Аутент_с_исп однораз_пар (1027782)
Текст из файла
Аутентификация с использованием одноразовых паролейВ основе всех методов аутентификации с использованием пароля лежит предположение о том, чтотолько законный пользователь знает свой пароль. При этом идентификатор пользователязлоумышленник зачастую может легко узнать — особенно, если в качестве идентификаторапользователя используется не назначаемый пользователю ID (случайная строка символов,состоящая из букв и цифр), а так называемое "имя пользователя".
Так как обычно "имяпользователя" — это различные варианты комбинации имени и фамилии пользователя, тоопределить его не составляет большого труда. Соответственно, если злоумышленнику удастсяузнать еще и пароль пользователя, то ему будет легко представиться этим пользователем.Недостатки использования многоразовых паролейНасколько бы не был пароль засекреченным, узнать его иногда не слишком трудно.
Злоумышленникможет сделать это, используя различные способы атак, основные из которых приведены ниже:1. Кража парольного файла. Злоумышленникпарольного файла или резервной копии.можетпрочитатьпаролипользователяиз2. Атака со словарем. Злоумышленник, перебирая пароли, производит в (копии) файле паролейпоиск, используя слова из большого заранее подготовленного им словаря. Злоумышленникзашифровывает каждое пробное значение с помощью того же алгоритма, что и программарегистрации.3.
Угадываение пароля. Исходя из знаний личных данных жертвы, злоумышленник пытаетсявойти в систему с помощью имени пользователя жертвы и одного или нескольких паролей,которые она могла бы использовать4. Социотехника. Объектами этой атаки могут быть пользователи или администраторы. В первомслучае злоумышленник представляется администратором и вынуждает пользователя илиоткрыть свой пароль, или сменить его на указанный им пароль. Во втором случаезлоумышленник представляется законным пользователем и просит администратора заменитьпароль для данного пользователя.5.
Принуждение. Для того чтобы заставить пользователя открыть свой пароль, злоумышленникиспользует угрозы или физическое принуждение.6. Подглядывание из-за плеча. Расположенный рядом злоумышленник смотрит за тем, какпользователь вводит свой пароль.7. Троянский конь. Злоумышленник скрытно устанавливает программное обеспечение,имитирующее обычную регистрационную программу, но собирающее имена пользователей ипароли при попытках пользователей войти в систему. Также злоумышленник может скрытноустановить на компьютер пользователя аппаратное средство — sniffer клавиатуры, собирающееинформацию, которую вводит пользователь при входе в систему.8.
Трассировка памяти. Злоумышленникпользователя из буфера клавиатуры.используетпрограммудлякопированияпароля9. Отслеживание нажатия клавиш. Для предотвращения использования компьютеров не поназначению некоторые организации используют программное обеспечение, следящее занажатием клавиш. Злоумышленник может для получения паролей просматривать журналысоответствующей программы.10. Регистрация излучения. Существуют методы, с помощью которых злоумышленник можетперехватывать информацию с монитора путём регистрации излучения, исходящего отэлектронно-лучевой трубки. Кроме того, существуют способы регистрации не тольковидеосигналов.11. Анализ сетевого трафика.
Злоумышленник анализирует сетевой трафик, передаваемый отклиента к серверу, для извлечения из него имен пользователей и их паролей.12. Атака на "золотой пароль". Злоумышленник ищет пароли пользователя, используемые им вразличных системах — домашняя почта, игровые сервера и т.п. Есть большая вероятность того,что пользователь использует один и тот же пароль во всех системахДля каждой из этих атак есть методы защиты. Но большинство из этих защит обладают различныминедостатками — некоторые виды защит достаточно дороги (к примеру, борьба с побочнымэлектромагнитным излучениеми наводками оборудования), другие создают неудобства дляпользователей (правила формирования пароля, использование длинного пароля).
Один извариантов защит от различных атак на аутентификацию по паролю — это переход нааутентификацию с использованием одноразовых паролей.Идея использования одноразовых паролейИдея применения схем одноразовых паролей явилась заметным шагом вперед по сравнению сиспользованием фиксированных паролей. При фиксированном пароле узнавший его злоумышленникможет повторно его использовать с целью выдачи себя за легального пользователя. Частнымрешением этой проблемы как раз и является применение одноразовых паролей: каждый пароль вданном случае используется только один раз.Одноразовые пароли (One-Time Passwords, OTP) — динамическая аутентификационная информация,генерируемая для единичного использования с помощью аутентификационных OTP-токенов(программных или аппаратных).OTP неуязвим для атаки сетевого анализа пакетов, что является значительным преимуществомперед запоминаемыми паролями.
Несмотря на то, что злоумышленник может перехватить парольметодом анализа сетевого трафика, поскольку пароль действителен лишь один раз и в течениеограниченного промежутка времени, у злоумышленника в лучшем случае есть весьма ограниченнаявозможность представиться пользователем посредством перехваченной информации.Для того чтобы сгенерировать одноразовый пароль, необходимо иметь OTP-токен.OTP-токен — мобильное персональное устройство, принадлежащее определённому пользователю,генерирующее одноразовые пароли, используемые для аутентификации данного пользователя.Другим важным преимуществом применения аутентификационных устройств (OTP-токенов) являетсято, что многие из них требуют от пользователя введения PIN-кода.
Введение PIN-кода можетпотребоваться:zдля активации OTP-токена;zв качестве дополнительной информации, используемой при генерации OTP;zдля предъявления серверу аутентификации вместе с OTP.В случае, когда дополнительно используется еще и PIN-код, в методе аутентификации используютсядва типа аутентификационных фактора (на основе "обладания чем-либо" и на основе "знания чеголибо"). В этом случае данный метод будет относиться к двухфакторной аутентификации.Варианты реализации одноразовых паролейСуществует два основных варианта реализации схемы одноразовых паролей:zИспользование разделяемого списка.zВычисление OTP на стороне клиента.Разделяемый список является простейшей схемой применения одноразовых паролей.
В этом случаепользователь и проверяющий используют последовательность секретных паролей, где каждыйпароль используется только один раз. Естественно, данный список заранее распределяется междусторонами аутентификационного обмена. Модификацией этого метода является использованиетаблицы вопросов и ответов, содержащей вопросы и ответы, использующиеся сторонами дляпроведения аутентификации, причем каждая пара должна применяться один раз.
Существеннымнедостаткомэтойсхемыявляетсянеобходимостьпредварительногораспределенияаутентифицирующей информации, а после того как выданные пароли закончатся, пользователюнеобходимо получать новый список. Такое решение, во-первых, не удовлетворяет современнымпредставлениям об информационной безопасности, поскольку злоумышленник может простонапросто украсть или скопировать список паролей пользователя, после чего легко имвоспользоваться. Ну а во-вторых, постоянно ездить за новыми списками паролей вряд ли кому-либопонравится.Вместе с тем, в настоящее время разработано несколько методов реализации технологииодноразовых паролей, исключающих указанные недостатки.
В их основе лежит вычисление OTP настороне клиента и испльзование различных криптографических алгоритмов.Суть метода с вычислением OTP на стороне клиента состоит в следующем:1. Клиент и сервер имеют разделяемый "секрет".2. В процессе аутентификации клиент "доказывает" обладание "секретом", не разглашая его.3. При аутентификации используются криптографические алгоритмы:zФункции хэширования.zСимметричные алгоритмы (криптография с одним ключом) — в этом случае пользователь исервер аутентификации используют один и тот же секретный ключ.zАсимметричные алгоритмы (криптография с открытым ключом) — в этом случае в устройствехранится закрытый ключ, а сервер аутентификации использует соответствующий открытыйключ.Обычно в аутентификационных токенах используются симметричные алгоритмы.
Устройствокаждого пользователя содержит уникальный персональный секретный ключ, используемый дляшифрования некоторых данных (в зависимости от реализации метода) для генерации OTP. Этот жеключ хранится на аутентификационном сервере, которой производит аутентификацию данногопользователя. Сервер шифрует те же данные и сравнивает два результата шифрования:полученный им и присланный от клиента.
Если результаты совпадают, то пользователь проходитпроцедуру аутентификации.Аутентификационные токены, использующие симметричную криптографию, могут работать васинхронном или синхронном режиме. Соответственно методы, используемые аутентификационнымитокенами, можно разделить на две группы:zАсинхронный режим — метод "запрос-ответ".zСинхронный режим:zметод "только ответ";zметод "синхронизация по времени";zметод "синхронизация по событию".Метод "запрос-ответ"В методе "запрос-ответ" OTP являетсяаутентификационного сервера (рис. 1).ответомпользователянаслучайныйзапросотРис. 1. Метод "запрос-ответ"Примерпрохожденияпользователемпроцедурыаутентификационным токеном метода "запрос-ответ":аутентификацияприиспользовании1.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
