ВУЗ:
100
Вы должны шифровать сохраняемые пароли всякий раз, когда механизмы
управления доступом, обеспечиваемые сетью, неадекватны для предотвращения
разглашения паролей. Вы можете также использовать шифрование паролей да-
же тогда, когда считаете, что другие процедуры управления доступом адекват-
ны. Шифрование защитит от возможного раскрытия пароля в том случае, если
возможен обход процедуры
управления доступом, например, при получении
системных дампов. Зашифровывайте пароли немедленно после их ввода и не-
медленно после шифрования очищайте память, содержащую открытый текст
пароля. Вы не должны расшифровывать пароли для сравнения. Система может
сравнивать пароли путем шифрования пароля, введенного при входе в систему,
и сравнения зашифрованной формы с зашифрованным паролем, хранящимся
в
базе данных паролей.
Ввод
Система должна требовать, ввод пароля после ввода идентификатора в
систему. Если введенное значение правильно, система должна вывести на экран
терминала дату и время последнего входа в систему этого пользователя. Систе-
ма не должна отображать вводимые пользователем пароли. Когда система не
может этого предотвратить, для
скрытия напечатанного пароля до или после
ввода пароля на том месте, где он должен появиться, система должна вывести
произвольную последовательность случайных символов. Введенный пользова-
телем пароль должен соответствовать паролю пользователя, который хранится
в базе данных.
Передача
При передаче пароля из терминала пользователя на компьютер, на кото-
ром происходит аутентификация, вы
должны защитить его одним из способов,
адекватным ущербу, к которому может привести его разглашение. Пароли уяз-
вимы не более чем данные, к которым они обеспечивают доступ. Таким обра-
зом, при передаче вы не должны обязательно защищать их как-то больше (на-
пример, путем шифрования), чем защищаете обычные данные.
Интенсивность попыток
входа в систему
Контролируя интенсивность, с какой могут происходить попытки входа в
систему (где каждая попытка состоит в угадывании пароля), вы ограничиваете
количество угадываний, которое можно определить установленной верхней
границей срока действия пароля.
Для интенсивности попыток входа в систему устанавливается диапазон от
одной в секунду до одной в минуту.
Этот диапазон обеспечивает достаточно
дружелюбный интерфейс для пользователя, не допуская такого большого числа
попыток входа в систему, при котором системе пришлось бы устанавливать
слишком большие пароли, или слишком короткий срок службы пароля. В слу-
чае неудачной попытки входа в систему допустимо использование внутреннего
таймера, устанавливающего задержку до разрешения следующей попытки вхо
-
Страницы
- « первая
- ‹ предыдущая
- …
- 98
- 99
- 100
- 101
- 102
- …
- следующая ›
- последняя »
