Пароль – иллюзия или защита

Тодуров А.

Сезам, откройся!
Синдбад-мореход.

В данной статье предлагается рассмотреть один из наиболее известных и старых методов обеспечения безопасности - пароль, и попытаться сделать так, чтобы пароль в вашей компьютерной системе был реальной, а не иллюзорной защитой и мог на самом деле он защитить ваши секреты от злоумышленника.

В настоящее время проблема защиты информации в компьютере от несанкционированного доступа (НСД) приобретает все более серьезное значение, особенно когда информация в компьютерах становится важной для организации. Причем, не стоят на месте ни разработчики систем защиты, ни взломщики. О проникновении в компьютерные системы банков, страховых компаний и даже в закрытые военные сети сегодня можно узнать из регулярных газетных сообщений. Количество компьютерных преступлений, не смотря на принимаемые специалистами меры, отнюдь не уменьшается год от года, а даже напротив - растет. При этом практически во всех вскрытых системах один из применяемых элементов защиты - пароль (а в некоторых он единственный), который многие пользователи и руководители считают непреодолимым препятствием.

О серьезности отношения к парольной защите говорит тот факт, что в министерстве обороны США существует специальный документ Password Management Guidelines, описывающий основные принципы управления парольным доступом.

В данной статье не будут рассматриваться программные способы "вычисления" и вскрытия пароля. Мы попытаемся рассмотреть этот вопрос с позиции организации работы пользователя с паролем, уточнить некоторые аспекты работы парольной системы, а так же дадим некоторые рекомендации для разработчиков и пользователей компьютерных систем, как сделать пароль не просто иллюзией защиты, а действительно серьезным препятствием на пути злоумышленников. Возможно, некоторые рекомендации покажутся нереальными или «маразматическими», однако, пусть каждый разработчик задачи или руководитель организации, приобретающий компьютерную систему, сам оценивает – есть ли необходимость защищать его информацию или можно этого не делать. Давайте вспомним, что вор может вскрыть любой дверной замок снаружи, но ни один из них никогда не смог открыть внутренний засов, его можно только выломать. И хотя засову как средству защиты сотни лет - он с успехом применяется и сейчас и наша задача – постараться сделать из вашего пароля вот такой вот засов.

Прежде всего, напомним, что защиту информации в компьютерах обязательно следует рассматривать как комплекс мер, включающих организационные, технические, юридические, программные, оперативные, страховые и даже морально-этические меры. Не парадоксально ли, что воровство вещей из квартиры рассматривается как преступление, а воровство информации из компьютера зачастую как показатель высоких интеллектуальных возможностей? И ни какой пароль, как, впрочем, и любая другая система безопасности, не поможет, если каждый пользователь системы лично не заинтересован в соблюдении режима безопасности, не понимает, для чего нужен режим безопасности, и что этот пользователь лично потеряет в случае вскрытия его пароля или любого другого пароля в его организации. Ведь замок на двери можно открыть один раз утром и оставить открытым на весь день - какая же тогда безопасность?

Что же такое пароль? Военные говорят: "пароль - это секретное слово, позволяющее определить кто 'свой', а кто нет". С точки зрения компьютерной безопасности это определение можно немного добавить и расширить: "пароль - это секретный набор различных символов, позволяющий определить законного пользователя и его права на работу в компьютерной системе".

Пароль может применяться для различных целей:

- определения "свой - чужой"
- подтверждение личности владельца ключевого элемента (например, кредитной или магнитной карточки);
- прав работы в системе и допуска к информации;
- получения специальных прав на выполнение особо важных операций;
- ключ для системы шифрования или электронной подписи и т.д.

Он может быть в виде текстового набора символов, цифрового кода (например, PIN-код при работе с электронными карточками), электронного файла, последовательности определенных действий и т.п.

Пароль - только один из элементов системы разграничения доступа. По оценкам экспертов по компьютерной безопасности он используется практически в любой компьютерной системе, а во многих системах как единственное средство защиты, и, в связи с этим, в большинстве компьютерных систем именно стойкость пароля к вскрытию определяет безопасность всей системы. Но любой, даже самый надежный элемент, не обеспечит защиты, если он один, а не в системе. Значит, и пароль должен быть в системе - в парольной системе, которая является составной частью системы разграничения доступа, а в итоге - в общей системе безопасности.

Надежность всей системы резко увеличивается при использовании пароля совместно с ключевым элементом как способа определения прав сотрудника на конкретную работу на компьютере (ключевая дискета, магнитная или смарт-карточка, идентификатор Touch Memory, электронный ключ и т.п.). В этом случае пароль используется как подтверждение того, что обладатель ключевого элемента его не выкрал и не скопировал.

Парольная система состоит из: собственно пароля (набор символов), правил подбора пароля, принятой в организации, хранения (как в компьютерной системе, так и пользователем), распространения, смены, обеспечения секретности и, естественно, проверки на правильность. Парольная система включает в себя не только программные, но и организационные, юридические, технические вопросы, и, как и вся система безопасности информации, обязательно должна разрабатываться еще на этапе проектирования компьютерной системы.

Вначале пароль надо придумать. И это один из самых важных и сложных вопросов. Какие слова в качестве пароля возьмет обычный пользователь? Скорее всего, те, какие не сразу забываются. Но ведь чем легче пароль для запоминания, тем легче его подобрать!

Небезызвестный вирус "Мориса" использовал чуть меньше 400 слов в качестве пароля и поразил около 6000 компьютерных систем. И, конечно, не бедность английского языка, а слабое воображение пользователей открыло двери вирусу. Вдумайтесь в эти цифры: 6000 и 400, то есть, в среднем каждые 15 систем имели одинаковые пароли!

По данным одного из исследований по безопасности компьютерных систем при анализе списка паролей, используемых пользователями, лишь каждый двадцатый был таким, что его было трудно угадать. Исследование специалистов по компьютерной безопасности и опыт эксплуатации компьютерных систем говорят о том, что большинство паролей это знаменитые: 111111, 123456, ааа и т.п. 5% компьютеров используют пароль для входа в компьютерную сеть такой же, как и имя пользователя. Например, если имя PUPKIN, значит и пароль PUPKIN. Примерно 35% компьютеров используют пароль, вторичный от имени. Например, имя - PUPKIN, пароль VasilPupkin, PupkinVasil или задом наперед NIKPUK.

На сегодняшний момент существует масса специальных программ для автоматизированного подбора пароля, которые используют свои огромные словари для его подбора. Например, программа Claymore, бесплатная программа NETCRACK, использует метод перебора для угадывания любого пароля пользователя в сетях NetWare. Это касается не только сетей. Существует так же программа CRACK, методом перебора ищущая пароль, используемый в программе архивации данных PKZIP. Весь вопрос в скорости перебора. Однако если времени достаточно много и применяемый компьютер достаточно быстродействующий, то никакой пароль не сможет защитить систему от взлома. Именно поэтому надежда многих пользователей только на пароль - наивна.

На врезке № 1 приведен список наиболее часто используемых паролей на английском языке.

Какие правила можно рекомендовать при выборе пароля?

1. Запрещается использовать:

• имена, фамилии, даты рождения детей, близких, знакомых, их ком­бинации, номера телефонов и любую другую личную информацию (типа ОЛЯ070576 или ИВАНОРЛОВ) и т.п. Как показывает практика любимые женские пароли это имена свои и своих детей и их производные (Таня – Танюшечка, Танюшенька и т.п.);
• названия городов, стран, фирм, организаций, учреждений, специфических компьютерных слов, термины из своей предметной области;
• слова из заставок задач или названия самих компьютерных систем (например, netware, windows, msdos);
• широко распространенные слова, названия фильмов, книг, имена любимых литературных героев и пр.;
• повторяющиеся символы (например, пароль типа "аббббб" раскрыть значительно легче, чем "алугыс");
• набор символов, расположенных на клавиатуре рядом (“знаменитые” пароли: 111111, 12345, йцукен, qwerty и т.д.) или по простому закону (например, через клавишу - йу­егщх; по две в ряду - йцфыяч и т.п.);
• нельзя использовать один и тот же пароль одновременно в разных системах. Это прекрасная возможность для хакера проникнуть в систему.

2. Рекомендуется использовать:

• Переключения различных регистров (рус., англ.). Попробуйте набрать русское слово на английском регистре или наоборот, получите бессмысленный набор, вполне подходящий для пароля. Можно, например, взять слово из любого (желательно не английского) языка и его звучание на русском языке набрать на английском регистре. Например, если грузинское слово "камарджоба" набрать русскими буквами на английском регистре, то получится "rfvfhl;j,f" - попробуйте такой пароль подобрать.
• Использовать при формировании пароля как можно большее количество символов, конечно, если это допускает система (ведь компьютер позволяет использовать 256 символов). Например, сочетания букв и цифр, а также больших и маленьких букв в одном пароле (например, "ащночс" и "АщНоЧс" для компьютера - две большие разницы) значительно усложняет его подбор;
• Если с фантазией «напряженка» попробуйте просто связать два слова вместе, например: «ЯГений», «МояЖенаУмница», «ЛюблюВасю»

Общая идея такая: самый лучший пароль - случайный и бессмыслен­ный набор символов.

Предвижу возражения типа: "Бессмысленный набор символов очень трудно запомнить!". Что ж, это действительно так, но в этом случае можно рекомендовать еще одну маленькую хитрость. Составляйте пароль из первых (вторых и т.п.) букв запомнившейся фразы, четверостишья, песни, поговорки. Например, возьмем знакомое всем (или почти всем) стихотворение Некрасова:

Однажды, в студеную, зимнюю пору,
Я из лесу вышел, был сильный мороз.

Составляем пароли: "осзпяилвбсм" (из первых букв слов), "дтиозеыыио" (из вторых букв слов, хотя это и сложнее при наборе – сообразить какая буква вторая) и т.п. Получились бессмысленные наборы символов, которые, однако, очень просто запомнить.

И еще одно небольшое, но существенное замечание: какой длины должен быть пароль? Правило: чем больше, тем лучше, в данном случае, не совсем оправдано. Пароль, содержащий два-три десятка бессмысленных символов, трудно ввести в машину без ошибок. Ответ на этот вопрос существенно зависит от того набора символов, которые парольная система позволяет применять при формировании пароля (одно дело, только русские буквы или цифры, и другое - все 256 символов ASCII). В общем случае (опыт работы это подтверждает) можно рекомендовать использовать для пароля от 6 до 10 символов, и как наиболее оптимальный вариант - 7-8 символов. Опросы хакеров, проведенные американскими компьютерными журналами, говорят о том, что если в системе защиты используется длина пароля 7 и более символов, то заниматься простым его подбором бессмысленно. В этом случае для "вскрытия" пароля применяют другие способы: использование специальных программ (контроль нажатия клавиш, имитаторы входа в систему и т.п.), оперативное наблюдение, подкуп, шантаж и другие действия по отношению к человеку, который его знает. Да и запомнить 7 случайных символов все-таки возможно.

Озадаченный читатель может возразить: "То нельзя, это не рекомендуется - так и комбинаций не хватит!" Вот тут-то как раз и нечего бояться - чего-чего, а их хватит на всех.

Посмотрите внимательно на клавиатуру: 33 русских буквы, 26 английских (да все это еще и на 2-х регистрах), цифры от 0 до 9, спе­циальные символы (.,*!"#;' и т.д.). Всего около 160 символов, из которых можно составить пароль.

В приведенной ниже таблице показано количество комбинаций, получающихся в зависимости от набора символов, используемых при формирова­нии пароля, а также время, необходимое для полного перебора всех вариантов (при условии, что в одну секунду перебирается 1,000,000 вариантов, т.е. за один год непрерывной работы можно обработать 3.15*10^13 вариантов).

Таблица зависимости времени на перебор паролей от длины и алфавита

Из таблицы видно, что чем больше длина пароля и шире набор используемых символов, тем сложнее его подобрать. Даже если предположить, что пароль будет найден после перебора только одного процента всех комбинаций, то пароль из 8 символов (если при его формировании можно было использовать 160 символов) дает стойкость в 100 лет, что для сохранности большинства коммерческих и банковских секретов вполне достаточно.

Однако следует предостеречь и от излишнего усложнения пароля. При выборе пароля не забудьте, что вам его еще нужно будет набирать его на клавиатуре. Когда в одном пароле присутствуют и английские и русские символы, набираемые на обоих регистрах, да еще и какие-либо специальные символы, вводить его с клавиатуры будет затруднительно. "Знай меру!" – говорили древние.

Кто должен подбирать пароль? Это отнюдь не праздный вопрос. Существует две основных точки зрения: администратор компьютерной системы (ответственный специалист службы безопасности) или сам пользователь. Организация генерации и выдачи паролей ответственным сотрудником будет рассмотрена ниже в разделе «Хранение пароля пользователем».

Выбор схемы должен определяется исходя из конкретной компьютерной системы и самой организации, в которой она эксплуатируется. Наиболее оптимальной, с точки зрения автора, является комбинация обоих вариантов, при которых, в зависимости от задачи определяется и способ генерации и выдачи паролей пользователям.

При этом должны учитываться многие вопросы, такие как:

• Количество пользователей в системе. Согласитесь, если в организации больше сотни человек и выдавать всем пароль на вход в компьютерную сеть становится нереально просто организационно, да и незачем это, в случае непредвиденной ситуации гораздо легче блокировать работу пользователя в сети. Однако, вполне вероятно, что для администратора сети (сегмента сети) или для наиболее важных пользователей, способных выполнять критические для организации действия пароль должен выдаваться службой безопасности (руководством фирмы).
• Важность эксплуатируемых задач. Например, есть пароль на вход в компьютерную сеть организации для обычного менеджера, выполняющего стандартный набор служебных обязанностей, а есть начальник отдела, который в сети может запускать аналитические задачи, содержащие коммерческую тайну фирмы. Возможно, что пароль на вход в сеть начальник отдела может придумать и сам, а вот пароль на запуск аналитической задачи ему должен дать сотрудник службы безопасности.

Однозначно только одно – нужно регулярно контролировать стойкость паролей сотрудников, выявляя пароли типа «12345».

При подборе пароля желательно не брать уже однажды использовавшийся пароль или хотя бы установить для его повтора достаточно большой временной интервал. Проверку на повторяемость можно поручить и компьютеру, а не только администратору (службе безопасности). Очень хорошо если компьютерная система позволяет вести специальный список запрещенных к использованию и уже использованных паролей. К тому же надо следить за тем, чтобы у разных пользователей не было одинаковых паролей даже через небольшие интервалы времени. Подобный список, если он существует, должен храниться в зашифрованном виде и доступ к нему должен быть запрещен.

Существуют системы, контролирующие на повторяемость определенное число последних используемых паролей. Один из пользователей при смене пароля менял его 25 раз (система контролировала последние 25 паролей) и снова устанавливал уже использовавшийся им пароль. В данном случае ошибка разработчика состояла в том, что программа контролировала только смену пароля, забывая при этом проверить дату смены. Этот пример говорит о том, что, как уже отмечалось выше, пользователи компьютерной системы должны понимать для чего существует система безопасности и что число контролируемых использованных паролей должно быть достаточно большим.

В заключение заметим, что существуют специальные программы для генерации паролей, учитывающие все вышеизложенные правила.

В мировой практике считается, что пароль, как единственное и самостоятельное средство защиты, применяется при низких требованиях к системе безопасности. Одна из причин такого подхода в том, что пользователи, не надеясь на свою память, будут записывать его в различных, не предназначенных для этого местах (перекидной календарь, записная книжка, пропуск и т.п.). Посмотрите внимательно за сотрудником, включающим компьютер. Куда он посмотрит, перед тем как ввести пароль. Нередко его взгляд падает на угол дисплея, где среди нескольких прилепленных клочков бумажек есть и клочок с паролем. Отсюда возникает новая проблема безопасности - где и как хранить пароль?

Большинство пользователей довольно небрежно относятся к хранению своих паролей, что часто отрицательно сказывается на безопасности всей компьютерной системы. Так, например, одна американская компания потеряла 82000 долларов из-за незаконных обращений к ней по телефону, вследствие кражи пароля, и вынуждена была "просто" сменить все 800 своих телефонных номеров и переопределить тысячи паролей доступа своих пользователей. А некоторые пользователи кредитных карточек записывают свой PIN-код на обратной стороне самой карточки.

Вопрос хранения паролей очень серьезный и отнюдь не простой. Основные принципы хранения пароля должны быть такими:

- максимально затруднить злоумышленнику получение пароля;
- пароли всех пользователей системы не могут храниться в одном месте или у одного человека, либо они должны храниться в опечатанных конвертах, в сейфе сотрудника службы безопасности, а вскрывать конверт можно только в присутствии нескольких лиц (например, сотрудник службы безопасности и начальник отдела того сотрудника, чей пароль необходим);
- в случае, если пользователь не может или не хочет исполнять свои обязанности, т.е. возникает экстремальная ситуация (заболел, начал шантажировать руководство и т.п.), его пароль может получить огра­ниченный круг лиц при выполнении ими определенных условий.

Самый идеальный и однозначно правильный вариант, когда пользователь должен запомнить свой пароль. В этом случае остается только вопрос действий в экстремальных ситуациях, который будет рассматриваться ниже.

Если пользователь не может запомнить пароль, а он выдан ему на бумаге (в конверте), то хранить эту запись надо так, чтобы не допустить его компрометации (например, в личном сейфе). Это же относится и к дискете, на которой пароль может быть записан, а также любому другому его физическому носителю.

С точки зрения автора, работодателю следует сильно подумать, нужен ли ему работник, который не может придумать и запомнить стойкий пароль. Сможет ли этот сотрудник обеспечить безопасность той информации, которая будет ему доверена.

Как упоминалось выше, в системе хранения паролей важно продумать еще и такой момент: в руках одного человека не должны быть пароли всех пользователей системы, иначе он становится потенциальным объектом воздействия со стороны возможных злоумышленников, либо "хозяином положения" при работе с компьютерной системой и может начать шантаж руководства.

Система должна быть разделенная. Например, один сотрудник генерирует пароли и подготавливает их к выдаче, но он не знает, кому какой попадет (например, раскладывает по конвертам и запечатывает их), а другой выдает конверты конкретным пользователям, также не зная, кому какой пароль достанется. Кстати, эти двое могут и не знать друг друга, так как организовывать этот процесс может кто-то третий.

Например, начальник отдела выдает пароли сотрудникам, получая их от службы безопасности или администратора системы. Он получает по два неподписанных запечатанных конверта на каждого сотрудника. Определив каждому сотруднику пару конвертов, он их раздает: один - сотруднику, а второй - в свой сейф. За сохранность полученного пароля отвечает сотрудник. В экстремальной ситуации (внезапная болезнь, шантаж и т.п.) начальник отдела вскрывает конверт с паролем сотрудника в присутствии работника службы безопасности, а если таковой не произошло, то по истечении срока действия пароля конверт с ним уничтожается и заменяется новым.

Система с хранением пароля в конверте не так уж и сложна в организации, зато может во многом облегчить жизнь организации в случае непредвиденных обстоятельств. Один из примеров приведен на врезке № 2. В данном случае директору Норвежского национального центра языка и культуры нужно было бы просто вскрыть конверт с паролем.

В начале статьи упоминалось, что наиболее надежные системы те, в которых пароль используется как дополнение к ключевому элементу. В подобных системах возникает проблема надежности, хранения, некопируемости данного ключевого элемента. Она решается как его выбором (а тут уже возникает вопрос стоимости), так и организацией работы.

Например, в случае, когда в качестве ключевого элемента применя­ются дискеты, как наиболее дешевый и распространенный вариант, хотя и очень легко копируемый, должна быть четко продумана система подготовки, хранения, обращения с пользовательскими дискетами, контроля доступа в машинах пользователей к дисководам на чтение и запись (если дисководу запрещена операция записи, то на нем нельзя ничего скопировать) и т.д. Подобный принцип (ключевая дискета и пароль) применялся во многих компьютерных системах. В качестве не копируемых ключевых элементов применяют различные типы идентификаторов Touch Memory, электронные ключи, смарт-карточки. При их применении уровень защиты систем значительно выше, ведь, несмотря на то, что они дороже дискет, они обладают очень важным свойством – некопируемостью.

Причем, ключевой элемент не должен находиться у сотрудника постоянно. Утром, по приходу на работу, сотрудник (только он и никто другой) получает его, а вечером сдает на хранение. Вынос ключевых элементов за пределы учреждения должен быть строго запрещен. Это избавит от проблем с утерей, кражей или копированием ключевых элементов. Например, на пропуск сотрудника прикрепляется идентификатор Touch Memory, который может определять как права доступа сотрудника в помещения, так и его права в компьютерной системе. Кстати, во времена бывшего СССР на оборонных заводах и в военных НИИ пропуска хранились на проходной, а не у сотрудника. Это сейчас многие организации дают возможность своим сотрудникам носить пропуск за пределами работы.

В случае же утери или реального разглашения пользователем своего пароля (например, при физическом давлении) злоумышленник не сможет войти в компьютерную систему, не завладев ключевым элементом. Оказывать одновременно давление на несколько различных людей возможно, но уже гораздо сложнее, чем на одного. С другой стороны, хранитель ключевых элементов не может ими воспользоваться, так как не знает паролей.

Могут возразить: возможен сговор. Да, возможен. Но ведь в серьезных организациях есть еще и система разграничения доступа в помещения, система документирования работы и прочее, т.е. комплексный подход к вопросам безопасности. Полемизировать на эту тему можно долго. Но в любом случае твердо надо помнить одно - конечный пользователь никогда не должен быть "хозяином положения". А набор правил "игры" должен быть таким, чтобы осуществить "коварные замыслы" было бы невозможно при всем желании пользователя. И в каждой организации эти правила должны вырабатываться применительно к местным условиям.

Хочется остановиться еще на одном нюансе парольной системы. Мы рассматриваем варианты, когда в качестве пароля используют набор символов. Но ведь еще с древних времен паролем могли служить и некоторые вещи (кольцо, брелок, разорванная пополам бумажная купюра и т.д.), а иногда и действия (определенный жест).

Такой подход можно применять и к компьютерным системам. Например, к традиционному паролю добавить еще и определенную последовательность действий. Например, после появления на экране основного меню задачи пробежать по нему курсором слева направо или нажать разные клавиши, щелкнуть мышкой в определенной зоне заставки (в зависимости от ситуации – обычная работа или «работа под контролем») для того, чтобы убрать заставку задачи с экрана. Со стороны это покажется обычными действиями и не вызовет никаких подозрений, но для компьютерной системы - это сигнал, позволяющий распознать истинного пользователя или укравшего пароль "гангстера".

Есть еще один вариант. Пароль с "фокусом" - когда он набирается не сразу, а, например, с временным интервалом между набором каких-либо символов (реализация этого способа будет зависеть и от артистичности пользователя). Можно сделать и систему смены таких "паролей". Чем хороши эти "фокусы"? Не страшно случайное подсматривание пароля со стороны. Ведь важна теперь не только сама комбинация, но и порядок ее набора.

Подобных вариаций можно придумать массу. Все будет зависеть от творчества разработчиков системы и ее администраторов. Однако в реальной жизни подобные схемы применяются только в очень ответственных системах.

Способ набора пароля на клавиатуре, как, впрочем, и сам пароль или его незначительная модификация, может так же сигнализировать и о том, что работа пользователя происходит "под контролем" (по принуждению со стороны третьих лиц). Это особенно важно при работе с удаленными терминалами или, например, в системе "Банк-Клиент". Например, когда на экране заставка системы и нажаты клавиши пробел или Enter - все нормально, а если нажата клавиша Tab - пользователь работает "под контролем".

Для некоторых компьютерных систем, особенно сетевых, важна еще одна деталь - пароль должен вводиться только с определенной машины. И если он был введен с другой машины, он не должен приниматься. Кроме того, сигнал о попытке НСД должен немедленно получить администратор (служба безопасности).

Рассмотрим несколько вариантов работы пользователя с компьютером. Наиболее предпочтительный, но и редко встречающийся вариант - оператор один на один с машиной. В этом случае при вводе пароля в систему его никто не подсмотрит.

Однако в большинстве случаях наиболее распространен вариант, когда в одном помещении находится несколько человек или когда приходится входить в систему в присутствии постороннего, т.е. существует реальная возможность подсмотреть со стороны пароль при наборе его на клавиатуре. Опытному оператору достаточно одного взгляда, чтобы только по движению пальцев на клавиатуре узнать пароль или, как минимум, определить направление поисков, резко ограничив круг используемых символов, при последующем его подборе. Тем более что большинство систем при вводе пароля в каждое знакоместо выводят символ (например, "*"), что дает возможность точно узнать количество символов в нем и, следовательно, облегчает задачу подбора.

Одно из требований безопасности при вводе пароля - он не должен отражаться на экране компьютера ни каким образом, либо отображаемые звездочки не должны соответствовать реальному числу символов (пользователь нажал символ, а вместо него на экране появилось случайное количество символов от 0 до 3) – попробуйте тогда четко определить длину вводимого пароля? А в программе, непосредственно перед вводом пароля, необходимо почистить буфер клавиатуры, чтобы исключить попадание случайно нажатых символов.

Пароль всегда должен вводиться вручную, особенно в процедурах установления связи или в макрокомандах. К тому же, ручной вариант ввода пароля резко сокращает возможность его подбора. Напомним, что приведенная выше таблица построена из расчета обработки одного миллиона паролей в секунду (графы 3 и 5). Сколько же времени потребуется для набора на клавиатуре одного миллиона вариантов? А ведь система должна еще проверить пароль на правильность и как-то отреагировать, если он неправильный.

Сколько раз следует запрашивать пароль? Это отнюдь не праздный вопрос, как может показаться на первый взгляд. Вероятно, многие из читателей встречали задачи, которые могут это делать бесконечное количество раз, выдавая ответы типа "Неправильный пароль. Повторите еще раз." В такой ситуации злоумышленнику нетрудно подбирать пароль, не привлекая внимания окружающих, даже на машине законного пользователя.

Опыт подсказывает, что парольная система должна давать две, максимум, три попытки ввода пароля. Если они неудачны, срабатывают ответные действия системы защиты на попытку несанкционированного доступа. Но даже с первой попытки ввода пароля, парольная система может контролировать его на подбор. Как это сделать? В парольной системе должен быть предусмотрен логический анализ введенного пароля для сравнения с истинным, и, хотя это достаточно сложная задача, можно автоматизировать и ее.

Например, истинный пароль "фатоъбйо". Одно дело, когда набирают "йатоъбйо" или "фатоъбй", а другое - "хзыдвшкле". В первом и втором вариантах вполне логично предположить ошибку оператора (буква " й" на клавиатуре рядом с "ф", а во втором случае не хватает последнего символа), но в третьем варианте - явная попытка подбора, так как нет ни одного совпадающего символа.

Можно даже сформулировать примерное условие проверки: если истинный и введенный пароли отличаются на один символ и эти символы расположены рядом на клавиатуре, либо вариант, когда пароль набирается на другом регистре, либо пропущен один из символов, можно повторить запрос, но не более двух раз. В противном случае налицо попытка подбора пароля, на что парольная система должна принимать ответные действия.

Какие это могут быть действия? Во-первых, парольная система обязательно должна зафиксировать в системном журнале попытку несанкционированного доступа и сообщить на АРМ службы безопасности или администратору, а еще лучше сразу вывести соответствующую информацию и на принтер этого АРМа - "что написано пером - не вырубишь топором". Причем желательно в системном журнале фиксировать не только попытки НСД, но и ошибки при наборе пароля - под ними иногда можно маскировать попытки подбора пароля. Во-вторых, частичная или полная блокировка входа в систему для этого пользователя. После чего разблокировать доступ может только администратор или служба безопасности. Кроме того, обнаружение попытки подбора пароля может сопровождаться звуковыми сигналами. В рабочее время они будут слышны окружающим и действуют на психику взломщика. Во многом ответная реакция будет зависеть от назначения всей компьютерной системы и фантазии разработчиков и заказчиков.

Парольная система также должна проконтролировать, не была ли это попытка войти в систему с "просроченным" паролем. Или вариант, когда хакеры пытаются войти с паролем пользователя, который в настоящее время отсутствует на работе (уже уволился, отпуск, болезнь и т.п.). Случаи входов в компьютерные системы уволившимися сотрудниками не так уж редки в практике. Организация работы с компьютерной системой должна учитывать, что если сотрудник отсутствует на работе, его пароль блокируется. Если же попытка входа в систему относится к этой группе, то на вопрос, как пароль попал к злоумышленнику, должна ответить служба безопасности.

Кстати, система должна проверить, не работает ли уже пользователь с таким паролем - не использует ли его кто-то вторично.

Если пароль введен правильно, система должна вывести на экран дату и время последнего входа этого пользователя в систему. Это поможет ему самому проконтролировать, не работает ли кто-нибудь, используя его пароль.

Некоторые системы имеют еще и такой параметр, как интенсивность попыток входа и задают предельно допустимое время для входа пользователя в систему, ограничивая тем самым злоумышленнику возможность подбора пароля. Это особенно актуально в тех случаях, когда наряду с ручным набором пароля все же допускается и автоматический. Процедуры допуска в таких системах контролируют количество попыток входа в систему для каждого пользователя и пресекают возможные попытки подбора пароля.

Проверка пароля на правильность и хранение его в компьютерной системе

При проверке введенного пароля на правильность большинство систем построено так, что почти во всех случаях в оперативной памяти присутствует истинный пароль. Если снять дамп памяти, то, пройдя через некоторые препятствия, часто можно все-таки последний получить.

Как же защититься от этого? Очевидно, что при способе, когда оба пароля сравниваются как строки, надежно защитить истинный пароль невозможно. В этом случае рекомендуем хранить пароль в зашифрованном виде, и расшифровывать его непосредственно перед сравнением, а еще лучше сравнивать зашифрованные строки, после чего сразу же уничтожать из памяти, независимо от результата - совпал он или нет.

Есть и другой способ. Его принцип в том, что хранится не сам пароль, а его зашифрованный образ. На основе введенного пароля настраивается система шифро­вания, которая и зашифровывает пароль, который в таком виде и хранится. При вводе нового пароля, опять же на его основе строится система теперь уже расшифровки. Расшифровывается истинный пароль, и сравниваются два: введенный и расшифрованный. Если они совпадают - значит, введенный пароль правильный. Таким образом, при неправильном пароле система расшифровки сформируется неправильно и истинный пароль не будет получен. Такой подход дает гарантию того, что, снимая дамп оперативной памяти, никогда нельзя получить истинный пароль - при любом неправильном пароле его там просто нет.

Возможен еще один вариант. Пароль находится в зашифрованном виде на некопируемом носителе (электронном ключе, магнитной или смарт-карточке, идентификаторе Touch Memory и т.п.), т.е. опять главное условие - отсутствие пароля на «винчестере» который хакер может исследовать. Он же одновременно явля­ется и своеобразным ключом для запуска компьютерной системы, так как без него система не работает. На этом же носителе, если его память позволяет, может храниться и список паролей, уже использованных однажды или вообще запрещенных к использованию.

Почти все хакеры, вскрывая систему, начинают работу именно с поиска файла, в котором она хранит пароли пользователей. Вспомните NetWare или горячо любимый Windows и его файлы .PSW.

Есть вариант хранения пароля в "размазанном" виде, когда каждый символ записывается в разных местах одного файла или вообще в разных файлах, а само место хране­ния меняется по определенному алгоритму, причем все остальные символы файла являются простым «мусором», который при смене пароля полностью меняется. Попробуйте его тогда найти и расшифровать!

Кстати, замечание для разработчиков, как ошибка в программной реализации схемы хранения пароля приводит к его вскрытию. Существует способ добавления в зашифрованный сохраняемый пароль «мусора». При правильной его организации вскрыть его значительно труднее, чем просто зашифрованный пароль. Однако ошибка в программной реализации этого метода, позволила Дэвиду Личфилду (David Litchfield), специалисту по компьютерной безопасности из компании Next Generation Security Software (NGSS), вскрыть пароли в пакете SQL Server. (См. врезку № 3)

Существует возможность "снятия" пароля (как, впрочем, и любой другой ин­формации), специально написанными программами, электронными средствами, например, "слушая" нажатия клавиш на клавиатуре, а так же оперативными методами и средствами, но эти способы в данной статье не рассматриваются.

Смена пароля

Как известно, время от времени пароль надо менять. В каких случа­ях его меняют? Кто имеет на это право? Как это сделать?

Сначала ответим на первые два вопроса.

Парольная система может подразумевать несколько вариантов смены пароля:

1. По запросу пользователя. В этом случае инициатива принадлежит ему, нужно только обосновать причину смены и поставить в известность администратора системы или службу безопасности.

2. По времени. Например, запоминается последняя дата смены пароля и по прошествии месяца при входе в компьютерную систему или выходе из нее выдается предупреждающее сообщение и предлагается сменить пароль. Срок действия пароля должна определять служба безопасности (администратор) в каждой конкретной системе исходя из важности информации хранящейся в системе и риска раскрытия пароля. Парольная система должна также предупреждать службу безопасности заранее об истечении сроков действия паролей пользователей и требовать их смены. Например, пароли в сети NASA меняются каждые 32 часа.

Единственной рекомендацией может быть рекомендация, что самый максимальный срок действия пароля в любой компьютерной системе может быть один месяц.

3. По требованию администратора (службы безопасности). Он имеет право сменить не только свой пароль, но и пароль пользователя. Напри­мер, была попытка несанкционированного входа в систему с подбором пароля или срок его действия истек, а пользователь пароль не меняет и т.д. Некоторые администраторы считают, и они во многом правы, что при появлении опасности вторжения в систему необходимо менять все пароли, а не только те, которые были вовлечены в инцидент с попыткой проникновения в систему. Обосновывают они это тем, что неизвестно, были ли известны хакеру другие пароли или только, те которыми он пользовался.

Как сменить пароль? Ответ на этот вопрос не так прост, как кажется. Здесь есть две опасности.

Рассмотрим первый вариант. В системе работает законный пользователь. Например, бухгалтер делает расчет зарплаты на фирме. В этот момент его подозвали к телефону (а это можно и подстроить) в другую комнату. Машина осталась без присмотра и в это время какой-нибудь клерк, в силу разных причин, поменял пароль. Бухгалтер вернулся и, доделав свою работу, вышел из задачи ни о чем не подозревая. Но в следующий раз он уже не сможет войти в нее - пароль-то другой. Как быть?

И второй вариант. Пользователь сменил пароль без санкции и ведома службы безопасности (администратора) и заболел. Вся система, или ее часть встала. Никто не может ее запустить, так как пароль неизвестен. А ведь это все случаи из практики.

Операция смены пароля достаточно ответственна и требует серьезно­го подхода. Предлагается следующий алгоритм действий. В начале надо получить разрешение у службы безопасности (администратора) на эту операцию и новый пароль. Такой санкцией может быть и организационное "даю добро", а может быть и специальный пароль администратора на смену пароля пользователя. Возможен и такой вариант, где сменить пароль пользователя может только администратор или служба безопасности, хотя организационно это выглядит несколько сложнее.

Перед сменой пароля система должна обязательно запросить "старый" пароль (вспомним пример с бухгалтером) и, после проверки его на правильность, предложить ввести новый. При этом он также как и при вводе не должен отображаться на экране компьютера, а во избежание ошибки при наборе на клавиатуре необходимо повторить набор дважды. Это гарантирует от опечатки, т.к. повторить одну и ту же ошибку два-три раза нереально. Причем, новый пароль вступает в силу лишь тогда, когда пользователь вышел из системы, то есть только на следующий сеанс работы. И если вдруг потребуется снова сменить пароль (в том же сеансе работы), то нужен тот пароль, с которым ранее входили в систему, а не только что введенный.

При наличии списка запрещенных к использованию комбинаций, надо проверить, не попадает ли новый пароль в этот список. Необходимо сделать запись о смене пароля в системный журнал (кто и когда сменил пароль).

Система должна проконтролировать и такую ситуацию, когда новый пароль аналогичен предыдущему, т.е. реально пароль не меняется, а происходит лишь имитация его смены. Должен присутствовать и контроль повторяемости пароля, о котором говорилось выше, а при необходимости и его дублируемости с другим пользователем в случае многопользовательских систем. Очевидно, многие администраторы компьютерных систем могут вспомнить случай, когда пароль у всего отдела одинаковый (например, имя начальника отдела). Известен и прием когда пользователь использует всего два – три пароля, перио­дически сменяя один другим. Какой же смысл от такого пароля, и о какой безопасности можно говорить в этом случае?

По окончании сеанса работы система должна обязательно напомнить пользователю о смене пароля (вспомним пример с бухгалтером).

Юридические аспекты парольной системы

Сюда можно отнести вопросы, касающиеся юридической ответственности за разглашение коммерческой тайны. Например, в организации есть перечень информации, являющейся коммерческой тайной. Но есть ли в этом перечне упоминание о пароле? Система назначения, порядок выдачи и смены паролей, сроки, ответственные лица, вопросы обращения с ключевыми элементами системы разграничения доступом или шифрования - это тоже информация отнюдь не для широкой огласки.

Что будет служащему, если он "просто" назвал пароль по телефону или другу в частной беседе? В одном из банков один оператор по внутренней телефонной сети напомнил другому пароль, который почему-то был у всех одинаковый, и его тут же узнали посторонние.

Любой служащий, работающий с компьютерной системой, должен знать, какую ответственность он будет нести за разглашение пароля или за работу под чужим паролем (материальную, административную и т.п.). Что он должен делать при возникновении условий для компрометации пароля или уже наступившей его компрометации (сообщить в службу безопасности или администратору, сменить скомпрометированный пароль и т.п.).

Все эти вопросы должны быть оговорены или в контракте, заключаемом со служащим, или в его должностных инструкциях, ну а то, что не оговорено в инструкциях, все равно попадает под действия законов. К тому же, согласно ст. 361 “Криминального кодекса Украины”, (врезка № 4) работу под чужим паролем можно рассматривать как “Незаконне втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж”.

Способы распространения пароля

Способы распространения пароля различны для разных видов компьютерных систем и должны рассматриваться для каждой конкретной ситуации.

В общем случае при передаче и распространении пароля должно обеспечиваться главное условие - соблюдение его секретности, т.е. он не должен попасть в чужие руки, а если все же и попал, то этот чужой не должен понять, что это такое. Решить данный вопрос чисто программными средствами невозможно. Для этого нужен только комплекс организационно-управленческих, технических и прочих мероприятий.

Как одно из них часто используют различные системы шифрования паролей и схемы их доставки пользователям. Проще всего этот вопрос может решаться в территориально ограниченной системе, например, в локальной вычислительной сети банка. Там можно просто выдавать пароль каждому пользователю "под роспись". Как только пользователь получил пароль, он отвечает за его безопасность.

Сложнее этот вопрос решается в системах с разнесенными пользователями, т.е. когда пароль приходится доставлять на большие расстояния (например, в системах "Банк-Клиент").

Существует несколько разных схем:

• распространение пароля с помощью курьера;
• использование специальных таблиц паролей;
• шифрование паролей различными системами;
• шифрование с различными ключами одной системой шифрования и т.д.

Например, используют для распространения паролей системы шифрования с открытым ключом, и передачу их по обычным или выделенным каналам связи.

Некоторые рекомендации для разработчиков компьютерных систем

Помните, что при вскрытии системы у заказчика, вы обязательно окажетесь в числе крайних. Вас обвинят в том, что ВЫ сделали плохую систему, которую «может вскрыть каждый дурак», а заказчик, как известно, «почти всегда прав». Гораздо проще доказывать свою правоту тогда, когда Ваша система обладает всеми возможностями по обеспечению безопасности, а вот пользователь, ее эксплуатирующий, ими не воспользовался. И еще – помните «Юзер не лох – он специалист в другой области», а проблемы с задачей – это ВАШИ, а не его проблемы.

Если Вы считаете, что разрабатываемая Вами компьютерная система действительно серьезный программный продукт, то он должен обеспечить безопасность обрабатываемой информации, поэтому проектируйте ВСЮ СИСТЕМУ БЕЗОПАСНОСТИ еще до написания функциональных модулей системы, и помните что пароль – только один из элементов системы безопасности и нельзя всю безопасность строить только на пароле на вход в задачу.

В этой статье были описаны различные идеи и способы, и, в заключение, хочется отметить только несколько моментов:

• Программируйте систему ввода пароля так, что бы у пользователя не было возможности вводить пустой пароль и его длина не должна быть меньше 5-6 символов. Если для входа в вашу систему нужен пароль, то при поставке заказчику лучше дайте пароль по умолчанию, который он должен будет сменить себе сам (о чем не забудьте ему напомнить).
• Проверяйте вводимый пользователем пароль на легкую раскрываемость согласно своих собственных и данных выше рекомендаций. Ведите список запрещенных (вместе с паролем по умолчанию) и последних использованных паролей. Хотя бы 12 последних, но учтите, что он должен быть зашифрован и должен быть в этом списке. Можно сделать и так, что система начнет работать в полную силу только после смены пароля по умолчанию. На самом деле, это не так сложно запрограммировать, как кажется вначале. А Вы представьте себе удивление пользователя, когда Ваша задача скажет ему «Уважаемый ….! Пароль, который вы предлагаете установить, может вскрыть любой. Попробуйте придумать что-нибудь посерьезнее!» и выдайте ему в окне пару умных рекомендаций. Поверьте, через некоторое время он начнет больше уважать Ваш продукт.
• Если есть возможность, не храните пароли, даже в зашифрованном виде, на «винчестере», используйте для этого электронные ключи, Touch Memory и т.п. Так как не все типы этих устройств обладают достаточным объемом памяти, то в них можно хранить не весь, а только часть пароля.
• Ставьте отдельные пароли, если конечно в этом есть смысл, на проведение особо важных операций в системе (например: архивное копирование, какие-то особые отчеты, удаление или редактирование информации и т.п.).
• Заставляйте пользователя сменить пароль – постоянно предупреждайте его сообщениями типа «Коллега!!! Срок действия Вашего пароля истек!!! Смените его!!!» Когда они ему просто надоедят, он все равно его сменит и Ваша душа будет спокойней. Устанавливайте программно максимальный срок действия пароля в один месяц, а если вы будите хранить последние 12 – то как раз один раз в год он и сможет повторить свой пароль. Только не забывайте при этом контролировать время, чтобы он за один день не сменил 12 паролей подряд и не вернулся к своему любимому «12345».
• Включите в вашу задачу возможность быстрой блокировки работы по запросу пользователя или по времени бездействия, при этом разблокировка должна быть по паролю, с которым пользователь вошел в задачу.
• При смене пароля обязательно нужно ввести старый пароль, а может быть и пароль администратора системы – это уже на Ваше усмотрение.
• Напишите инструкцию по безопасности информации в Вашей системе и добавьте ее в документацию.
• Не забывайте и о пользователе – ему, все-таки, должно быть приятно работать с Вашей системой, несмотря на все пароли и запреты.

Итак, мы рассмотрели наиболее важные и явные стороны использования пароля, не затрагивая еще множества интересных деталей и нюансов.

Конечно, при построении серьезных систем защиты информации в компьютере парольная система, как часть системы разграничения доступа или системы шифрования, будет достаточно сложной. Придется решать вопросы эргономики, классификации пользователей (по возможностям работы с системой и уровнем доступа к информации), изменения их статуса, конт­роля "подмены" законного пользователя во время сеанса работы, докумен­тирования, входа в систему и работу в ней "под контролем", сопряжения парольной системы с другими системами и организацией всей работы, на­личие в системе паролей-призраков, являющихся западней для хакеров, и т.д. и т.п. Некоторые из этих вопросов можно решить программным путем, но многие - только в комплексе с организационными, техническими, а иногда юридическим и страховыми мерами.

Александр Тодуров.

Врезка № 1

Список наиболее часто используемых паролей на английском языке.

Врезка № 2

Директор Норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом, и умершему несколько лет тому назад. 

Врезка № 3

Взлом паролей в MS SQL Server

Система парольной защиты пакета SQL Server оказалась не такой устойчивой, как принято было считать. Такое открытие сделал Дэвид Личфилд (David Litchfield), специалист по компьютерной безопасности из компании Next Generation Security Software (NGSS), изучив работу недокументированной функции pwdencrypt(), отвечающей за хэширование паролей в SQL Server. Первым делом Личфилд решил проверить, добавляется ли в хэш пароля случайный шум, позволяющий более надежно зашифровать информацию. Для этого он сверил значения, возвращаемые pwdencrypt() от одного и того же пароля (для проверки Личфилд выбрал слово foo), но в разное время. При этом оказалось, что результаты действительно различаются - то есть, к хэшу пароля добавляется случайное значение, которое генерируется в зависимости от времени суток и позволяет замаскировать одинаковые по написанию пароли. Далее Личфилд проанализировал механизм генерации шума, который представляет собой целое число, получаемое в результате объединения двух псевдослучайных чисел, которые, в свою очередь, генерируются, исходя из системного времени.

Сведения о механизме создания шума уже облегчают взлом паролей, однако дальнейшие изыскания показали, что в система хранения паролей еще более уязвима. Как оказалось, вводимый пользователем пароль сначала переводится в формат unicode, затем к нему добавляется шум, а после этого осуществляется хэширование пароля. Однако в SQL Server хранится не одна, а две версии пароля. Первая из них зависит от регистра символов, а вторая состоит исключительно из символов в верхнем регистре. При этом к обеим версиям пароля добавляется одинаковый шум. Таким образом, зная механизм генерации шума можно простым перебором слов подобрать пароль в верхнем регистре - для этого требуется значительно меньше ресурсов, чем при подборе пароля, чувствительного к регистру - после чего подбор последнего становится тривиальной задачей.

Для демонстрации обнаруженной уязвимости Литчфилд написал простую программу на Си, которая вначале хэширует все имеющиеся в ее распоряжении слова, сравнивая ее с хранящимся в SQL Server хэшем пароля в верхнем регистре. На компьютере с процессором Pentium III с частотой 1 ГГц и 256 Мб ОЗУ программа за две секунды перебирает 200 000 слов.

Врезка № 4

Кримінальній кодекс України

Стаття 361. Незаконне втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж

1. Незаконне втручання в роботу    автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних  мереж, що  призвело  до  перекручення чи знищення комп'ютерної інформації або носіїв такої інформації,  а також розповсюдження комп'ютерного вірусу   шляхом   застосування  програмних  і  технічних  засобів, призначених для незаконного проникнення в ці  машини,  системи  чи комп'ютерні  мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації, - караються штрафом до  сімдесяти  неоподатковуваних  мінімумів доходів  громадян  або виправними роботами на строк до двох років, або обмеженням волі на той самий строк.

2. Ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб, - караються обмеженням волі  на строк до п'яти років або позбавленням волі на строк від трьох до п'яти років.