Научная статья на тему 'МЕТОДЫ ОЦЕНКИ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ АУТЕНТИФИКАЦИИ ПО МНОГОРАЗОВОМУ ПАРОЛЮ'

МЕТОДЫ ОЦЕНКИ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ АУТЕНТИФИКАЦИИ ПО МНОГОРАЗОВОМУ ПАРОЛЮ Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
493
60
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИДЕНТИФИКАЦИЯ / АУТЕНТИФИКАЦИЯ / ДОСТУП / НАДЕЖНОСТЬ

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ушаков К. Е.

В настоящее время каждого человека окружает большое количество информационных систем. При этом основной задачей защиты информации при использовании данных систем является управление доступом. Доступ предоставляется после того, как пользователь прошел процедуры аутентификации и идентификации. Данные процедуры необходимы так, как через них снижается риск неоднозначного предоставления доступа пользователя к информационному ресурсу. Согласно ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" под аутентификацией понимается действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации [3]. В этом определении фигурирует понятие идентификатор доступа, указанный выше стандарт также дает определения к этому понятию - признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ним идентификационную информацию. Говоря простым языком, идентификатором доступа является пароль

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ушаков К. Е.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHODS FOR ASSESSING THE SECURITY AND RELIABILITY OF AUTHENTICATION USING A REUSABLE PASSWORD

Currently, each person is surrounded by a large number of information systems. At the same time, the main task of protecting information when using these systems is access control. Access is granted after the user has passed the authentication and identification procedures. These procedures are necessary because through them the risk of ambiguous provision of user access to an information resource is reduced. According to GOST R 58833-2020 "Information protection. Identification and authentication. General provisions" authentication means actions to verify the authenticity of the access subject and/or access object, as well as to verify that the access subject and/or access object owns the presented access identifier and authentication information [3]. This definition includes the concept of access identifier, the above standard also defines this concept - a sign of an access subject or an access object in the form of a string of signs (symbols), which is used for identification and uniquely defines (indicates) the identification information associated with it. In simple terms, the access identifier is a password

Текст научной работы на тему «МЕТОДЫ ОЦЕНКИ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ АУТЕНТИФИКАЦИИ ПО МНОГОРАЗОВОМУ ПАРОЛЮ»

УДК 004

Ушаков К.Е.

студент кафедры защита информации Московский государственный технический университет

имени Н.Э. Баумана (национальный исследовательский университет) (г. Москва, Россия)

МЕТОДЫ ОЦЕНКИ БЕЗОПАСНОСТИ И НАДЕЖНОСТИ АУТЕНТИФИКАЦИИ ПО МНОГОРАЗОВОМУ ПАРОЛЮ

Аннотация: в настоящее время каждого человека окружает большое количество информационных систем. При этом основной задачей защиты информации при использовании данных систем является управление доступом. Доступ предоставляется после того, как пользователь прошел процедуры аутентификации и идентификации. Данные процедуры необходимы так, как через них снижается риск неоднозначного предоставления доступа пользователя к информационному ресурсу. Согласно ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" под аутентификацией понимается действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации [3]. В этом определении фигурирует понятие идентификатор доступа, указанный выше стандарт также дает определения к этому понятию - признак субъекта доступа или объекта доступа в виде строки знаков (символов), который используется при идентификации и однозначно определяет (указывает) соотнесенную с ним идентификационную информацию. Говоря простым языком, идентификатором доступа является пароль.

Ключевые слова: идентификация, аутентификация, доступ, надежность.

Аутентификация по многоразовому паролю получила свою распространенность благодаря своей простоте и привычности, но в то же время является одной из самых слабых методов проверки подлинности. Это связано с

тем, что зачастую пароли придумывают простыми с привязкой к какому-либо факту из жизни человека (дата рождения, имя домашнего питомца и т.д.). Также в большинстве случаев пароли известны заранее, т. к. имеют значения по умолчанию, указанные в документации и пользователи не стремятся их изменять. Аутентификация по многоразовому паролю является однофакторной и относится к простому виду аутентификации.

Простая аутентификация предназначена для предоставления локальных полномочий на основе различительного имени пользователя, двусторонне согласованного (факультативно) пароля и двустороннего понимания способов использования и обработки этого пароля в пределах одного региона. Простая аутентификация предназначена в основном для локального использования, то есть для аутентификации равноправных логических объектов между одним агентом пользователя справочником и одним агентом системы справочника или между двумя агентами системы справочника.

Простая аутентификация может быть выполнена несколькими способами:

1) передачей различительного имени пользователя и (факультативно) пароля в открытом (незащищенном) тексте получателю для оценки;

2) передачей различительного имени пользователя, пароля и случайного числа и/или отметкой времени и всего того, что защищено применением однонаправленной функции;

3) передачей защищенной информации, описанной в пункте Ь), вместе со случайным числом и/или отметкой времени и всего того, что защищено применением однонаправленной функции.

Процедуру аутентификации пользователя в сети можно представить следующим образом:

1) При попытке осуществления входа пользователя в систему, пользователь вводит данные для аутентификации: идентификатор и пароль.

2) Затем эти данные поступают на сервер аутентификации, где подвергаются обработке. В базе данных, которая хранится на сервере, осуществляется поиск пароля, соответствующего введённому идентификатору, после чего происходит сравнение с тем паролем, который ввел пользователь.

3) При совпадении данных считается, что аутентификация прошла успешно.

4) Пользователь получает доступ и права на те ресурсы, которые определены для него в информационной системе.

Общая схема процедуры передачи незащищенной информации представлена на Рис. 1.

3

Рис. 1. Процедура простой аутентификации

Не трудно понять, что аутентификация, в которой передача пароля осуществляется в незашифрованном виде, не обеспечивает даже минимального уровня безопасности, т. к. данный пароль легко перехватить и скомпрометировать. Для этого в процедуру простой аутентификации принято включать средства шифрования, которые зашифровывают пароль перед отправкой по открытому каналу, соответственно и на сервере аутентификации хранятся пароли, зашифрованные по тому же алгоритму, что и перед отправкой. В таком случае сравниваются значения не самих паролей, а их образов, к которым была применена однонаправленная хэш-функция. Однонаправленность хэш-функции не позволяет восстановить пароль по образу пароля, но позволяет,

вычислив хэш-функцию, получить образ введенного пользователем пароля и таким образом проверить правильность введенного пароля. В простейшем случае в качестве хэш-функции используется результат шифрования некоторой константы на пароле.

Надежность аутентификации - это мера защиты от несанкционированного доступа к системе. Важным аспектом надежности аутентификации является обеспечение аутентичности идентификационных данных, а также обеспечение конфиденциальности этой информации.

Надежность аутентификации определяется на основе нескольких факторов, таких как сложность пароля, криптографические методы и протоколы, методы хранения и передачи идентификационных данных, а также политики управления доступом.

Основная цель надежности аутентификации - обеспечение защиты от несанкционированного доступа к системе и предотвращение возможности подделки идентификационных данных. При этом необходимо учитывать, что надежность аутентификации не может быть абсолютной, поскольку всегда существуют методы взлома и обхода механизмов защиты. Однако использование современных методов и технологий позволяет уменьшить вероятность несанкционированного доступа и сделать его достаточно сложным и затратным.

Существует несколько методов оценки надежности аутентификации по многоразовому паролю, включая:

- Методы информационной безопасности, которые опираются на оценку стойкости криптографических алгоритмов, используемых для хранения и передачи паролей.

- Методы анализа рисков, которые позволяют оценить вероятность возникновения угроз безопасности в процессе использования многоразового пароля.

- Методы оценки силы пароля, которые основаны на проверке длины пароля, использования различных символов, его уникальности и регулярного изменения.

- Методы оценки защищенности системы, включающие анализ безопасности сети, серверов и клиентских приложений, а также проверку соответствия стандартам безопасности.

Каждый из этих методов может использоваться для оценки надежности аутентификации по многоразовому паролю, и каждый из них имеет свои преимущества и недостатки. Например, методы анализа рисков могут помочь оценить наиболее вероятные угрозы безопасности, но не могут гарантировать защиту от всех возможных угроз. В то же время, методы оценки защищенности системы могут помочь обнаружить и устранить уязвимости в инфраструктуре, но могут быть менее эффективны в оценке надежности самого пароля.

Для достижения наивысшего уровня безопасности аутентификации по многоразовому паролю, наиболее эффективно использовать комбинацию различных методов оценки надежности, а также следить за изменением стандартов и технологий безопасности для обеспечения надежной защиты от новых угроз.

Безопасность аутентификации - это мера защищенности процесса аутентификации от несанкционированного доступа. Она включает в себя защиту от атак, которые могут нарушить целостность, конфиденциальность или доступность информации в результате утечки аутентификационных данных, таких как логины и пароли.

Важно, чтобы процесс аутентификации был надежным и безопасным, поскольку его нарушение может привести к серьезным последствиям, таким как утечка конфиденциальной информации или несанкционированный доступ к системе или ресурсам, которыми пользуется пользователь.

Существует несколько методов оценки безопасности аутентификации по многоразовому паролю. Рассмотрим некоторые из них:

- Анализ стойкости пароля: в этом методе используется анализ стойкости пароля, то есть проверка его на прочность. Для этого используются специальные программы, которые могут проверять пароли на сложность и предсказуемость. Это может помочь в выявлении слабых паролей и предупреждении возможных атак.

- Анализ входных данных: этот метод заключается в анализе входных данных, которые используются при аутентификации. Критерии, которые могут быть использованы при этом анализе, могут включать в себя длину пароля, сложность, степень защиты от взлома, а также обработку и хранение данных.

- Методы защиты паролей: это включает в себя меры, принимаемые для защиты паролей. Это может быть использование дополнительных факторов аутентификации, таких как биометрические данные, двухфакторная аутентификация и т.д. Также меры могут включать защиту хранилища паролей, шифрование и т.д.

- Тестирование на проникновение: этот метод включает в себя проведение тестов на проникновение для выявления уязвимостей в системе аутентификации по многоразовому паролю. Тестирование на проникновение может помочь в выявлении слабых мест и улучшении общей безопасности системы.

Важно понимать, что ни один метод оценки безопасности аутентификации по многоразовому паролю не является идеальным и все они должны использоваться в комбинации для достижения наилучшей безопасности системы. Кроме того, рекомендуется регулярно обновлять и проверять политику безопасности паролей для обеспечения максимальной защиты от взлома.

Также для повышения безопасности аутентификации можно применить аутентификацию на основе токенов. Аутентификация на основе токенов - это процесс проверки подлинности пользователя с использованием токена, который выдается пользователю после успешной аутентификации.

Токен - это уникальная строка символов, которая действует как идентификатор пользователя. Он может содержать информацию о пользователе, такую как идентификатор, имя пользователя, срок действия и разрешения, которые ему предоставлены.

После успешной аутентификации сервер выдает токен клиенту, который может использоваться для последующей авторизации при запросе к защищенным ресурсам сервера. Клиент обычно передает токен в заголовке запроса к защищенным ресурсам, которые его проверяют, чтобы убедиться, что пользователь имеет право получить доступ к этим ресурсам.

Преимущества использования аутентификации на основе токенов включают в себя:

1. Безопасность: Токены могут быть шифрованы и подписаны, чтобы гарантировать безопасность передачи информации между клиентом и сервером.

2. Масштабируемость: Использование токенов позволяет серверам масштабировать приложения, поддерживая сотни или тысячи пользователей, без необходимости создавать сессию для каждого пользователя.

3. Удобство: Токены обычно имеют ограниченное время жизни и могут быть автоматически обновлены. Это уменьшает необходимость постоянного ввода логина и пароля при каждом запросе.

Ниже рассмотрим несколько видов токенов, используемых при аутентификации.

Аппаратные токены (Hardware Tokens) - это устройства для аутентификации, которые используются для обеспечения высокого уровня безопасности и защиты при работе с компьютерами и сетями.

Аппаратный токен - это физическое устройство, которое может быть подключено к компьютеру или мобильному устройству и выполняет функцию проверки подлинности пользователя, используя двухфакторную аутентификацию. Он генерирует одноразовый пароль, который должен быть

введен пользователем вместе с его логином и паролем для получения доступа к системе или сервису.

Аппаратные токены могут быть различных форм-факторов: от ключей с USB-подключением и карточек, до смарт-карт и мобильных устройств.

Одно из главных преимуществ аппаратных токенов - это защита от кражи логина и пароля. Даже если злоумышленник получит доступ к логину и паролю пользователя, ему также потребуется доступ к аппаратному токену, чтобы получить доступ к защищенной системе.

Кроме того, аппаратные токены могут быть использованы для обеспечения безопасности при онлайн-платежах, электронной подписи документов и других видов операций, где крайне важна защита от несанкционированного доступа.

Недостатки аппаратных токенов включают в себя их стоимость и необходимость использования специального программного обеспечения для работы с ними. Кроме того, если устройство было утеряно или повреждено, то пользователю потребуется заменить его на новое, что может быть неудобно и затратно.

JWT (JSON Web Token) - это стандарт для передачи данных в формате JSON, который используется для обмена информацией между двумя сторонами. Он представляет собой компактный и безопасный формат, который может быть использован для передачи данных аутентификации и авторизации между серверами и клиентами.

JWT состоит из трех частей: заголовка (header), полезной нагрузки (payload) и подписи (signature).

1. Заголовок содержит информацию о том, как должен быть обработан токен, включая тип токена (JWT), алгоритм шифрования и другие метаданные.

2. Полезная нагрузка содержит информацию о пользователе, такую как его идентификатор, роли, права доступа и т.д. Кроме того, она может содержать

пользовательские данные, которые могут быть переданы между сервером и клиентом.

3. Подпись - это хеш, который генерируется с использованием заголовка и полезной нагрузки, а также секретного ключа сервера. Он используется для проверки подлинности токена и защиты от подделки.

JWT позволяет серверу создать токен, который может быть передан клиенту после успешной аутентификации, и далее использоваться при каждом запросе к защищенным ресурсам сервера. Клиент может передать этот токен в заголовке запроса для проверки аутентификации на стороне сервера.

JWT имеет несколько преимуществ перед другими методами аутентификации, такими как куки (cookies) или сессии (sessions):

1. Безопасность: JWT защищен от подделки и шифрован, что делает его безопасным для передачи данных между клиентом и сервером.

2. Надежность: JWT имеет время жизни, которое может быть установлено сервером. Это позволяет контролировать длительность аутентификации пользователя и обеспечивает более надежную защиту от несанкционированного доступа.

3. Масштабируемость: JWT может быть использован для аутентификации между различными сервисами и серверами, что делает его более масштабируемым и удобным для разработки распределенных приложений.

4. Удобство: JWT может использоваться для аутентификации в мобильных приложениях и других приложениях, которые не могут использовать куки или сессии.

JWT является широко используемым стандартом для аутентификации в веб-приложениях.

API-токены - это уникальные ключи доступа, которые используются для аутентификации и авторизации приложений, работающих через API (Application Programming Interface).

Когда разработчик создает приложение, которое нужно взаимодействовать с API другого сервиса, он может получить API -токен от этого сервиса. Токен может содержать информацию о правах доступа, ограничениях и других параметрах, которые позволяют приложению выполнять определенные операции с API.

API-токен может быть выдан различными способами, в зависимости от требований конкретного сервиса. Например, для получения токена может потребоваться регистрация приложения на сайте сервиса, а затем запрос токена с указанием идентификатора приложения и его секретного ключа. Токен может быть выдан как временный, так и постоянный, в зависимости от настроек сервиса.

API-токены обеспечивают безопасность взаимодействия между приложением и API, поскольку требуются для аутентификации и авторизации, и позволяют ограничить доступ приложения только к определенным операциям и данным. Однако, при работе с API-токенами необходимо учитывать риски, связанные с хранением и передачей токенов, чтобы не допустить их утечки или использования несанкционированными лицами.

Другой метод оценки надежности аутентификации по многоразовому паролю - это метод оценки рисков (risk assessment). Этот метод предполагает анализ потенциальных угроз и рисков, связанных с использованием многоразового пароля, а также определение вероятности их реализации и возможных последствий. На основе этого анализа можно определить уровень риска и принять меры по его снижению.

Например, при оценке надежности аутентификации по многоразовому паролю можно провести анализ угроз, связанных с возможным перехватом пароля злоумышленниками, а также с использованием слабых и предсказуемых паролей. Для каждой угрозы необходимо определить вероятность ее реализации и потенциальный ущерб для системы и пользователей. На основе этого анализа можно определить уровень риска и принять меры по его снижению, например,

установить требования к сложности паролей, использовать механизмы блокировки учетных записей при неудачных попытках входа и т.д.

Для оценки безопасности и надежности аутентификации по многоразовому паролю можно использовать метод построения дерева событий. Дерево событий - это метод анализа безопасности системы, позволяющий оценить вероятность наступления определенного небезопасного события.

Дерево событий представляет собой структуру из узлов и листьев, где узлы представляют события, которые могут произойти, а листья - конечные последствия. Каждое событие может быть разделено на более мелкие события, которые являются его причинами. Таким образом, дерево событий позволяет проанализировать все возможные причины и последствия небезопасных событий.

Для оценки безопасности и надежности аутентификации по многоразовому паролю, дерево событий может быть использовано для описания всех возможных угроз и способов их предотвращения. Например, на диаграмме может быть представлено событие "компрометация пароля", которое может привести к несанкционированному доступу к системе. (Рисунок 2). Для предотвращения этого события могут быть использованы методы, такие как использование сильных паролей, многофакторной аутентификации и т.д.

Рис. 2. Дерево событий

При оценке безопасности и надежности аутентификации по многоразовому паролю, дерево событий может быть полезно для оценки вероятности компрометации пароля и идентификации мер, которые могут уменьшить эту вероятность. Также, дерево событий может помочь определить наиболее критические узлы в системе, которые нуждаются в дополнительной защите.

В целом, дерево событий - это полезный инструмент для оценки безопасности и надежности аутентификации по многоразовому паролю, так как позволяет оценить все возможные угрозы и меры по их предотвращению.

Дерево отказов (Fault Tree Analysis, FTA) - это метод анализа безопасности, который используется для исследования потенциальных сбоев в системе и выявления их возможных причин. В контексте аутентификации по многоразовому паролю, дерево отказов может использоваться для оценки безопасности и надежности данного метода аутентификации.

Для создания дерева отказов аутентификации по многоразовому паролю необходимо сначала определить цель аутентификации и составить список всех возможных причин сбоев в системе. Затем для каждой причины сбоя необходимо

определить все возможные сценарии, которые могут привести к этому сбою, и создать ветвь дерева для каждого сценария.

Для каждой ветви дерева отказов необходимо определить вероятность возникновения сбоя, а также определить меры по предотвращению или уменьшению риска возникновения сбоя. Таким образом, дерево отказов позволяет определить наиболее вероятные и серьезные сценарии сбоев, а также меры по улучшению безопасности и надежности аутентификации по многоразовому паролю.

Одним из примеров сценариев, который может быть включен в дерево отказов аутентификации по многоразовому паролю, является использование слабых паролей. В этом случае, необходимо определить меры по предотвращению использования слабых паролей, такие как требование использования длинных и сложных паролей, периодическое изменение паролей, использование двухфакторной аутентификации и т.д.

Таким образом, дерево отказов является одним из методов оценки безопасности и надежности аутентификации по многоразовому паролю, который позволяет исследовать потенциальные сценарии сбоев и определить меры по улучшению безопасности и надежности данного метода аутентификации.

Помимо этих методов, существуют и другие методы оценки надежности и безопасности систем аутентификации, например, методы анализа уязвимостей, методы тестирования и другие. Каждый метод имеет свои преимущества и недостатки, кратко представлены в Таблице 1, и выбор метода зависит от целей и требований, предъявляемых к системе.

Таблица 1 - Преимущества и недостатки методов оценки надежности и безопасности систем аутентификации

Метод Преимущества Недостатки

Дерево событий Анализ отказов: Метод дерева отказов позволяет систематически анализировать возможные отказы в процессе аутентификации. Это помогает выявить потенциальные уязвимости и слабые места в системе, которые могут быть использованы злоумышленниками для несанкционированного доступа. Отсутствие динамического анализа: Дерево отказов сконцентрировано на статическом анализе комбинаций событий, не всегда учитывая динамические аспекты и изменения в процессе аутентификации.

Понимание причин отказов: Дерево отказов помогает визуализировать иерархию событий, приводящих к отказу системы аутентификации. Это позволяет лучше понять причины отказов и взаимосвязи между различными событиями. Ограничение на количество событий: В дереве отказов может быть ограничение на количество узлов и ветвей, что может затруднить анализ при сложных системах аутентификации.

Метод Преимущества Недостатки

Фокус на критических событиях: Предположение о

Дерево отказов позволяет независимости: Метод

идентифицировать критические дерева отказов

события, которые могут иметь предполагает

наибольший влияние на независимость событий,

безопасность и надежность что может быть

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

аутентификации. Это позволяет нереалистичным в

сосредоточить усилия на реальном мире. В системах

устранении или снижении аутентификации

рисков, связанных с этими многоразовым паролем

событиями. события могут быть

взаимосвязанными, и их

взаимодействие может

повлиять на надежность и

безопасность.

Дерево Графическое представление: Требование полной

отказов Дерево отказов представляет информации: для

собой диаграмму, которая построения дерева отказов

позволяет наглядно отобразить необходима полная

все потенциальные отказы и информация о системе

взаимосвязи между ними. Это аутентификации, ее

облегчает понимание структуры компонентах, отказах и

системы и идентификацию связях между ними.

наиболее критических Получение такой

элементов. информации может быть

трудоемким процессом и

требовать значительных

ресурсов.

Метод Преимущества Недостатки

Анализ влияния: Дерево отказов позволяет оценить влияние различных отказов на общую надежность и безопасность системы аутентификации по многоразовому паролю. Он может помочь выявить ключевые слабые места, которые могут представлять угрозу безопасности и требовать дополнительных мер по усилению системы. Сложность моделирования: Построение дерева отказов может быть сложным заданием, особенно для больших и сложных систем. Определение всех возможных отказов, учет их вероятностей и связей между ними может быть сложной задачей, требующей экспертных знаний.

Комбинирование с другими методами: Метод дерева отказов может быть использован в сочетании с другими методами анализа рисков и безопасности для более полной оценки системы аутентификации. Например, его можно комбинировать с методом анализа угроз и оценки уязвимостей для определения возможных сценариев атак Ограниченная точность оценки: Метод дерева отказов основывается на вероятностной оценке отказов и их связей. Вероятности могут быть основаны на предположениях и оценках экспертов, что может приводить к ограниченной точности результатов.

Метод Преимущества Недостатки

Оценка рисков Гибкость: Метод оценки рисков позволяет учитывать различные факторы, связанные с надежностью и безопасностью аутентификации по многоразовому паролю. Он учитывает не только сложность пароля, но и другие факторы, такие как контроль доступа, протоколы шифрования и другие меры безопасности. Субъективность: Оценка рисков может быть в значительной степени субъективной. Она зависит от оценки и опыта эксперта, который проводит оценку. Разные эксперты могут придерживаться разных мнений и оценивать риски по-разному, что может привести к неоднозначности результатов.

Адаптивность: Этот метод позволяет адаптировать оценку рисков в зависимости от изменяющейся угрозовой ситуации. Если возникают новые угрозы или уязвимости, метод может быть обновлен для учета этих изменений. Недостаток данных: Для эффективной оценки рисков требуется наличие достаточного объема данных о предыдущих инцидентах безопасности, уязвимостях и угрозах. В случае отсутствия таких данных или ограниченного доступа к ним, оценка рисков может быть неполной или неточной.

Метод Преимущества Недостатки

Контекстуальность: Оценка рисков в методе учитывает контекст использования многоразового пароля. Это означает, что риски оцениваются с учетом конкретной ситуации и особенностей системы аутентификации, что позволяет более точно определить уровень риска. Обновление: поскольку угрозы и технологии постоянно развиваются, метод оценки рисков требует постоянного обновления. Это может быть трудоемким процессом, особенно для организаций с большим количеством систем аутентификации.

Заключение

В целом, дерево отказов, дерево событий и метод оценки рисков являются эффективными методами для анализа надежности и безопасности системы. Однако, каждый метод имеет свои особенности и может использоваться для различных целей. Например, дерево отказов может быть использовано для оценки надежности системы, дерево событий - для оценки безопасности системы, а метод оценки рисков - для разработки мер по управлению рисками. Кроме того, для каждого метода необходимо проводить дополнительную работу по определению входных данных и разработке модели, что может потребовать значительного времени и ресурсов.

Важно отметить, что оценка надежности аутентификации по многоразовому паролю должна включать не только использование математических моделей, но также учитывать социальные и поведенческие факторы пользователей, которые могут оказывать влияние на степень безопасности системы аутентификации.

Анализ преимуществ и недостатков дает четкое понимание того, что для эффективной защиты информации и предотвращения несанкционированного доступа к системе, лучшим решением будет использование комбинации различных методов оценки надежности и безопасности системы, включая методы оценки рисков, а также методы двухфакторной аутентификации, такие как программные и/или аппаратные токены и другие.

СПИСОК ЛИТЕРАТУРЫ:

1. ГОСТ Р ИСО/МЭК 27001-2021 Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

2. ГОСТ Р ИСО/МЭК 27002-2012 Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

3. ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения

4. ГОСТ Р ИСО/МЭК 27005-2010 Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

5. Электронный ресурс: http://ypn.m/279/password-and-pm-authenticatюn/2/ Дата обращения: 19.04.2022

6. Электронный ресурс: https://www.keepersecurity.com/blog/2023/05/09/what-is-a-hardware-security-key-and-how-does-it-work/ Дата обращения: 13.05.2023

7. Электронный ресурс: https://www.pingidentity.com/en/resources/blog/post/ultimate-guide-token-based-authentication.html Дата обращения: 12.05.2023.

Ushakov K.E.

Bauman Moscow State Technical University (Moscow, Russia)

METHODS FOR ASSESSING THE SECURITY AND RELIABILITY OF AUTHENTICATION USING A REUSABLE PASSWORD

Abstract: currently, each person is surrounded by a large number of information systems. At the same time, the main task of protecting information when using these systems is access control. Access is granted after the user has passed the authentication and identification procedures. These procedures are necessary because through them the risk of ambiguous provision of user access to an information resource is reduced. According to GOST R 58833-2020 "Information protection. Identification and authentication. General provisions" authentication means actions to verify the authenticity of the access subject and/or access object, as well as to verify that the access subject and/or access object owns the presented access identifier and authentication information [3]. This definition includes the concept of access identifier, the above standard also defines this concept - a sign of an access subject or an access object in the form of a string of signs (symbols), which is used for identification and uniquely defines (indicates) the identification information associated with it. In simple terms, the access identifier is a password.

Keywords: identification, authentication, access, reliability.

i Надоели баннеры? Вы всегда можете отключить рекламу.