Парольная защита:

прошлое, настоящее,

будущее

Безмалый В.Ф.Microsoft Security Trusted Advisor

MVP Consumer Securityvladb@windowslive.com

http://vladbez.spaces.live.com

Требования к паролю в ОС Windows

длина пароля должна составлять не менее 10 символов;в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы;время жизни пароля должно составлять не более 42 дней;пароли не должны повторяться.

Что такое парольный взломщик?

Наиболее эффективным является метод взлома парольной защиты операционной системы (в дальнейшем - ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. В ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. И тогда ему на помощь приходят так называемые парольные взломщики - специализированные программы, которые служат для взлома паролей операционных систем.

Как работает парольный взломщик?

Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный алгоритм взлома, чем перебор возможных вариантов. Парольные взломщики шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой ОС.Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора.

Для более эффективного подбора паролей взломщики используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.(Большой набор словарей можно найти на сайте http://www.password.ru) К каждому слову из словаря парольный взломщик применяет одно или несколько правил:

производится попеременное изменение буквенного регистра, в котором набрано слово;

порядок следования букв в слове меняется на обратный; в начало и в конец каждого слова приписывается цифра 1; некоторые буквы изменяются на близкие по начертанию цифры.

В результате, например, из слова password получается pa55w0rd).

Взлом операционных

систем(на примере Windows

2000/XP/2003)

База данных учетных записей пользователей

База данных SAM (Security Account Management Database) представляет собой один из разделов (hive) системного реестра (registry) Windows 2000/XP/2003. Этот раздел принадлежит ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM.Располагается в каталоге \winnt_root\System32\Config в файлеSAM. Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows нельзя, т. к. доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows XP/2003.

Хранение паролей пользователей

В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Windows 2000/XP/2003 и LAN).В методе Windows 2000/XP/2003 строка символов пользовательского пароля хешируется с помощью функции MD4. В результате на выходе MD4 получается так называемая «выжимка» исходной последовательности, имеющая длину 128 бит.

Хранение паролей пользователей

В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность - хешированный пароль Windows 2000/XP/2003. Эта последовательность шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. При этом в качестве ключа используется так называемый относительный идентификатор пользователя (Relative Identifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM.

Возможные атаки на базу данных SAM

Основным объектом атаки являются административные полномочия. Их можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. По умолчанию в Windows 2000/XP/2003 доступ к файлу \winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование файлов и каталогов Windows 2000/XP/2003 может перенести этот файл.

Возможные атаки на базу данных SAM

Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT Resource Kit. Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair.

Для восстановления пользовательских паролей ОС Windows 2000/XP/2003 в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также используют комбинированный метод взлома парольной защиты, когда в качестве словаря задействуется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем.

Задание параметров атаки по словарю

Обычное использование словаря;Записанные дважды слова;Обратный порядок символов слов;Усеченные до заданного количества символов слова;Слова без гласных, за исключением заглавной;Транслитерация русских букв латинскими по заданной таблице транслитерации;Замена раскладки локализации латинской раскладкой клавиатуры;Замена латинской раскладки клавиатуры раскладкой локализации;А также множество других параметров взлома.

Расчет вероятности взлома пароля Windows 2000/XP/2003

Согласно рекомендаций по безопасности Windows XP (Державна експертиза з технічного захисту інформації операційної системи Windows XP Professional SP2 (шифр - "Експертиза WXPSP2") время жизни пароля (параметр политики паролей «Требовать неповторяемость паролей» (Enforce password history)) должен составлять 42 дня. Согласно того же документа параметр «Минимальная длина пароля» (Minimum password lengths) должен составлять для АС (автоматизированной системы):

одиночного компьютера без локальной сети - 7 символов; локальная сеть без выхода в Интернет - 8 символов; сеть с выходом в Интернет - 12 символов.

Время взлома пароля в суткахЧисло символов

Длина пароля 7

Длина пароля 8

Цифры 10 0 0.0001

Маленькие (большие) буквы

26 0.064 0.1664

Цифры и маленькие буквы

36 0.0624 2.248

Цифры, маленькие и большие буквы

62 2.8062 173.9838

Цифры, маленькие и большие буквы и спецсимволы

72 7.9929 575,4866

Вероятность взлома пароляЧисло символов

Длина пароля 7

Длина пароля 8

Цифры 10 100% 100%

Маленькие (большие) буквы

26 100% 100%

Цифры и маленькие буквы

36 100% 100%

Цифры, маленькие и большие буквы

62 100% 24.14%

Цифры, маленькие и большие буквы и спецсимволы

72 100% 7.3%

Классификация средств идентификации и аутентификации.

Причины слабого распространения

биометрических систем на Украине

стоимость подобных систем;отсутствие хорошо подготовленного, профессионального, персонала;сложность настройки подобных систем;противодействие со стороны персонала, так как руководство получает возможность контролировать все перемещения персонала и фактически производить контроль рабочего времени.

Особенности электронных систем идентификации и

аутентификациисмарт-карта – требует для подключения к компьютеру PC/SC совместимое устройство чтения смарт-карт.;USB-ключ – напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для её считывания.

Область применения eToken

Строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам Web-сайтов, защищенным хранилищам, шифрованным дискам и пр.;Вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, Unix, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino);Внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в Удостоверяющих центрах – хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты);

Область применения eToken

Построение систем документооборота, защищённых почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) - ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей;Организация защищённых каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами;Межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) – аутентификация пользователей;

Область применения eToken

Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации;Единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle – строгая двухфакторная аутентификация;Защита Web-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) – аутентификация пользователей, генерация ключей, обмен ключами;Управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) - eToken является единым универсальным идентификатором для доступа к различным приложениям;Поддержка унаследованных приложений и разработка собственных решений в области ИБ.

USB-ключи, представленные на рынке

eToken R2, eToken PRO – компания Aladdin;iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies;ePass 1000 ePass 2000 – фирма Feitian Technologies;ruToken – разработка компании «Актив» и фирмы «АНКАД»;uaToken - компания ООО «Технотрейд».

Бесконтактные смарт-картыБесконтактные смарт-карты (БСК) используются в различных приложениях и широко распространены в мире как для аутентификации, так и для различных транспортных, идентификационных, расчетных и дисконтных приложений.Важным свойством БСК, выделяющим ее среди других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. С одной стороны это позволяет пользователю удобно и быстро произвести транзакцию, но с другой стороны при попадании карты в поле антенны, карта вовлекается в процесс обмена информацией, независимо от того желал этого пользователь или нет.

Начальная последовательность команд для работы с картой

"захват" карты (выбирается первая, находящаяся в поле антенны считывателя, карта), если необходимо – включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный серийный номер "захваченной" карты, точнее - уникальный номер встроенной в карту микросхемы),выбор карты с данным серийным номером для последующей работы с памятью карты или ее серийным номером.Указанная последовательность команд выполняется за 3 мс, т.е. практически мгновенно.

Начальная последовательность команд для работы с картой

Аутентификация выбранной области памяти карты. Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька за 9-10 мс. Типичная транзакция, начинающаяся с "захвата" карты и приводящая к изменению 16 байтов памяти совершается максимум за 16 мс. Для аутентификации сектора памяти карты используется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2.

Процесс аутентификации

На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте.Карта расшифровывает полученное сообщение, сравнивает "свое" случайное число с числом, полученным в сообщении, при совпадении заново зашифровывает сообщение и направляет считывателю. Считыватель расшифровывает послание карты, сравнивает "свое" случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной.

Типы бесконтактных карт

Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации.Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем.Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер.

Комбинированные системы

системы на базе бесконтактных смарт-карт и USB-ключей;системы на базе гибридных смарт-карт;биоэлектронные системы

Виды комбинированных идентификаторов

В корпус брелка USB-ключа встраивается антенна и микросхема для создания бесконтактного интерфейса. Это позволит организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Данная схема использования идентификатора позволит исключить ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что позволит работать под его идентификатором. На сегодня наиболее распространены два идентификатора подобного типа:

RFiKey – компания Rainbow Technologies; eToken PRO RM – компания Aladdin Software Security R.D.

Применение eToken для контроля физического доступаRFID-технология (Radio Frequency IDentification, радиочастотная идентификация) является наиболее популярной на сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13.56 МГц, например, производства «Ангстрем» или HID.

Применение гибридных смарт-карт для контроля

физического доступаГибридные смарт-карты содержат разнородные чипы. Один чип поддерживает контактный интерфейс, другой – бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: доступ в помещение и доступ к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что делает возможным полностью заменить обычные пропуска и перейти к единому "электронному пропуску”.

Биоэлектронные системыДля защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем – биометрической и контактной на базе смарт-карт или USB-ключей. Биометрия – это идентификация пользователя по уникальным, присущим только данному пользователю, биологическим признакам. Такие системы являются самыми удобными с точки зрения самих пользователей, так как им не нужно ничего запоминать и такие характеристики весьма сложно потерять.При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает определенный биологический параметр.

Примеры биометрических характеристик

Форма лица (овал, форма и размер отдельных деталей лица).Геометрические параметры лица - расстояния между его определенными точками. Узор подкожных кровеносных сосудов на термограмме лица.Структура радужной оболочки глаза.Узор кровеносных сосудов на сетчатке.

Примеры биометрических характеристик

Форма уха (контур и наклон, козелок и противокозелок, форма и прикрепление мочки и т.д.).Геометрические параметры уха - расстояния между определенными точками на ухе. Геометрия руки - ширина, длина, высота пальцев, расстояниямежду определенными точками.Неровности складок кожи на сгибах пальцев тыльной стороныкисти руки.

Примеры биометрических характеристик

Рисунок вен на тыльной стороне кисти руки, получаемый при инфракрасной подсветке.Узор на ладони. Папиллярный узор как целостный образ.Параметры пространственно-частотного спектрапапиллярного узора Подпись как двумерный бинарный образ.Подпись как функция двух координат.Динамика подписи (сила нажима и координата времени).

Экспертная оценка свойств биометрических характеристик

человекаИсточник БХЧ

Универсальность

Уникальность

Стабильность

Собираемость

Видеообраз +++ + ++ +++

Термограмма

+++ +++ + ++

Отпечаток +++ +++ +++ ++

Рука ++ ++ ++ +++

РОГ ++ +++ +++ ++

Сетчатка +++ +++ ++ +

Подпись + + + +++

Голос ++ + + ++

Губы +++ +++ ++ +

Уши ++ ++ ++ ++

Динамика ++ +++ + +++

Походка +++ ++ + +

Распознавание по отпечаткам пальцев

Самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации). Ведущие производители оконечного оборудования (сканеров отпечатков пальцев):BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/;Bioscrypt, http://www.bioscrypt.com/;DigitalPersona, http://www.digitalpersona.com/;Ethentica, http://www.ethentica.com/;

Распознавание по форме рукиДанный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), получаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека. Ведущие производители:Recognition Systems, http://www.recogsys.com/, http://www.handreader.com/;BioMet Partners, http://www.biomet.ch/.

Распознавание по радужной оболочке глаза

Этот метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, позволяющее выделить из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека. Ведущие производители:Iridian - крупнейший производитель в данной области, на решениях этой компании базируются практически все разработки других: LG, Panasonic, OKI, Saflink и т. д., http://www.iridiantech.com/.

Распознавание по форме лицаВ данном статическом методе идентификации строится двух- или трехмерный образ лица человека. С помощью камеры и специализированного программного обеспечения на изображении или наборе изображений лица выделяются контуры бровей, глаз, носа, губ и т. д., вычисляются расстояния между ними и другие параметры, в зависимости от используемого алгоритма. По этим данным строится образ, преобразуемый в цифровую форму для сравнения. Количество, качество и разнообразие (разные углы поворота головы, изменения нижней части лица при произношении ключевого слова и т. д.) считываемых образов может варьироваться в зависимости от алгоритмов и функций системы, реализующей данный метод. Ведущие производители:AcSys Biometrics, http://www.acsysbiometrics.com/A4Vision, http://www.a4vision.com/

Распознавание по рукописному почерку

Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свертка, в которую входит информация по графическим параметрам подписи, временным характеристикам нанесения подписи и динамики нажима на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т. д.). Ведущие производители:

CIC (Communication Intelligence Corporation), http://www.cic.com/; Cyber-SIGN, http://www.cybersign.com/; SOFTPRO, http://www.signplus.com/; Valyd, http://www.valyd.com/.

Распознавание по клавиатурному почерку

Метод в целом аналогичен вышеописанному, однако вместо подписи в нем используется некое кодовое слово, а из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свертка для идентификации, - динамика набора кодового слова. Ведущие производители:

BioPassword Security Software, http://www.biopassword.com/;

Checco, http://www.biochec.com/.

Распознавание по голосуСуществует достаточно много способов построения кода идентификации по голосу: как правило, это различные сочетания частотных и статистических характеристик последнего. Ведущие производители:

Nuance, http://www.nuance.com/; Persay, http://www.persay.com/; Voicevault, http://www.voicevault.com/.

Недостатки биометрии

Крайне сложная корректная настройка оборудования, вернее, речь идет об установке корректного порогового значения ошибки. . FAR (False Acceptance Rate) - это процент ложных отказов в допуске, FRR (False Rejection Rate) - вероятность допуска в систему незарегистрированного человека. Порог чувствительности является своеобразной гранью идентификации.

Недостатки биометрии

Человек, имеющий сходство какой-либо характеристики выше предельного, будет допущен в систему и наоборот. Значение порога администратор может изменять по своему усмотрению. Т.е. это накладывает весьма высокие требования на администратора системы, ведь поддержка баланса между удобством и надежностью требует больших усилий.Вторым недостатком, связанным с внедрением таких систем является сопротивление сотрудников компаний, связанное с возможностью контроля рабочего времени сотрудников. Тем более что реально существуют системы учета рабочего времени сотрудников.

Недостатки биометрии

Биометрические сканеры невозможно применять для идентификации людей с некоторыми физическими недостатками.Применение сканеров сетчатки глаза будет сложным для тех, кто носит очки или контактные линзы, а человек, больной артритом, не сможет ровно положить палец на сканер отпечатка.Еще одна проблема — рост. Сканирование лица может стать затруднительным, если рост человека ниже 1,55 м или выше 2,1 м. К недостаткам такого способа идентификации можно отнести возможность воспользоваться муляжом отпечатка, что было успешно продемонстрировано заключенными шотландской тюрьмы строгого режима Glenochil.

Электронные ключи с одноразовыми паролями

Буквально через 10 лет по прогнозам Gartner, число сотрудников, работающих в удаленном режиме, существенно увеличится. Их прирост уже сейчас составляет 10—15% в год. Gartner приводит в пример опыт корпораций Sun и IBM: за три года после внедрения дистанционной работы для своих штатных сотрудников Sun Microsystems сэкономила на аренде помещений 300 млн. долл., а по подсчетам IBM, корпорация ежегодно экономит на «удалёнке» до 500 млн. долл.

Варианты аутентификации

При аутентификации пользователей сети удалённого доступа обычно используются следующие варианты:

индивидуальный предустановленный ключ или пароль (pre-shared key);

цифровой сертификат с закрытым ключом, хранящимся на компьютере;

цифровой сертификат с закрытым ключом, хранящимся в памяти токена;

комбинация цифрового сертификата одноразового пароля.

Аутентификация с использованием

одноразового пароляАппаратные реализации генераторов одноразовых паролей называют ОТР-токенами. OTP-токены имеют небольшой размер и выпускаются в различных форм-факторах:

в виде карманного калькулятора; в виде брелка; в виде смарт-карты; в виде устройства, комбинированного с USB-

ключом; в виде специального программного обеспечения

для карманных компьютеров.

ВыводПрименение паролей в настоящий момент все больше не соответствует требованиям безопасности, так как с ростом сложности пароля и количества паролей для запоминания будет усиливаться роль человеческого фактора:Пользователи всегда будут выбирать наиболее простые с их точки зрения пароли;При ужесточении политики паролей пользователи будут идти на всяческие ухищрения, облегчающие им заботу о паролях, но снижающие безопасность (т.е. наклеивать пароль на монитор, клавиатуру, записывать его в блокнот и т.д.);С ростом вычислительных мощностей процесс подбора паролей будет происходить все быстрее.В связи с этим необходим переход на многофакторную аутентификацию, из всех видов которой на сегодня самым надежным является применение USB-ключей (смарт-карт).