Статья

Название статьи АНАЛИЗ СТОЙКОСТИ ПАРОЛЬНЫХ ФРАЗ НА ОСНОВЕ ИНФОРМАЦИОННОЙ ЭНТРОПИИ
Автор К.А. Тюрин, Р.В. Сёмин
Рубрика РАЗДЕЛ I. КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ
Месяц, год 05, 2015
Индекс УДК 004.056.53
DOI
Аннотация Известно, что несанкционированный доступ к важным информационным системам влечет за собой убытки для многих компаний, и эти убытки с каждым годом увеличиваются. Несмотря на сколь угодно надежные технические средства защиты, безопасность любой многопользовательской информационной системы подвержена влиянию человеческого фактора. Исследовав характер этого влияния, злоумышленник может оптимизировать процедуру атаки на информационную систему, а значит, особенности влияния человеческого фактора и возможности использования сведений о них при проведении атак являются важными предметами для изучения. В большинстве случаев аутентификация осуществляется либо при помощи метода однофакторной аутентификации по паролю, либо данный метод входит в состав используемого (как правило, методы двухфакторной аутентификации используют ввод постоянного пароля как один из факторов). Исследования показывают, что зачастую пользователи применяют в качестве паролей информативные последовательности символов. Этот факт объясняется тем, что такие пароли проще запоминаются человеком. Информационная составляющая используемых паролей может определяться присутствием в них фрагментов слов естественных языков, расположением символов на клавиатуре и т. п. Информативность делает пароли не вполне случайными, а значит, априорные данные о статистических особенностях языка используемых на практике паролей могут существенно ускорить процесс их перебора в ходе атак на информационные системы. Таким образом, в случае, когда пароль создается пользователем, а не генерируется автоматически, возникает специфическая угроза безопасности, обусловленная человеческим фактором. Существует множество способов реализации этой угрозы при совершении попыток несанкционированного доступа. Изучение таких способов позволяет выработать правила, соблюдение которых предотвращает такого рода угрозы. Рассматриваются существующие способы атак на системы аутентификации, а также предлагается модификация существующего алгоритма, оптимизирующего подбор пароля на основании априорных данных о статистике реального использования паролей, характеризуемых содержанием ненулевой информации. Приведен пример работы предлагаемого алгоритма и анализ его эффективности по сравнению с существующими аналогами. Алгоритм может быть использован для тестирования безопасности парольных систем, пентестов.

Скачать в PDF

Ключевые слова Информационная безопасность; энтропия; атака по словарю.
Библиографический список 1. Burnett M. Perfect Password: Selection, Protection, Authentication // Syngress Publishing. – 2006. – P. 194.
2. Заркумова Р.Н. Исследование количественных характеристик системы парольной защиты информации // Сборник научных трудов НГТУ. – 2010. – № 2 (60). – C. 83-88.
3. Снегуров А.В., Чакрян В.Х. Анализ устойчивости ко взлому современных механизмов парольной защиты операционных систем // Восточно-Европейский журнал передовых технологий. – 2011. – Т. 2, № 10 (50). – С. 27-29.
4. Марков Г.А. К вопросу об определении стойкости парольных систем // Сборник трудов Третьей всероссийской НТК «Безопасные информационные технологии» / Под. ред. В.А. Матвеева. – М.: НИИ РЛ МГТУ им. Н.Э. Баумана, 2012. – С. 21-23.
5. Гуфан К.Ю., Новосядлый В.А., Эдель Д.А. Оценка стойкости парольных фраз к методам подбора // Открытое образование. – 2011. – № 2. – C. 127-130.
6. Kechedzhy K.E., Usatenko O.V., Yampol'skii V.A. Rank distributions of words in additive many-step Markov chains and the Zipf law // Phys. Rev. E. – 2005. – Vol. 72.
7. Hellman M. A cryptanalytic time-memory trade-off // IEEE Transactions on Information Theory. – 1980. – Vol. 26. – P. 401-406.
8. Ferguson Neils. Practical Cryptography // Indianapolis: John Wiley & Sons. – 2003. – P. 230-243.
9. Гуфан К.Ю., Новосядлый В.А., Эдель Д.А. О методах оценки стойкости парольных фраз // Материалы XIX научно-технической конференции «Методы и технические средства обеспечения безопасности информации», 5–10 июля 2010 г. – СПб.: Изд-во Политехн. ун-та, 2010. – С. 73-74.
10. Марков Г.А. Метрики стойкости парольной защиты // Молодежный научно-технический вестник. – 2013. – URL: http://www.cnpo.ru/doc/psw-metrics.pdf (дата обращения: 27.12.2014).
11. 1 000 000 уже неработающих паролей в открытом доступе. Как мы защищаем пользователей Яндекса. Режим доступа. – http://habrahabr.ru/company/yandex/blog/236007 (дата обращения: 15.12.2014).
12. Беленко А. Пароли: стойкость, политика назначения и аудит // Защита информации. Инсайд. – 2009. – № 1. – C. 61-64.
13. Broder A., Mitzenmacher M. Network applications of Bloom filters: A survey // In Proc. of the 40th Annual Allerton Conference on Communication, Control, and Computing. – 2002. – P. 636-646.
14. Колодзей А.В. Компромисс «время/память» в реконфигурируемых вычислительных системах // Известия ЮФУ. Технические науки. – 2014. – № 12 (161). – С. 46-52.
15. Евтеев Д. Анализ проблем парольной защиты в российских компаниях // ЗАО «Позитив Технолоджиз». – 2009. – 33 с. – URL: http://www.securitylab.ru/analytics/381943.php.
16. Spafford E.H. Opus: Preventing weak password choices // Computer and Security. – 1992. – № 11. – P. 273-278.
17. Bonneau J. Guessing human-chosen secrets // Technical Report UCAM-CL-TR-819. – 2012. – P. 161.
18. Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации. – М.: Радио и связь, 2012. – 192 с.
19. Information Assurance Implementation // Department of Defense Instruction 8500.2. – 2003. – 102 p.
20. PCI DSS Requirements and Security Assessment Procedures. Version 2.0. PCI Security Standards Council LLC – 2010. – 75 p.

Comments are closed.