารถและควรต่อสู้โดยการเสริมสร้างวินัยภายใน

วิธีแมงมุม

แฮกเกอร์มืออาชีพสังเกตมานานแล้วว่าคำและวลีส่วนใหญ่ที่ใช้เป็นรหัสผ่านเกี่ยวข้องกับกิจกรรมหลักของบริษัทหรือบุคคล ผ่านไปแล้ว เวิลด์ไวด์เว็บเว็บไซต์ของคู่แข่งหรือวรรณกรรมเฉพาะทางสามารถลดฐานการค้นหาลงได้อย่างมาก การต่อสู้ไม่มีประโยชน์แต่เป็นการเอาเปรียบ รุ่นอัตโนมัติรหัสผ่าน ผู้ใช้จะลบล้างความพยายามที่จะใช้เทคนิคนี้กับเขา

วิธีการอื่นๆ ทั้งหมดแสดงถึงการแก้ไขวิธีการที่ระบุไว้ จุดประสงค์ของบทความนี้คือความต้องการที่จะเน้นความสนใจของผู้ใช้ไม่เพียงแต่ในการสร้างรหัสผ่านที่ป้องกันการถอดรหัสเท่านั้น แต่ยังรวมถึงความจำเป็นในการจัดเก็บรหัสผ่านอย่างระมัดระวังอีกด้วย

กำลังตรวจสอบความแข็งแกร่งของรหัสผ่าน

ปัญหาความปลอดภัยของรหัสผ่านมีความเกี่ยวข้องกันทั่วโลก ดังนั้นจึงมีเว็บไซต์หลายแห่งที่เสนอการคำนวณเวลาโดยประมาณที่ใช้ในการถอดรหัส เราขอเชิญชวนให้ผู้ใช้ทดลองใช้รหัสผ่านด้วยตนเอง คุณสามารถเรียนรู้ได้มากมายเพื่อทำความเข้าใจวิธีการเพิ่มความต้านทานต่อการแฮ็กโดยการทดสอบรหัสผ่านที่แตกต่างกันเพื่อต้านทานการแฮ็กบนเว็บไซต์ การวิเคราะห์ใช้วิธีการพื้นฐานที่ใช้โดยโปรแกรมแฮ็กอัตโนมัติ

ด้วยความช่วยเหลือ คุณสามารถลดความซับซ้อนของกระบวนการลงทะเบียนและการอนุญาตบนเว็บไซต์ ฟอรัม และเครือข่ายโซเชียลต่างๆ ได้ง่ายขึ้นอย่างมาก เครือข่าย ในการดำเนินการนี้ เมื่อลงทะเบียนบนไซต์ เราจะสร้างโปรไฟล์ คัดลอกฟิลด์ที่จำเป็นจากนั้นไปยังไซต์ ลบฟิลด์ที่ไม่จำเป็นในโปรไฟล์ ดาวน์โหลดและบันทึกโปรไฟล์ที่สร้างขึ้นบนคอมพิวเตอร์ด้วยชื่อของไซต์ที่มันอยู่ ใช้แล้ว. พร้อม.

นอกจากนี้ด้วยความช่วยเหลือที่คุณสามารถทำได้ ภาพที่น่าสนใจไปยังอวตารสำหรับ Instagram, VKontakte และเครือข่ายโซเชียลอื่น ๆ

คั่นหน้า ใช้และแบ่งปันบนโซเชียลเน็ตเวิร์กกับเพื่อน ๆ!

วิธีการตรวจสอบรหัสผ่านแบบไดนามิกมีให้ ความปลอดภัยที่มากขึ้นเนื่องจากความถี่ในการเปลี่ยนรหัสผ่านนั้นสูงสุด - รหัสผ่านสำหรับผู้ใช้แต่ละคนจะเปลี่ยนทุกวันหรือทุก ๆ สองสามวัน ในกรณีนี้ รหัสผ่านที่ตามมาแต่ละรหัสผ่านที่เกี่ยวข้องกับรหัสผ่านก่อนหน้าจะเปลี่ยนตามกฎ ขึ้นอยู่กับวิธีการรับรองความถูกต้องที่ใช้

มี วิธีการดังต่อไปนี้การป้องกันรหัสผ่านตามการใช้รหัสผ่านที่เปลี่ยนแปลงแบบไดนามิก:

วิธีการดัดแปลงวงจร รหัสผ่านง่ายๆ;

วิธีการระบุและรับรองความถูกต้องของวิชาและ วัตถุต่างๆ;

วิธีการตอบกลับคำขอ

วิธีการทำงาน

วิธีการเหล่านี้มีประสิทธิภาพมากที่สุดคือใช้งานได้

วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย ได้แก่ การสุ่มอักขระรหัสผ่านและการใช้รหัสผ่านเพียงครั้งเดียว

เมื่อใช้วิธีการแรก ผู้ใช้แต่ละคนจะได้รับการจัดสรรรหัสผ่านที่ค่อนข้างยาว และในแต่ละครั้งจะไม่ได้ใช้รหัสผ่านทั้งหมดเพื่อระบุตัวตน แต่จะมีเพียงบางส่วนเท่านั้น ในระหว่างกระบวนการตรวจสอบสิทธิ์ ระบบจะถามผู้ใช้ถึงกลุ่มอักขระภายใต้หมายเลขลำดับที่กำหนด จำนวนอักขระและหมายเลขลำดับสำหรับการร้องขอถูกกำหนดโดยใช้เซ็นเซอร์ตัวเลขสุ่มเทียม

เมื่อใช้รหัสผ่านเพียงครั้งเดียว ผู้ใช้แต่ละคนจะได้รับการจัดสรรรายการรหัสผ่าน ในระหว่างขั้นตอนการร้องขอ หมายเลขรหัสผ่านที่จะป้อนจะถูกเลือกตามลำดับจากรายการหรือตามรูปแบบการสุ่มตัวอย่าง

ข้อเสียของวิธีแก้ไขรูปแบบรหัสผ่านง่ายๆ คือผู้ใช้ต้องจำไว้ รหัสผ่านยาวหรือรายการของพวกเขา การเขียนรหัสผ่านลงบนกระดาษอาจเสี่ยงต่อการสูญหายหรือถูกขโมยสื่อบันทึกข้อมูลที่มีรหัสผ่านเขียนไว้

วิธีการระบุและรับรองความถูกต้องของวิชาและวัตถุต่างๆ

เมื่อทำการแลกเปลี่ยนข้อมูล ขอแนะนำในทุกกรณีเพื่อให้มีการตรวจสอบร่วมกันถึงความถูกต้องของอำนาจของวัตถุหรือเรื่อง หากมีการแลกเปลี่ยนข้อมูลผ่านเครือข่าย จะต้องปฏิบัติตามขั้นตอน โดยกำหนดให้วัตถุและวัตถุแต่ละรายการต้องมีชื่อไม่ซ้ำกัน แต่ละวัตถุ (วิชา) จะต้องถูกเก็บไว้ในหน่วยความจำของตัวเอง (ไม่สามารถเข้าถึงได้ บุคคลที่ไม่ได้รับอนุญาต) รายการที่มีชื่อของวัตถุ (หัวเรื่อง) ซึ่งจะดำเนินการกระบวนการแลกเปลี่ยนข้อมูลที่ได้รับการป้องกัน

วิธีการตอบกลับคำขอเมื่อใช้วิธี "ร้องขอ-ตอบกลับ" ในระบบสารสนเทศ อาร์เรย์ของคำถามจะถูกสร้างขึ้นล่วงหน้าและได้รับการคุ้มครองเป็นพิเศษ รวมทั้งคำถามทั้งสอง ทั่วไปรวมถึงคำถามส่วนตัวที่เกี่ยวข้องกับ ผู้ใช้เฉพาะเช่น คำถามเกี่ยวกับคดีต่างๆ จากชีวิตของเขาที่ผู้ใช้ทราบเท่านั้น

เพื่อยืนยันความถูกต้องของผู้ใช้ ระบบจะถามคำถามแบบสุ่มที่เขาต้องตอบตามลำดับตามลำดับ บัตรประจำตัวจะถือว่าเป็นค่าบวกหากผู้ใช้ตอบคำถามทุกข้อถูกต้อง

ข้อกำหนดหลักสำหรับคำถามในวิธีการรับรองความถูกต้องนี้คือเอกลักษณ์ ซึ่งหมายความว่าเฉพาะผู้ใช้ที่มีคำถามเหล่านี้เท่านั้นที่รู้คำตอบที่ถูกต้องสำหรับคำถาม

วิธีการทำงานในบรรดาวิธีการทำงาน วิธีที่พบบ่อยที่สุดคือวิธีการแปลงรหัสผ่านการทำงานและวิธีการจับมือ

วิธีการแปลงฟังก์ชันจะขึ้นอยู่กับการใช้ฟังก์ชันบางอย่าง ซึ่งจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:

· สำหรับ หมายเลขที่กำหนดหรือคำพูด เอ็กซ์คำนวณง่าย ย=ฉ(X)

· รู้ เอ็กซ์และ การกำหนดฟังก์ชันเป็นเรื่องยากหรือเป็นไปไม่ได้ ญ= ฉ(X)

เงื่อนไขที่จำเป็นการปฏิบัติตามข้อกำหนดเหล่านี้คือการปรากฏตัวในหน้าที่ เอฟ(เอ็กซ์)ตัวอย่างเช่นการเปลี่ยนแปลงพารามิเตอร์แบบไดนามิก วันที่ปัจจุบันเวลา วันในสัปดาห์ หรืออายุของผู้ใช้

ผู้ใช้จะได้รับแจ้ง:

· รหัสผ่านเริ่มต้น - คำหรือตัวเลข เอ็กซ์,เช่น หมายเลข 31;

· การทำงาน เอฟ(เอ็กซ์)ตัวอย่างเช่น, Y= (X ม็อด 100) ดี+ดับบลิวที่ไหน (เอ็กซ์ ม็อด 100) - การดำเนินการนำส่วนที่เหลือจาก การหารจำนวนเต็ม เอ็กซ์คูณ 100 ด-หมายเลขวันปัจจุบันของสัปดาห์ ก ว-หมายเลขสัปดาห์ปัจจุบันในเดือนปัจจุบัน

· ความถี่ในการเปลี่ยนรหัสผ่าน เช่น ทุกวัน ทุกสามวัน หรือทุกสัปดาห์

รหัสผ่านผู้ใช้สำหรับลำดับระยะเวลาที่กำหนดของรหัสผ่านเดียวจะเป็นตามลำดับ X, F(X), F(F(X)), F(F(F(X)))ฯลฯ เช่น สำหรับ ฉัน-ของระยะเวลาที่ใช้งานได้ของรหัสผ่านเดียวรหัสผ่านของผู้ใช้จะเป็น ฟี-1(เอ็กซ์)ดังนั้น ในการคำนวณรหัสผ่านถัดไปหลังจากช่วงระยะเวลาที่ถูกต้องของรหัสผ่านที่ใช้หมดอายุ ผู้ใช้ไม่จำเป็นต้องจำรหัสผ่านเริ่มต้น (เดิม) สิ่งสำคัญคือต้องไม่ลืมฟังก์ชันการแปลงรหัสผ่านและรหัสผ่านที่ใช้จนกระทั่ง ตอนนี้.

เพื่อให้บรรลุผล ระดับสูงความปลอดภัย ควรเปลี่ยนฟังก์ชันการแปลงรหัสผ่านที่ตั้งไว้สำหรับผู้ใช้แต่ละรายเป็นระยะๆ เช่น ทุกเดือน เมื่อเปลี่ยนฟังก์ชันแนะนำให้ตั้งรหัสผ่านเริ่มต้นใหม่

ตามวิธี "จับมือ" มีฟังก์ชันอยู่ เอฟซึ่งมีเพียงผู้ใช้และระบบสารสนเทศเท่านั้นที่ทราบ ฟังก์ชั่นนี้ต้องเป็นไปตามข้อกำหนดเดียวกันกับที่กำหนดไว้สำหรับฟังก์ชันที่ใช้ในวิธีการแปลงฟังก์ชัน

เมื่อผู้ใช้เข้าสู่ระบบข้อมูล ระบบรักษาความปลอดภัยจะถูกสร้างขึ้น หมายเลขสุ่มหรือลำดับอักขระแบบสุ่ม เอ็กซ์,และฟังก์ชันถูกคำนวณ เอฟ(เอ็กซ์)มอบให้เพื่อ ผู้ใช้ที่กำหนด.

ต่อไป เอ็กซ์ส่งออกไปยังผู้ใช้ที่ต้องคำนวณ ฟ"(เอ็กซ์)และป้อนค่าผลลัพธ์เข้าสู่ระบบ ค่านิยม ฉ(X), ฉ"(X)จะถูกเปรียบเทียบโดยระบบ และหากตรงกัน ผู้ใช้จะสามารถเข้าถึงได้

ตัวอย่างเช่น ในระบบข้อมูล จะมีการสร้างตัวเลขสุ่มที่ประกอบด้วยตัวเลขเจ็ดหลักและมอบให้กับผู้ใช้ เพื่อสร้างความสับสนให้กับผู้โจมตี คุณสามารถใส่ตัวเลขลงในตำแหน่งใดก็ได้ จุดทศนิยม- เป็นฟังก์ชัน เอฟได้รับการยอมรับ:

=(<сумма 1ไทย, 2และ 5หลักที่ของตัวเลข>)2 -<сумма 3ไทย, 4ไทย, 6และ 7หลักที่ของตัวเลข > +<сумма цифр текущего времени в часах>.

สำหรับ ความปลอดภัยสูงขอแนะนำให้เปลี่ยนฟังก์ชันการจับมือเป็นวงกลมในช่วงเวลาที่กำหนด เช่น ที่ตั้งไว้ ฟังก์ชั่นที่แตกต่างกันสำหรับวันคู่และคี่ของเดือน

ข้อดีของวิธีจับมือคือไม่มีการถ่ายโอนข้อมูลที่เป็นความลับระหว่างผู้ใช้และระบบข้อมูล ด้วยเหตุนี้จึงเกิดประสิทธิผล วิธีนี้เหมาะอย่างยิ่งเมื่อใช้ในเครือข่ายเพื่อยืนยันความถูกต้องของผู้ใช้ที่พยายามเข้าถึงเซิร์ฟเวอร์หรือคอมพิวเตอร์ส่วนกลาง

ในบางกรณี ผู้ใช้อาจจำเป็นต้องตรวจสอบความถูกต้องของระบบข้อมูลที่เขาต้องการเข้าถึง ความจำเป็นในการตรวจสอบร่วมกันอาจเกิดขึ้นเมื่อผู้ใช้สองคนของระบบต้องการสื่อสารกันผ่านสายสื่อสาร วิธีการใช้รหัสผ่านแบบง่าย รวมถึงวิธีการแก้ไขรูปแบบรหัสผ่านแบบง่ายไม่เหมาะในกรณีนี้ วิธีที่เหมาะสมที่สุดคือ "การจับมือ" เมื่อใช้งาน ผู้เข้าร่วมเซสชันการสื่อสารจะไม่ได้รับข้อมูลลับใดๆ

กลับ

บท IV

เทคโนโลยีการป้องกันซอฟต์แวร์แฮ็ก

การป้องกันการแพร่กระจายข้อมูลเกี่ยวกับการโจมตีสร้างภาพลวงตาด้านความปลอดภัยที่เป็นอันตราย...

คริส แคสเปอร์สกี้. เทคโนโลยีและปรัชญา การโจมตีของแฮ็กเกอร์.

โปรแกรมเมอร์ที่มีความชำนาญในวิธีการ การป้องกันทางเทคนิคไม่ต้องสงสัยเลยว่าจะต้องรู้จักเทคโนโลยีป้องกันการแฮ็ก ตามลำดับ ประการแรกไม่ให้ทำผิดซ้ำ ระบบที่มีอยู่และประการที่สอง สร้างกลไกที่มีประสิทธิภาพและเชื่อถือได้มากขึ้น ผู้เขียนการป้องกันจะต้องคุ้นเคยกับเครื่องมือของแฮกเกอร์ยุคใหม่เป็นอย่างดีและคำนึงถึงความเป็นไปได้ด้วย กองทุนที่มีอยู่การวิจัยโปรแกรม (ตัวดีบั๊ก ตัวแยกชิ้นส่วน ตัวดู) เมื่อออกแบบกลไกและระบบป้องกันซอฟต์แวร์

ในบทนี้ เราจะดูแนวคิดพื้นฐาน เทคนิค อัลกอริธึม และเทคโนโลยีที่ช่วยให้คุณสามารถลบ ข้าม หรือแฮ็กได้ การป้องกันซอฟต์แวร์- นอกจากนี้เรายังจะให้คำแนะนำในการปรับปรุงกลไกการป้องกันอีกด้วย

การทดลองแฮ็กมาตรฐานการเข้ารหัสลับของสหรัฐอเมริกาที่มีชื่อเสียงนั้นเป็นที่รู้จักอย่างกว้างขวาง -อัลกอริทึม DES (มาตรฐานการเข้ารหัสข้อมูล) คีย์ DES 56 บิต - อัลกอริธึมไม่สามารถถอดรหัสได้ประมาณยี่สิบปี “...ล้มเมื่อวันที่ 17 มิถุนายน 2540 140 วันหลังจากเริ่มการแข่งขัน (ขณะเดียวกันประมาณ 25% ของทั้งหมด กุญแจที่เป็นไปได้และใช้จ่าย 450 MIPS -ปี " . ในปี 1998 มีรายงานการแฮ็กดีเอส - อัลกอริทึมใน 56 ชั่วโมง

ด้วยประสิทธิภาพที่ก้าวกระโดดอย่างก้าวกระโดด เทคโนโลยีคอมพิวเตอร์ชนกันก่อน อัลกอริทึมอาร์เอสเอเพื่อเปิดเผยว่าสิ่งใดบ้างที่จำเป็นในการแก้ปัญหาการแยกตัวประกอบ ในเดือนมีนาคม พ.ศ. 2537 การแยกตัวประกอบของตัวเลข 129 หลัก (428 บิต 6) ซึ่งกินเวลานาน 8 เดือนได้เสร็จสมบูรณ์ การดำเนินการนี้เกี่ยวข้องกับอาสาสมัคร 600 คนและเครื่อง 1,600 เครื่องที่เชื่อมต่อกันทางอีเมล เวลาที่ใช้เครื่องจักรเทียบเท่ากับประมาณ 5,000 MIPS ปี

เมื่อวันที่ 29 มกราคม พ.ศ. 2540 RSA Labs ได้ประกาศการแข่งขันเพื่อเปิดอัลกอริธึม RC5 แบบสมมาตร คีย์ 40 บิตถูกเปิดเผย 3.5 ชั่วโมงหลังจากเริ่มการแข่งขัน! (ไม่จำเป็นต้องเชื่อมต่อคอมพิวเตอร์ผ่านอินเทอร์เน็ตด้วยซ้ำ - เครือข่ายท้องถิ่นที่มีเครื่อง 250 เครื่องที่ Berkeley University ก็เพียงพอแล้ว) หลังจากผ่านไป 313 ชั่วโมง คีย์ 48 บิตก็ถูกเปิดขึ้นเช่นกัน [24]

แม้แต่โปรแกรมเมอร์มือใหม่ก็สามารถเขียนโปรแกรมที่สร้างลำดับสัญลักษณ์ที่เป็นไปได้ทั้งหมดจากชุดการแจกแจงตามลำดับที่กำหนด แน่นอนว่าผู้เขียนการคำนวณของฝ่ายจำเลยควรอยู่บนพื้นฐานข้อเท็จจริงที่ว่าการค้นหาทั้งหมดจะใช้เวลานานกว่าที่สมเหตุสมผล และสิ่งแรกที่นักพัฒนาใช้สำหรับสิ่งนี้คือการเพิ่มความยาวของคีย์ (รหัสผ่าน) ในแบบของพวกเขาเองพวกเขาถูกต้อง แต่

ประการแรกตามที่ระบุไว้แล้ว พลังของคอมพิวเตอร์กำลังเพิ่มขึ้น และหากการค้นหาทั้งหมดเมื่อวานนี้ใช้เวลานาน เวลาที่คอมพิวเตอร์ต้องการในวันพรุ่งนี้มักจะเป็นที่ยอมรับในการลบการป้องกัน

เนื่องจากการเติบโตอย่างรวดเร็ว พลังการคำนวณการโจมตีแบบ Brute Force มีโอกาสสำเร็จมากกว่าเมื่อก่อนมาก ถ้าเพื่อ ระบบยูนิกซ์ฟังก์ชัน crypt() ซึ่งรับผิดชอบในการแฮชรหัสผ่านนั้นถูกนำไปใช้ในลักษณะที่ใช้เวลาเกือบ 1 วินาทีในการดำเนินการบนเครื่องระดับ PDP แต่ในยี่สิบปีที่ผ่านมา ความเร็วในการคำนวณเพิ่มขึ้น 10,000 เท่า (!) . ดังนั้นหากแฮกเกอร์รุ่นก่อน ๆ (และนักพัฒนาที่จำกัดความยาวรหัสผ่านไว้ที่ 8 ตัวอักษร) ไม่สามารถจินตนาการถึงการค้นหาที่สมบูรณ์ได้ การโจมตีโดยเฉลี่ยในวันนี้จะนำไปสู่ความสำเร็จใน 125 วัน

ประการที่สอง เพื่อเพิ่มความเร็วของการแจงนับ อัลกอริธึมที่มีประสิทธิภาพได้ถูกเสนอและสามารถปรับปรุงได้ (โดยปกติจะขึ้นอยู่กับตรรกะที่เป็นทางการและการใช้ทฤษฎีเซต ทฤษฎีความน่าจะเป็น และสาขาอื่น ๆ ของคณิตศาสตร์) นอกจากนี้ยังใช้อัลกอริธึมอีกด้วย ค้นหาอย่างรวดเร็ว- (เช่น โจมตี.อาร์เอสเอ และระบบที่คล้ายกันถูกเสนอให้ใช้การค้นหาตารางแบบจัดระเบียบตัวเอง)

นอกจากนี้ยังมีการสร้างอุปกรณ์พิเศษที่ทำหน้าที่ค้นหาแล้ว

สิ่งสำคัญที่ควรทราบคือการจัดเก็บฟังก์ชันแฮชรหัสผ่านไม่ได้ขจัดความเป็นไปได้ของการโจมตีแบบดุร้าย แต่จะเปลี่ยนแปลงเฉพาะเวลาที่ต้องใช้ในการแคร็กเท่านั้น ในความเป็นจริงตอนนี้โปรแกรมที่ค้นหารหัสผ่านจะต้องเสริมด้วยการคำนวณฟังก์ชันแฮชของแต่ละตัวเลือกและเปรียบเทียบผลลัพธ์กับมาตรฐานแฮช

ให้เราใส่ใจกับอีกสถานการณ์หนึ่งที่เกี่ยวข้องกับการป้องกันตามการแฮชรหัสผ่าน ฟังก์ชันแฮชบางอย่างอาจส่งคืนผลลัพธ์เหมือนกับต้นฉบับสำหรับรหัสผ่านที่ไม่ถูกต้อง เพื่อขจัดการป้องกันออกจาก ในกรณีนี้แค่หาอะไรก็ได้ รหัสผ่านที่เหมาะสมซึ่งทำให้การป้องกันอ่อนแอลงอย่างเห็นได้ชัดและลดต้นทุนการแฮ็ก (ฟังก์ชันแฮชมีคุณสมบัตินี้ ซึ่งให้ผลลัพธ์ที่เทียบได้กับความยาว (เป็นบิต) กับรหัสผ่าน)

ให้เราอาศัยเทคนิคการค้นหารหัสผ่านแบบเดรัจฉานประเภทอื่น - ที่เรียกว่า การโจมตีพจนานุกรม - นี่เป็นวิธีที่สามารถใช้เพื่อถอดรหัสรหัสผ่านที่มีความหมายได้ โดยวิธีการจะขึ้นอยู่กับข้อเท็จจริงที่ว่าผู้ใช้บริการมากขึ้น ง่ายต่อการจดจำเลือกคำ (พจนานุกรม) ที่มีอยู่ในภาษาใดภาษาหนึ่ง เมื่อพิจารณาว่าภาษาใดมีคำศัพท์ไม่เกิน 100,000 คำ ย่อมชัดเจนว่าการค้นหาคำในพจนานุกรมทั้งหมดจะเกิดขึ้นภายในระยะเวลาอันสั้น

ปัจจุบันโปรแกรมที่เลือกรหัสผ่านตามคำในพจนานุกรมแพร่หลาย ขณะนี้มีเพียงผู้ใช้ที่ขาดความรับผิดชอบหรือขี้เกียจเท่านั้นที่สามารถตั้งรหัสผ่านที่มีความหมายได้ ให้เราระลึกว่านอกเหนือจากการตรวจสอบพจนานุกรมแล้วโปรแกรมดังกล่าว "สามารถ" เปลี่ยนตัวพิมพ์อักขระ "รู้" เครื่องหมายวรรคตอน "เดา" ที่ผู้ใช้สามารถพลิกคำได้ ติดกาวสองคำเข้าด้วยกันโดยใช้เครื่องหมายวรรคตอนหรือตัวเลข ฯลฯ การเปลี่ยนแปลง

เป็นที่น่าสังเกตว่าวิธีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ได้รับการพัฒนาสมัยใหม่ทำให้ผู้ใช้สามารถเลือกรหัสผ่านสำหรับการเข้าถึงได้อย่างอิสระมีโมดูลที่ตรวจสอบรหัสผ่านที่เลือกว่าเป็นของพจนานุกรมดังกล่าวและในกรณีนี้จะไม่อนุญาตให้ใช้รหัสผ่าน .

โปรแกรมที่ทำการโจมตีด้วยพจนานุกรมจะทำงานได้ค่อนข้างเร็ว เนื่องจากใช้อัลกอริธึมการค้นหาและการเปรียบเทียบที่มีประสิทธิภาพ ตัวอย่างเช่น พวกเขาใช้การเปรียบเทียบสตริงที่ไม่ช้า แต่เป็นการเปรียบเทียบ เช็คซัมฯลฯ หลายแห่งไม่มีฐานข้อมูลคำ แต่ใช้พจนานุกรมที่สร้างไว้ในโปรแกรมแก้ไขข้อความทั่วไป

_____________________________

* การป้องกันด้วยรหัสผ่านควรใช้ในกรณีที่การโจมตีแบบ brute-force จะไม่ได้ผล หรือผู้โจมตีจะไม่สามารถเข้าถึงเครื่องมือคอมพิวเตอร์ที่ทรงพลังเพียงพอที่จะทำการโจมตีแบบ brute-force (เราต้องไม่ลืมเกี่ยวกับความเป็นไปได้ของการใช้เทคโนโลยีเครือข่าย ).

* เพื่อเสริมการป้องกันด้วยรหัสผ่าน คุณควรใช้เทคนิคดั้งเดิมที่ลดความเร็วในการค้นหารหัสผ่าน

* คุณสามารถเสริมการป้องกันด้วยรหัสผ่านได้เล็กน้อยโดยดำเนินการตรวจสอบสองครั้ง (ขึ้นอยู่กับ) ในโปรแกรม: ทั้งรหัสผ่านและผลลัพธ์ของฟังก์ชันแฮชรหัสผ่านในขณะที่ "ซ่อน" กลไกการป้องกันในระดับที่เหมาะสมหรืออย่างน้อยก็ละทิ้ง การเปรียบเทียบโดยตรง- ในกรณีนี้ ขอแนะนำให้เลือกฟังก์ชันแฮชที่สร้างรหัสผ่านจำนวนมากที่ตรงกับมาตรฐานแฮชโดยเฉพาะ ด้วยการดำเนินการนี้ กลไกการป้องกันผู้โจมตีจะต้องโจมตีสองพารามิเตอร์

* การป้องกันจะทำงานได้อย่างมีประสิทธิภาพยิ่งขึ้นหากรหัสผ่าน (และ ฟังก์ชั่นที่ดีขึ้นรหัสผ่าน) ทำหน้าที่เป็นคีย์เข้ารหัสสำหรับบางส่วนของโค้ดโปรแกรม ในกรณีนี้ แครกเกอร์หลังจากลองใช้รหัสผ่านที่เป็นไปได้ทั้งหมด (โดยให้ผลการแฮชที่กำหนด) จะต้องถอดรหัสรหัส

โปรดทราบว่าในการป้องกันเวอร์ชันนี้ นั่นคือเมื่อตรวจสอบพารามิเตอร์หลายตัวพร้อมกัน ฟังก์ชันแฮชที่ให้ผลลัพธ์ที่ต้องการ ปริมาณมากรหัสผ่านทำให้การถอดรหัสยากขึ้นมาก

___________________________________________________________

รายละเอียดเพิ่มเติม

1. ตัวอย่างการโจมตีกลไกความปลอดภัย - Chris Kaspersky "เทคนิคและปรัชญาของการโจมตีของแฮ็กเกอร์"

2. การสร้างลำดับตัวเลขสุ่มหลอก - Yu.S. คาริน, V.I. เบอร์นิก, G.V. Matveev “รากฐานทางคณิตศาสตร์ของการเข้ารหัส”, หน้า 153-188; V. Zhelnikov “การเข้ารหัสจากกระดาษปาปิรัสสู่คอมพิวเตอร์”, หน้า 181-207

พื้นฐานของระบบการป้องกันใด ๆ ระบบสารสนเทศคือการระบุและการรับรองความถูกต้อง เนื่องจากกลไกความปลอดภัยของข้อมูลทั้งหมดได้รับการออกแบบให้ทำงานกับหัวเรื่องและวัตถุที่มีชื่อของ AS ให้เราระลึกว่าหัวข้อ AS สามารถเป็นได้ทั้งผู้ใช้และกระบวนการ และวัตถุ AS อาจเป็นข้อมูลและอื่นๆ แหล่งข้อมูลระบบ

การกำหนดตัวระบุส่วนบุคคลให้กับหัวเรื่องและออบเจ็กต์การเข้าถึง และการเปรียบเทียบกับรายการที่กำหนดเรียกว่าการระบุตัวตน การระบุช่วยให้มั่นใจได้ว่าฟังก์ชันต่อไปนี้:

การสร้างความถูกต้องและการกำหนดอำนาจของเรื่องเมื่อเข้าสู่ระบบ

การควบคุมอำนาจที่จัดตั้งขึ้นในระหว่างช่วงการทำงาน

การลงทะเบียนการกระทำ ฯลฯ

การรับรองความถูกต้อง (การรับรองความถูกต้อง) คือการตรวจสอบความเป็นเจ้าของของตัวระบุที่เข้าถึงโดยเขาและการยืนยันความถูกต้อง กล่าวอีกนัยหนึ่ง การรับรองความถูกต้องเป็นเรื่องเกี่ยวกับการตรวจสอบว่าเอนทิตีที่เชื่อมต่อคือบุคคลที่เขาอ้างว่าเป็นหรือไม่

ขั้นตอนทั่วไปในการระบุและรับรองความถูกต้องของผู้ใช้เมื่อเข้าถึง AS แสดงไว้ในรูปที่ 1 2.10. หากความถูกต้องของเรื่องถูกสร้างขึ้นในระหว่างกระบวนการตรวจสอบสิทธิ์ ระบบความปลอดภัยของข้อมูลจะต้องกำหนดอำนาจของเขา (ชุดสิทธิ์) นี่เป็นสิ่งจำเป็นสำหรับการควบคุมและการสร้างความแตกต่างในการเข้าถึงทรัพยากรในภายหลัง

ขึ้นอยู่กับองค์ประกอบที่ได้รับการควบคุมของระบบ วิธีการตรวจสอบความถูกต้องสามารถแบ่งออกเป็นการตรวจสอบความถูกต้องของพันธมิตรการสื่อสารและการตรวจสอบความถูกต้องของแหล่งข้อมูล การรับรองความถูกต้องของพันธมิตรการสื่อสารจะใช้เมื่อสร้าง (และตรวจสอบเป็นระยะ) การเชื่อมต่อระหว่างเซสชัน ทำหน้าที่ป้องกันภัยคุกคาม เช่น การปลอมตัวและการเล่นซ้ำของเซสชันการสื่อสารก่อนหน้า การตรวจสอบแหล่งข้อมูลคือการยืนยันความถูกต้องของแหล่งที่มาของข้อมูลชิ้นเดียว

ในแง่ของทิศทาง การรับรองความถูกต้องอาจเป็นแบบทางเดียว (ผู้ใช้พิสูจน์ความถูกต้องของเขากับระบบ เช่น เมื่อเข้าสู่ระบบ) และแบบสองทาง (ร่วมกัน)

ข้าว. 2.10. ขั้นตอนการระบุตัวตนและการรับรองความถูกต้องแบบคลาสสิก

โดยทั่วไป วิธีการรับรองความถูกต้องจะถูกจัดประเภทตามวิธีการที่ใช้ ในกรณีนี้ วิธีการเหล่านี้จะแบ่งออกเป็นสี่กลุ่ม:

1. ขึ้นอยู่กับความรู้ของบุคคลที่มีสิทธิ์เข้าถึงทรัพยากรระบบของข้อมูลลับบางอย่าง - รหัสผ่าน

2. ขึ้นอยู่กับการใช้ไอเทมเฉพาะ: โทเค็น บัตรอิเล็กทรอนิกส์ ฯลฯ

3. ขึ้นอยู่กับการวัดพารามิเตอร์ไบโอเมตริกซ์ของมนุษย์ - คุณลักษณะทางสรีรวิทยาหรือพฤติกรรมของสิ่งมีชีวิต

4. ขึ้นอยู่กับข้อมูลที่เกี่ยวข้องกับผู้ใช้ เช่น พิกัดของเขา

ลองดูที่กลุ่มเหล่านี้

1. วิธีการตรวจสอบความถูกต้องที่ง่ายและคุ้นเคยที่พบบ่อยที่สุดคือวิธีการที่ใช้รหัสผ่าน - ตัวระบุความลับของวิชา ที่นี่ เมื่อหัวเรื่องป้อนรหัสผ่าน ระบบย่อยการตรวจสอบความถูกต้องจะเปรียบเทียบกับรหัสผ่านที่จัดเก็บไว้ในรูปแบบที่เข้ารหัสในฐานข้อมูลอ้างอิง หากรหัสผ่านตรงกัน ระบบย่อยการตรวจสอบสิทธิ์จะอนุญาตให้เข้าถึงทรัพยากร AS ได้

วิธีการใช้รหัสผ่านควรจำแนกตามระดับของรหัสผ่านที่สามารถเปลี่ยนได้:

วิธีการที่ใช้รหัสผ่านถาวร (ใช้ซ้ำได้)

วิธีการใช้รหัสผ่านแบบครั้งเดียว (การเปลี่ยนแปลงแบบไดนามิก)

ผู้บรรยายส่วนใหญ่ใช้รหัสผ่านที่ใช้ซ้ำได้ ในกรณีนี้ รหัสผ่านของผู้ใช้จะไม่เปลี่ยนจากเซสชันหนึ่งไปอีกเซสชันหนึ่งในช่วงระยะเวลาที่ผู้ดูแลระบบกำหนด สิ่งนี้ทำให้ขั้นตอนการดูแลระบบง่ายขึ้น แต่เพิ่มความเสี่ยงของการบุกรุกรหัสผ่าน มีหลายวิธีในการทำลายรหัสผ่าน ตั้งแต่การแอบดูไหล่ไปจนถึงการสกัดกั้นเซสชันการสื่อสาร โอกาสที่ผู้โจมตีจะเปิดรหัสผ่านจะเพิ่มขึ้นหากรหัสผ่านมีความหมายเชิงความหมาย (ปีเกิด ชื่อเด็กหญิง) มีความยาวไม่มาก พิมพ์ลงในทะเบียนเดียว ไม่มีข้อจำกัดในเรื่องระยะเวลาการดำรงอยู่ ฯลฯ เป็นสิ่งสำคัญ อนุญาตให้ป้อนรหัสผ่านเฉพาะในโหมดโต้ตอบหรือสามารถเข้าถึงได้จากโปรแกรมหรือไม่

ในกรณีหลังนี้เป็นไปได้ที่จะเรียกใช้โปรแกรมเดารหัสผ่าน - "คั้น"

วิธีที่ปลอดภัยกว่าคือการใช้รหัสผ่านแบบครั้งเดียวหรือแบบไดนามิก

ทราบวิธีการป้องกันด้วยรหัสผ่านที่ใช้รหัสผ่านแบบใช้ครั้งเดียวต่อไปนี้:

วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย

วิธีการตอบกลับคำขอ

วิธีการทำงาน

ในกรณีแรก ผู้ใช้จะได้รับรายการรหัสผ่าน ในระหว่างการตรวจสอบสิทธิ์ ระบบจะขอรหัสผ่านจากผู้ใช้ หมายเลขในรายการจะถูกกำหนดโดยกฎหมายแบบสุ่ม ความยาวและ หมายเลขซีเรียลอักขระเริ่มต้นของรหัสผ่านสามารถตั้งค่าแบบสุ่มได้

เมื่อใช้วิธีการตอบสนองต่อความท้าทาย ระบบจะถามคำถามทั่วไปบางข้อแก่ผู้ใช้ ซึ่งเป็นคำตอบที่ถูกต้องซึ่งมีเพียงผู้ใช้ที่ระบุเท่านั้นที่ทราบ

วิธีการทำงานจะขึ้นอยู่กับการใช้งาน ฟังก์ชั่นพิเศษการแปลงรหัสผ่าน ทำให้สามารถเปลี่ยนรหัสผ่านผู้ใช้ได้ (ตามสูตรบางอย่าง) เมื่อเวลาผ่านไป ฟังก์ชั่นที่ระบุต้องเป็นไปตามข้อกำหนดต่อไปนี้:

สำหรับรหัสผ่านที่กำหนด x นั้นง่ายต่อการคำนวณ รหัสผ่านใหม่ ;

เมื่อรู้ x และ y เป็นเรื่องยากหรือเป็นไปไม่ได้ที่จะระบุฟังก์ชัน

ตัวอย่างที่มีชื่อเสียงที่สุดของวิธีการทำงาน ได้แก่ วิธีการเปลี่ยนแปลงฟังก์ชันและวิธีการจับมือ

แนวคิดของวิธีการเปลี่ยนแปลงเชิงฟังก์ชันคือ การเปลี่ยนแปลงเป็นระยะฟังก์ชั่นนั้นเอง อย่างหลังเกิดขึ้นได้จากการปรากฏตัวในนิพจน์การทำงานของพารามิเตอร์ที่เปลี่ยนแปลงแบบไดนามิก เช่น ฟังก์ชันของวันที่และเวลาที่แน่นอน ผู้ใช้จะได้รับแจ้งรหัสผ่านเริ่มต้น การทำงานจริง และความถี่ในการเปลี่ยนรหัสผ่าน จะเห็นได้ง่ายว่ารหัสผ่านของผู้ใช้ในช่วงเวลาที่กำหนดจะเป็นดังนี้: x, f(x), f(f(x)), ..., f(x)n-1

วิธีการจับมือมีดังนี้ ฟังก์ชันการแปลงรหัสผ่านเป็นที่รู้จักเฉพาะกับผู้ใช้และระบบรักษาความปลอดภัยเท่านั้น เมื่อเข้าสู่ AS ระบบย่อยการรับรองความถูกต้องจะสร้างลำดับสุ่ม x ซึ่งถูกส่งไปยังผู้ใช้ ผู้ใช้คำนวณผลลัพธ์ของฟังก์ชัน y=f(x) และส่งกลับไปยังระบบ ระบบจะเปรียบเทียบผลลัพธ์ที่คำนวณได้เองกับผลลัพธ์ที่ได้รับจากผู้ใช้ หากผลลัพธ์ที่ระบุตรงกัน ความถูกต้องของผู้ใช้จะถือว่าได้รับการพิสูจน์แล้ว

ข้อดีของวิธีนี้ก็คือการส่งข้อมูลใดๆ ที่ผู้โจมตีสามารถใช้ได้จะลดลง

ในบางกรณี ผู้ใช้อาจจำเป็นต้องตรวจสอบความถูกต้องของผู้ใช้ระยะไกลรายอื่นหรือ AS บางอย่างที่เขากำลังจะเข้าถึง วิธีที่เหมาะสมที่สุดคือวิธี "จับมือ" เนื่องจากไม่มีผู้เข้าร่วมคนใดเลย การแลกเปลี่ยนข้อมูลจะไม่ได้รับข้อมูลที่เป็นความลับใดๆ

โปรดทราบว่าวิธีการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านแบบครั้งเดียวนั้นไม่ได้ให้การป้องกันที่สมบูรณ์เช่นกัน ตัวอย่างเช่น หากผู้โจมตีมีความสามารถในการเชื่อมต่อกับเครือข่ายและสกัดกั้นแพ็กเก็ตที่ส่ง เขาก็สามารถส่งอันหลังเป็นของตนเองได้

2. เมื่อเร็ว ๆ นี้วิธีการระบุตัวตนแบบผสมผสานได้กลายเป็นที่แพร่หลายโดยกำหนดให้นอกเหนือจากการรู้รหัสผ่านแล้ว การมีอยู่ของการ์ด (โทเค็น) - อุปกรณ์พิเศษที่ยืนยันความถูกต้องของเรื่อง

การ์ดแบ่งออกเป็นสองประเภท:

พาสซีฟ (การ์ดหน่วยความจำ);

ใช้งานอยู่ (สมาร์ทการ์ด)

ที่พบมากที่สุดคือการ์ดแบบพาสซีฟที่มีแถบแม่เหล็กซึ่งอ่านโดยอุปกรณ์พิเศษที่มีแป้นพิมพ์และโปรเซสเซอร์ เมื่อใช้บัตรที่ระบุ ผู้ใช้จะต้องป้อนหมายเลขประจำตัวของตน ถ้ามันตรงกัน รุ่นอิเล็กทรอนิกส์ที่ถูกเข้ารหัสในการ์ด ผู้ใช้จะสามารถเข้าถึงระบบได้ สิ่งนี้ช่วยให้คุณระบุบุคคลที่สามารถเข้าถึงระบบได้อย่างน่าเชื่อถือ และป้องกันการใช้การ์ดโดยไม่ได้รับอนุญาตโดยผู้โจมตี (เช่น หากการ์ดสูญหาย) วิธีการนี้มักเรียกว่าการรับรองความถูกต้องด้วยสองปัจจัย

บางครั้ง (โดยปกติสำหรับการควบคุมการเข้าถึงทางกายภาพ) การ์ดจะถูกใช้ด้วยตัวเอง โดยไม่ต้องใช้หมายเลขประจำตัวส่วนบุคคล

ข้อดีของการใช้การ์ดคือเครื่องอ่านจะประมวลผลข้อมูลการตรวจสอบสิทธิ์ โดยไม่ถ่ายโอนไปยังหน่วยความจำคอมพิวเตอร์ ซึ่งจะช่วยลดความเป็นไปได้ของการสกัดกั้นทางอิเล็กทรอนิกส์ผ่านช่องทางการสื่อสาร

ข้อเสียของการ์ดแบบพาสซีฟมีดังต่อไปนี้: มีราคาแพงกว่ารหัสผ่านอย่างมากตามที่ต้องการ อุปกรณ์พิเศษการอ่าน การใช้งานหมายถึงขั้นตอนพิเศษสำหรับการบัญชีและการจัดจำหน่ายที่ปลอดภัย พวกเขายังต้องได้รับการปกป้องจากผู้บุกรุก และแน่นอนว่าต้องไม่ทิ้งไว้ในอุปกรณ์อ่าน มีหลายกรณีของการปลอมแปลงบัตรพาสซีฟ

นอกจากหน่วยความจำแล้ว สมาร์ทการ์ดยังมีไมโครโปรเซสเซอร์ของตัวเองอีกด้วย สิ่งนี้ทำให้คุณสามารถนำไปใช้ได้ ตัวเลือกต่างๆวิธีการป้องกันด้วยรหัสผ่าน: รหัสผ่านที่ใช้ซ้ำได้, การเปลี่ยนรหัสผ่านแบบไดนามิก, วิธีการตอบสนองต่อคำถามปกติ การ์ดทั้งหมดมีการตรวจสอบสิทธิ์แบบสององค์ประกอบ

ข้อดีของสมาร์ทการ์ดเหล่านี้ เราควรเพิ่มความคล่องตัว สามารถใช้เพื่อวัตถุประสงค์ด้านความปลอดภัยเท่านั้น แต่ยังสามารถใช้เพื่อธุรกรรมทางการเงินได้อีกด้วย ข้อเสียร่วมกันของการ์ดคือราคาสูง

ทิศทางที่มีแนวโน้มในการพัฒนาการ์ดคือการติดตั้งมาตรฐานการขยายระบบแบบพกพา PCMCIA (PC Card) การ์ดดังกล่าวเป็นอุปกรณ์การ์ดพีซีแบบพกพาที่เสียบเข้าไปในช่องเสียบการ์ดพีซีและไม่ต้องใช้ตัวอ่านพิเศษ ปัจจุบันมีราคาค่อนข้างแพง

3. วิธีการรับรองความถูกต้องตามการวัดพารามิเตอร์ไบโอเมตริกซ์ของมนุษย์ (ดูตาราง 2.6) ให้การระบุตัวตนได้เกือบ 100% แก้ปัญหาการสูญหายของรหัสผ่านและตัวระบุส่วนบุคคล อย่างไรก็ตาม วิธีการดังกล่าวไม่สามารถใช้ระบุกระบวนการหรือข้อมูล (วัตถุข้อมูล) ได้ เนื่องจากเพิ่งเริ่มพัฒนา (มีปัญหาด้านมาตรฐานและการกระจาย) และยังต้องใช้อุปกรณ์ที่ซับซ้อนและมีราคาแพง สิ่งนี้จะกำหนดการใช้งานในโอกาสพิเศษเท่านั้น เว็บไซต์ที่สำคัญและระบบต่างๆ

ตัวอย่างของการนำวิธีการเหล่านี้ไปใช้ ได้แก่ ระบบระบุตัวตนผู้ใช้ตามรูปแบบของม่านตา รอยฝ่ามือ รูปร่างหู รูปแบบอินฟราเรดของหลอดเลือดฝอย ลายมือ กลิ่น เสียงต่ำ และแม้แต่ DNA

ตารางที่ 2.6

ตัวอย่างวิธีการไบโอเมตริกซ์

วิธีการทางสรีรวิทยา

วิธีการประพฤติตน

ลายนิ้วมือ

การสแกนม่านตา

การสแกนจอประสาทตา

เรขาคณิตของมือ

การจดจำคุณลักษณะใบหน้า

การวิเคราะห์ลายมือของแป้นพิมพ์

ทิศทางใหม่คือการใช้คุณลักษณะไบโอเมตริกซ์ในบัตรชำระเงินอัจฉริยะ โทเค็นผ่าน และองค์ประกอบการสื่อสารเคลื่อนที่ ตัวอย่างเช่น เมื่อชำระเงินในร้านค้า ผู้ถือบัตรจะวางนิ้วบนเครื่องสแกนเพื่อยืนยันว่าบัตรนั้นเป็นของเขาจริงๆ

เรามาตั้งชื่อคุณลักษณะไบโอเมตริกซ์ที่ใช้มากที่สุดและระบบที่เกี่ยวข้องกัน

· ลายนิ้วมือ เครื่องสแกนดังกล่าวมี ขนาดเล็ก, สากล, ราคาไม่แพงนัก การทำซ้ำทางชีวภาพของลายนิ้วมือคือ 10-5% ขณะนี้กำลังได้รับการส่งเสริม หน่วยงานบังคับใช้กฎหมายเนื่องจากการจัดสรรจำนวนมากใน หอจดหมายเหตุอิเล็กทรอนิกส์ลายนิ้วมือ

· เรขาคณิตของมือมีการใช้อุปกรณ์ที่เหมาะสมเมื่อเครื่องสแกนนิ้วใช้งานยากเนื่องจากสิ่งสกปรกหรือการบาดเจ็บ ความสามารถในการทำซ้ำทางชีวภาพของรูปทรงของมือคือประมาณ 2%

· ไอริส.อุปกรณ์เหล่านี้ก็มี ความแม่นยำสูงสุด- ความน่าจะเป็นทางทฤษฎีของการจับคู่ไอริส 2 อันคือ 1 ใน 1,078

· ภาพใบหน้าความร้อน- ระบบทำให้สามารถระบุตัวบุคคลได้ในระยะไกลสูงสุดหลายสิบเมตร เมื่อใช้ร่วมกับการค้นหาฐานข้อมูล ระบบดังกล่าวจะถูกใช้เพื่อระบุพนักงานที่ได้รับอนุญาตและคัดกรองบุคคลที่ไม่ได้รับอนุญาต อย่างไรก็ตาม เครื่องสแกนใบหน้ามีอัตราข้อผิดพลาดค่อนข้างสูงเมื่อแสงเปลี่ยนแปลง

· เสียงการตรวจสอบด้วยเสียงนั้นสะดวกสำหรับการใช้งานในแอปพลิเคชั่นโทรคมนาคม จำเป็นสำหรับ 16 บิตนี้ การ์ดเสียงและ ไมโครโฟนคอนเดนเซอร์ค่าใช้จ่ายน้อยกว่า $25 ความน่าจะเป็นของข้อผิดพลาดคือ 2 – 5% เทคโนโลยีนี้เหมาะสำหรับการตรวจสอบด้วยเสียงผ่านช่องทางสื่อสารทางโทรศัพท์ มีความน่าเชื่อถือมากกว่าเมื่อเปรียบเทียบกับการโทรออกด้วยความถี่ หมายเลขส่วนตัว- ปัจจุบันมีการพัฒนาแนวทางในการระบุตัวบุคคลและสภาพของเขาด้วยเสียง - ตื่นเต้น, ป่วย, พูดจริง, ไม่ใช่ในตัวเอง ฯลฯ

· อินพุตคีย์บอร์ดตัวอย่างเช่นเมื่อป้อนรหัสผ่าน จะมีการตรวจสอบความเร็วและช่วงเวลาระหว่างการกดแป้นพิมพ์

· ลายเซ็น.ดิจิไทเซอร์ใช้เพื่อควบคุมลายเซ็นที่เขียนด้วยลายมือ

4. แนวทางใหม่ล่าสุดในการรับรองความถูกต้องคือการพิสูจน์ความถูกต้องของผู้ใช้ระยะไกลตามตำแหน่งของเขา กลไกการป้องกันนี้มีพื้นฐานมาจากการใช้ระบบนำทางในอวกาศ เช่น GPS (Global Positioning System) ผู้ใช้ที่มีอุปกรณ์ GPS จะส่งพิกัดของดาวเทียมที่ระบุซึ่งอยู่ในแนวสายตาซ้ำแล้วซ้ำอีก ระบบย่อยการตรวจสอบความถูกต้องซึ่งทราบวงโคจรของดาวเทียมสามารถระบุตำแหน่งของผู้ใช้ได้อย่างแม่นยำถึงหนึ่งเมตร ความน่าเชื่อถือในระดับสูงของการตรวจสอบความถูกต้องนั้นพิจารณาจากข้อเท็จจริงที่ว่าวงโคจรของดาวเทียมอาจมีความผันผวน ซึ่งค่อนข้างยากต่อการคาดเดา นอกจากนี้พิกัดยังเปลี่ยนแปลงอยู่ตลอดเวลาซึ่งทำให้ไม่สามารถสกัดกั้นได้

อุปกรณ์ GPS นั้นใช้งานง่ายและเชื่อถือได้และมีราคาไม่แพงนัก ซึ่งอนุญาตให้นำไปใช้ในกรณีที่ได้รับอนุญาต ผู้ใช้ระยะไกลต้องอยู่ในสถานที่ที่ถูกต้อง

โดยสรุปความสามารถของเครื่องมือตรวจสอบความถูกต้องสามารถจำแนกตามระดับได้ ความปลอดภัยของข้อมูลออกเป็นสามประเภท:

1. การรับรองความถูกต้องแบบคงที่

2. การรับรองความถูกต้องที่รัดกุม;

3. การรับรองความถูกต้องอย่างต่อเนื่อง

หมวดหมู่แรกให้การป้องกันเฉพาะการเข้าถึงโดยไม่ได้รับอนุญาตในระบบที่ผู้โจมตีไม่สามารถอ่านข้อมูลการรับรองความถูกต้องในระหว่างเซสชันการทำงาน ตัวอย่างของเครื่องมือการตรวจสอบความถูกต้องแบบคงที่เป็นแบบเดิม รหัสผ่านถาวร- ประสิทธิภาพส่วนใหญ่ขึ้นอยู่กับความยากในการเดารหัสผ่านและในความเป็นจริงแล้ว ขึ้นอยู่กับว่ารหัสผ่านได้รับการปกป้องได้ดีเพียงใด

หากต้องการประนีประนอมการรับรองความถูกต้องแบบคงที่ ผู้โจมตีสามารถสอดแนม คาดเดา เดา หรือสกัดกั้นข้อมูลการตรวจสอบความถูกต้อง ฯลฯ

การรับรองความถูกต้องที่รัดกุมจะใช้ข้อมูลการตรวจสอบความถูกต้องแบบไดนามิกที่เปลี่ยนแปลงไปตามแต่ละเซสชัน การใช้งานการรับรองความถูกต้องที่รัดกุมคือระบบที่ใช้ รหัสผ่านแบบครั้งเดียวและ ลายเซ็นอิเล็กทรอนิกส์- การรับรองความถูกต้องที่รัดกุมช่วยป้องกันการโจมตีโดยที่ผู้โจมตีสามารถสกัดกั้นข้อมูลการรับรองความถูกต้องและพยายามใช้ในเซสชันในอนาคต

อย่างไรก็ตาม การตรวจสอบสิทธิ์ที่รัดกุมไม่ได้ให้การป้องกันการโจมตีที่ทำงานอยู่ ซึ่งในระหว่างนั้นผู้โจมตีที่ปลอมตัวสามารถดักจับ แก้ไข และแทรกข้อมูลลงในสตรีมข้อมูลที่ส่งได้อย่างรวดเร็ว (ในระหว่างเซสชันการตรวจสอบสิทธิ์)

การตรวจสอบสิทธิ์แบบถาวรช่วยให้แน่ใจว่าแต่ละบล็อกของข้อมูลที่ส่งได้รับการระบุ ป้องกันการแก้ไขหรือการแทรกโดยไม่ได้รับอนุญาต ตัวอย่างของการใช้การรับรองความถูกต้องประเภทนี้คือการใช้อัลกอริธึมในการสร้างลายเซ็นอิเล็กทรอนิกส์สำหรับข้อมูลที่ส่งแต่ละบิต



บทความที่เกี่ยวข้อง