ТОКБ лаба1

Министерство образования и науки РФ

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ

УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-

вычислительных систем (КИБЭВС)

отчет

по лабораторной работе №1

ПАРОЛЬНЫЕ СИСТЕМЫ ЗАЩИТЫ

Выполнила:

студентка гр. 520-2

______________ Джурко Е.Д.

« »________2013 г.

Приняла:

_____________ Миронова В.Г.

« »________2013 г.

Томск 2013

Цель работы: изучение структуры, характеристик, сильных и слабых сторон парольных систем защиты операционных систем, офисных пакетов, архиваторов.

Задачи:

• изучить теоретические сведения по теме;

• решить практические задачи по определению параметров стойкости парольных систем;

• использовать полученные навыки в работе с парольными системами.

Краткие теоретические сведения

В повседневной жизни современному человеку приходится держать в памяти немалое количество информации: пин-коды к банковской карте и мобильному телефону, комбинации кодовых замков, пароль для доступа в Интернет, к ресурсам разного рода, электронным почтовым ящикам. Все ли пароли необходимо держать в памяти? Все зависит от оценки уровня потерь в результате попадания вашего пароля в чужие руки.

Повышение требований к паролю возникает из-за степени его важности. Примером "важного пароля" служит пароль, применяемый для работы в автоматизированных системах, обрабатывающих информацию ограниченного доступа (государственная тайна, конфиденциальная информация). Руководящие документы Гостехкомиссии России не дают конкретных рекомендаций по выбору пароля или расчету его стойкости, за исключением длины, которая составляет от 6 (класс 3Б, 3А, 2Б, 2А) до 8 (класс 1Б, 1А) буквенно-цифровых символов и необходимости периодической смены пароля.

Для численной оценки параметров парольной системы защиты используются следующие показатели:

A — мощность алфавита паролей, т. е. то множество знаков, которое может применяться при вводе пароля.

L — длина пароля (в знаках). Может изменяться для обеспечения заданной стойкости парольной системы.

S — мощность пространства паролей, т. е. множество всех возможных паролей в системе.

Мощность пространства паролей связана с мощностью алфавита паролей и длиной паролей следующим выражением:

S=A^L.

V — скорость подбора пароля (соответственно различают скорость подбора пароля для интерактивного (1-5 паролей /секунду) и неинтерактивного (10 и > паролей /секунду) подбора паролей).

T — срок действия (жизни) пароля (обычно задается в днях).

P — вероятность подбора пароля в течение срока его действия.

Вероятность подбора пароля можно определить следующим образом:

P=V*T/S

Итак, какой же пароль сможет оказать достойное сопротивление попыткам его подбора? Длинный, состоящий из букв разного регистра, цифр и спецсимволов. При этом он должен быть случайным, т.е. выбор символов осуществляется произвольно (без какой бы то ни было системы) и более нигде не использоваться, при этом единственным местом фиксации пароля должна быть голова единственного человека. Однако необходимо учитывать и вопросы практического использования пароля. Очень длинный пароль сложно запомнить, особенно, если учесть тот факт, что пользователю приходится иметь не один пароль. Осуществить быстрый ввод длинного пароля также не представляется возможным. Произвольно выбранные символы запомнятся, если их произнесение вслух имеет запоминаемую звуковую форму (благозвучие) или они имеют характерное расположение на клавиатуре, в противном случае без шпаргалки не обойтись. Помочь пользователю составить пароль по определенным критериям могут программы генерации паролей. Большинство СЗИ обладает следующими возможностями по увеличению эффективности парольной системы:

• установление минимальной длины пароля;

• установление максимального срока действия пароля;

• установление требования неповторяемости паролей (препятствует замене пароля по истечении его срока действия на один из используемых ранее);

• ограничение числа попыток ввода пароля (блокирует пользователя после превышения определенного количества попыток ввода, осуществляемых подряд; не действует на учетную запись администратора).

Для того чтобы осложнить задачу злоумышленника по получению базы данных системы защиты многие СЗИ хранят ее в энергонезависимой памяти своей аппаратной части. Некоторые комплексы защиты информации от НСД содержат встроенные механизмы генерации паролей и доведения их до пользователей. Очевидным минусом и основным фактором, толкающим пользователя записать пароль, является невозможность запоминания «абракадабры» из, к примеру, 8 буквенно-цифровых символов никак не связанных между собой. В случае если пользователю самостоятельно необходимо сформировать пароль, в качестве критериев выбора пароля можно выделить следующие:

• использование букв разных регистров;

• использование цифр и спецсимволов совместно с буквами.

• при составлении пароля не рекомендуется использовать:

• свое регистрационное имя, в каком бы то ни было виде (как есть, обращенное, заглавными буквами, удвоенное, и т.д.);

• свое имя, фамилию или отчество в каком бы то ни было виде;

• имена близких родственников;

• информацию о себе, которую легко можно получить. Она включает номера телефонов, номера лицевых счетов, номер вашего автомобиля, название улицы, на которой вы живете, и т.д.;

• пароль из одних цифр или из одних букв;

• слово, которое можно найти в словарях.

Содержание работы

Вариант 3.

Задание

4. Определить время перебора всех словарных паролей (объем словаря равен 1 000 000 слов), если скорость перебора составляет 100 паролей/сек.

Время перебора всех словарных паролей – 2 часа 47 минут.

2. Определить время перебора всех паролей с параметрами.

Алфавит состоит из A символов.

Длина пароля символов L.

Скорость перебора V паролей в секунду.

После каждого из m неправильно введенных паролей

идет пауза в v секунд

A	L	V	m	v
52	6	30	5	10

Время полного перебора – 63 года.

3. Определить минимальную длину пароля, алфавит которого состоит из A символов, время перебора которого было не меньше T лет. Скорость перебора V паролей в секунду.

A	T	V
52	60	30

Число символов не может быть дробным. Округляем в большую сторону и получаем, что минимальная длина пароля 7 символов.

4. Определить количество символов алфавита, пароль состоит из L символов, время перебора которого было не меньше T лет. Скорость перебора V паролей в секунду.

L	T	V
10	60	30

Подобно предыдущему пункту, округляем полученное значение в большую сторону. Количество символов алфавита должно быть не меньше 12.

Заключение

В ходе проделанной работы были изучены теоретические сведения о парольных системах защиты; решено 4 практических задачи, требовавших вывод формул; наглядно оценены количественные меры параметров систем защиты.