ПАРОЛЬНАЯ ЗАЩИТА

Дата письма 10.07.2018

ПАРОЛЬНАЯ ЗАЩИТА

 

Самая распространенная защита компьютерной информации - защита на основе пароля. При реализации парольной защиты вход в систему, запуск приложения, запрос на доступ к данным со­провождается запросом пароля и последующим сравнением введенного пароля с оригиналом.

 Пароль представляет собой последовательность символов некоторого алфавита и специальных знаков. Последовательность должна удовлетворять ограничению на наименьшую и наибольшую длину.

Сразу заметим, что парольная защита может быть реко­мендована только для использования при защите информации, предназначенной для узкого круга пользователей. При широком использовании, например, программ, защищенных таким образом, очень велика вероятность того, что хотя бы один за­конный пользователь сообщит пароль злоумышленнику, этого будет достаточно для того, чтобы сделать защищенное приложение общедоступным.

Следует обратить внимание на то, что процесс ввода пароля поддается наблюдению, даже в том случае, если отсутствует режим «эхо». Человек, находящийся рядом с пользователем, вводящим пароль, наблюдая за процессом набора на клавиатуре, может зафиксировать вводимые символы. Кроме того, существует множество специальных программ типа «троянский конь», которые через перехват соответствующего прерывания читают и сохраняют пароли, набираемые на клавиатуре.

Хорошая система защиты организована таким образом, что, во-первых, не позволяет пользователю бесконечно вводить неправильный пароль, а ограничивает число попыток. Во-вторых, между двумя неудачными попытками ввода пароля специально вводится временная задержка с целью уменьшить количество попыток взлома системы защиты за некоторый промежуток времени.

Очевидно, что оригинальный пароль необходимо хранить в месте, доступном защищенному приложению и малодоступном злоумышленнику. Следовательно, основная задача автора, использующего парольную защиту, - как можно лучше «спрятать» оригинальный пароль.

На практике для хранения эталонного пароля используются следующие способы:

1)  эталон хранится непосредственно в защищенной программе;

2)  эталон хранится в отдельном специально предназначенном файле;

3)  эталон хранится в системных областях (в свободных, зарезервированных или редко используемых областях дисков, системных базах данных). Например, при защите Windows-приложений разработчики часто хранят оригинальный пароль в системной базе данных Registry (системный реестр).

           

Даже начинающим программистам известно, что нельзя хра­нить пароль в открытом виде.

Так как, например, в случае хранения пароля непосредственно в защищаемой программе злоумышленник может легко найти эталонный пароль, либо просмотрев дамп файла, в котором хранится про­грамма, либо даже с помощью специальной программы, распечаты­вающей все текстовые строки.

Замечание. Не будем останавливаться на популярной в литературе теме о правилах выбора пароля и его эффективной длине. Будем предполагать, что читателю известны рекомендации по выбору хороших паролей.

 В основном авторы защит либо шифруют пароль известными или собственными криптографическими методами, либо применяют хэш-функции (хэш-коды) для преобразования пароля.

            Метод хэширования пароля заключается в хранении в каче­стве эталона не собственно пароля, а результата определенных авто­ром защиты математических преобразований (именно эти преобразо­вания и называются хэш-функцией или хэшированием) над симво­лами пароля. При запуске приложения введенный пользователем па­роль подвергается хэшированию и сравнению полученного резуль­тата с эталоном.

            Предварительно отметим, что в большинстве случаев как защита, основанная на простом хранении пароля, так и на хэши­ровании пароля, может быть легко «обойдена» злоумышленником. Как любят говорить взломщики, - путем изменения в программе всего лишь одного байта!

            Подчеркнем, что независимо от вида, в котором хранится оригинальный пароль (открытый, хеш-функция или зашифрованный код), при реализации механизма защиты происходит сравнение пароля, вводимого пользователем, с оригиналом (ключом).

Таким образом, парольная защита относится к методам ключевого сравнения.

 

Автор: УГД по Наурызбайскому району г. Алматы Главный специалист Каржаубаев Н.Т.