Министерство науки и высшего образования Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего образования
«Уфимский государственный нефтяной технический университет»
Кафедра «Вычислительная техника и инженерная кибернетика»
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Лабораторная работа №1
Оценка стойкости парольной защиты информации
Вариант №_2_
Выполнил: студент группы
№_БПО-19-01_
очного отделения
Аминев А.А.________
(Ф.И.О. студента)
Проверил: доцент
кафедры ВТИК
Филиппова А,Г.
(Ф.И.О. преподавателя)
Уфа, 2021 г.
СОДЕРЖАНИЕ
ТЕОРЕТИЧЕСКАЯ ЧАСТЬ ....................................................................................... 3
ПРАКТИЧЕСКАЯ ЧАСТЬ ......................................................................................... 5
Наименование и цель работы ................................................................................. 5
Описание порядка выполнения работы ................................................................. 5
Выводы по работе .................................................................................................... 6
СПИСОК ЛИТЕРАТУРЫ........................................................................................... 7
ПРИЛОЖЕНИЯ ........................................................................................................... 8
Программный код .................................................................................................... 8
Результаты выполнения программы ...................................................................... 8
2
ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
Подсистемы идентификации и аутентификации пользователя играют
очень важную роль в системах защиты информации.
Стойкость подсистемы идентификации и аутентификации пользователя в
системе защиты информации (СЗИ) во многом определяет устойчивость к
взлому самой СЗИ. Данная стойкость определяется гарантией того, что
злоумышленник не сможет пройти аутентификацию, присвоив чужой
идентификатор или украв его.
Парольные системы идентификации/аутентификации является одними из
основных и наиболее распространенных в СЗИ методами пользовательской
аутентификации. В данном случае, информацией, аутентифицирующей
пользователя, является некоторый секретный пароль, известный только
легальному пользователю.
Парольная аутентификация пользователя является, как правило, передним
краем обороны СЗИ. В связи с этим, модуль аутентификации по паролю
наиболее часто подвергается атакам со стороны злоумышленника. Цель
злоумышленника в данном случае – подобрать аутентифицирующую
информацию (пароль) легального пользователя.
Методы парольной аутентификации пользователя являются наиболее
простыми методами аутентификации и при несоблюдении определенных
требований к выбору пароля являются достаточно уязвимыми.
Основными минимальными требованиями к выбору пароля и к подсистеме
парольной аутентификации пользователя являются следующие.
К паролю:
Минимальная длина пароля должна быть не менее 6 символов.
Пароль должен состоять из различных групп символов (малые и большие
латинские буквы, цифры, специальные символы ‘(’, ‘)’, ‘#’ и т.д.).
В качестве пароля не должны использоваться реальные слова, имена,
фамилии и т.д.
К подсистеме парольной аутентификации:
1. Администратор СЗИ должен устанавливать максимальный срок
действия пароля, после чего, он должен быть сменен.
В подсистеме парольной аутентификации должно быть установлено
ограничение числа попыток ввода пароля (как правило, не более 3).
В подсистеме парольной аутентификации должна быть установлена
временная задержка при вводе неправильного пароля.
Как правило, для генерирования паролей в СЗИ, удовлетворяющих
перечисленным требованиям к паролям, используются программы автоматические генераторы паролей пользователей.
При выполнении перечисленных требований к паролям и к подсистеме
парольной аутентификации, единственно возможным методом взлома данной
подсистемы злоумышленником является прямой перебор паролей (brute forcing).
3
В данном случае, оценка стойкости парольной защиты осуществляется
следующим образом.
4
ПРАКТИЧЕСКАЯ ЧАСТЬ
Наименование и цель работы
Задание. Количественная оценка стойкости парольной защиты
Цель работы: реализация простейшего генератора паролей, обладающего
требуемой стойкостью к взлому.
Описание порядка выполнения работы
Исходные данные – P=10-5, T=10 дней = 10/7 неделя, V=3 паролей / минуту
= 3*60*24*7=30240 паролей в неделю.
∗
Тогда, 𝑆 =
10
7
30240∗
10−5
=432 ∗ 107
Условию S * A удовлетворяют, например, такие комбинации A и L, как
A=26, L=8 (пароль состоит из 8 малых символов английского алфавита), A=36,
L=7 (пароль состоит из 6 символов, среди которых могут быть малые латинские
буквы и произвольные цифры).
L
Для реализации программного кода возьмем A=36, L=7.
Текст программного кода на Pascal:
uses crt;{Аминев Арсен, БПО-19-01}
var m:array[1..36] of byte;{массив из 36 элементов типа byte}
i,a:byte;{числа того же типа}
c:char;{символ}
begin
clrscr;
randomize;
for i:=1 to 10 do {первые 10 чисел массива}
m[i]:=i+47;{коды цифр}
for i:=11 to 36 do {следующие 26}
m[i]:=i+86;{коды малых латинских букв}
for i:=1 to 7 do {нужно 7 символов}
begin
a:=random(36)+1;{генерируем случайное число из диапазона 1-36}
c:=chr(ord(m[a]));{создаем символ с этим кодом}
write(c);{выводим его}
end;
readln
end.
5
(Результаты реализации в приложении)
Выводы по работе
В данной лабораторной работе я реализовал простейший генератор
паролей, обладающий требуемой стойкости к взлому.
6
СПИСОК ЛИТЕРАТУРЫ
1. Ковалевский В., Криптографические методы. — СПб.: Компьютер Пресс.
2. Баричев С. Г., Гончаров В. В., Серов Р. Е. Основы современной
криптографии. — М.: Горячая линия — Телеком, 2002.
3. Баричев С. Введение в криптографию. Электронный сборник. Вече1998.
7
ПРИЛОЖЕНИЯ
Программный код
Результаты выполнения программы
8
