การป้องกันด้วยรหัสผ่าน
บทบาท การป้องกันด้วยรหัสผ่านเพื่อรับประกันความปลอดภัยของเอไอเอส. วิธีการเข้ารหัสโดยเฉพาะอย่างยิ่งการเข้ารหัส ให้การปกป้องข้อมูลที่ดี (การรักษาความลับ ความสมบูรณ์ ความถูกต้อง ฯลฯ) จากผู้บุกรุกภายนอก ผู้บุกรุกดังกล่าวอาจสกัดกั้นข้อความที่ส่งผ่านช่องทางการสื่อสาร และในบางกรณี สามารถแก้ไขข้อความเหล่านั้นและแม้แต่แทรกข้อความของเขาเองลงในเซสชันการสื่อสาร (ซึ่งมักจะพยายามส่งต่อเป็นข้อความจากแหล่งอื่น) อย่างไรก็ตาม ข้อมูลในช่องทางการสื่อสารจะถูกแปลงเป็นการเข้ารหัสลับก่อนแล้วจึงถ่ายโอนตาม โปรโตคอลการเข้ารหัสออกแบบมาโดยเฉพาะเพื่อป้องกันไม่ให้ผู้โจมตีใช้ภัยคุกคามด้านความปลอดภัย เพื่อที่จะละเมิดการรักษาความปลอดภัยของข้อมูลที่หมุนเวียนอยู่ในระบบ เขาจำเป็นต้องค้นหาช่องโหว่ในระบบรักษาความปลอดภัยหรือในอัลกอริธึมการเข้ารหัสที่ใช้ในระบบ ปัญหาที่คล้ายกันเกิดขึ้นสำหรับผู้บุกรุกที่สามารถเข้าถึง AIS ที่ได้รับการคุ้มครองในฐานะผู้ใช้ที่ไม่มีสิทธิ์ที่จำเป็นในการเข้าถึงข้อมูลที่เขาสนใจ
อย่างไรก็ตาม สถานการณ์จะเปลี่ยนไปหากผู้โจมตีสามารถเข้าถึงระบบในนามของผู้ใช้ที่ได้รับอนุญาตให้ดำเนินการกับข้อมูลที่เขาสนใจ (เช่น การคัดลอกไฟล์ที่เป็นความลับ การทำลายข้อมูลสำคัญ เป็นต้น) ในกรณีนี้ การป้องกันการเข้ารหัสทั้งหมดไม่มีประโยชน์ ดังนั้นจุดที่เปราะบางที่สุดของระบบข้อมูลอัตโนมัติคือจุดเชื่อมต่อ จุดเชื่อมต่อเหล่านี้ได้รับการป้องกันโดยโปรโตคอลการตรวจสอบความถูกต้อง (การตรวจสอบผู้ใช้) และรูปแบบการรับรองความถูกต้องที่ใช้งานง่ายและใช้มากที่สุดก็คือ การป้องกันด้วยรหัสผ่าน.
มีเทคนิคมาตรฐานจำนวนหนึ่งที่ผู้โจมตีใช้เพื่อหลีกเลี่ยงการป้องกันด้วยรหัสผ่าน สำหรับแต่ละเทคนิคเหล่านี้ ได้มีการพัฒนามาตรการรับมือ
เทคนิคในการเลี่ยงการป้องกันด้วยรหัสผ่านและวิธีการตอบโต้
1. การค้นหาอย่างละเอียดถี่ถ้วน (method กำลังดุร้าย, บรูตฟอร์ซ)
การโจมตีรหัสผ่านที่ง่ายที่สุด (จากมุมมองทางเทคนิค) คือการลองใช้อักขระที่ถูกต้องทั้งหมดผสมกัน (เริ่มจากรหัสผ่านอักขระตัวเดียว) พลังการประมวลผลสมัยใหม่ทำให้สามารถลองใช้รหัสผ่านทั้งหมดที่มีความยาวไม่เกินห้าหรือหกอักขระได้ในเวลาไม่กี่วินาที
บางระบบไม่อนุญาตให้ใช้การโจมตีแบบ brute-force เนื่องจากระบบตอบสนองต่อการพยายามใช้รหัสผ่านไม่ถูกต้องหลายครั้งติดต่อกัน
อย่างไรก็ตาม มีหลายระบบที่ช่วยให้ค้นหาได้ไม่รู้จบ ตัวอย่างเช่น ไปยังไฟล์ที่มีการป้องกันด้วยรหัสผ่าน ( ไฟล์เก็บถาวร rarหรือเอกสารซิป ไมโครซอฟต์ ออฟฟิศฯลฯ ) คุณสามารถลองได้ รหัสผ่านที่แตกต่างกันไม่มีที่สิ้นสุด มีหลายโปรแกรมที่อนุญาตให้คุณทำให้ขั้นตอนนี้เป็นแบบอัตโนมัติ: Advanced RAR การกู้คืนรหัสผ่าน, การกู้คืนรหัสผ่าน PDF ขั้นสูง, การกู้คืนรหัสผ่าน Office XP ขั้นสูง นอกจากนี้ หลายโปรแกรมยังเก็บแฮชรหัสผ่านไว้ด้วย ไฟล์ที่มีอยู่- ตัวอย่างเช่น นี่คือวิธีที่โปรแกรมรับส่งเมล (ทำงานบนคอมพิวเตอร์สาธารณะ) สามารถจัดเก็บรหัสผ่านของผู้ใช้ มีหลายวิธีในการขโมยไฟล์ที่มีแฮชของรหัสผ่านการเข้าถึง ระบบปฏิบัติการ- หลังจากนั้นคุณสามารถเลือกรหัสผ่านที่ข้ามระบบได้โดยใช้โปรแกรมพิเศษ
ลักษณะสำคัญสิ่งที่ทำให้รหัสผ่านยากต่อการบังคับเดรัจฉานคือความยาวของรหัสผ่าน รหัสผ่านสมัยใหม่ต้องมีความยาวอย่างน้อย 12 ตัวอักษร
อักขระพิเศษสองตัวในรหัสผ่านจะเพิ่มเวลาในการค้นหา 40,000 ครั้ง และอักขระสี่ตัว - 1,600,000,000 ครั้ง อย่างไรก็ตาม พลังการประมวลผลของคอมพิวเตอร์มีการเติบโตอย่างต่อเนื่อง (ไม่กี่ปีที่ผ่านมา รหัสผ่านที่มีความยาว 8 อักขระถือว่าปลอดภัย)
2. สังหารมากเกินไปในขอบเขตที่จำกัด
เป็นที่ทราบกันดีว่าผู้ใช้จำนวนมากเมื่อเขียนรหัสผ่านให้ใช้อักขระที่พบใน บางช่วง- เช่น รหัสผ่านที่ประกอบด้วยตัวอักษรรัสเซียเท่านั้นหรือเท่านั้น ตัวอักษรละตินหรือเพียงแค่ตัวเลข รหัสผ่านดังกล่าวจำง่ายกว่ามาก แต่งานของศัตรูในการค้นหานั้นง่ายขึ้นอย่างไม่น่าเชื่อ
ให้ n = 70 เป็นจำนวนอักขระที่ใช้สร้างรหัสผ่านได้ โดย 10 ตัวเป็นตัวเลข 30 ตัวเป็นตัวอักษรของภาษาหนึ่ง และ 30 ตัวเป็นตัวอักษรของอีกภาษาหนึ่ง ให้เราสร้างรหัสผ่านที่มีความยาว m = 4 ตัวอักษร
หากรหัสผ่านถูกสร้างขึ้นแบบสุ่มโดยสมบูรณ์ จำนวนชุดค่าผสมที่เป็นไปได้ (ซึ่งจำเป็นต้องลอง) คือ 704 = 24010000 อย่างไรก็ตาม ศัตรูสามารถสันนิษฐานได้ว่ารหัสผ่านประกอบด้วยอักขระจากช่วงเดียวกัน (แม้ว่าจะไม่ทราบก็ตาม อันไหน) มีทั้งหมด 104 + 304 + 304 = 10,000 + 810000 + 810000 = 163000 ถ้าเขาพูดถูก จำนวนชุดค่าผสม (รวมถึงเวลาที่ต้องใช้ในการค้นหา) จะลดลง 147 เท่า จำนวนนี้จะเพิ่มขึ้นอย่างมากเมื่อความยาวของรหัสผ่านและจำนวนช่วงอักขระที่สามารถเขียนได้เพิ่มขึ้น
ด้วยเหตุนี้ รหัสผ่านที่รัดกุมจะต้องมีอักขระจาก ช่วงต่างๆ - ขอแนะนำให้ใช้ภาษารัสเซียและภาษาอังกฤษ เมืองหลวง และ ตัวอักษรตัวพิมพ์เล็ก, ตัวเลข รวมถึงสัญลักษณ์อื่นๆ (เครื่องหมายวรรคตอน ขีดล่าง ฯลฯ)
3. การโจมตีพจนานุกรม
บ่อยครั้งที่มีการเลือกคำเป็นรหัสผ่าน โปรแกรมค้นหารหัสผ่านอัตโนมัติจะตรวจสอบคำที่มีอยู่ ไฟล์ที่ระบุพร้อมพจนานุกรม (มีพจนานุกรมประเภทนี้อยู่จำนวนมาก ภาษาที่แตกต่างกัน- โปรแกรมดังกล่าวตรวจสอบพจนานุกรมสองแสนคำภายในไม่กี่วินาที
ผู้ใช้หลายคนเชื่อว่าหากคุณใช้การแปลงแบบง่ายๆ กับคำที่ต้องการ เช่น เขียนแบบย้อนกลับหรือเขียนด้วยตัวอักษรรัสเซีย เค้าโครงภาษาอังกฤษหรือจงใจทำผิดพลาดก็จะทำให้เกิดความปลอดภัย ในความเป็นจริง เมื่อเปรียบเทียบกับการเดารหัสผ่านแบบสุ่ม การเดารหัสผ่านโดยใช้พจนานุกรมโดยใช้การแปลงรูปแบบต่างๆ (ใช้ตัวพิมพ์ใหญ่ในอักษรตัวแรก ใช้ตัวพิมพ์ใหญ่ทุกตัวอักษร รวมสองคำเข้าด้วยกัน ฯลฯ) ทำให้งานที่เป็นไปไม่ได้เป็นไปได้เลย
รหัสผ่านที่รัดกุมไม่ควรใช้คำในภาษาธรรมชาติ
4. การโจมตีพจนานุกรมส่วนตัว
หากการโจมตีด้วยพจนานุกรมและรหัสผ่านที่บังคับเดรัจฉานที่มีความยาวสั้น ๆ หรือประกอบด้วยอักขระในกลุ่มเดียวกันไม่ช่วยผู้โจมตีสามารถใช้ประโยชน์จากข้อเท็จจริงที่ว่าเพื่อให้จดจำได้ง่ายขึ้น ผู้ใช้จำนวนมากเลือกข้อมูลส่วนบุคคล (หมายเลข โทรศัพท์มือถือ, วันเดือนปีเกิดเขียนย้อนหลัง, ชื่อสุนัข ฯลฯ)
หากเป้าหมายของผู้โจมตีคือการเลี่ยงการป้องกันด้วยรหัสผ่านของผู้ใช้รายนี้ เขาสามารถสร้าง พจนานุกรมส่วนตัวข้อมูลส่วนบุคคลแล้วใช้โปรแกรมเดารหัสผ่านอัตโนมัติที่จะสร้างรหัสผ่านตามพจนานุกรมนี้
รหัสผ่านที่รัดกุมไม่ควรมีความหมายโดยสิ้นเชิง
5. การรวบรวมรหัสผ่านที่เก็บไว้ในที่สาธารณะ
ในหลายองค์กร ผู้ดูแลระบบจะสร้างและแจกจ่ายรหัสผ่านซึ่งใช้กฎข้างต้น ผู้ใช้จะต้องใช้รหัสผ่านที่กำหนดให้กับพวกเขา อย่างไรก็ตาม เนื่องจากรหัสผ่านนี้จำยาก จึงมักถูกเก็บไว้สะดวกในรูปแบบลายลักษณ์อักษร มักมีกรณีที่รหัสผ่านถูกเขียนลงบนกระดาษโน้ตและติดอยู่ที่จอภาพ หรือมีอยู่ในนั้น สมุดบันทึก.
ผู้ใช้มักไม่ให้ความสำคัญกับการรักษาความปลอดภัยของรหัสผ่านบริการของตนอย่างจริงจัง ขณะเดียวกันให้เข้าไปในสถานที่ขององค์กรและดำเนินการ การตรวจสอบด้วยสายตา– เป็นงานที่ค่อนข้างง่ายสำหรับผู้โจมตี
ไม่ควรเก็บรหัสผ่านไว้ในที่สาธารณะ ทางเลือกที่เหมาะสมที่สุดคือจดจำไว้และไม่เก็บไว้ที่ใด หากมีรหัสผ่านอยู่ในสมุดบันทึก ไม่ควรปล่อยทิ้งไว้โดยไม่มีใครดูแล และเมื่อป้อนรหัสผ่าน ไม่ควรมีใครแปลกหน้าที่สามารถมองเข้าไปในหนังสือโดยมองข้ามไหล่ของพวกเขาได้
6. วิศวกรรมสังคม
วิศวกรรมสังคมคือการบงการผู้คนเพื่อเจาะระบบที่ได้รับการคุ้มครองของผู้ใช้หรือองค์กร หากคุณไม่สามารถเดาหรือขโมยรหัสผ่านได้ คุณสามารถลองหลอกให้ผู้ใช้บอกรหัสผ่านเองได้ กลยุทธ์คลาสสิก วิศวกรรมสังคม - โทรศัพท์แก่ผู้เสียหายในนามของบุคคลที่มีสิทธิทราบข้อมูลที่ร้องขอ เช่น ผู้โจมตีอาจแนะนำตัวเอง ผู้ดูแลระบบและขอรหัสผ่าน (หรือข้อมูลอื่น ๆ ) โดยใช้ข้ออ้างที่น่าเชื่อถือ การโน้มน้าวให้ผู้ใช้เปิดลิงก์หรือไฟล์แนบที่ไม่ควรเปิดหรือล่อลวงให้ไปที่ไซต์ปลอมก็ถือเป็นวิธีการทางวิศวกรรมสังคมเช่นกัน
คุณต้องจำกฎ: คุณไม่ควรเปิดเผยรหัสผ่านของคุณกับคนแปลกหน้า แม้ว่าบุคคลเหล่านี้จะมีสิทธิที่จะรู้จักเขาก็ตาม ข้อยกเว้นเพียงอย่างเดียวอาจเป็นได้หากศาลหรือหน่วยงานบังคับใช้กฎหมายกำหนดให้คุณต้องมอบรหัสผ่านภายใต้บทลงโทษของการปฏิเสธที่จะให้การเป็นพยาน แต่แม้ในกรณีนี้ ก็จำเป็นต้องตรวจสอบให้แน่ใจว่าเจ้าหน้าที่บังคับใช้กฎหมายเป็นคนที่พวกเขาพูดอย่างแท้จริง
7. ฟิชชิ่ง
ฟิชชิ่ง – นี่เป็นขั้นตอนในการ "ค้นหา" รหัสผ่าน ผู้ใช้แบบสุ่มอินเทอร์เน็ต. โดยทั่วไปสิ่งนี้เกี่ยวข้องกับการสร้างไซต์ "จำลอง" ที่หลอกให้ผู้ใช้ป้อนรหัสผ่าน
เช่น รับรหัสผ่านสำหรับ บัญชีธนาคารสามารถสร้างเว็บไซต์ได้ด้วยการออกแบบที่เหมือนกับเว็บไซต์ของธนาคารบางแห่ง โดยปกติแล้วที่อยู่ของไซต์นี้จะแตกต่างออกไป แต่ผู้โจมตีมักลงทะเบียน ชื่อโดเมนแตกต่างจากธนาคารทีละตัวอักษร เป็นผลให้ผู้ใช้ที่พิมพ์ผิดจะต้องเข้าสู่ไซต์ปลอมและจะไม่สังเกตเห็นข้อผิดพลาดของเขา เพื่อล่อลวงผู้ใช้ ลูกค้าธนาคารอาจได้รับอีเมลที่มีเนื้อหาเช่น "ตรวจสอบบัญชีของคุณ" หรือ "ตรวจสอบโปรโมชั่นใหม่" และอีเมลมีลิงก์ที่นำไปสู่เว็บไซต์ปลอม
เมื่อลูกค้าธนาคารเข้าสู่เว็บไซต์ของผู้โจมตี พวกเขา (เช่นเดียวกับเว็บไซต์จริง) จะถูกขอให้ป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านเพื่อเข้าถึงบัญชี ข้อมูลนี้จะถูกจัดเก็บไว้ในฐานข้อมูลของผู้โจมตี หลังจากนั้นไคลเอ็นต์จะถูกเปลี่ยนเส้นทางไป หน้าแรกของไซต์นี้ ผู้ใช้เห็นว่าการป้อนรหัสผ่าน “ใช้งานไม่ได้” และคิดว่าเขาทำผิดพลาดหรือไซต์เป็นเพียง “บั๊ก” เขาพยายามป้อนรหัสผ่านอีกครั้ง และคราวนี้ก็เข้าสู่ระบบได้สำเร็จ สิ่งนี้จะขจัดความสงสัยของเขา ในขณะเดียวกันรหัสผ่านก็รั่วไหลไปแล้ว...
ฟิชชิ่งอีกประเภทหนึ่งขึ้นอยู่กับข้อเท็จจริงที่ว่าผู้ใช้จำนวนมากใช้รหัสผ่านเดียวกันสำหรับทรัพยากรที่แตกต่างกัน ผลก็คือ เมื่อโจมตีทรัพยากรที่มีการป้องกันน้อยได้สำเร็จ คุณจะสามารถเข้าถึงทรัพยากรที่มีการป้องกันมากขึ้นได้
ตัวอย่างเช่น มีการสร้างเว็บไซต์ที่อาจน่าสนใจสำหรับผู้ใช้บางกลุ่ม หากเป้าหมายในการโจมตีคือ บุคคลที่เฉพาะเจาะจงจากนั้นจึงศึกษาความสนใจและงานอดิเรกของเขาก่อน ข้อมูลเกี่ยวกับไซต์นี้จะถูกสื่อสารไปยังผู้ที่อาจเป็นเหยื่อ ผู้ใช้ที่เยี่ยมชมไซต์จะถูกขอให้ลงทะเบียนโดยเฉพาะเพื่อสร้างรหัสผ่าน ตอนนี้สิ่งที่เหลืออยู่ก็คือดูว่ารหัสผ่านที่ป้อนนั้นเหมาะสมกับทรัพยากรอื่นของผู้ใช้รายนี้หรือไม่ (ตัวอย่างเช่น อีเมลซึ่งได้ระบุไว้ในขั้นตอนการลงทะเบียน)
เพื่อต่อสู้กับภัยคุกคามจากฟิชชิ่ง คุณควรตรวจสอบที่อยู่เว็บไซต์อย่างรอบคอบก่อนเข้า รหัสผ่านที่สำคัญ- เป็นการดีที่สุดที่จะวางที่อยู่นี้ไว้ในบุ๊กมาร์กของเบราว์เซอร์ของคุณ และใช้บุ๊กมาร์กเหล่านี้โดยเฉพาะ ห้ามคลิกลิงก์จาก อีเมล- คุณควรใช้รหัสผ่านที่แตกต่างกันเพื่อเข้าถึงบริการต่างๆ
การทำตามคำแนะนำทั้ง 7 ข้อข้างต้นนั้นค่อนข้างยาก เป็นการยากที่จะจำรหัสผ่านที่คาดเดายากหลายๆ อัน (ยาวและไม่มีความหมาย) และคุณมีแนวโน้มที่จะลืมรหัสผ่านมากกว่าที่จะถูกแฮ็ก อย่างไรก็ตาม มีเครื่องมือหลายอย่างที่ทำให้งานนี้ง่ายขึ้น โดยเฉพาะโปรแกรมสำหรับจัดเก็บรหัสผ่าน
ในโปรแกรม KeePass แบบพกพารหัสผ่านทั้งหมดจะถูกเก็บไว้ในไฟล์ที่เข้ารหัสเพื่อเข้าถึงซึ่งคุณจะต้องป้อนรหัสผ่าน (รหัสผ่านเดียวที่คุณจะต้องจดจำอย่างแท้จริง) อย่างไรก็ตามโปรแกรมไม่แสดงรหัสผ่านเหล่านี้บนหน้าจอค่ะ อย่างชัดเจน- หากต้องการป้อนรหัสผ่านเพื่อเข้าถึงทรัพยากร (เช่น เว็บไซต์หรืออีเมลเฉพาะ) คุณต้องเลือกทรัพยากรจากรายการและเลือก เมนูบริบททีม คัดลอกรหัสผ่านไปยังคลิปบอร์ด- รหัสผ่านจะถูกวางไว้บนคลิปบอร์ด แม้จะติดตามการกระทำของผู้ใช้อย่างระมัดระวัง ศัตรูจะไม่เห็นรหัสผ่านที่ไม่ได้พิมพ์บนแป้นพิมพ์และไม่ปรากฏบนหน้าจออย่างชัดเจน ถัดไปคุณเพียงแค่ต้องไปที่หน้าต่างโปรแกรมที่ต้องใช้รหัสผ่านแล้ววางจากคลิปบอร์ดลงในช่องป้อนข้อมูล (โดยกด Ctrl + V หรือคำสั่ง แทรกเมนูบริบท) รหัสผ่านจะแสดงเป็นเครื่องหมายดอกจันทันที หลังจากนั้นไม่กี่วินาที มันจะถูกลบออกจากบัฟเฟอร์โดยอัตโนมัติ โปรแกรมยังช่วยให้คุณสร้าง รหัสผ่านแบบสุ่มตามความยาวที่กำหนดและผู้ใช้อาจไม่รู้ด้วยซ้ำว่าโปรแกรมสร้างรหัสผ่านอะไร - สิ่งสำคัญคือต้องระบุรหัสผ่านนี้ทุกครั้งที่ต้องการเข้าสู่ระบบ สุดท้ายนี้ KeePass Portable ไม่จำเป็นต้องติดตั้งบนระบบ: โปรแกรมสามารถถ่ายโอนไปยังแฟลชไดรฟ์และเรียกใช้จากโปรแกรมได้โดยตรง
ไม่มีใครอยากสูญเสียการเข้าถึงบัญชี เครือข่ายทางสังคมหรือ กล่องจดหมายแต่บ่อยครั้งที่สิ่งนี้ยังคงเกิดขึ้น สาเหตุส่วนใหญ่ของปัญหานี้คือรหัสผ่านที่ใช้มีความแข็งแกร่งไม่เพียงพอ เว็บไซต์หลายแห่งไม่อนุญาตให้ใช้รหัสผ่านที่สั้นกว่า 8 ตัวอักษร แต่มาตรการนี้อาจไม่ได้ผลเสมอไป
ตัวเลือกที่ดีที่สุดคือรุ่น รหัสผ่านผู้ใช้ โปรแกรมพิเศษอย่างไรก็ตาม โปรดทราบว่าแม้แต่รหัสผ่านที่ป้องกันการแฮ็กได้มากที่สุดก็อาจถูกขโมยหรือสูญหายได้ การป้องกัน ข้อมูลที่เป็นความลับควรดำเนินการให้ครอบคลุมแต่ต้องเริ่มตั้งแต่การสร้าง รหัสผ่านที่แข็งแกร่ง- มาดูวิธีการหลักที่ผู้โจมตีใช้ในการถอดรหัสรหัสผ่าน:
ทลายคำศัพท์
การใช้มัลแวร์
วิธีการนี้อนุญาตให้ผู้โจมตีขโมยไฟล์รหัสผ่านจากเบราว์เซอร์ หรือเพียงแค่บันทึกและบันทึกลำดับข้อมูลที่ป้อนเมื่อเข้าสู่ระบบ (ใช้เพื่อจุดประสงค์นี้) แล้วส่งไปประมวลผลไปยังที่อยู่ใดก็ได้ เพื่อป้องกันการโจมตีดังกล่าว คุณควรติดตั้งซอฟต์แวร์จากซัพพลายเออร์ที่เชื่อถือได้เท่านั้น และจำกัดการเข้าถึงคอมพิวเตอร์ของคุณจากบุคคลภายนอกให้มากที่สุดเท่าที่จะเป็นไปได้
การขโมยรหัสผ่านโดยตรง
เรียบง่ายแต่น่าทึ่ง วิธีการที่มีประสิทธิภาพ- ไปที่สำนักงาน บริษัทที่มีชื่อเสียงช่างประปา ช่างส่งสัญญาณ หรือช่างไฟฟ้าเข้ามาโดยไม่มีใครสนใจ ในทางตรงกันข้าม เขาบันทึกทุกสิ่งอย่างระมัดระวังซึ่งกล้องหรือสายตาผู้มีประสบการณ์สามารถสังเกตเห็นได้ ในสำนักงานทุกแห่ง คุณจะเห็นสติกเกอร์ที่มีการเข้าสู่ระบบและรหัสผ่านเขียนลายมือบรรจงบนจอภาพ โดยเฉพาะสำหรับผู้หญิงที่น่ารัก... การไม่คำนึงถึงความปลอดภัยดังกล่าวสามารถทำลายบริษัทได้อย่างง่ายดาย คุณสามารถและควรต่อสู้โดยการเสริมสร้างวินัยภายใน
วิธีแมงมุม
แฮกเกอร์มืออาชีพสังเกตมานานแล้วว่าคำและวลีส่วนใหญ่ที่ใช้เป็นรหัสผ่านเกี่ยวข้องกับกิจกรรมหลักของบริษัทหรือบุคคล ผ่านไปแล้ว เวิลด์ไวด์เว็บเว็บไซต์ของคู่แข่งหรือวรรณกรรมเฉพาะทางสามารถลดฐานการค้นหาลงได้อย่างมาก การต่อสู้ไม่มีประโยชน์แต่เป็นการเอาเปรียบ รุ่นอัตโนมัติรหัสผ่าน ผู้ใช้จะลบล้างความพยายามที่จะใช้เทคนิคนี้กับเขา
วิธีการอื่นๆ ทั้งหมดแสดงถึงการแก้ไขวิธีการที่ระบุไว้ จุดประสงค์ของบทความนี้คือความต้องการที่จะเน้นความสนใจของผู้ใช้ไม่เพียงแต่ในการสร้างรหัสผ่านที่ป้องกันการถอดรหัสเท่านั้น แต่ยังรวมถึงความจำเป็นในการจัดเก็บรหัสผ่านอย่างระมัดระวังอีกด้วย
กำลังตรวจสอบความแข็งแกร่งของรหัสผ่าน
ปัญหาความปลอดภัยของรหัสผ่านมีความเกี่ยวข้องกันทั่วโลก ดังนั้นจึงมีเว็บไซต์หลายแห่งที่เสนอการคำนวณเวลาโดยประมาณที่ใช้ในการถอดรหัส เราขอเชิญชวนให้ผู้ใช้ทดลองใช้รหัสผ่านด้วยตนเอง คุณสามารถเรียนรู้ได้มากมายเพื่อทำความเข้าใจวิธีการเพิ่มความต้านทานต่อการแฮ็กโดยการทดสอบรหัสผ่านที่แตกต่างกันเพื่อต้านทานการแฮ็กบนเว็บไซต์ การวิเคราะห์ใช้วิธีการพื้นฐานที่ใช้โดยโปรแกรมแฮ็กอัตโนมัติ
ด้วยความช่วยเหลือ คุณสามารถลดความซับซ้อนของกระบวนการลงทะเบียนและการอนุญาตบนเว็บไซต์ ฟอรัม และเครือข่ายโซเชียลต่างๆ ได้ง่ายขึ้นอย่างมาก เครือข่าย ในการดำเนินการนี้ เมื่อลงทะเบียนบนไซต์ เราจะสร้างโปรไฟล์ คัดลอกฟิลด์ที่จำเป็นจากนั้นไปยังไซต์ ลบฟิลด์ที่ไม่จำเป็นในโปรไฟล์ ดาวน์โหลดและบันทึกโปรไฟล์ที่สร้างขึ้นบนคอมพิวเตอร์ด้วยชื่อของไซต์ที่มันอยู่ ใช้แล้ว. พร้อม.
นอกจากนี้ด้วยความช่วยเหลือที่คุณสามารถทำได้ ภาพที่น่าสนใจไปยังอวตารสำหรับ Instagram, VKontakte และเครือข่ายโซเชียลอื่น ๆ
คั่นหน้า ใช้และแบ่งปันบนโซเชียลเน็ตเวิร์กกับเพื่อน ๆ!
วิธีการตรวจสอบรหัสผ่านแบบไดนามิกมีให้ ความปลอดภัยที่มากขึ้นเนื่องจากความถี่ในการเปลี่ยนรหัสผ่านนั้นสูงสุด - รหัสผ่านสำหรับผู้ใช้แต่ละคนจะเปลี่ยนทุกวันหรือทุก ๆ สองสามวัน ในกรณีนี้ รหัสผ่านที่ตามมาแต่ละรหัสผ่านที่เกี่ยวข้องกับรหัสผ่านก่อนหน้าจะเปลี่ยนตามกฎ ขึ้นอยู่กับวิธีการรับรองความถูกต้องที่ใช้
มี วิธีการดังต่อไปนี้การป้องกันรหัสผ่านตามการใช้รหัสผ่านที่เปลี่ยนแปลงแบบไดนามิก:
วิธีการดัดแปลงวงจร รหัสผ่านง่ายๆ;
วิธีการระบุและรับรองความถูกต้องของวิชาและ วัตถุต่างๆ;
วิธีการตอบกลับคำขอ
วิธีการทำงาน
วิธีการเหล่านี้มีประสิทธิภาพมากที่สุดคือใช้งานได้
วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย ได้แก่ การสุ่มอักขระรหัสผ่านและการใช้รหัสผ่านเพียงครั้งเดียว
เมื่อใช้วิธีการแรก ผู้ใช้แต่ละคนจะได้รับการจัดสรรรหัสผ่านที่ค่อนข้างยาว และในแต่ละครั้งจะไม่ได้ใช้รหัสผ่านทั้งหมดเพื่อระบุตัวตน แต่จะมีเพียงบางส่วนเท่านั้น ในระหว่างกระบวนการตรวจสอบสิทธิ์ ระบบจะถามผู้ใช้ถึงกลุ่มอักขระภายใต้หมายเลขลำดับที่กำหนด จำนวนอักขระและหมายเลขลำดับสำหรับการร้องขอถูกกำหนดโดยใช้เซ็นเซอร์ตัวเลขสุ่มเทียม
เมื่อใช้รหัสผ่านเพียงครั้งเดียว ผู้ใช้แต่ละคนจะได้รับการจัดสรรรายการรหัสผ่าน ในระหว่างขั้นตอนการร้องขอ หมายเลขรหัสผ่านที่จะป้อนจะถูกเลือกตามลำดับจากรายการหรือตามรูปแบบการสุ่มตัวอย่าง
ข้อเสียของวิธีแก้ไขรูปแบบรหัสผ่านง่ายๆ คือผู้ใช้ต้องจำไว้ รหัสผ่านยาวหรือรายการของพวกเขา การเขียนรหัสผ่านลงบนกระดาษอาจเสี่ยงต่อการสูญหายหรือถูกขโมยสื่อบันทึกข้อมูลที่มีรหัสผ่านเขียนไว้
วิธีการระบุและรับรองความถูกต้องของวิชาและวัตถุต่างๆ
เมื่อทำการแลกเปลี่ยนข้อมูล ขอแนะนำในทุกกรณีเพื่อให้มีการตรวจสอบร่วมกันถึงความถูกต้องของอำนาจของวัตถุหรือเรื่อง หากมีการแลกเปลี่ยนข้อมูลผ่านเครือข่าย จะต้องปฏิบัติตามขั้นตอน โดยกำหนดให้วัตถุและวัตถุแต่ละรายการต้องมีชื่อไม่ซ้ำกัน แต่ละวัตถุ (วิชา) จะต้องถูกเก็บไว้ในหน่วยความจำของตัวเอง (ไม่สามารถเข้าถึงได้ บุคคลที่ไม่ได้รับอนุญาต) รายการที่มีชื่อของวัตถุ (หัวเรื่อง) ซึ่งจะดำเนินการกระบวนการแลกเปลี่ยนข้อมูลที่ได้รับการป้องกัน
วิธีการตอบกลับคำขอเมื่อใช้วิธี "ร้องขอ-ตอบกลับ" ในระบบสารสนเทศ อาร์เรย์ของคำถามจะถูกสร้างขึ้นล่วงหน้าและได้รับการคุ้มครองเป็นพิเศษ รวมทั้งคำถามทั้งสอง ทั่วไปรวมถึงคำถามส่วนตัวที่เกี่ยวข้องกับ ผู้ใช้เฉพาะเช่น คำถามเกี่ยวกับคดีต่างๆ จากชีวิตของเขาที่ผู้ใช้ทราบเท่านั้น
เพื่อยืนยันความถูกต้องของผู้ใช้ ระบบจะถามคำถามแบบสุ่มที่เขาต้องตอบตามลำดับตามลำดับ บัตรประจำตัวจะถือว่าเป็นค่าบวกหากผู้ใช้ตอบคำถามทุกข้อถูกต้อง
ข้อกำหนดหลักสำหรับคำถามในวิธีการรับรองความถูกต้องนี้คือเอกลักษณ์ ซึ่งหมายความว่าเฉพาะผู้ใช้ที่มีคำถามเหล่านี้เท่านั้นที่รู้คำตอบที่ถูกต้องสำหรับคำถาม
วิธีการทำงานในบรรดาวิธีการทำงาน วิธีที่พบบ่อยที่สุดคือวิธีการแปลงรหัสผ่านการทำงานและวิธีการจับมือ
วิธีการแปลงฟังก์ชันจะขึ้นอยู่กับการใช้ฟังก์ชันบางอย่าง ฉซึ่งจะต้องเป็นไปตามข้อกำหนดดังต่อไปนี้:
· สำหรับ หมายเลขที่กำหนดหรือคำพูด เอ็กซ์คำนวณง่าย ย=ฉ(X)
· รู้ เอ็กซ์และ ยการกำหนดฟังก์ชันเป็นเรื่องยากหรือเป็นไปไม่ได้ ญ= ฉ(X)
เงื่อนไขที่จำเป็นการปฏิบัติตามข้อกำหนดเหล่านี้คือการปรากฏตัวในหน้าที่ เอฟ(เอ็กซ์)ตัวอย่างเช่นการเปลี่ยนแปลงพารามิเตอร์แบบไดนามิก วันที่ปัจจุบันเวลา วันในสัปดาห์ หรืออายุของผู้ใช้
ผู้ใช้จะได้รับแจ้ง:
· รหัสผ่านเริ่มต้น - คำหรือตัวเลข เอ็กซ์,เช่น หมายเลข 31;
· การทำงาน เอฟ(เอ็กซ์)ตัวอย่างเช่น, Y= (X ม็อด 100) ดี+ดับบลิวที่ไหน (เอ็กซ์ ม็อด 100) - การดำเนินการนำส่วนที่เหลือจาก การหารจำนวนเต็ม เอ็กซ์คูณ 100 ด-หมายเลขวันปัจจุบันของสัปดาห์ ก ว-หมายเลขสัปดาห์ปัจจุบันในเดือนปัจจุบัน
· ความถี่ในการเปลี่ยนรหัสผ่าน เช่น ทุกวัน ทุกสามวัน หรือทุกสัปดาห์
รหัสผ่านผู้ใช้สำหรับลำดับระยะเวลาที่กำหนดของรหัสผ่านเดียวจะเป็นตามลำดับ X, F(X), F(F(X)), F(F(F(X)))ฯลฯ เช่น สำหรับ ฉัน-ของระยะเวลาที่ใช้งานได้ของรหัสผ่านเดียวรหัสผ่านของผู้ใช้จะเป็น ฟี-1(เอ็กซ์)ดังนั้น ในการคำนวณรหัสผ่านถัดไปหลังจากช่วงระยะเวลาที่ถูกต้องของรหัสผ่านที่ใช้หมดอายุ ผู้ใช้ไม่จำเป็นต้องจำรหัสผ่านเริ่มต้น (เดิม) สิ่งสำคัญคือต้องไม่ลืมฟังก์ชันการแปลงรหัสผ่านและรหัสผ่านที่ใช้จนกระทั่ง ตอนนี้.
เพื่อให้บรรลุผล ระดับสูงความปลอดภัย ควรเปลี่ยนฟังก์ชันการแปลงรหัสผ่านที่ตั้งไว้สำหรับผู้ใช้แต่ละรายเป็นระยะๆ เช่น ทุกเดือน เมื่อเปลี่ยนฟังก์ชันแนะนำให้ตั้งรหัสผ่านเริ่มต้นใหม่
ตามวิธี "จับมือ" มีฟังก์ชันอยู่ เอฟซึ่งมีเพียงผู้ใช้และระบบสารสนเทศเท่านั้นที่ทราบ ฟังก์ชั่นนี้ต้องเป็นไปตามข้อกำหนดเดียวกันกับที่กำหนดไว้สำหรับฟังก์ชันที่ใช้ในวิธีการแปลงฟังก์ชัน
เมื่อผู้ใช้เข้าสู่ระบบข้อมูล ระบบรักษาความปลอดภัยจะถูกสร้างขึ้น หมายเลขสุ่มหรือลำดับอักขระแบบสุ่ม เอ็กซ์,และฟังก์ชันถูกคำนวณ เอฟ(เอ็กซ์)มอบให้เพื่อ ผู้ใช้ที่กำหนด.
ต่อไป เอ็กซ์ส่งออกไปยังผู้ใช้ที่ต้องคำนวณ ฟ"(เอ็กซ์)และป้อนค่าผลลัพธ์เข้าสู่ระบบ ค่านิยม ฉ(X), ฉ"(X)จะถูกเปรียบเทียบโดยระบบ และหากตรงกัน ผู้ใช้จะสามารถเข้าถึงได้
ตัวอย่างเช่น ในระบบข้อมูล จะมีการสร้างตัวเลขสุ่มที่ประกอบด้วยตัวเลขเจ็ดหลักและมอบให้กับผู้ใช้ เพื่อสร้างความสับสนให้กับผู้โจมตี คุณสามารถใส่ตัวเลขลงในตำแหน่งใดก็ได้ จุดทศนิยม- เป็นฟังก์ชัน เอฟได้รับการยอมรับ:
ย=(<сумма 1ไทย, 2และ 5หลักที่ของตัวเลข>)2 -<сумма 3ไทย, 4ไทย, 6และ 7หลักที่ของตัวเลข > +<сумма цифр текущего времени в часах>.
สำหรับ ความปลอดภัยสูงขอแนะนำให้เปลี่ยนฟังก์ชันการจับมือเป็นวงกลมในช่วงเวลาที่กำหนด เช่น ที่ตั้งไว้ ฟังก์ชั่นที่แตกต่างกันสำหรับวันคู่และคี่ของเดือน
ข้อดีของวิธีจับมือคือไม่มีการถ่ายโอนข้อมูลที่เป็นความลับระหว่างผู้ใช้และระบบข้อมูล ด้วยเหตุนี้จึงเกิดประสิทธิผล วิธีนี้เหมาะอย่างยิ่งเมื่อใช้ในเครือข่ายเพื่อยืนยันความถูกต้องของผู้ใช้ที่พยายามเข้าถึงเซิร์ฟเวอร์หรือคอมพิวเตอร์ส่วนกลาง
ในบางกรณี ผู้ใช้อาจจำเป็นต้องตรวจสอบความถูกต้องของระบบข้อมูลที่เขาต้องการเข้าถึง ความจำเป็นในการตรวจสอบร่วมกันอาจเกิดขึ้นเมื่อผู้ใช้สองคนของระบบต้องการสื่อสารกันผ่านสายสื่อสาร วิธีการใช้รหัสผ่านแบบง่าย รวมถึงวิธีการแก้ไขรูปแบบรหัสผ่านแบบง่ายไม่เหมาะในกรณีนี้ วิธีที่เหมาะสมที่สุดคือ "การจับมือ" เมื่อใช้งาน ผู้เข้าร่วมเซสชันการสื่อสารจะไม่ได้รับข้อมูลลับใดๆ
กลับ
บท IV
เทคโนโลยีการป้องกันซอฟต์แวร์แฮ็ก
การป้องกันการแพร่กระจายข้อมูลเกี่ยวกับการโจมตีสร้างภาพลวงตาด้านความปลอดภัยที่เป็นอันตราย...
คริส แคสเปอร์สกี้. เทคโนโลยีและปรัชญา การโจมตีของแฮ็กเกอร์.
โปรแกรมเมอร์ที่มีความชำนาญในวิธีการ การป้องกันทางเทคนิคไม่ต้องสงสัยเลยว่าจะต้องรู้จักเทคโนโลยีป้องกันการแฮ็ก ตามลำดับ ประการแรกไม่ให้ทำผิดซ้ำ ระบบที่มีอยู่และประการที่สอง สร้างกลไกที่มีประสิทธิภาพและเชื่อถือได้มากขึ้น ผู้เขียนการป้องกันจะต้องคุ้นเคยกับเครื่องมือของแฮกเกอร์ยุคใหม่เป็นอย่างดีและคำนึงถึงความเป็นไปได้ด้วย กองทุนที่มีอยู่การวิจัยโปรแกรม (ตัวดีบั๊ก ตัวแยกชิ้นส่วน ตัวดู) เมื่อออกแบบกลไกและระบบป้องกันซอฟต์แวร์
ในบทนี้ เราจะดูแนวคิดพื้นฐาน เทคนิค อัลกอริธึม และเทคโนโลยีที่ช่วยให้คุณสามารถลบ ข้าม หรือแฮ็กได้ การป้องกันซอฟต์แวร์- นอกจากนี้เรายังจะให้คำแนะนำในการปรับปรุงกลไกการป้องกันอีกด้วย
การทดลองแฮ็กมาตรฐานการเข้ารหัสลับของสหรัฐอเมริกาที่มีชื่อเสียงนั้นเป็นที่รู้จักอย่างกว้างขวาง -อัลกอริทึม DES (มาตรฐานการเข้ารหัสข้อมูล) คีย์ DES 56 บิต - อัลกอริธึมไม่สามารถถอดรหัสได้ประมาณยี่สิบปี “...ล้มเมื่อวันที่ 17 มิถุนายน 2540 140 วันหลังจากเริ่มการแข่งขัน (ขณะเดียวกันประมาณ 25% ของทั้งหมด กุญแจที่เป็นไปได้และใช้จ่าย≈ 450 MIPS -ปี " . ในปี 1998 มีรายงานการแฮ็กดีเอส - อัลกอริทึมใน 56 ชั่วโมง
ด้วยประสิทธิภาพที่ก้าวกระโดดอย่างก้าวกระโดด เทคโนโลยีคอมพิวเตอร์ชนกันก่อน อัลกอริทึมอาร์เอสเอเพื่อเปิดเผยว่าสิ่งใดบ้างที่จำเป็นในการแก้ปัญหาการแยกตัวประกอบ ในเดือนมีนาคม พ.ศ. 2537 การแยกตัวประกอบของตัวเลข 129 หลัก (428 บิต 6) ซึ่งกินเวลานาน 8 เดือนได้เสร็จสมบูรณ์ การดำเนินการนี้เกี่ยวข้องกับอาสาสมัคร 600 คนและเครื่อง 1,600 เครื่องที่เชื่อมต่อกันทางอีเมล เวลาที่ใช้เครื่องจักรเทียบเท่ากับประมาณ 5,000 MIPS ปี
เมื่อวันที่ 29 มกราคม พ.ศ. 2540 RSA Labs ได้ประกาศการแข่งขันเพื่อเปิดอัลกอริธึม RC5 แบบสมมาตร คีย์ 40 บิตถูกเปิดเผย 3.5 ชั่วโมงหลังจากเริ่มการแข่งขัน! (ไม่จำเป็นต้องเชื่อมต่อคอมพิวเตอร์ผ่านอินเทอร์เน็ตด้วยซ้ำ - เครือข่ายท้องถิ่นที่มีเครื่อง 250 เครื่องที่ Berkeley University ก็เพียงพอแล้ว) หลังจากผ่านไป 313 ชั่วโมง คีย์ 48 บิตก็ถูกเปิดขึ้นเช่นกัน [24]
แม้แต่โปรแกรมเมอร์มือใหม่ก็สามารถเขียนโปรแกรมที่สร้างลำดับสัญลักษณ์ที่เป็นไปได้ทั้งหมดจากชุดการแจกแจงตามลำดับที่กำหนด แน่นอนว่าผู้เขียนการคำนวณของฝ่ายจำเลยควรอยู่บนพื้นฐานข้อเท็จจริงที่ว่าการค้นหาทั้งหมดจะใช้เวลานานกว่าที่สมเหตุสมผล และสิ่งแรกที่นักพัฒนาใช้สำหรับสิ่งนี้คือการเพิ่มความยาวของคีย์ (รหัสผ่าน) ในแบบของพวกเขาเองพวกเขาถูกต้อง แต่
ประการแรกตามที่ระบุไว้แล้ว พลังของคอมพิวเตอร์กำลังเพิ่มขึ้น และหากการค้นหาทั้งหมดเมื่อวานนี้ใช้เวลานาน เวลาที่คอมพิวเตอร์ต้องการในวันพรุ่งนี้มักจะเป็นที่ยอมรับในการลบการป้องกัน
เนื่องจากการเติบโตอย่างรวดเร็ว พลังการคำนวณการโจมตีแบบ Brute Force มีโอกาสสำเร็จมากกว่าเมื่อก่อนมาก ถ้าเพื่อ ระบบยูนิกซ์ฟังก์ชัน crypt() ซึ่งรับผิดชอบในการแฮชรหัสผ่านนั้นถูกนำไปใช้ในลักษณะที่ใช้เวลาเกือบ 1 วินาทีในการดำเนินการบนเครื่องระดับ PDP แต่ในยี่สิบปีที่ผ่านมา ความเร็วในการคำนวณเพิ่มขึ้น 10,000 เท่า (!) . ดังนั้นหากแฮกเกอร์รุ่นก่อน ๆ (และนักพัฒนาที่จำกัดความยาวรหัสผ่านไว้ที่ 8 ตัวอักษร) ไม่สามารถจินตนาการถึงการค้นหาที่สมบูรณ์ได้ การโจมตีโดยเฉลี่ยในวันนี้จะนำไปสู่ความสำเร็จใน 125 วัน
ประการที่สอง เพื่อเพิ่มความเร็วของการแจงนับ อัลกอริธึมที่มีประสิทธิภาพได้ถูกเสนอและสามารถปรับปรุงได้ (โดยปกติจะขึ้นอยู่กับตรรกะที่เป็นทางการและการใช้ทฤษฎีเซต ทฤษฎีความน่าจะเป็น และสาขาอื่น ๆ ของคณิตศาสตร์) นอกจากนี้ยังใช้อัลกอริธึมอีกด้วย ค้นหาอย่างรวดเร็ว- (เช่น โจมตี.อาร์เอสเอ และระบบที่คล้ายกันถูกเสนอให้ใช้การค้นหาตารางแบบจัดระเบียบตัวเอง)
นอกจากนี้ยังมีการสร้างอุปกรณ์พิเศษที่ทำหน้าที่ค้นหาแล้ว
สิ่งสำคัญที่ควรทราบคือการจัดเก็บฟังก์ชันแฮชรหัสผ่านไม่ได้ขจัดความเป็นไปได้ของการโจมตีแบบดุร้าย แต่จะเปลี่ยนแปลงเฉพาะเวลาที่ต้องใช้ในการแคร็กเท่านั้น ในความเป็นจริงตอนนี้โปรแกรมที่ค้นหารหัสผ่านจะต้องเสริมด้วยการคำนวณฟังก์ชันแฮชของแต่ละตัวเลือกและเปรียบเทียบผลลัพธ์กับมาตรฐานแฮช
ให้เราใส่ใจกับอีกสถานการณ์หนึ่งที่เกี่ยวข้องกับการป้องกันตามการแฮชรหัสผ่าน ฟังก์ชันแฮชบางอย่างอาจส่งคืนผลลัพธ์เหมือนกับต้นฉบับสำหรับรหัสผ่านที่ไม่ถูกต้อง เพื่อขจัดการป้องกันออกจาก ในกรณีนี้แค่หาอะไรก็ได้ รหัสผ่านที่เหมาะสมซึ่งทำให้การป้องกันอ่อนแอลงอย่างเห็นได้ชัดและลดต้นทุนการแฮ็ก (ฟังก์ชันแฮชมีคุณสมบัตินี้ ซึ่งให้ผลลัพธ์ที่เทียบได้กับความยาว (เป็นบิต) กับรหัสผ่าน)
ให้เราอาศัยเทคนิคการค้นหารหัสผ่านแบบเดรัจฉานประเภทอื่น - ที่เรียกว่า การโจมตีพจนานุกรม - นี่เป็นวิธีที่สามารถใช้เพื่อถอดรหัสรหัสผ่านที่มีความหมายได้ โดยวิธีการจะขึ้นอยู่กับข้อเท็จจริงที่ว่าผู้ใช้บริการมากขึ้น ง่ายต่อการจดจำเลือกคำ (พจนานุกรม) ที่มีอยู่ในภาษาใดภาษาหนึ่ง เมื่อพิจารณาว่าภาษาใดมีคำศัพท์ไม่เกิน 100,000 คำ ย่อมชัดเจนว่าการค้นหาคำในพจนานุกรมทั้งหมดจะเกิดขึ้นภายในระยะเวลาอันสั้น
ปัจจุบันโปรแกรมที่เลือกรหัสผ่านตามคำในพจนานุกรมแพร่หลาย ขณะนี้มีเพียงผู้ใช้ที่ขาดความรับผิดชอบหรือขี้เกียจเท่านั้นที่สามารถตั้งรหัสผ่านที่มีความหมายได้ ให้เราระลึกว่านอกเหนือจากการตรวจสอบพจนานุกรมแล้วโปรแกรมดังกล่าว "สามารถ" เปลี่ยนตัวพิมพ์อักขระ "รู้" เครื่องหมายวรรคตอน "เดา" ที่ผู้ใช้สามารถพลิกคำได้ ติดกาวสองคำเข้าด้วยกันโดยใช้เครื่องหมายวรรคตอนหรือตัวเลข ฯลฯ การเปลี่ยนแปลง
เป็นที่น่าสังเกตว่าวิธีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตที่ได้รับการพัฒนาสมัยใหม่ทำให้ผู้ใช้สามารถเลือกรหัสผ่านสำหรับการเข้าถึงได้อย่างอิสระมีโมดูลที่ตรวจสอบรหัสผ่านที่เลือกว่าเป็นของพจนานุกรมดังกล่าวและในกรณีนี้จะไม่อนุญาตให้ใช้รหัสผ่าน .
โปรแกรมที่ทำการโจมตีด้วยพจนานุกรมจะทำงานได้ค่อนข้างเร็ว เนื่องจากใช้อัลกอริธึมการค้นหาและการเปรียบเทียบที่มีประสิทธิภาพ ตัวอย่างเช่น พวกเขาใช้การเปรียบเทียบสตริงที่ไม่ช้า แต่เป็นการเปรียบเทียบ เช็คซัมฯลฯ หลายแห่งไม่มีฐานข้อมูลคำ แต่ใช้พจนานุกรมที่สร้างไว้ในโปรแกรมแก้ไขข้อความทั่วไป
_____________________________
* การป้องกันด้วยรหัสผ่านควรใช้ในกรณีที่การโจมตีแบบ brute-force จะไม่ได้ผล หรือผู้โจมตีจะไม่สามารถเข้าถึงเครื่องมือคอมพิวเตอร์ที่ทรงพลังเพียงพอที่จะทำการโจมตีแบบ brute-force (เราต้องไม่ลืมเกี่ยวกับความเป็นไปได้ของการใช้เทคโนโลยีเครือข่าย ).
* เพื่อเสริมการป้องกันด้วยรหัสผ่าน คุณควรใช้เทคนิคดั้งเดิมที่ลดความเร็วในการค้นหารหัสผ่าน
* คุณสามารถเสริมการป้องกันด้วยรหัสผ่านได้เล็กน้อยโดยดำเนินการตรวจสอบสองครั้ง (ขึ้นอยู่กับ) ในโปรแกรม: ทั้งรหัสผ่านและผลลัพธ์ของฟังก์ชันแฮชรหัสผ่านในขณะที่ "ซ่อน" กลไกการป้องกันในระดับที่เหมาะสมหรืออย่างน้อยก็ละทิ้ง การเปรียบเทียบโดยตรง- ในกรณีนี้ ขอแนะนำให้เลือกฟังก์ชันแฮชที่สร้างรหัสผ่านจำนวนมากที่ตรงกับมาตรฐานแฮชโดยเฉพาะ ด้วยการดำเนินการนี้ กลไกการป้องกันผู้โจมตีจะต้องโจมตีสองพารามิเตอร์
* การป้องกันจะทำงานได้อย่างมีประสิทธิภาพยิ่งขึ้นหากรหัสผ่าน (และ ฟังก์ชั่นที่ดีขึ้นรหัสผ่าน) ทำหน้าที่เป็นคีย์เข้ารหัสสำหรับบางส่วนของโค้ดโปรแกรม ในกรณีนี้ แครกเกอร์หลังจากลองใช้รหัสผ่านที่เป็นไปได้ทั้งหมด (โดยให้ผลการแฮชที่กำหนด) จะต้องถอดรหัสรหัส
โปรดทราบว่าในการป้องกันเวอร์ชันนี้ นั่นคือเมื่อตรวจสอบพารามิเตอร์หลายตัวพร้อมกัน ฟังก์ชันแฮชที่ให้ผลลัพธ์ที่ต้องการ ปริมาณมากรหัสผ่านทำให้การถอดรหัสยากขึ้นมาก
___________________________________________________________
รายละเอียดเพิ่มเติม
1. ตัวอย่างการโจมตีกลไกความปลอดภัย - Chris Kaspersky "เทคนิคและปรัชญาของการโจมตีของแฮ็กเกอร์"
2. การสร้างลำดับตัวเลขสุ่มหลอก - Yu.S. คาริน, V.I. เบอร์นิก, G.V. Matveev “รากฐานทางคณิตศาสตร์ของการเข้ารหัส”, หน้า 153-188; V. Zhelnikov “การเข้ารหัสจากกระดาษปาปิรัสสู่คอมพิวเตอร์”, หน้า 181-207
พื้นฐานของระบบการป้องกันใด ๆ ระบบสารสนเทศคือการระบุและการรับรองความถูกต้อง เนื่องจากกลไกความปลอดภัยของข้อมูลทั้งหมดได้รับการออกแบบให้ทำงานกับหัวเรื่องและวัตถุที่มีชื่อของ AS ให้เราระลึกว่าหัวข้อ AS สามารถเป็นได้ทั้งผู้ใช้และกระบวนการ และวัตถุ AS อาจเป็นข้อมูลและอื่นๆ แหล่งข้อมูลระบบ
การกำหนดตัวระบุส่วนบุคคลให้กับหัวเรื่องและออบเจ็กต์การเข้าถึง และการเปรียบเทียบกับรายการที่กำหนดเรียกว่าการระบุตัวตน การระบุช่วยให้มั่นใจได้ว่าฟังก์ชันต่อไปนี้:
การสร้างความถูกต้องและการกำหนดอำนาจของเรื่องเมื่อเข้าสู่ระบบ
การควบคุมอำนาจที่จัดตั้งขึ้นในระหว่างช่วงการทำงาน
การลงทะเบียนการกระทำ ฯลฯ
การรับรองความถูกต้อง (การรับรองความถูกต้อง) คือการตรวจสอบความเป็นเจ้าของของตัวระบุที่เข้าถึงโดยเขาและการยืนยันความถูกต้อง กล่าวอีกนัยหนึ่ง การรับรองความถูกต้องเป็นเรื่องเกี่ยวกับการตรวจสอบว่าเอนทิตีที่เชื่อมต่อคือบุคคลที่เขาอ้างว่าเป็นหรือไม่
ขั้นตอนทั่วไปในการระบุและรับรองความถูกต้องของผู้ใช้เมื่อเข้าถึง AS แสดงไว้ในรูปที่ 1 2.10. หากความถูกต้องของเรื่องถูกสร้างขึ้นในระหว่างกระบวนการตรวจสอบสิทธิ์ ระบบความปลอดภัยของข้อมูลจะต้องกำหนดอำนาจของเขา (ชุดสิทธิ์) นี่เป็นสิ่งจำเป็นสำหรับการควบคุมและการสร้างความแตกต่างในการเข้าถึงทรัพยากรในภายหลัง
ขึ้นอยู่กับองค์ประกอบที่ได้รับการควบคุมของระบบ วิธีการตรวจสอบความถูกต้องสามารถแบ่งออกเป็นการตรวจสอบความถูกต้องของพันธมิตรการสื่อสารและการตรวจสอบความถูกต้องของแหล่งข้อมูล การรับรองความถูกต้องของพันธมิตรการสื่อสารจะใช้เมื่อสร้าง (และตรวจสอบเป็นระยะ) การเชื่อมต่อระหว่างเซสชัน ทำหน้าที่ป้องกันภัยคุกคาม เช่น การปลอมตัวและการเล่นซ้ำของเซสชันการสื่อสารก่อนหน้า การตรวจสอบแหล่งข้อมูลคือการยืนยันความถูกต้องของแหล่งที่มาของข้อมูลชิ้นเดียว
ในแง่ของทิศทาง การรับรองความถูกต้องอาจเป็นแบบทางเดียว (ผู้ใช้พิสูจน์ความถูกต้องของเขากับระบบ เช่น เมื่อเข้าสู่ระบบ) และแบบสองทาง (ร่วมกัน)
ข้าว. 2.10. ขั้นตอนการระบุตัวตนและการรับรองความถูกต้องแบบคลาสสิก
โดยทั่วไป วิธีการรับรองความถูกต้องจะถูกจัดประเภทตามวิธีการที่ใช้ ในกรณีนี้ วิธีการเหล่านี้จะแบ่งออกเป็นสี่กลุ่ม:
1. ขึ้นอยู่กับความรู้ของบุคคลที่มีสิทธิ์เข้าถึงทรัพยากรระบบของข้อมูลลับบางอย่าง - รหัสผ่าน
2. ขึ้นอยู่กับการใช้ไอเทมเฉพาะ: โทเค็น บัตรอิเล็กทรอนิกส์ ฯลฯ
3. ขึ้นอยู่กับการวัดพารามิเตอร์ไบโอเมตริกซ์ของมนุษย์ - คุณลักษณะทางสรีรวิทยาหรือพฤติกรรมของสิ่งมีชีวิต
4. ขึ้นอยู่กับข้อมูลที่เกี่ยวข้องกับผู้ใช้ เช่น พิกัดของเขา
ลองดูที่กลุ่มเหล่านี้
1. วิธีการตรวจสอบความถูกต้องที่ง่ายและคุ้นเคยที่พบบ่อยที่สุดคือวิธีการที่ใช้รหัสผ่าน - ตัวระบุความลับของวิชา ที่นี่ เมื่อหัวเรื่องป้อนรหัสผ่าน ระบบย่อยการตรวจสอบความถูกต้องจะเปรียบเทียบกับรหัสผ่านที่จัดเก็บไว้ในรูปแบบที่เข้ารหัสในฐานข้อมูลอ้างอิง หากรหัสผ่านตรงกัน ระบบย่อยการตรวจสอบสิทธิ์จะอนุญาตให้เข้าถึงทรัพยากร AS ได้
วิธีการใช้รหัสผ่านควรจำแนกตามระดับของรหัสผ่านที่สามารถเปลี่ยนได้:
วิธีการที่ใช้รหัสผ่านถาวร (ใช้ซ้ำได้)
วิธีการใช้รหัสผ่านแบบครั้งเดียว (การเปลี่ยนแปลงแบบไดนามิก)
ผู้บรรยายส่วนใหญ่ใช้รหัสผ่านที่ใช้ซ้ำได้ ในกรณีนี้ รหัสผ่านของผู้ใช้จะไม่เปลี่ยนจากเซสชันหนึ่งไปอีกเซสชันหนึ่งในช่วงระยะเวลาที่ผู้ดูแลระบบกำหนด สิ่งนี้ทำให้ขั้นตอนการดูแลระบบง่ายขึ้น แต่เพิ่มความเสี่ยงของการบุกรุกรหัสผ่าน มีหลายวิธีในการทำลายรหัสผ่าน ตั้งแต่การแอบดูไหล่ไปจนถึงการสกัดกั้นเซสชันการสื่อสาร โอกาสที่ผู้โจมตีจะเปิดรหัสผ่านจะเพิ่มขึ้นหากรหัสผ่านมีความหมายเชิงความหมาย (ปีเกิด ชื่อเด็กหญิง) มีความยาวไม่มาก พิมพ์ลงในทะเบียนเดียว ไม่มีข้อจำกัดในเรื่องระยะเวลาการดำรงอยู่ ฯลฯ เป็นสิ่งสำคัญ อนุญาตให้ป้อนรหัสผ่านเฉพาะในโหมดโต้ตอบหรือสามารถเข้าถึงได้จากโปรแกรมหรือไม่
ในกรณีหลังนี้เป็นไปได้ที่จะเรียกใช้โปรแกรมเดารหัสผ่าน - "คั้น"
วิธีที่ปลอดภัยกว่าคือการใช้รหัสผ่านแบบครั้งเดียวหรือแบบไดนามิก
ทราบวิธีการป้องกันด้วยรหัสผ่านที่ใช้รหัสผ่านแบบใช้ครั้งเดียวต่อไปนี้:
วิธีการแก้ไขรูปแบบรหัสผ่านแบบง่าย
วิธีการตอบกลับคำขอ
วิธีการทำงาน
ในกรณีแรก ผู้ใช้จะได้รับรายการรหัสผ่าน ในระหว่างการตรวจสอบสิทธิ์ ระบบจะขอรหัสผ่านจากผู้ใช้ หมายเลขในรายการจะถูกกำหนดโดยกฎหมายแบบสุ่ม ความยาวและ หมายเลขซีเรียลอักขระเริ่มต้นของรหัสผ่านสามารถตั้งค่าแบบสุ่มได้
เมื่อใช้วิธีการตอบสนองต่อความท้าทาย ระบบจะถามคำถามทั่วไปบางข้อแก่ผู้ใช้ ซึ่งเป็นคำตอบที่ถูกต้องซึ่งมีเพียงผู้ใช้ที่ระบุเท่านั้นที่ทราบ
วิธีการทำงานจะขึ้นอยู่กับการใช้งาน ฟังก์ชั่นพิเศษการแปลงรหัสผ่าน ทำให้สามารถเปลี่ยนรหัสผ่านผู้ใช้ได้ (ตามสูตรบางอย่าง) เมื่อเวลาผ่านไป ฟังก์ชั่นที่ระบุต้องเป็นไปตามข้อกำหนดต่อไปนี้:
สำหรับรหัสผ่านที่กำหนด x นั้นง่ายต่อการคำนวณ รหัสผ่านใหม่ ;
เมื่อรู้ x และ y เป็นเรื่องยากหรือเป็นไปไม่ได้ที่จะระบุฟังก์ชัน
ตัวอย่างที่มีชื่อเสียงที่สุดของวิธีการทำงาน ได้แก่ วิธีการเปลี่ยนแปลงฟังก์ชันและวิธีการจับมือ
แนวคิดของวิธีการเปลี่ยนแปลงเชิงฟังก์ชันคือ การเปลี่ยนแปลงเป็นระยะฟังก์ชั่นนั้นเอง อย่างหลังเกิดขึ้นได้จากการปรากฏตัวในนิพจน์การทำงานของพารามิเตอร์ที่เปลี่ยนแปลงแบบไดนามิก เช่น ฟังก์ชันของวันที่และเวลาที่แน่นอน ผู้ใช้จะได้รับแจ้งรหัสผ่านเริ่มต้น การทำงานจริง และความถี่ในการเปลี่ยนรหัสผ่าน จะเห็นได้ง่ายว่ารหัสผ่านของผู้ใช้ในช่วงเวลาที่กำหนดจะเป็นดังนี้: x, f(x), f(f(x)), ..., f(x)n-1
วิธีการจับมือมีดังนี้ ฟังก์ชันการแปลงรหัสผ่านเป็นที่รู้จักเฉพาะกับผู้ใช้และระบบรักษาความปลอดภัยเท่านั้น เมื่อเข้าสู่ AS ระบบย่อยการรับรองความถูกต้องจะสร้างลำดับสุ่ม x ซึ่งถูกส่งไปยังผู้ใช้ ผู้ใช้คำนวณผลลัพธ์ของฟังก์ชัน y=f(x) และส่งกลับไปยังระบบ ระบบจะเปรียบเทียบผลลัพธ์ที่คำนวณได้เองกับผลลัพธ์ที่ได้รับจากผู้ใช้ หากผลลัพธ์ที่ระบุตรงกัน ความถูกต้องของผู้ใช้จะถือว่าได้รับการพิสูจน์แล้ว
ข้อดีของวิธีนี้ก็คือการส่งข้อมูลใดๆ ที่ผู้โจมตีสามารถใช้ได้จะลดลง
ในบางกรณี ผู้ใช้อาจจำเป็นต้องตรวจสอบความถูกต้องของผู้ใช้ระยะไกลรายอื่นหรือ AS บางอย่างที่เขากำลังจะเข้าถึง วิธีที่เหมาะสมที่สุดคือวิธี "จับมือ" เนื่องจากไม่มีผู้เข้าร่วมคนใดเลย การแลกเปลี่ยนข้อมูลจะไม่ได้รับข้อมูลที่เป็นความลับใดๆ
โปรดทราบว่าวิธีการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านแบบครั้งเดียวนั้นไม่ได้ให้การป้องกันที่สมบูรณ์เช่นกัน ตัวอย่างเช่น หากผู้โจมตีมีความสามารถในการเชื่อมต่อกับเครือข่ายและสกัดกั้นแพ็กเก็ตที่ส่ง เขาก็สามารถส่งอันหลังเป็นของตนเองได้
2. เมื่อเร็ว ๆ นี้วิธีการระบุตัวตนแบบผสมผสานได้กลายเป็นที่แพร่หลายโดยกำหนดให้นอกเหนือจากการรู้รหัสผ่านแล้ว การมีอยู่ของการ์ด (โทเค็น) - อุปกรณ์พิเศษที่ยืนยันความถูกต้องของเรื่อง
การ์ดแบ่งออกเป็นสองประเภท:
พาสซีฟ (การ์ดหน่วยความจำ);
ใช้งานอยู่ (สมาร์ทการ์ด)
ที่พบมากที่สุดคือการ์ดแบบพาสซีฟที่มีแถบแม่เหล็กซึ่งอ่านโดยอุปกรณ์พิเศษที่มีแป้นพิมพ์และโปรเซสเซอร์ เมื่อใช้บัตรที่ระบุ ผู้ใช้จะต้องป้อนหมายเลขประจำตัวของตน ถ้ามันตรงกัน รุ่นอิเล็กทรอนิกส์ที่ถูกเข้ารหัสในการ์ด ผู้ใช้จะสามารถเข้าถึงระบบได้ สิ่งนี้ช่วยให้คุณระบุบุคคลที่สามารถเข้าถึงระบบได้อย่างน่าเชื่อถือ และป้องกันการใช้การ์ดโดยไม่ได้รับอนุญาตโดยผู้โจมตี (เช่น หากการ์ดสูญหาย) วิธีการนี้มักเรียกว่าการรับรองความถูกต้องด้วยสองปัจจัย
บางครั้ง (โดยปกติสำหรับการควบคุมการเข้าถึงทางกายภาพ) การ์ดจะถูกใช้ด้วยตัวเอง โดยไม่ต้องใช้หมายเลขประจำตัวส่วนบุคคล
ข้อดีของการใช้การ์ดคือเครื่องอ่านจะประมวลผลข้อมูลการตรวจสอบสิทธิ์ โดยไม่ถ่ายโอนไปยังหน่วยความจำคอมพิวเตอร์ ซึ่งจะช่วยลดความเป็นไปได้ของการสกัดกั้นทางอิเล็กทรอนิกส์ผ่านช่องทางการสื่อสาร
ข้อเสียของการ์ดแบบพาสซีฟมีดังต่อไปนี้: มีราคาแพงกว่ารหัสผ่านอย่างมากตามที่ต้องการ อุปกรณ์พิเศษการอ่าน การใช้งานหมายถึงขั้นตอนพิเศษสำหรับการบัญชีและการจัดจำหน่ายที่ปลอดภัย พวกเขายังต้องได้รับการปกป้องจากผู้บุกรุก และแน่นอนว่าต้องไม่ทิ้งไว้ในอุปกรณ์อ่าน มีหลายกรณีของการปลอมแปลงบัตรพาสซีฟ
นอกจากหน่วยความจำแล้ว สมาร์ทการ์ดยังมีไมโครโปรเซสเซอร์ของตัวเองอีกด้วย สิ่งนี้ทำให้คุณสามารถนำไปใช้ได้ ตัวเลือกต่างๆวิธีการป้องกันด้วยรหัสผ่าน: รหัสผ่านที่ใช้ซ้ำได้, การเปลี่ยนรหัสผ่านแบบไดนามิก, วิธีการตอบสนองต่อคำถามปกติ การ์ดทั้งหมดมีการตรวจสอบสิทธิ์แบบสององค์ประกอบ
ข้อดีของสมาร์ทการ์ดเหล่านี้ เราควรเพิ่มความคล่องตัว สามารถใช้เพื่อวัตถุประสงค์ด้านความปลอดภัยเท่านั้น แต่ยังสามารถใช้เพื่อธุรกรรมทางการเงินได้อีกด้วย ข้อเสียร่วมกันของการ์ดคือราคาสูง
ทิศทางที่มีแนวโน้มในการพัฒนาการ์ดคือการติดตั้งมาตรฐานการขยายระบบแบบพกพา PCMCIA (PC Card) การ์ดดังกล่าวเป็นอุปกรณ์การ์ดพีซีแบบพกพาที่เสียบเข้าไปในช่องเสียบการ์ดพีซีและไม่ต้องใช้ตัวอ่านพิเศษ ปัจจุบันมีราคาค่อนข้างแพง
3. วิธีการรับรองความถูกต้องตามการวัดพารามิเตอร์ไบโอเมตริกซ์ของมนุษย์ (ดูตาราง 2.6) ให้การระบุตัวตนได้เกือบ 100% แก้ปัญหาการสูญหายของรหัสผ่านและตัวระบุส่วนบุคคล อย่างไรก็ตาม วิธีการดังกล่าวไม่สามารถใช้ระบุกระบวนการหรือข้อมูล (วัตถุข้อมูล) ได้ เนื่องจากเพิ่งเริ่มพัฒนา (มีปัญหาด้านมาตรฐานและการกระจาย) และยังต้องใช้อุปกรณ์ที่ซับซ้อนและมีราคาแพง สิ่งนี้จะกำหนดการใช้งานในโอกาสพิเศษเท่านั้น เว็บไซต์ที่สำคัญและระบบต่างๆ
ตัวอย่างของการนำวิธีการเหล่านี้ไปใช้ ได้แก่ ระบบระบุตัวตนผู้ใช้ตามรูปแบบของม่านตา รอยฝ่ามือ รูปร่างหู รูปแบบอินฟราเรดของหลอดเลือดฝอย ลายมือ กลิ่น เสียงต่ำ และแม้แต่ DNA
ตารางที่ 2.6
ตัวอย่างวิธีการไบโอเมตริกซ์
วิธีการทางสรีรวิทยา |
วิธีการประพฤติตน |
ลายนิ้วมือ การสแกนม่านตา การสแกนจอประสาทตา เรขาคณิตของมือ การจดจำคุณลักษณะใบหน้า |
การวิเคราะห์ลายมือของแป้นพิมพ์ |
ทิศทางใหม่คือการใช้คุณลักษณะไบโอเมตริกซ์ในบัตรชำระเงินอัจฉริยะ โทเค็นผ่าน และองค์ประกอบการสื่อสารเคลื่อนที่ ตัวอย่างเช่น เมื่อชำระเงินในร้านค้า ผู้ถือบัตรจะวางนิ้วบนเครื่องสแกนเพื่อยืนยันว่าบัตรนั้นเป็นของเขาจริงๆ
เรามาตั้งชื่อคุณลักษณะไบโอเมตริกซ์ที่ใช้มากที่สุดและระบบที่เกี่ยวข้องกัน
· ลายนิ้วมือ เครื่องสแกนดังกล่าวมี ขนาดเล็ก, สากล, ราคาไม่แพงนัก การทำซ้ำทางชีวภาพของลายนิ้วมือคือ 10-5% ขณะนี้กำลังได้รับการส่งเสริม หน่วยงานบังคับใช้กฎหมายเนื่องจากการจัดสรรจำนวนมากใน หอจดหมายเหตุอิเล็กทรอนิกส์ลายนิ้วมือ
· เรขาคณิตของมือมีการใช้อุปกรณ์ที่เหมาะสมเมื่อเครื่องสแกนนิ้วใช้งานยากเนื่องจากสิ่งสกปรกหรือการบาดเจ็บ ความสามารถในการทำซ้ำทางชีวภาพของรูปทรงของมือคือประมาณ 2%
· ไอริส.อุปกรณ์เหล่านี้ก็มี ความแม่นยำสูงสุด- ความน่าจะเป็นทางทฤษฎีของการจับคู่ไอริส 2 อันคือ 1 ใน 1,078
· ภาพใบหน้าความร้อน- ระบบทำให้สามารถระบุตัวบุคคลได้ในระยะไกลสูงสุดหลายสิบเมตร เมื่อใช้ร่วมกับการค้นหาฐานข้อมูล ระบบดังกล่าวจะถูกใช้เพื่อระบุพนักงานที่ได้รับอนุญาตและคัดกรองบุคคลที่ไม่ได้รับอนุญาต อย่างไรก็ตาม เครื่องสแกนใบหน้ามีอัตราข้อผิดพลาดค่อนข้างสูงเมื่อแสงเปลี่ยนแปลง
· เสียงการตรวจสอบด้วยเสียงนั้นสะดวกสำหรับการใช้งานในแอปพลิเคชั่นโทรคมนาคม จำเป็นสำหรับ 16 บิตนี้ การ์ดเสียงและ ไมโครโฟนคอนเดนเซอร์ค่าใช้จ่ายน้อยกว่า $25 ความน่าจะเป็นของข้อผิดพลาดคือ 2 – 5% เทคโนโลยีนี้เหมาะสำหรับการตรวจสอบด้วยเสียงผ่านช่องทางสื่อสารทางโทรศัพท์ มีความน่าเชื่อถือมากกว่าเมื่อเปรียบเทียบกับการโทรออกด้วยความถี่ หมายเลขส่วนตัว- ปัจจุบันมีการพัฒนาแนวทางในการระบุตัวบุคคลและสภาพของเขาด้วยเสียง - ตื่นเต้น, ป่วย, พูดจริง, ไม่ใช่ในตัวเอง ฯลฯ
· อินพุตคีย์บอร์ดตัวอย่างเช่นเมื่อป้อนรหัสผ่าน จะมีการตรวจสอบความเร็วและช่วงเวลาระหว่างการกดแป้นพิมพ์
· ลายเซ็น.ดิจิไทเซอร์ใช้เพื่อควบคุมลายเซ็นที่เขียนด้วยลายมือ
4. แนวทางใหม่ล่าสุดในการรับรองความถูกต้องคือการพิสูจน์ความถูกต้องของผู้ใช้ระยะไกลตามตำแหน่งของเขา กลไกการป้องกันนี้มีพื้นฐานมาจากการใช้ระบบนำทางในอวกาศ เช่น GPS (Global Positioning System) ผู้ใช้ที่มีอุปกรณ์ GPS จะส่งพิกัดของดาวเทียมที่ระบุซึ่งอยู่ในแนวสายตาซ้ำแล้วซ้ำอีก ระบบย่อยการตรวจสอบความถูกต้องซึ่งทราบวงโคจรของดาวเทียมสามารถระบุตำแหน่งของผู้ใช้ได้อย่างแม่นยำถึงหนึ่งเมตร ความน่าเชื่อถือในระดับสูงของการตรวจสอบความถูกต้องนั้นพิจารณาจากข้อเท็จจริงที่ว่าวงโคจรของดาวเทียมอาจมีความผันผวน ซึ่งค่อนข้างยากต่อการคาดเดา นอกจากนี้พิกัดยังเปลี่ยนแปลงอยู่ตลอดเวลาซึ่งทำให้ไม่สามารถสกัดกั้นได้
อุปกรณ์ GPS นั้นใช้งานง่ายและเชื่อถือได้และมีราคาไม่แพงนัก ซึ่งอนุญาตให้นำไปใช้ในกรณีที่ได้รับอนุญาต ผู้ใช้ระยะไกลต้องอยู่ในสถานที่ที่ถูกต้อง
โดยสรุปความสามารถของเครื่องมือตรวจสอบความถูกต้องสามารถจำแนกตามระดับได้ ความปลอดภัยของข้อมูลออกเป็นสามประเภท:
1. การรับรองความถูกต้องแบบคงที่
2. การรับรองความถูกต้องที่รัดกุม;
3. การรับรองความถูกต้องอย่างต่อเนื่อง
หมวดหมู่แรกให้การป้องกันเฉพาะการเข้าถึงโดยไม่ได้รับอนุญาตในระบบที่ผู้โจมตีไม่สามารถอ่านข้อมูลการรับรองความถูกต้องในระหว่างเซสชันการทำงาน ตัวอย่างของเครื่องมือการตรวจสอบความถูกต้องแบบคงที่เป็นแบบเดิม รหัสผ่านถาวร- ประสิทธิภาพส่วนใหญ่ขึ้นอยู่กับความยากในการเดารหัสผ่านและในความเป็นจริงแล้ว ขึ้นอยู่กับว่ารหัสผ่านได้รับการปกป้องได้ดีเพียงใด
หากต้องการประนีประนอมการรับรองความถูกต้องแบบคงที่ ผู้โจมตีสามารถสอดแนม คาดเดา เดา หรือสกัดกั้นข้อมูลการตรวจสอบความถูกต้อง ฯลฯ
การรับรองความถูกต้องที่รัดกุมจะใช้ข้อมูลการตรวจสอบความถูกต้องแบบไดนามิกที่เปลี่ยนแปลงไปตามแต่ละเซสชัน การใช้งานการรับรองความถูกต้องที่รัดกุมคือระบบที่ใช้ รหัสผ่านแบบครั้งเดียวและ ลายเซ็นอิเล็กทรอนิกส์- การรับรองความถูกต้องที่รัดกุมช่วยป้องกันการโจมตีโดยที่ผู้โจมตีสามารถสกัดกั้นข้อมูลการรับรองความถูกต้องและพยายามใช้ในเซสชันในอนาคต
อย่างไรก็ตาม การตรวจสอบสิทธิ์ที่รัดกุมไม่ได้ให้การป้องกันการโจมตีที่ทำงานอยู่ ซึ่งในระหว่างนั้นผู้โจมตีที่ปลอมตัวสามารถดักจับ แก้ไข และแทรกข้อมูลลงในสตรีมข้อมูลที่ส่งได้อย่างรวดเร็ว (ในระหว่างเซสชันการตรวจสอบสิทธิ์)
การตรวจสอบสิทธิ์แบบถาวรช่วยให้แน่ใจว่าแต่ละบล็อกของข้อมูลที่ส่งได้รับการระบุ ป้องกันการแก้ไขหรือการแทรกโดยไม่ได้รับอนุญาต ตัวอย่างของการใช้การรับรองความถูกต้องประเภทนี้คือการใช้อัลกอริธึมในการสร้างลายเซ็นอิเล็กทรอนิกส์สำหรับข้อมูลที่ส่งแต่ละบิต