Page 164 - 4636
P. 164
організації. Даний документ являє собою проектний документ або методичне керівництво, в
якихвідображено те, що насправді слід виконати, щоб гарантувати заявлений рівень захисту.
9.4 Принципи аутентифікації
Аутентифікація (authentication) - це доказ, що хтось насправді є тим, за кого себе видає. Існує
безліч методів аутентифікації, але, як це буває з багатьма засобами захисту, чим більший ступінь
безпеки забезпечують методи, тим складніше їх використовувати.
До технологій аутентифікації відносяться використання паролів, цифрових підписів,
біометричних показників, таких як відбитки пальців, а також методи, які передбачають застосування
спеціального обладнання, наприклад, смарт-карт. В Інтернеті широке застосування знаходять тільки
два методи – використання паролів і цифрових сертифікатів.
Біометричні методи і більшість методів, які передбачають застосування спеціального
обладнання, вимагають наявності спеціалізованих пристроїв введення і прив'язують санкціонованих
користувачів до комп'ютерів, на яких встановлені пристрої подібного роду. Це може бути прийнятним
або навіть бажаним для доступу до внутрішніх систем організації, але такий підхід зводить нанівець
всі переваги систем, доступних через Інтернет.
Паролі легко реалізувати, просто використовувати, і вони не вимагають наявності жодних
пристроїв введення. Паролі забезпечують деякий рівень аутентифікації, але не підходять як єдиний
метод аутентифікації в системах з високим рівнем безпеки.
Концепція паролів досить проста. Пароль кожного користувача відомий тільки самому
користувачеві і системі. Якщо відвідувач стверджує, що він - це ви, і знає ваш пароль, то у системи є
всі підстави вірити, що відвідувач - це ви. До того часу поки ніхто не знає і не може вгадати ваш
пароль, система залишається захищеною. Самі по собі паролі мають декілька потенційних недоліків і
не можуть забезпечити надійну аутентифікацію.
Безліч паролів вгадати нескладно. Якщо вибір пароля покласти на користувачів, то 50% з них
вибере пароль, вгадати який не представляє особливих труднощів. Зазвичай такими паролями є слова
зі словника та імена користувачів, задіяні як імена їхніх облікових записів. Ціною зменшення
зручності використання можна змусити користувачів застосовувати в паролі цифри і знаки пунктуації.
Звичайно, навчання користувачів правилам вибору хороших паролів може допомогти, але навіть
після навчання приблизно чверть користувачів все одно виберуть легко вгадувані паролі. Є сенс
створити політику вибору паролів, яка перешкоджатиме користувачам у виборі легко вгадуваних
паролів. Для цього потрібно порівнювати нові паролі зі словником або вимагати використання в
паролі декількох цифр, знаків пунктуації або комбінації великих і малих літер. Зворотний бік
згаданого підходу полягає в тому, що строгі правила вибору паролів призведуть до того, що багато
користувачів просто не зуміють запам'ятати власні паролі – особливо за наявності в різних системах
різних правил створення паролів.
Важко запам'ятовувані паролі збільшують імовірність того, що користувач може, наприклад,
записати на листку фразу: "Користувач: Fred Пароль: rover" - приліпити його до монітора.
Користувачів слід вчити не записувати паролі і не здійснювати інших подібних необачних вчинків,
наприклад, не повідомляти пароль людині, яка зателефонувала і стверджує, що працює в системі.
Паролі можуть перехоплюватися електронним шляхом. Використовуючи програми перехоплення
клавіатурного введення на терміналах або аналізатори мережевих протоколів, або сніффери (sniffer),
зломники можуть перехоплювати використовувані пари "ім'я користувача-пароль". Шифрування
мережевого потоку даних дозволяє знизити ризик перехоплення паролів.
При всіх своїх недоліках паролі є простим і відносно ефективним способом аутентифікації
користувачів. Вони забезпечують рівень захисту, який, можливо, не підійде для міністерства
161
