ции при помощи пароля
—
это простота и привычность
.
Пароли давно
встроены в операционные системы и иные сервисы
.
При правильном
использовании пароли могут обеспечить приемлемую для университе
-
та проверку подлинности пользователя
.
Тем не менее
,
по совокупности
характеристик их следует признать самым слабым средством проверки
подлинности
.
Надежность паролей основывается на способности помнить их и
хранить в тайне
.
Чтобы пароль был запоминающимся
,
его зачастую
делают простым
(
имя знакомого человека
,
географическое название и
т
.
п
.).
Однако простой пароль нетрудно угадать
,
особенно если знать
пристрастия данного пользователя
.
Иногда пароли с самого начала не
являются тайной
,
так как имеют стандартные значения
,
указанные в
документации
,
и далеко не всегда после установки системы произво
-
дится их смена
(
например
,
пароли системных пользователей в системе
управления базами данных
(
СУБД
) Oracle).
Пароли нередко сообщают коллегам
,
чтобы те смогли выполнить
какие
-
либо нестандартные действия
(
например
,
подменить на некото
-
рое время владельца пароля
).
Пароль можно угадать
,
используя
,
например
,
словарь
.
Если файл
паролей зашифрован
,
но доступен для чтения
,
его можно перекачать к
себе на компьютер и попытаться подобрать пароль
,
запрограммировав
полный перебор
(
алгоритм шифрования предполагается известным
).
Написать подобную программу сейчас способен почти каждый студент
.
Один из существенных недостатков пароля
—
возможность его пе
-
рехвата при передаче по сети
.
Необходимо использовать криптографию
для шифрования паролей перед передачей по линиям связи
.
Тем не менее
,
следующие меры позволяют значительно повысить
надежность защиты при помощи паролей
[7]:
—
наложение технических ограничений
(
пароль должен быть не
слишком коротким
,
он должен содержать буквы
,
цифры
,
знаки пунк
-
туации
);
—
управление сроком действия паролей
,
их периодическая смена
;
—
ограничение числа неудачных попыток входа в систему
(
это за
-
труднит применение метода грубой силы
).
Протоколирование и аудит
.
Реализация протоколирования и аудита
преследует следующие цели
:
—
обнаружение попыток нарушения информационной безопас
-
ности
;
—
обеспечение подотчетности пользователей и администраторов
;
—
обеспечение возможности восстановления последовательности
событий
;
74 ISSN 0236-3933.
Вестник МГТУ им
.
Н
.
Э
.
Баумана
.
Сер
. "
Приборостроение
". 2004.
№
2
