УДК 004.056.53
DOI: 10.24412/2071-6168-2022-3-447-449
ТРЕБОВАНИЯ К ПРОГРАММНОМУ СРЕДСТВУ ОЦЕНКИ НАДЕЖНОСТИ ПАРОЛЯ
С.А. Костарев
Рассматриваются объективные методы оценки стойкости пароля. Описывается функционал, которым должен обладать программный продукт оценки стойкости пароля.
Ключевые слова: защита информации, информационная безопасность, программные средства защиты, пароль, стойкость, надежность.
Использование пароля — традиционное и всем широко известное средство проверки подлинности и аутентификации. Мы используем пароли повсеместно. Когда нам нужно зарегистрироваться в компьютерной системе, то мы вводим имя пользователя и пароль. Чтобы получить деньги в банкомате, мы вставляем свою карту и набираем идентификационный номер (пароль).
Зачастую паролем может быть защищена достаточно ценная или конфиденциальная информация, как, например, возможность доступа к денежным средствам, хранимым на банковской карте, или информация, хранимая на едином портале здравоохранения. Поэтому пароль, выбираемый пользователем той или иной системы, должен обладать некоторыми особенными свойствами. Во-первых, он должен быть таким, чтобы его можно было легко запомнить и впоследствии не забыть. Во-вторых, он должен быть таким, чтобы его не смог угадать злоумышленник [1].
Если с первым свойством, которым должен обладать пароль, все понятно (чем легче запоминается пароль — тем лучше), то как объективно оценить сложность пароля? Насколько сильно зависит сложность от длины пароля? Какие символы влияют на сложность сильнее? Что предпочтительнее — просто увеличить длину пароля на несколько символов, или добавить в пароль одну цифру?
Для ответа на эти вопросы существуют специальные программные средства оценки надежности пароля, которые, анализируя введенные пользователем данные, с помощью несложных алгоритмов сообщают пользователю, насколько безопасно использовать тот или иной пароль.
Прежде, чем выдвигать требования к программному средству оценки, следует выяснить, что такое сложность пароля и какие факторы влияют на его сложность. Сложность пароля - время, которое должен затратить злоумышленник для того, чтобы подобрать пароль. Можно сказать, что сложность пароля напрямую зависит от длины, символов и запутанности.
Также существует еще один фактор, косвенно влияющий на стойкость пароля, а именно то, как легко атакующий может проверить, правильно ли подобран пароль. Очевидно, что чем проще злоумышленнику проверить пароль на правильность, тем больше угроза для данных, защищаемых паролем. Конечно, легкость проверки истинности пароля не зависит от пароля напрямую, а зависит больше от системы, в которой этот пароль используется. Однако, этот фактор ничуть не менее, а возможно и более важен, чем непосредственная сложность пароля.
Однако никакое программное средство не сможет предугадать, в какой системе будет использоваться проверяемый пароль. Поэтому логичным будет предположить, что злоумышленник в том или ином виде всегда найдет способ проверить предполагаемый пароль на правильность, причем проверять он может столько паролей за единицу времени, сколько это позволяет ему вычислительная техника. Следовательно, разрабатываемое программное средство оценки надежности пароля не должно полагаться на парольную политику системы, в которой будет использоваться пароль, а давать оценку паролю таким образом, чтобы он был стойким к методам полного перебора.
Зачастую современные сайты при регистрации сообщают пользователю то, насколько стойким является введенный пароль. Вот только часто при этом используются несовершенные алгоритмы.
Вопрос в том, каким образом сайты определяют сложность пароля? Каждый использует свой алгоритм, и зачастую он не идеален. Зачастую подобные измерители, встроенные в вебсайт, требует наличие букв обоих регистров, цифр и специальных символов одновременно. Если это требование не выполняется, то сайт признает пароль слабым.
Известия ТулГУ. Технические науки. 2022. Вып. 3
В иных случаях может не учитываться длина пароля. Например, последовательность 1hjd7d7f8742983fkmj9948jf будет считаться слабой из-за отсутствия прописных букв, зато пароль Passwordl будет считаться стойким. Другие посчитают хорошим пароль, в котором символы располагаются близко друг к другу на клавиатуре, например, Qazwsx [2].
Нет сомнений в том, что подобные методы несовершенны, и если необходимо вычислить надежность пароля правильно, нужно учитывать и его длину, и количество различных символов, и отличие от словарных комбинаций.
Объективной оценкой надежности пароля можно считать его энтропию, которая измеряется в битах. Энтропию можно посчитать как логарифм по основанию 2 от количества попыток, необходимых для подбора пароля методом полного перебора.
Например, для того, чтобы подобрать пароль с 20-битной энтропией, необходимо сгенерировать 2А20 паролей, только один из которых будет верным.
Для того, чтобы оценить количество попыток, которые должен предпринять злоумышленник, чтобы угадать пароль, вычисляется мощность алфавита, из которого состоит пароль, а после возводится в степень длины пароля.
Количество битов энтропии информационного сообщения (в нашем случае — пароля) вычисляется как логарифм по основанию 2 от числа попыток, которые должен предпринять злоумышленник для угадывания пароля методом полного перебора.
Такой подход при оценке стойкости позволяет учесть и длину пароля, и количество различных символов, входящих в него.
После подсчета количества бит энтропии остается открытым вопрос о том, как это количество следует правильно интерпретировать. На самом деле, количество бит энтропии нельзя рассматривать в отрыве от сегодняшнего развития вычислительной техники. Ведь если вычислительные мощности позволяют злоумышленнику подбирать за несколько лет всего один пароль, то пароль с 4 битами энтропии сможет оказаться вполне надежным. И наоборот, если злоумышленнику доступны квантовые суперкомпьютеры и астрономические вычислительные мощности, то пароль с 256 битовой сложностью может оказаться недостаточно надежным.
Сегодняшнее развитие вычислительной техники позволяет сказать, что пароль с 256 битовой сложностью не будет взломан в обозримом будущем. Мало того, 256 битовый пароль надежен с большим запасом.
В качестве ориентира на надежный пароль которого будет достаточно для повседневных задач, можно выбрать ~ 80 бит энтропии.
Систематизируя вышесказанное, можно определить алгоритм работы программы оценки стойкости пароля следующим образом:
1) Проверка введенного слова на предмет совпадения со словами из словаря;
2) Если совпадений не обнаружено подсчитывается длина введенного пароля и число символов разного алфавита (латинские буквы верхнего и нижнего регистров, цифры, специальные символы);
3) На основе длины пароля и мощности задействованного алфавита вычисляется энтропия пароля;
4) На экран выводится вся информация о пароле, а также оценка его надежности (крайне слабый, очень слабый, слабый, ниже среднего, средний, выше среднего, сильный, очень сильный, крайне сильный);
5) Рядом выводится цветовой индикатор, соответствующий рассчитанной надежности (градиент от красного до зеленого).
Список литературы
1. Шнайнер Брюс. Сереты и ложь. Безопасность данных в цифровом мире». СПб.: БХВ-Петербург, 2009. 90 с.
2. Wheeler Dan. Zxcvbn: realistic password strength estimation» [Электронный ресурс] URL: https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation (дата обращения: 23.01.2022).
Костарев Станислав Александрович, специалист, оператор ВИТ «ЭРА», [email protected], Россия, Анапа, ФГАУ «ВИТ«ЭРА»
REQUIREMENTS FOR THE PASSWORD REALIBILITY ASSESSMENT SOFTWARE
S.A. Kostarev
Objective methods of assessing password strength are considered. Describes the functionality that a password strength assessment software product should have.
Key words: information security, information security, security software, password, durability, reliability.
Kostarev Stanislav Alexsandrovich, specialist, operator of MIT «ERA», [email protected], Russia, Anapa, FGAU«MIT«ERA»
УДК 623.592
DOI: 10.24412/2071-6168-2022-3-449-456
ТЕОРЕТИЧЕСКИЕ ИССЛЕДОВАНИЯ ЗАРЯДОВ, ФОРМИРУЮЩИХ
КУМУЛЯТИВНЫЕ СТРУИ
Д.А. Скарятин, А.В. Егоров, М.Р. Чеченев
В работе с помощью программы осесимметричного моделирования были проведены теоретические исследования функционирования зарядов, формирующих кумулятивные струи.
Ключевые слова: кумулятивный снаряд, взрывчатое вещество, кумулятивная струя, осесимметричное моделирование, линзовый узел, генератор.
В последнее время широкое распространение получили заряды, формирующие удлиненные высокоскоростные ударники - кумулятивные снаряды (КС). Следствием этого стало большое количество экспериментальных и теоретических исследований, направленных на повышение эффективности функционирования существующих и разработку новых зарядов, формирующих КС.
Вместе с тем, несмотря на большое количество исследований, по-прежнему существуют проблемы, связанные с функционированием такого типа зарядов. Так, например, при проведении испытаний зарядов диаметром 100 мм, оснащенных линзовым узлом и генератором, было выявлено, что эти заряды функционируют в нештатном режиме (снижение броне-пробития достигало 20...25 %). Учитывая это, с помощью программы осесимметричного моделирования были проведены теоретические исследования функционирования зарядов, формирующих КС.
На рис. 1 приведена визуализация процесса формирования КС зарядами, оснащенными линзовым узлом (верхняя часть) и генератором (нижняя часть). Функционирование заряда, оснащенного линзовым узлом, начинается с инициирования взрывчатого вещества (ВВ) в инициирующем устройстве ^ = 0).
Давление продуктов детонации ВВ инициирующего устройства вызывает детонацию основного ВВ заряда, после чего фронт волны детонации начинает распространяться в радиальном направлении, огибая внешнюю поверхность линзы.
Одновременно в теле линзы возникает область высокого давления. Это давление вызывает появление в материале линзы волны сжатия, которая распространяясь в направлении основного ВВ может вызвать его преждевременное инициирование.
При такой ситуации функционирование линзового узла возможно в двух режимах:
1. Штатный - отсутствие преждевременного выхода осевого импульса волны сжатия и, как следствие, детонация основного ВВ заряда волной детонации, огибающей линзу;
2. Нештатный - «пробой» линзового узла в осевом направлении, приводящий к искажению формы фронта волны детонации в основном ВВ заряда.
В последнем случае волна сжатия проходит линзу раньше, чем волна детонации огибает ее по внешней поверхности. Результаты моделирования, представленные на рис. 1, наглядно иллюстрируют опережающий выход волны сжатия через линзу с последующим инициированием ВВ заряда в осевом направлении. Это означает, что линзовый узел работает в нештатном режиме. Также можно говорить о том, что такое функционирование линзового узла может быть причиной снижения бронепробивного действия заряда.