ВУЗ:
Составители:
весь информационный канал должен быть защищен по конфиденциальной
схеме идентификации и надежной схеме аутентификации клиента. Этим
занимаются криптосистемы, речь о которых пойдет позже.
Получение пароля на основе ошибок администратора и пользователей
Одним из самых эффективных методов получения пароля является
перебор паролей по словарю. Технология перебора паролей родилась
достаточно давно, но до сих пор используется и очень успешно. Например,
программа ShadowScan позволяет методом перебора паролей взломать
практически любой FTP или HTTP сервер или вскрыть зашифрованный файл за
приемлемый промежуток времени. Встроенный генератор паролей избавляет
взломщика от необходимости создавать словарь вручную. Для того чтобы
добиться успеха в 60% случаев обычно достаточно словаря размером в 50 000
существительных. Огромное число инцидентов со взломами систем заставило
пользователей добавлять к словам 1–2 цифры с конца, записывать первую
и/или последнюю букву в верхнем регистре, использовать «транслит». Но как
показали исследования, даже составление двух совершенно не связанных
осмысленных слов подряд не дает сколь нибудь реальной надежности паролю.
К этому времени широкое распространение получили языки составления
паролей, записывающие в абстрактной форме основные принципы составления
паролей среднестатистическими пользователями ЭВМ.
Еще одной модификацией подбора паролей является проверка паролей,
устанавливаемых в системе по умолчанию. В некоторых случаях после
инсталляции администратор программного обеспечения не удосуживается
проверить, из чего состоит система безопасности, и какие там используются
пароли. Следовательно, тот пароль, который был установлен в системе по
умолчанию, так и остается основным действующим паролем. В сети Интернет
можно найти огромные списки паролей по умолчанию практически ко всем
версиям программного обеспечения, если они устанавливаются на нем
производителем.
Основные требования к информационной безопасности, основанные на
анализе данного метода, следующие:
1. Вход всех пользователей в систему должен подтверждаться вводом
уникального для клиента пароля.
2. Пароль должен тщательно подбираться так, чтобы его
информационная емкость соответствовала времени полного перебора
пароля. Для этого необходимо детально инструктировать клиентов о
понятии «простой к подбору пароль», либо передать операцию выбора
пароля в ведение инженера по информационной безопасности.
3. Пароли, используемые по умолчанию, должны быть сменены до
официального запуска системы.
Страницы
- « первая
- ‹ предыдущая
- …
- 9
- 10
- 11
- 12
- 13
- …
- следующая ›
- последняя »
