МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ “ЛЬВІВСЬКА ПОЛІТЕХНІКА” КАФЕДРА ЗІ / Звіт з лабораторної роботи №2 “ДОСЛІДЖЕННЯ СТІЙКОСТІ СИСТЕМИ ПАРОЛЬНОГО ЗАХИСТУ”  КОРОТКІ ТЕОРЕТИЧНІ ВІДОМОСТІ 1. Захист від несанкціонованого доступу (НСД). Парольна система як невід'ємна складова підсистеми управління доступом системи захисту інформації (СЗІ) є частиною "переднього краю оборони" всієї системи безпеки. Тому парольна система стає одним з перших об'єктів атаки при вторгненні зловмисника в захищену систему. Підсистема управління доступом СЗІ зачіпає наступні поняття: Ідентифікатор доступу - унікальна ознака суб'єкта або об'єкту доступу. Ідентифікація - привласнення суб'єктам і об'єктам доступу ідентифікатора і (або) порівняння ідентифікатора, що пред'являється, з переліком привласнених ідентифікаторів. Пароль - ідентифікатор суб'єкта доступу, який є його (суб'єкта) секретом. Автентифікація - перевірка приналежності суб'єктові доступу пред'явленого ним ідентифікатора; підтвердження достовірності. Можна зустріти і такі тлумачення термінів ідентифікатор і пароль користувача: Ідентифікатор - деяка унікальна кількість інформації, що дозволяє розрізняти індивідуальних користувачів парольної системи (проводити їх ідентифікацію). Часто ідентифікатор також називають ім'ям користувача або ім'ям облікового запису користувача. Пароль - деяка секретна кількість інформації, що відома тільки користувачеві і парольній системі, пред'являється для проходження процедури автентифікації. Обліковий запис - сукупність ідентифікатора і пароля користувача. Одним з найбільш важливих компонентів парольної системи є база даних облікових записів (база даних системи захисту). Можливі наступні варіанти зберігання паролів в системі: - у відкритому вигляді; - у вигляді хэш-значень (hash (англ.) - суміш, мішанина); - зашифрованими на деякому ключі. Найбільший інтерес представляють другий і третій способи, які мають ряд особливостей. Хешування не забезпечує захист від підбору паролів по словнику у разі отримання бази даних зловмисником. При виборі алгоритму Хешування, який буде використаний для обчислення хэш-значень паролів, необхідно гарантувати неспівпадання хэш-значень, отриманих на основі різних паролів користувачів. Крім того, слід передбачити механізм, що забезпечує унікальність хэш-значень в тому випадку, якщо два користувача вибирають однакові паролі. Для цього при обчисленні кожного хэш-значення зазвичай використовують деяку кількість "випадкової" інформації, наприклад, видаваною генератором псевдовипадкових чисел. При шифруванні паролів особливе значення має спосіб генерації і зберігання ключа шифрування бази даних облікових записів. Можливі наступні варіанти: - ключ генерується програмно і зберігається в системі, забезпечуючи можливість її автоматичного перезавантаження; - ключ генерується програмно і зберігається на зовнішньому носієві, з якого прочитується при кожному запуску; - ключ генерується на основі вибраного адміністратором пароля, який вводиться в систему при кожному запуску. Найбільш безпечне зберігання паролів забезпечується при їх хешируванні і подальшому шифруванні отриманих хэш-значень, тобто при комбінації другого і третього способів зберігання паролів в системі. 2. Парольна система. Який пароль можна однозначно назвати слабким в усіх відношеннях (за винятком властивості їх запам’ятовуввання)? Типовий приклад: пароль з невеликої кількості (до 5) символів/цифр. За деякими даними, з 967 паролів одного із зламаних поштових серверів мережі Інтернет 335 (майже третина) складалася виключно з цифр. Кількість паролів, які включали букви і цифри виявилася рівною 20. Решта паролів складалася з букв в основному в нижньому регістрі та за рідкісним виключенням (в кількості 2 паролів) таких, що включають спецсимволи ("*", "_"). Символ "_", проте, часто зустрічався в іменах користувачів. У 33 випадках ім'я і пароль користувача співпадали. Найпопулярнішим виявився пароль 123 (зустрічався 35...