Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа

Подождите немного. Документ загружается.

Глава 8. Парольная защита

В качестве противодействия угрозе визуального съема пароля могут исполь-

зоваться внешние носители информации. При этом могут использоваться

как стандартные средства ввода информации (например, дискета), так и

средства, предполагающие подключение специальных средств ввода па-

рольной информации — всевозможные электронные ключи, «таблетки» и

т.д. На этих носителях записывается пароль, который считывается систе-

мой при аутентификации пользователя. Здесь может задаваться достаточно

большая длина пароля без угрозы его визуального съема. Применение для

ввода пароля стандартного или специального носителя с точки зрения обес-

печиваемого уровня безопасности практически равноценно. Вопрос выбора

носителя определяется его ценой, долговечностью, удобством хранения.

•

1|.1ЯЛ1а!КШ!М

Дополнительные носители парольной информации для усиления парольной

защиты ОС используются практическими всеми современными средствами

добавочной защиты.

Недостатком применения внешних носителей информации для ввода

пароля является потенциальная угроза его хищения злоумышленником.

Для противодействия хищению злоумышленником носителя информации с

паролем могут рассматриваться следующие альтернативные способы защиты:

Использование биометрических характеристик пользователя — подход,

позволяющий отказаться от внешнего носителя с паролем как таково-

го. При этом идентификатором пользователя становятся его биометри-

ческие параметры. Причем ввиду их однозначного соответствия пользо-

вателю эти параметры служат одновременно и паролем.

* Комбинирование способа ввода пароля с клавиатуры и способа ввода

пароля с внешнего носителя. Например, механизм ввода пароля с

клавиатуры может рассматриваться как дополнение к механизму вво-

да пароля с внешнего носителя.

Комбинированный способ осуществляется двумя механизмами, один из

который является основным, а другой — дополнительным. На наш взгляд,

при защите компьютеров имеет смысл использовать следующий комби-

нированный способ ввода пароля:

» основной — с внешнего носителя (целесообразно реализовать доба-

вочными средствами защиты),

дополнительный - - с клавиатуры (для этого могут использоваться

встроенные в ОС механизмы авторизации пользователя).

Таким образом можно выделить следующие приоритеты в использова-

нии механизмов ввода пароля (расположены в порядке убывания):

1. Биометрический способ идентификации пользователя.

2. Комбинированный способ (консольный ввод + использование внеш-

него носителя).

131

Часть III. Авторизация

3. Ввод пароля с внешнего носителя.

4. Консольный ввод (ввод пароля с клавиатуры).

Соответственно механизмы парольной защиты можно усиливать уже на

этапе ввода пароля. Для этого необходимо в системе предусмотреть наи-

более приоритетный способ ввода пароля.

8.3.2. Основное достоинство биометрических

систем контроля доступа

В двух словах остановимся на рассмотрении новых свойств парольной

защиты, реализуемых на основе контроля биометрических характеристик

пользователя.

Гипотетически возможна

угроза,

связанная с тем, что один пользователь

передает свои парольные данные другому пользователю, а тот восполь-

зуется ими для несанкционированного входя в систему последним (в

определенном смысле это можно трактовать, как изменение

ПРД

к ре-

сурсам пользователем не администратором безопасности, что противоре-

чит формальным требованиям к системе защиты).

В общем же случае механизмы биометрической идентификации пользо-

вателя (естественно, при их корректной реализации) предотвращают воз-

можность какой-либо передачи парольной информации между пользова-

телями. А это достаточно важно при реализации централизованной (без

участия пользователя) схемы администрирования механизмов защиты. В

этом и заключается несомненное достоинство данных подходов парольной

защиты по сравнению с применением внешних аппаратных носителей

парольных данных (всевозможных ключей, смарт-карт и т.д.). Другими

словами, корректно в общем случае концепция централизованного админи-

стрирования системы защиты может быть реализована с применением био-

метрических систем контроля доступа.

Достоинством же применения внешних аппаратных носителей парольных

данных является большая универсальность в смысле возможности хра-

нения учетных данных. То есть на

них

может храниться не только ин-

формация, идентифицирующая пользователя, но и ключи шифрования,

а также иные данные.

8.3.3. Основные способы усиления

парольной защиты, используемые

в современных ОС и приложениях

Классификация основных способов усиления пароля, используемых в

современных ОС и в приложениях, представлена на рис. 8.3. Все они при-

званы воспрепятствовать подбору пароля злоумышленником.

132

Глава 8. Парольная защита

Способы усиления

пароля

^^^-^

Посредством задания дополнительных

требований к параметрам пароля

^Г^^

длины

пароля

символов

в пароле)

\ '

Увеличение

алфавита

набором

символов

одного

типа

для задания

пароля

---

---^

Увеличение

алфавита

набором

типе

символов

для задания

пароля

rr^=*

Посредством включения

ограничений на процедуру

аутентификации

Ограничение

на число

неверно

введенных

значений

пароля

Ограничение

символов в

пароле

Ограничение

на

повторяемость

пароля

(история

паролей)

Ограничение

на

возможность

задания

простых

паролей

Ограничение на

периодичность

смены пароля

пользователем

Рис. 8.3. Способы усиления пароля

8.3.4. Анализ способов усиления парольной защиты

Проиллюстрируем цели применения рассматриваемых способов усиления

"пароля.

При этом опустим некоторые уникальные подходы, как напри-

мер, учет параметров, характеризующих процедуру ввода пароля пользо-

вателем — скорость набора символов и др. То есть не будем рассматри-

вать методы, которые едва ли применимы в распространенных

приложениях. Собственно расчетные формулы оценки сложности под-

бора пароля в работе не приводятся ввиду их тривиальности [8, 13].

Пусть А — исходный алфавит для задания пароля (некоторое число сим-

волов, включая их типы, для назначения пароля), a L — длина пароля. В

этих предположениях число возможных парольных комбинаций составит:

R=f(A,L).

Обозначим вероятность подбора злоумышленником пароля с одной по-

пытки Р\ (в предположении, что все парольные комбинации равноверо-

ятны: Р\ =

1/R).

Если для подбора пароля злоумышленником соверша-

ется п попыток в единицу времени

то за интервал времени Т (число

единиц времени), вероятность подбора пароля злоумышленником будет

описываться следующей зависимостью:

Р=

F(A,

Pl,n(t),

T).

133

Часть III. Авторизация

Теперь, в соответствии с полученной зависимостью, рассмотрим, какие

способы усиления пароля (рис. 8.3) на какой параметр призваны влиять.

Применение способов усиления пароля, посредством задания допол-

нительных требований к параметрам пароля в соответствии с зависи-

мостью R = / (A,

призваны увеличить число возможных парольных

комбинаций.

Ограничения на «число типов символов в пароле», «возможность за-

дания простых паролей», и на «повторяемость паролей» задаются с

целью уменьшения параметра Р1, то есть с целью, по возможности, обес-

печить равновероятность для злоумышленника всех исходных парольных

комбинаций.

Ограничение на «число неверно введенных значений пароля» реализу-

ет возможность совершить пользователю только заданное число N попыток

подбора пароля. В случае превышения этого количества может либо блоки-

роваться учетная запись данного пользователя, либо блокироваться защи-

щаемый объект в целом.

Данное ограничение является одним из важнейших, т.к. оно призвано про-

тиводействовать возможности автоматического подбора паролей. В этом

случае число попыток подбора злоумышленником жестко фиксировано па-

раметром N и исходная зависимость для вероятности подбора пароля зло-

умышленником принимает следующий вид:

Р=

F(A,

L,P\,

TV).

Данное ограничение можно рассматривать как альтернативу применению

способов усиления пароля, основанных на дополнительных требованиях

к параметрам пароля в соответствии с зависимостью R =

f(A,

L). To есть,

уменьшая параметр N, тем самым можно снижать требования к параметру

L. А это, как отмечали ранее, крайне важно при использовании меха-

низма парольной защиты, предполагающего ввод пароля с клавиатуры.

Очевидно, что без использования данного ограничения с учетом боль-

ших темпов роста производительности компьютеров, приводящего к за-

метному увеличению параметра

n(t),

без применения данного ограниче-

ния соответственно возрастают требования к параметрам A, L.

Ранее было отмечено, что в основе проектирования системы защиты дол-

жен лежать системный подход. В рамках этого подхода при проектирова-

нии механизмов парольной защиты необходимо учитывать наличие дру-

гих механизмов в системе защиты.

Так, если в системе защиты обеспечена замкнутость программной среды,

которая не позволит пользователю запустить программу подбора паролей,

т.е. реализовать автоматический способ подбора, то не столь актуальным

становится и реализация ограничения на число неверно введенных значе-

ний пароля. Действительно, в этом случае параметр

n(t)

уже имеет значе-

134

Глава 8. Парольная защита

ние: 1 попытка за

5...15

с. (определяется скоростью ручного ввода пароля

пользователем), что не позволит сколько-нибудь эффективно противодей-

ствовать парольной защите.

С учетом сказанного может быть сделан следующий важный вывод: суще-

ствуют альтернативные подходы к усилению пароля с целью преодоления

возможности его подбора. Наиболее эффективным из них можно признать

«Ограничение на число неверно введенных значений пароля», ис-

пользование которого позволяет существенно снизить требования к длине

пароля. Однако аналогичный результат достигается, если в системе защи-

ты обеспечивается замкнутость программной среды, противодействующая

выполнению автоматического (программного) подбора пароля.

Кроме того, в случае, если не используется ограничение на число невер-

но введенных значений пароля, вероятность подбора пароля зависит не

только от параметра

nft),

но и от параметра Т. При этом данное ограни-

чение устанавливается на параметр Т, позволяя снизить суммарное число

попыток подбора для одного установленного значения пароля (за счет

ограничения отведенного на это времени).

Возможность ограничения «на число неверно введенных значений пароля»

является важнейшей в части усиления парольной защиты и, наряду с други-

ми рассмотренными выше возможностями, присутствует в механизмах па-

рольной защиты практически всех современных ОС большинства приложе-

ний. При этом в различных семействах ОС возможности установки

ограничений на пароль различаются незначительно.

Дополнительно в системах парольной защиты может использоваться ог-

раничение на периодичность смены пароля пользователем, которое при-

звано ограничить возможность использования одного и того же значения

пароля в течение сколько-нибудь продолжительного времени (например,

более месяца).

135

г л а в а 9

Задачи и методы добавочных

механизмов в рамках усиления

парольной защиты

9.1.

Требования к добавочным механизмам

в рамках усиления парольной защиты

Как отмечалось ранее, важнейшими способами усиления парольной за-

щиты является комплексное использование механизмов, так как сам по

себе механизм парольной защиты не может обеспечить гарантированной

защиты от несанкционированного входа в систему.

Рассмотрим группу задач, которые должны решаться средствами доба-

вочной защиты в общем случае, без учета реализации встроенных в ОС

механизмов защиты.

Добавочной защитой в рамках противодействия скрытым угрозам преодо-

ления механизма парольной защиты должны решаться следующие задачи:

» должна обеспечиваться замкнутость программной среды, не позволя-

ющая запускать пользователю в системе программы с целью осуще-

ствления нерегламентированных действий, например, запуск про-

грамм-сниферов

(канала связи, каналов ввода с

внешних

устройств и

с клавиатуры) и иных потенциально опасных программ, в частности,

позволяющих модифицировать механизм парольной защиты;

должно обеспечиваться разграничение прав доступа к реестру ОС

(для ОС семейства Windows), к каталогам и файлам, хранящим учет-

ные данные механизмов парольной защиты для ОС UNIX;

» должен обеспечиваться контроль целостности (с возможностью авто-

матического восстановления из эталонной копии) ключей и ветвей

реестра, а также файлов, хранящих учетные данные механизмов па-

рольной защиты, применяемый в предположении, что разграничение

прав доступа к реестру ОС, каталогам и файлам злоумышленником

преодолены.

136

Глава 9. Задачи и методы добавочных механизмов в рамках усиления парольной защиты

» должна обеспечиваться защита от возможности отключения механиз-

ма защиты, в частности, возможности загрузки системы с внешних

устройств, останова процесса или драйвера, реализующего парольную

защиту добавочными средствами;

* должно обеспечиваться хеширование паролей, применяемое в пред-

положении, что разграничение прав доступа к реестру ОС, каталогам

и файлам злоумышленником преодолены, в том числе с использова-

нием ошибок и закладок в ПО.

9.2. Необходимые механизмы добавочной

защиты, направленные на усиление

парольной защиты

С учетом сказанного можно выделить ряд механизмов, которые должны

быть реализованы с целью усиления парольной защиты от скрытых уг-

роз на защищаемом объекте. В общем случае эти механизмы таковы:

» Механизм обеспечения замкнутости программной среды.

Механизм разграничения прав доступа к настройкам ОС и приложе-

ний (к реестру ОС для ОС семейства Windows, к каталогам и файлам

настроек для ОС семейства Unix).

Механизм контроля целостности с возможностью автоматического

восстановления из резервной копии настроек ОС и приложений (клю-

чей реестра ОС для ОС семейства Windows, файлов для ОС семейства

Unix).

• Механизм защиты от возможности отключения парольной защиты, в

частности, возможности загрузки системы с внешних устройств, оста-

нова процесса или драйвера, реализующего парольную защиту доба-

вочными средствами.

» Механизм хеширования парольной информации и др.

9.3. Применяющиеся на сегодняшний день

подходы. Двухуровневая авторизация

Сформулировав требования, рассмотрим, какие же на сегодняшний день

используются подходы для усиления механизмов парольной защиты до-

бавочными средствами.

137

Часть III. Авторизация

9.3.1. Двухуровневая авторизация на уровне ОС

Ранее отмечалось, что целесообразно усилить парольную защиту за счет

включения в механизм идентификации и аутентификации возможности

ввода пароля с внешнего носителя.

Реализация данной возможности имеет смысл, прежде всего, для однополь-

зовательских ОС, к которым относятся ОС семейства Windows (под однополь-

зовательской здесь понимаем систему, в которой в каждый момент времени

может присутствовать только один прикладной пользователь). Здесь пользо-

ватель авторизуется при консольном входе в систему. Для многопользователь-

ских ОС, к которым относятся ОС семейства UNIX, характерна удаленная

работа на компьютере многих пользователей, поэтому рассматриваемая зада-

ча дополнительной авторизации здесь не столь актуальна.

В простейшем случае рассматриваемая возможность усиления парольной

защиты достигается подключением внешних носителей пароля к встро-

енным (прежде всего для ОС Windows) механизмам идентификации и

аутентификации. При этом средства разработчика, поставляемые изгото-

вителем аппаратных носителей парольной информации, как правило,

содержат соответствующие примеры решения данной задачи.

Однако, как отмечалось ранее, имеет смысл реализовать режим двухуров-

невой авторизации — так называемый комбинированный режим. При этом

авторизация производится сначала с внешнего устройства, а затем с кла-

виатуры. Это позволяет оказывать противодействие несанкционированно-

му входу в систему при хищении носителя с парольной информацией.

Для современных ОС может быть реализован комбинированный способ

авторизации, использующий развитый механизм авторизации пользовате-

ля при входе в систему с консоли (например, ОС Windows NT/2000). Это,

собственно, и составляет одну из основных задач добавочной защиты ОС.

Рассмотрим возможное техническое решение по комбинированию меха-

низмов добавочной и встроенной парольной защиты входа в систему.

Схема двухуровневой авторизации представлена на рис. 9.1.

•

l|-.

На практике это решение реализовано, например, в КСЗИ «Панцирь».

Работает схема следующим образом. Сначала со входа 8 задается пароль

для аутентификации механизмом добавочной защиты (значение этого

пароля записывается на внешний носитель, например, на дискету). За-

тем со входа 9 задается пароль для аутентификации встроенным меха-

низмом защиты. Этот пароль заносится и в блок 4, и в блок 2. При зап-

росе доступа в систему (со входа 7) блок 2 запускает интерфейс для ввода

пользователя пароля со входа 6 (с внешнего носителя).

138

Глава 9. Задачи и методы добавочных механизмов в рамках усиления парольной защиты

Интерфейс

добавочного механизма

парольной защиты

Добавочный механизм

парольной защиты

Интерфейс

встроенного механизма

парольной защиты

Встроенный механизм

парольной защиты

Рис.

9.1.

Схема двухуровневой авторизации

При успешной аутентификации блоком 2 выдается в блок 4 запрос

пользователя на доступ в систему и системный пароль. Причем систем-

ный пароль подставляется блоком 2 по запросу аутентификации пользо-

вателя блоком 4 без запуска интерфейса 3. Если пароль совпадает, то на

выход 10 выдается сигнал об успешном прохождении пользователем про-

цедуры аутентификации. В противном случае, блоком 4 запускается блок

3, и пользователю предлагается пройти аутентификацию со входа 5 в стан-

дартном окне системной аутентификации

--в

блоке 3. При успешной

аутентификации вырабатывается сигнал на выходе 10.

Таким образом, представленная схема позволяет реализовать два режи-

ма аутентификации — одноуровневый и двухуровневый. При одноуров-

невом режиме со входа 9 в блоки 2 и 4 заносятся одинаковые значения

системного пароля для пользователя, а пользователь аутентифицируется

только в интерфейсе добавочного механизма парольной защиты. При этом

системную аутентификацию за пользователя реализует уже собственно

механизм добавочной парольной защиты. Делает он это без выдачи со-

ответствующего окна системной аутентификации на экран монитора.

При двухуровневом режиме (со входа 9 в блоки 2 и 4 заносятся различ-

ные значения системного пароля для пользователя), пользователь снача-

ла аутентифицируется в интерфейсе добавочного механизма парольной

защиты с использованием внешнего носителя с паролем. Затем, при ус-

пешной аутентификации, ему предлагается пройти второй уровень -

уровень системной аутентификации в окне ОС. Для этого ему нужно

ввести пароль с клавиатуры.

Таким образом, помимо ввода пароля с внешнего носителя, пользователю

дополнительно предлагается ввести пароль с клавиатуры. Это предотвра-

щает неконтролируемый вход пользователя в систему при хищении внеш-

него носителя с паролем. При этом заметим, что требования к дополни-

тельному паролю уже могут быть не столь жесткими, как к основному.

139

Часть III. Авторизация

Требованием к реализации данного механизма является отсутствие ка-

кой-либо общности как собственно в реализации основного (встроенно-

го в ОС) и добавочного механизмов защиты, так и в способах хранения

и преобразования учетных данных пользователей. При выполнении дан-

ного требования добавочный механизм может использоваться не только

в качестве усиления парольной защиты, но и для резервирования меха-

низма идентификации и аутентификации.

Актуальность и даже необходимость резервирования данного механизма,

как одного из основных механизмов защиты от НСД, очевидна. Напом-

ним, что учетные данные пользователя, подтверждаемые паролем при

входе пользователя в систему, являются основой задания разграничитель-

ной политики доступа к ресурсам.

9.3.2. Двухуровневая авторизация на уровне BIOS

Альтернативный известный вариант реализации двухуровневой парольной

защиты состоит в реализации добавочного механизма не на уровне входа в

ОС, а перед загрузкой системы (средствами расширения BIOS). При этом

перед загрузкой системы добавочное средство защиты предлагает пользова-

телю авторизоваться с использованием внешнего носителя пароля. Затем уже

при входе в систему могут использоваться штатные средства авторизации

ОС. Таким образом, в отличие от рассмотренного выше подхода, здесь за-

меняется (дополняется) не механизм парольной защиты входа в систему, а

механизм парольной защиты BIOS (контроля загрузки системы). Данный

подход используется в специальных дополнительных программно-аппарат-

ных средствах защиты, так называемых «Электронных замках». (При этом,

несмотря на использование аппаратной компоненты, собственно защита

осуществляется программно).

К достоинствам данного подхода, по сравнению с рассмотренным выше,

можно отнести противодействие скрытым угрозам непосредственно в

процессе загрузки системы. В частности, загрузочное меню ОС здесь уже

может быть вызвано только санкционированным пользователем.

К очевидным недостаткам данного подхода можно отнести необходимость

использования дополнительной аппаратной компоненты системы защи-

ты — платы, реализующей функцию расширения BIOS.

В дальнейшем (в шестой части книги) будет показано, что на наш взгляд

аппаратную компоненту можно наделить несколько иными свойствами.

140