Количественная оценка стойкости парольной защиты — это оценка стойкости парольной защиты на основании анализа основных параметров пароля.
Общие сведения о компьютерной безопасности
Сегодня компьютерная безопасность является очень актуальной проблемой. Практика использования компьютерного оборудования показала, что чем более ценная информация хранится в памяти компьютера, тем больше появляется желающих обеспечить себе несанкционированный доступ к ней, чтобы получить материальную выгоду или даже просто удовлетворить свое праздное любопытство. Происходит непрерывная виртуальная война, в процессе которой официальным системным администраторам противостоят изобретательные компьютерные взломщики.
Статья: Количественная оценка стойкости парольной защиты
Главной защитой от злонамеренных атак может считаться система парольной защиты, которая представлена сегодня практически во всех современных программных продуктах. Согласно установившейся практике, перед началом сеанса работы с операционной системой часто пользователь должен зарегистрироваться, указав ей свое имя и пароль. Имя необходимо для того, чтобы система могла идентифицировать пользователя, а пароль является подтверждением правильности выполненной идентификации. Информация, вводимая пользователями в диалоговом режиме, должна быть сверена с той, что есть в памяти операционной системы. Когда проверка выдает положительный итог, то пользователям предоставляется доступ ко всем ресурсам операционной системы, связанным с его именем.
Несанкционированным доступом к информации является доступ к информации, который нарушает существующий порядок ограничения доступа и осуществляются с использованием нештатных средств, предлагаемых автоматизированной системой. Следует выделить следующие методики защиты от несанкционированного доступа:
- Набор организационных мер, определяемых документально.
- Набор технических мер, которым является совокупность методов, реализуемых программными, аппаратными и программно-аппаратными средствами.
Известны следующие группы методов аутентификации, которые базируются на обладании некоторым свойством или объектом:
- Методы, основанные на обладании определенным объектом.
- Методы, основанные на знании информации, доступной только пользователю и проверяющей стороне.
- Методы, основанные на том факте, что каждый пользователь обладает уникальными биометрическими характеристиками.
Количественная оценка стойкости парольной защиты
Идентификатором пользователя является некоторая уникальная информация, которая позволяет различать индивидуальных пользователей парольной системы. Иногда идентификатор пользователя является его именем. Паролем считается определенная секретная информация, известная лишь пользователю и парольной системе, которая должна быть предъявлена при прохождении процедуры идентификации.
Учетной записью пользователя является набор, состоящий из его идентификатора и пароля. База данных пользователей парольной системы должна содержать учетные записи пользователей парольной системы. Парольной системой считается программно-аппаратный комплекс, который реализует идентификацию и аутентификацию пользователей автоматизированной системы на базе одноразовых и многоразовых паролей.
Известны следующие угрозы для парольной системы:
- Угроза разглашения параметров учетной записи, которая может осуществляться через подбор пароля, визуальное наблюдение, а также через перехват пароля в сети.
- Угроза, вызванная вмешательством в функционирование парольной системы. Она может состоять в возможном использовании программных закладок, выведении из строя парольной системы, использовании ошибок и недоработок в парольной системе.
В таблице ниже перечислены основные требования, предъявляемые к выбору паролей/
Рисунок 1. Таблица. Автор24 — интернет-биржа студенческих работ
В таблице ниже приведены основные параметры количественной оценки стойкости парольной защиты.
Рисунок 2. Таблица. Автор24 — интернет-биржа студенческих работ
В качестве примера рассмотрим выполнение количественной оценки пароля при следующих заданных параметрах:
- Степень вероятности подбора пароля $Р= 10^{-4}$
- Время действия пароля Т= 30 минут.
- Размерность (длина) пароля L = 6 символов.
- Мощность парольного алфавита А. Могут использоваться прописные и строчные латинские символы, а также цифры от 0 до 9, то есть всего 62 символа.
Требуется определить скорость подбора пароля. Для определения скорости подбора пароля можно воспользоваться следующей формулой:
$P=V*T/S$
где мощность пароля равна $S=A^L$.
Время действия пароля следует перевести в секунды, то есть:
Т= 30 мин • 60 с = 1800 с
В результате имеем:
$V=P*A^L/T$
Подставляя числовые значения, получаем итоговый результат:
$V= 10^{-4}*62^6/1800=3155$ пар./с
