исследование количественных характеристик системы

СБОРНИК НАУЧНЫХ ТРУДОВ НГТУ. – 2010. – № 2(60). – 83–88
УДК 004.056.52
ИССЛЕДОВАНИЕ КОЛИЧЕСТВЕННЫХ ХАРАКТЕРИСТИК
СИСТЕМЫ ПАРОЛЬНОЙ ЗАЩИТЫ ИНФОРМАЦИИ*
Р.Н. ЗАРКУМОВА
На основе известных соотношений исследованы длина пароля и вероятность подбора пароля системы парольной защиты. По результатам проведенных расчетов построены графики зависимости длины пароля от вероятности подбора пароля и обратный, сделаны
выводы о необходимости увеличения мощности пространства паролей. Даны рекомендации по выбору пароля.
Ключевые слова: длина пароля, вероятность подбора пароля, срок жизни пароля, скорость подбора пароля
ВВЕДЕНИЕ
Пароли являются наиболее распространенным и доступным средством аутентификации. Самым слабым звеном в парольной аутентификации остается
человек.
В большинстве систем пользователи самостоятельно выбирают пароли
или получают их от системных администраторов. Исследования показывают
[1], что 60 % респондентов считают большим неудобством необходимость
запоминать пароли, поэтому в качестве таковых используют номера телефонов, даты рождения, клички домашних животных, имена друзей-подруг, названия любимых фильмов или торговых марок.
Для снижения деструктивного влияния человеческого фактора необходимо реализовать ряд требований к выбору и использованию паролей.
К числу основных требований при выборе паролей относятся: установление минимальной длины пароля; использование в пароле различных групп
символов; установление максимального и минимального сроков действий
пароля; ведение журнала истории паролей; ограничение числа попыток
ввода пароля; принудительная смена пароля при первой регистрации
пользователя в системе и др.
Соблюдение перечисленных и других требований обеспечивают высокий
уровень защиты информационных ресурсов в компьютерной системе.
*
Получена 4 июня 2010 г.
Р.Н. Заркумова
84
1. ПОСТАНОВКА ЗАДАЧИ И МЕТОДИКА ЕЕ РЕШЕНИЯ
Стойкость парольной системы может быть оценена количественно. Для
этого используются следующие параметры:
A – мощность алфавита паролей, т. е. то множество знаков, которое может
применяться при вводе пароля;
L – длина пароля;
S – мощность пространства паролей, т. е. множество всех возможных паролей в системе;
V – скорость подбора пароля;
T – срок действия пароля;
P – вероятность подбора пароля в течение срока его действия.
Для вычисления мощности пространства паролей в зависимости от алфавита паролей и их длины используют соотношения [2]:
S  AL ,
(1)
VT
.
S
(2)
P
Очевидно, что с увеличением длины пароля вероятность его подбора
уменьшается; при удлинении срока жизни пароля, а также скорости перебора
пароля вероятность его подбора увеличивается.
На практике возникают разные ситуации для задания параметров паролей,
связанные с пожеланиями владельца информационных ресурсов фирмы, руководства организации. Например, заказчик может задать значение вероятности
подбора пароля. В этом случае нужен подбор значений других параметров,
входящих в соотношения (1) и (2).
Практически задачу можно свести к выбору длины пароля, если заданы
мощность алфавита паролей A, скорость перебора пароля V и срок действия
пароля T. Тогда длину пароля можно рассчитать по следующим соотношениям:
VT
S
,
(3)
P
L  ln S ln A .
(4)
Анализ параметров системы парольной защиты информации, а также соотношений (3) и (4) приводит к следующим логическим выводам: скорость
Исследование количественных характеристик...
85
подбора V зависит от заданных алгоритмов перебора, и на практике эта величина обычно постоянная, мощность алфавита паролей A – также величина
постоянная.
Срок действия пароля T и вероятность подбора пароля P в течение срока
его действия – переменные величины.
2. ЧИСЛЕННЫЕ ЭКСПЕРИМЕНТЫ
В рамках практического примера решим прямую и обратную задачи.
Прямая задача. Допустим, скорость перебора паролей V = 105 паролей в
секунду согласно [3]. Вероятности подбора пароля P в течение срока его действия: P1 = 10–11, P2 = 10–9, P3 = 10–7, P4 = 10–5, P5 = 10–3. Срок действия пароля
T: T1 = 30 суток, T2 = 45; T3 = 60; T4 = 90 суток.
Согласно (3) и (4) рассчитаем соответствующие длины пароля при A, равных 36 (сумма букв латинского алфавита одного регистра и цифр) и 62 (сумма
букв латинского алфавита верхнего и нижнего регистров и цифр) символам.
Полученные результаты сведены в табл. 1 и 2 соответственно.
Таблица 1
Длины паролей при алфавите, равном 36 символам
T, суток
T1 = 30
T2 = 45
T3 = 60
T4 = 90
P1 = 10–11
14,42
14,53
14,61
14,72
P2 = 10–9
13,13
13,24
13,32
13,44
P3 = 10–7
11,84
11,96
12,04
12,15
P4 = 10–5
10,56
10,67
10,75
10,86
P5 = 10–3
9,27
9,38
9,46
9,58
Таблица 2
Длины паролей при алфавите, равном 62 символам
T, суток
T1 = 30
T2 = 45
T3 = 60
T4 = 90
P1 = 10–11
12,50
12,60
12,66
12,76
P2 = 10–9
11,38
11,48
11,55
11,65
P3 = 10–7
10,27
10,36
10,43
10,53
P4 = 10–5
9,15
9,25
9,35
9,42
P5 = 10–3
8,03
8,13
8,20
8,30
Р.Н. Заркумова
86
Для наглядности построим график изменения длин паролей в зависимости
от значения вероятностей подбора пароля в течение фиксированных сроков
жизни пароля при алфавите, равном 36 символам (рис. 1).
T1 = 30 суток
T2 = 45
T3 = 60
T4 = 90
Р1 = 10–11
Р2 = 10–9
Р3 = 10–7
Р4 = 10–5
Р5 = 10–3
Рис. 1. Зависимость длины пароля от вероятности подбора пароля при различных
сроках жизни пароля при алфавите, равном 36 символам
Согласно полученным результатам и построенному графику можно сделать вывод о том, что при фиксированных значениях срока жизни пароля T,
скорости перебора паролей V и при увеличении вероятности подбора пароля
длина его значительно уменьшается. Увеличение мощности алфавита пароля
также уменьшает его длину. Но в таком случае использование нижнего и
верхнего регистров букв затрудняет запоминание пароля.
Обратная задача. Пусть скорость перебора паролей V = 100 000 = 105
паролей в секунду. Срок действия (жизни) пароля T: T1 = 30 суток; T2 = 45;
T3 = 60; T4 = 90 суток. Длины паролей L: L1 = 8 символов; L2 = 9; L3 = 10 символов.
Согласно (3) и (4) рассчитаем соответствующие вероятности подбора пароля при A, равных 36 и 62 символам.
Полученные результаты представлены в табл. 3 и 4.
Таблица 3
Вероятности подбора пароля при алфавите, равном 36 символам
T, суток
L, символов
T1 = 30
T2 = 45
T3 = 60
T4 = 90
Исследование количественных характеристик...
87
L1 = 8
0,09
0,14
0,18
0,28
L2 = 9
2,6·10–3
3,8·10–3
5,1·10–3
7,7·10–3
L3 = 10
7,8·10–5
1,06·10–4
1,42·10–4
2,12·10–4
Таблица 4
Вероятности подбора пароля при алфавите, равном 62 символам
T, суток
L, символов
T1 = 30
T2 = 45
T3 = 60
T4 = 90
L1 = 8
1,19·10–3
1,78·10–3
2,37·10–3
3,56·10–3
L2 = 9
1,91·10–5
2,87·10–5
3,83·10–5
5,75·10–5
L3 = 10
3,09·10–7
4,63·10–7
6,17·10–7
9,27·10–7
Проиллюстрируем график изменения вероятностей подбора пароля в зависимости от изменения длин паролей в течение фиксированных сроков жизни пароля и алфавите, равном 36 символам (рис. 2).
T1 = 30 суток
T2 = 45
T3 = 60
T4 = 90
L1 = 8 символов
L2 = 9 символов
L3 = 10 символов
Рис. 2. Зависимость вероятности подбора пароля от его длины при фиксированных
сроках жизни пароля и алфавите, равном 36 символам
Р.Н. Заркумова
88
По результатам проведенных расчетов очевидно, что при фиксированных
значениях срока жизни пароля T, скорости перебора паролей V и увеличении
длины пароля значительно уменьшается вероятность подбора пароля. Увеличение мощности алфавита пароля снижает вероятность его подбора. Расчетные данные отражены на графиках рис. 2.
ЗАКЛЮЧЕНИЕ
Исследовались зависимость длины пароля от вероятности подбора пароля
и зависимость вероятности подбора пароля от длины пароля. На основе расчетных данных выведены соотношения для определения длины пароля и вероятности его подбора. Приведены практические примеры, построены графики
соответствующих зависимостей.
Обоснованы рекомендации для выбора пароля:
1) пароль должен быть не короче 8 символов;
2) пароль должен содержать буквы верхнего и нижнего регистров и цифры;
3) пароль необходимо менять не реже одного раза в 3 месяца.
[1] Беленко А. Пароли: стойкость, политики назначения и аудит // Защита
информации. INSIDE. – 2009. – № 1. – С. 61–64.
[2] Мещеряков Р.В., Праскурин Г.А. Теоретические основы информационной безопасности автоматизированных систем. Раздел 1. – Томск: Томск.
межвуз. центр дист. образ., 2005.
[3] Полный перебор. http://ru.wikipedia.org/wiki/Полный_перебор
Заркумова Рамиля Нургумаровна – аспирантка кафедры защиты информации Новосибирского государственного технического университета
Тел. (383)346-08-53, e-mail: zarkumova@gmail.com
R.N. Zarkumova
Analysis of quantitive adjectives of a passwords system
A password length and a probability of a password selection are investigated in this paper. Practical examples are presented. The dependence of a password length on a probability of a password
selection and the inverse dependence are described on the schedules. A number of requirements to
a password choice by users is proved.
Key words: password length, probability of a password selection, password age, speed of a password selection