Перечислите атрибутивные идентификаторы, используемые для идентификации субъекта доступа в кс, и коротко дайте им определение. Перечислите рекомендации для организации парольной защиты.
Идентификатор пользователя - символьное или цифровое имя, присваиваемое отдельному лицу или группе лиц и разрешающее использование ресурсов информационной системы.
Логин, смарт-карта, штрих-код, биометрические данные.
Логин – это имя, которое вы выбираете для регистрации в системе или имя, которое система вам сама присваивает.
смарт-карта - представляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.
Штрих код – это набор геометрических символов, расположенных по определенному стандарту. Как правило, представляет собой вертикальные прямоугольники различной ширины. Набор таких прямоугольников представляет данные в машинном коде.
Биометрия — технология идентификации личности, использующая физиологические параметры субъекта.
Активно используются следующие биометрические признаки:
Отпечатки пальцев
Сетчатка глаза
Особенности голоса
Форма и размеры лица
Биометрическая форма кисти руки
Пароли — основной способ определения подлинности пользователя. Вот почему парольная защита чрезвычайно важна для защиты.
Рекомендации по парольной защите:
Придумывайте пароль длиной не меньше восьми символов — Чем длиннее пароль, тем лучше. Если вы используете пароли MD5, следует выбирать пароли из 15 символов и длиннее. Используя пароли DES, создавайте их максимально длинными (восемь символов).
Смешивайте буквы верхнего и нижнего регистра — Система Red Hat Enterprise Linux чувствительна к регистру, поэтому смешивайте регистр, чтобы усилить свой пароль.
Смешивайте буквы и цифры — Добавив пароли цифры, особенно, вставляя их в середину (а не просто в начало или конец), вы также увеличиваете стойкость пароля.
Включайте не алфавитно-цифровые символы — Специальные символы (например, &, $ и >) значительно усиливают пароль (их нельзя использовать в паролях DES).
Придумайте пароль, который вы можете запомнить — Лучший в мире пароль вовсе не хорош, если вы не можете его запомнить; используйте сокращения или другие приёмы, облегчающие запоминание паролей.
В организации пароли может создавать системный администратор, либо сами пользователи, но предварительно его согласовав с администратором.
Срок действия пароля необходимо ограничить. Ограничение срока действия означает, что по ис течении заданного времени (обычно 90 дней) пользователю предлагается сменить пароль. Смысл этого состоит в том, что если пользователь будет вынужден периодически менять пароль. Подобранный взломщиком пароль будет действовать ограниченное время.
В чем заключается процедура простой аутентификации, какими способами она производится, поясните схематично ее реализацию с использованием пароля.
Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки.
Аутентификация на основе многоразовых паролей – простой и наглядный пример использования разделяемой информации.
Пока в большинстве защищенных виртуальных сетей VPN доступ клиента к серверу разрешается по паролю, однако все чаще применяются более эффективные средства аутентификации, например программные и аппаратные системы управления аутентификацией, основанные на применении одноразовых паролей, СМАРТ-карт, PIN-кодов и цифровых сертификатов.
Базовый принцип «единого входа» предполагает достаточность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам.
Поэтому в современных операционных системах предусматривается централизованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы единую базу данных. В этой базе данных хранятся учетные данные о пользователях сети, включающие идентификаторы и пароли пользователей, а также другую информацию.
В схеме простой аутентификации, представленной на рисунке, передача пароля и идентификатора пользователя может производиться следующими способами:
В незашифрованном виде (например, согласно протоколу парольной аутентификации PAP (Password Authentification Protocol) пароли передаются по каналам связи в открытой незащищенной форме).
В защищенном виде (все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены по средствам шифрования или однонаправленной функции шифрования).
Чтобы защитить пароль его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования Ek и расшифровывания Dk, управляемые разделяемым секретным ключом К.
Проверка подлинности пользователя основана на сравнении присланного пользователем пароля РА и исходного значения РА́, хранящегося на сервере аутентификации. Если значения РА́ совпадают с РА, то пароль РА считается подлинным, а пользователь А – законным.
Схемы организации простой аутентификации отличаются не только методами передачи паролей, но и видами их хранения и проверки.
Наиболее распространенным способом является хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи, например при помощи описания соответствующих привилегий в списках контроля доступа операционной системы.
При этом способе не используются криптографические механизмы, такие как шифрование или однонаправленные функции шифрования. Недостатком этого способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам и в частности к файлу паролей.
Пароли пользователей не должны храниться в операционной системе в открытом виде.
Предпочтительным является применение метода передачи и хранение паролей с использованием односторонних функций шифрования. Обычно для шифрования паролей в списке пользователей используют одну из известных, криптографически стойких хэш-функций. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения паролю хэш-функции.
Однонаправленность хэш-функции не позволяет восстановить пароль по образу пароля, но позволяет, вычислив хэш-функцию, получить образ введенного пользователем пароля и таким образом проверить правильность введенного пароля.
Пароли — основной способ определения подлинности пользователя. Вот почему парольная защита чрезвычайно важна для защиты.
Рекомендации по парольной защите:
Придумывайте пароль длиной не меньше восьми символов — Чем длиннее пароль, тем лучше. Если вы используете пароли MD5, следует выбирать пароли из 15 символов и длиннее. Используя пароли DES, создавайте их максимально длинными (восемь символов).
Смешивайте буквы верхнего и нижнего регистра — Система Red Hat Enterprise Linux чувствительна к регистру, поэтому смешивайте регистр, чтобы усилить свой пароль.
Смешивайте буквы и цифры — Добавив пароли цифры, особенно, вставляя их в середину (а не просто в начало или конец), вы также увеличиваете стойкость пароля.
Включайте не алфавитно-цифровые символы — Специальные символы (например, &, $ и >) значительно усиливают пароль (их нельзя использовать в паролях DES).
Придумайте пароль, который вы можете запомнить — Лучший в мире пароль вовсе не хорош, если вы не можете его запомнить; используйте сокращения или другие приёмы, облегчающие запоминание паролей.
В организации пароли может создавать системный администратор, либо сами пользователи, но предварительно его согласовав с администратором.
Срок действия пароля необходимо ограничить. Ограничение срока действия означает, что по ис течении заданного времени (обычно 90 дней) пользователю предлагается сменить пароль. Смысл этого состоит в том, что если пользователь будет вынужден периодически менять пароль. Подобранный взломщиком пароль будет действовать ограниченное время.