Парольная защита персональных данных. Защита данных с использованием пароля Критерии стойкости пароля
Автор статьи
Компаниец Елизавета, ученица МБОУ СОШ №28, 11 класса А
Цели
Какова история паролей?
Как пароли защищают данные на компьютерах и дисках?
Как хакеры взламывают пароли?
Как сделать пароль устойчивый к взломам?
Гипотеза
Пароль является наиболее приемлемым и потому наиболее часто используемым средством установления подлинности, основанным на знаниях субъектов доступа.
Защита данных с использованием компьютера
История паролей
Пароль (фр. parole - слово) - это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя - пароль» используется для удостоверения пользователя Пароли использовались с древнейших времён.
Полибий описывает применение паролей в Древнем Риме следующим образом:
То, каким образом они обеспечивают безопасное прохождение ночью выглядит следующим образом: из десяти манипул каждого рода пехоты и кавалерии, что расположено в нижней части улицы, командир выбирает, кто освобождается от несения караульной службы, и он каждую ночь идёт к трибуну, и получает от него пароль - деревянную табличку со словом. Он возвращается в свою часть, а потом проходит с паролем и табличкой к следующему командующему, который в свою очередь передает табличку следующему.
Для предотвращения несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Компьютер разрешает доступ к своим ресурсам только тем пользователям, которые зарегистрированы и ввели правильный пароль. Каждому конкретному пользователю может быть разрешен доступ только к определенным информационным ресурсам. При этом может производиться регистрация всех попыток несанкционированного доступа.
Защита доступа к компьютеру.
Защита пользовательских настроек имеется в операционной системе Windows (при загрузке системы пользователь должен ввести свой пароль), однако такая защита легко преодолима, так как пользователь может отказаться от введения пароля. Вход по паролю может быть установлен в программе BIOS Setup , компьютер не начнет загрузку операционной системы, если не введен правильный пароль. Преодолеть такую защиту нелегко, более того, возникнут серьезные проблемы доступа к данным, если пользователь забудет этот пароль.
Защита данных на дисках.
Каждый диск, папка и файл локального компьютера, а также компьютера, подключенного к локальной сети, может быть защищен от несанкционированного доступа. Для них могут быть установлены определенные права доступа (полный, только чтение, по паролю), причем права могут быть различными для различных пользователей.
Взлом компьютерных паролей
Взлом пароля является одним из распространенных типов атак на информационные системы, использующие аутентификацию по паролю или паре «имя пользователя-пароль». Суть атаки сводится к завладению злоумышленником паролем пользователя, имеющего право входить в систему. Привлекательность атаки для злоумышленника состоит в том, что при успешном получении пароля он гарантированно получает все права пользователя, учетная запись которого была скомпрометирована, а кроме того вход под существующей учетной записью обычно вызывает меньше подозрений у системных администраторов. Технически атака может быть реализована двумя способами: многократными попытками прямой аутентификации в системе, либо анализом хэшей паролей, полученных иным способом, например перехватом трафика. При этом могут быть использованы следующие подходы:
Прямой перебор. Перебор всех возможных сочетаний допустимых в пароле символов. Например, нередко взламывается пароль «qwerty» так как его очень легко подобрать по первым клавишам на клавиатуре.
Подбор по словарю. Метод основан на предположении, что в пароле используются существующие слова какого-либо языка либо их сочетания.
Метод социальной инженерии. Основан на предположении, что пользователь использовал в качестве пароля личные сведения, такие как его имя или фамилия, дата рождения и т. п. Напр. Вася Пупкин, 31.12.1999 г.р. нередко имеет пароль типа «vp31121999» или «vp991231». Для проведения атаки разработано множество инструментов, например, John the Ripper.
Критерии стойкости пароля
Исходя из подходов к проведению атаки можно сформулировать критерии стойкости пароля к ней. Пароль не должен быть слишком коротким, поскольку это упрощает его взлом полным перебором. Наиболее распространенная минимальная длина - восемь символов. По той же причине он не должен состоять из одних цифр.
Пароль не должен быть словарным словом или простым их сочетанием, это упрощает его подбор по словарю.
Пароль не должен состоять только из общедоступной информации о пользователе.
В качестве рекомендацией к составлению пароля можно назвать использование сочетания слов с цифрами и специальными символами (#, $, * и т. д.), использование малораспространенных или несуществующих слов, соблюдение минимальной длины.
Вывод
Пароли используются с первых дней их создания по сей день. Они успешно помогают нам защищать информацию от несанкционированных доступов.
Какие требования предъявляются к организации парольной защиты информации в образовательном учреждении?
Организационное и техническое обеспечение процессов использования, смены и прекращения действия паролей, а также контроль работы с паролями в образовательном учреждении целесообразно поручить системному администратору.
Личные пароли желательно генерировать и распределять централизованно. Однако пользователи информационной системы могут выбирать их самостоятельно с учетом следующих требований:
- длина пароля должна быть не менее 8 символов;
- среди символов обязательно должны присутствовать буквы (в верхнем и нижнем регистрах) и цифры;
- пароль не должен содержать легко вычисляемые сочетания символов (имена, фамилии, известные названия, жаргонные слова и т. д.), последовательности символов и знаков, общепринятые сокращения, аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие сочетания букв и знаков, которые можно угадать, основываясь на информации о пользователе;
- личный пароль пользователь не имеет права сообщать никому.
В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за их правильность возлагается на системного администратора образовательного учреждения.
При наличии технологической необходимости использования пароля работника в его отсутствие, рекомендуется при первой же возможности поменять пароль и передать его на хранение лицу, ответственному за информационную безопасность, в запечатанном конверте. Опечатанные конверты с паролями должны храниться в сейфе.
В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен удалить его учетную запись сразу же после окончания последнего сеанса работы с информационной системой .
Срочная (внеплановая) смена паролей должна производиться в случае прекращения полномочий администраторов информационной системы и других сотрудников, которым были предоставлены полномочия по управлению парольной защитой.
В образовательном учреждении рекомендуется разработать инструкцию по организации парольной защиты информации, с которой владельцы паролей должны быть ознакомлены под роспись. В инструкции необходимо определить меры безопасности, соблюдение которых позволит не допустить утечки информации. Приведем возможную формулировку.
Запрещается записывать пароли на бумаге, в файле и других носителях информации. При вводе пароля пользователь не должен произносить его вслух.
Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.
Хранение пароля на бумажном носителе допускается только в сейфе.
Владельцы паролей должны быть предупреждены об ответственности за использование паролей, не соответствующих установленным в учреждении требованиям, а также за разглашение парольной информации.
Официальный источник
Каким образом осуществляется мониторинг информационной безопасности автоматизированных систем, обрабатывающих персональные данные в образовательном учреждении? Мониторинг работоспособности аппаратных компонентов автоматизированных систем, обрабатывающих персональные данные, осуществляется в процессе их администрирования и при проведении работ по техническому обслуживанию оборудования. Наиболее существенные компоненты системы (серверы, активное сетевое оборудование) должны контролироваться постоянно в рамках работы администраторов соответствующих систем.
Мониторинг парольной защиты предусматривает: установление сроков действия паролей (не более 3 месяцев); периодическую (не реже 1 раза в месяц) проверку пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей, которые легко угадать или дешифровать с помощью специализированных программных средств (взломщиков паролей).
Мониторинг целостности программного обеспечения включает следующие действия:
- проверку контрольных сумм и цифровых подписей каталогов и файлов сертифицированных программных средств при загрузке операционной системы;
- обнаружение дубликатов идентификаторов пользователей;
- восстановление системных файлов администраторами систем с резервных копий при несовпадении контрольных сумм.
Предупреждение и своевременное выявление попыток несанкционированного доступа осуществляется с использованием средств операционной системы и специальных программных средств и предусматривает:
- фиксацию неудачных попыток входа в систему в системном журнале;
- протоколирование работы сетевых сервисов;
- выявление фактов сканирования определенного диапазона сетевых портов в короткие промежутки времени с целью обнаружения сетевых анализаторов, изучающих систему и выявляющих ее уязвимости.
Мониторинг производительности автоматизированных систем, обрабатывающих персональные данные, производится по обращениям пользователей, в ходе администрирования систем и проведения профилактических работ для выявления попыток несанкционированного доступа, повлекших существенное уменьшение производительности систем.
Системный аудит производится ежеквартально и в особых ситуациях. Он включает проведение обзоров безопасности, тестирование системы, контроль внесения изменений в системное программное обеспечение.
Официальный источник
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (ред. от 25.07.2011)
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 17.11.2007 № 781
- Положение о методах и способах защиты информации в информационных системах персональных данных, утв. приказом ФСТЭК от 05.02.2010 № 58
Приветствую всех, кто смотрит данное видео!
Это не первоя моя статья, но в области обучения пользователей не делать глупостей первая.
В данном видео и тексте статьи я расскажу и покажу, что следует делать а чего не следует, при вводе пароля, или же его выборе.
Пароли бывают разные, кто то хранит их в голове, кто то записывает на бумажке, кто то в текстовые документы.
Хранить пароли в голове означает следующее:
пароли будут:
1. небольшой длины;
2. на разных ресурсах одинаковые,
а следовательно если вы регистрируетесь на почте, а потом в чате, то человек после взлома чата получит доступ к вашей почте, что не есть гуд…
хранить пароли на бумажке, то же не вариант, хотя он и лучше первого, но так как даже от книг на бумажных носителях мы уходим в сторону,
электронных носителей информации, то предлагаю хранить пароли в текстовом виде.
У этого метода тоже есть недостаток как и плюсы.
Недостаток: злоумышленик получив доступ к вашему файлу с паролями узнает все ресурсы и может получить доступ от вашего имени.
Достоинства: получить дотуп к ресурсам (сторонним сложнее) так как можно создавать сложные пароли и не бояться забыть их
Можно улучшить данный метод, запомнив 1 сложный 10 значный пароль или того больше,
и просто использовать его для рассшифровки запароленного архива с паролями.
Покажу позже…
А теперь покажу на сколько сложно может быть расшифровать нормальный пароль.
В настоящее время придумано достаточно много алгоритмов для шифрования. Самым популярным на мой взгляд является MD5 и его модификации.
Возьмём для примера разные пароли и их хеши, и попробуем рассшифровать, и наглядно посмотрим, сколько на это уйдёт времени.
И так, теперь будем рассшифровывать и смотреть на время…
сначало будем использовать только цифры, а потом увеличивать сложность…
Доли секунды…
То же самое…
То же самое, но мы знаем что пароль содержит только цифры, а если бы он содержал и знаки то ушло бы куда больше времени…
Следующий пароль…
Пароль по цифрам не нашли… подключим символы… нижний регистр…
добавили 1 символ (не цифру и вот как это уложнило процесс)
На довольно таки не слабой машине, пароль в 8 символов с импользованием букв верхнего и нижнего регистра будет рассшифровываться очень и очень долго, и это при условии что МД5 не модифицирован…
Жаль не на каждом сайте/сервисе/сервере можно использовать дополнительные символы…
Внимание на экран, вот как они их использование усложнило бы процесс прямого перебора…
С их использованием пароль практически не уязвим, если конечно для его рассшифровки не используют суперкомпьютеры
И как обещал показываю как можно хранить пароли для доступа к ресурсам зная один пароль:
Такой пароль конечно сложно запомнить, поэтому немного упростим его… чуть позже
w1W4W5a$4PYi
При использовании такого пароля ваши пароли будут в безопасности.
Можно сократить как я и говорил до 10 символов… Ну или так…
Запомнить легче, собственно как и взломать, но не думаю что специально ваши пароли будут взламываться
Да, и имя файла «Пароли» привлечёт внимание, поэтому смените имя на какое нибудь менее броское…
Вот собственно и всё!