CC BY
47
УДК 004.056.5
АНАЛИЗ НАДЕЖНОСТИ ПАРОЛЕЙ ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
А.А. Абидарова
Проводится анализ безопасности паролей, наиболее часто используемых в повседневной жизни и в автоматизированных системах. Приводятся рекомендации по использованию и созданию надежных паролей, вероятность подбора которых существенно снижена.
Ключевые слова: информация, безопасность, пароль, безопасность, анализ, подбор, информационная безопасность.
Очевидно, что современным человеком используется все большее количество паролей. При входе в компьютер, на электронную почту, на банковский счет, в социальную сеть, в рабочие зоны сайтов. Помимо этого, пароли используются на предприятиях и для управления автоматизированными системами. А так как безопасность является одним из наиболее приоритетных областей, то вопрос об обеспечении надежности паролей остается актуальным [1-6].
Одним из самых популярных вариантов пароля является «123456», а также различные комбинации цифр от 1 до 9 в первой десятке довольно много (например, «12345», «12345678»). Также очень часто встречаются пароли «password». Многие из паролей также происходят в зависимости от раскладки клавиш, например, «qwerty», «1qaz2wsx» и т. д. На рис. 1 и 2 приведена статистика по использованию паролей.
II Только цифры (numeric)
■ Символы английского алфавите в нижнем регистре (loweralpha)
ы Символы английского алфавита в нижнем регистре и цифры (loweralph»-numeric)
в Символы английского алфавита в разных регистрах и цифры (nrtialpha-nurnerlc)
Ы Символы английского алфавита в разных регистра* (nuxalpha)
Ы Символы английского алфавита в верхнем регистре и цифры (alpha-numeric)
Ы Символы русского алфавита в нижнем регистре (loweralpha-г us)
ы Прочие наборы
Рис. 1. Статистика использования паролей
Чаще всего встречаются следующие ошибки при создании пароля: пароли слишком короткие; слишком простые; пароль долго не меняется;
в разных местах используется один и тот же пароль, сохранение и запись пароля где-либо.
Стоит отметить, что даже если пароли не сохраняются намеренно, обычно функцию их сохранения имеют веб-браузеры или другие программы и операционные системы. Это удобно, но, если приоритетом является безопасность, лучше не использовать эту опцию.
Во многих системах заложена периодичность смены пароля и задание его с определенной сложностью. Обычно сервис показывает, является ли пароль слабым или сильным. Существует ряд правил создания хорошего веб-пароля:
Системный анализ, управление и обработка информации
1. Длина. Абсолютный минимум в настоящее время составляет 8 знаков, но чем больше, тем лучше. Бывают такие рекомендации, что пароль должен иметь более 14 символов. Таким образом, количество возможных комбинаций увеличивается, и, следовательно, подбор такого пароля будет значительно затруднен.
2. Знаки. В пароле они должны быть максимально разнообразными и не иметь никакой логики. Мы должны использовать как прописные и строчные буквы, цифры, а также специальные символы.
ire 14% 12% 10% 8% 6% 4% 2% 0%
IS, 6«
Полное совпадение гиролл с именем лользоеэтела
0,70% частичное со впадение
па ролл с именем пользовачсла
Пароль содержится D
публично распроораннемых
СЛОВЛр^К
0,70«
МарОЛЬЛПЛЯСТСЯ пустой строкой
Рис. 2. Статистика использования паролей
Для создания правильного пароля возможно применение специализированных сервисов, которые генерируют пароли согласна заданным параметрам. Помимо этого, существует ряд сервисов, которые помогают управлять паролями, используемыми в разных сервисах. Чаще всего это программа или приложение, защищенное одним паролем, с доступом ко всем остальным. Наиболее распространенные программы: Last Pass, Keepass Password Safe, Sticky Password, Яндекс Ключ.
Помимо классического ввода паролей используются так называемые замаскированные пароли. В основном это классические пароль, с той разницей, что для входа в систему не нужно вводить его целиком, а только определенные символы. Таким образом, снижается опасности перехвата всего пароля, потому что полностью пароль не вводится и не передается по незашифрованному каналу [3].
Некоторым качественным изменением является аутентификация личности с помощью отпечатка пальца (Touch ID). Конечно, для этого необходимо устройство, которое делает это возможным. Альтернативным вариантом является подтверждение личности с помощью сканера объёмно-пространственной формы лица человека.
Помимо это существуют также специальные программы для поиска потерянных паролей, например, ElcomSoft Distributed Password Recovery. Которая является одной из уникальных программ, позволяющих осуществлять распределенное нахождение забытых паролей к самым разнообразным документам.
Для нахождения паролей к документам программа задействует вычислительные мощности всех компьютеров, которые объединены в сеть. В состав программы входят три компонента: сервер, агент и консоль.
Инсталляция сервера осуществляется на один из сетевых компьютеров, он предназначен для управления процессами проверки паролей. Агент может быть установлен на любые компьютеры, он перебирает пароли, которые выдает сервер небольшими порциями (частями).
Консоль можно запустить с абсолютно любого компьютера, она осуществляет управление сервером перебора паролей, добавляет новые функции и задачи, просматривает статистические данные.
Программа имеет достаточно широкие возможности. Она поможет найти пароли к документам при помощи вычислительных мощностей всей компьютерной сети. Работа программы может осуществляться как в локальной, так и в глобальной сети.
С помощью данного продукта осуществляется управление сервером перебора паролей, устанавливаются и деинсталлируются агенты перебора, меняются временные рамки, которыми определяется работа агентов и приоритетов, запуск агентов и сервера как сервисов операционной системы, осуществляется сбор и просмотр статистики.
Программа поддерживает самые разнообразные форматы документов. В будущем планируется еще большее увеличение количества форматов, поддерживаемых программой. Возможности программы достаточно широки.
Программа работает на высокой скорости перебора, которая обеспечивается посредством использования аппаратного ускорения. Предусмотрена поддержка видеокарт с использованием до 10000 рабочих станций, на основе одного вычислительного узла могут использоваться до 64 процессоров и до 32 графических чипов. В программе установлен модульный интерфейс, который позволяет поддерживать дополнительные форматы файлов.
При помощи расписания производится распределение нагрузки. Потери от масштабирования сводятся к нулю за счет минимального обмена данными по сети. Безопасность в сети обеспечивает специальное шифрование данных обмена между клиентом и сервером.
Список литературы
1. Босова Е.Д., Селищев В.А. Информационная безопасность: современные реалии // Известия Тульского государственного университета. Технические науки. 2019. Вып. 9. С. 296-300.
2. Плахина Е.А. К вопросу об информационной безопасности в сети интернет // Известия Тульского государственного университета. Технические науки. 2020. Вып. 12. С. 342-345.
3. Афанасьева Д.В., Абидарова А.А., Плахина Е.А. Применение протокола https для повышения информационной безопасности в сети // Известия Тульского государственного университета. Технические науки. 2019. Вып. 9. С. 363-367.
4. Старков А.М. Подход к формированию критериев технического управления виртуальной вычислительной сетью корпоративного типа / И.Б. Саенко, А.М. Старков // Перспективные направления развития отечественных информационных технологий: материалы IV межрегиональной научно-практической конференции Севастополь, 2018. Севастополь: СевГУ, 2018. С. 259-260.
5. Афанасьева Д.В., Абидарова А.А., Плахина Е.А. Применение технологии «блокчейн» для цифровой идентификации пользователей // Известия Тульского государственного университета. Технические науки. 2019. Вып. 9. С. 351-354.
Абидарова Александра Алексеевна, студентка, sc-afadr@yandex.ru, Россия, Тула, Тульский государственный университет
ANALYSIS OF PASSWORD RELIABILITY TO ENSURE INFORMATION SECURITY
A.A. Abidarova
The analysis of the security of passwords most often used in everyday life and in automated systems. Recommendations are given for the use and creation of strong passwords, the likelihood of guessing which is significantly reduced.
Key words: information, security, password, security, analysis, selection, information security.
Abidarova Alexandra Alekseevna, student, sc-afadr@yandex.ru, Russia, Tula, Tula State University
