Паролювання банківських таємниць

1

Використання банківських паролів.

Пароль -- один із найдавніших засобів захисту інформації. Це слово для багатьох асоціюється зі шпигунськими пристрастями у читаних-перечитаних історичних, воєнних та пригодницьких романах. У наш час глобальної комп'ютеризації суспільства цей термін найчастіше використовується в інформаційних технологіях. Однак тепер паролю вже не надають такого важливого значення.

Нині ніхто вже не вважає, що від знання чи незнання пароля може залежати людське життя. Але навіть підлітки, більш-менш обізнані з інформаційними технологіями, підтвердять, що пароль відіграє неабияку роль, коли потрібно забезпечити таємність інформації. І справді, прогрес у інформатизації, поява різноманітних комп'ютерних програм -- перехоплювачів мережевих паролів або програм, за допомогою яких простим пошуком варіантів можна розкрити практично будь-який пароль (це лише справа часу), примусили змінити ставлення до цього виду захисту. Ситуацію ускладнює й відсутність в Україні нормативних документів щодо принципів побудови та використання парольного захисту.

Однак у більшості розвинутих країн світу йому приділяється велика увага. Дуже часто парольний захист використовується як єдиний захист для інформаційних технологій. Найчастіше вдаються до автентифікації користувача за його іменем та паролем. Це дає добрий результат навіть у системах електронних платежів.

Одним із перших документів, де ретельно проаналізовано ступінь ефективності парольного захисту і факторів, які впливають на нього, була так звана "блакитна книга" [1]. Це складова широковідомої "райдужної серії" -- збірника нормативних документів із питань захисту інформації у комп'ютерних системах Міністерства оборони США. Перший документ названої серії -- загальновідома нині "оранжева книга" -- був фактично найпершим, присвяченим захисту інформації в комп'ютерних системах. Підготовлена Центром комп'ютерної безпеки Міністерства оборони США у серпні 1983 року, вона називалася: Документ С8С-8ТО-001-83. Критерії оцінки захищених комп'ютерних систем Міністерства оборони США [2]. В ній уперше проаналізовано питання захищеності комп'ютерних систем, визначе-

Пароль -- один із найдавніших засобів захисту інформації. Це слово для багатьох асоціюється зі шпигунськими пристрастями у читаних-перечитаних історичних, воєнних та пригодницьких романах. У наш час глобальної комп'ютеризації суспільства цей термін найчастіше використовується в інформаційних технологіях. Однак тепер паролю вже не надають такого важливого значення. І даремно, -- вважають автори публікації.

Але характеристики та вимоги до систем, пов'язаних із обробкою критичної інформації. Загальною вимогою було визначено підзвітність. "Індивідуальна підзвітність є ключем безпеки і керування будь-якою системою", що обробляє критичну інформацію. Висувалися ви-

Безпека комп'ютерних систем залежить від того, чи тримають пароль у таємниці протягом усього терміну його використання допомоги щодо забезпечення властивості "підзвітності":

¦ індивідуальна ідентифікація користувача;

¦ виконання деяких операцій автентифікації, які б підтверджували належність ідентифікатора саме цьому користувачеві.

Одним із механізмів автентифікації є парольний захист. Згадана вище "блакитна книга" була розроблена саме для того, щоб надати практичну допомогу в розробці, впровадженні та експлуатації парольних механізмів підтвердження автентичності.

ОСНОВИ ПОБУДОВИ ПАРОЛЬНОГО ЗАХИСТУ

Безпека комп'ютерних систем залежить насамперед від того, чи тримають пароль у таємниці протягом терміну його використання. Адже впродовж усього цього часу існує небезпека його скомпрометувати.

Найсуттєвішими принципами побудови парольної системи є:

1) пароль належить приписувати користувачеві під час його першої реєстрації в комп'ютерній системі;

2) пароль користувача слід періодично змінювати;

3) "база даних паролів" має надійно зберігатись у комп'ютерній системі та постійно оновлюватися;

4) користувач зобов'язаний пам'ятати свій пароль;

5) користувач повинен вводити свій пароль до комп'ютерної системи під час автентифікації.

У "блакитній книзі" рекомендуються конкретні заходи, завдяки яким вразливість парольного захисту за кожним із перелічених п'яти принципів зводиться до мінімуму. Розглянемо деякі з них.

Парольний захист потрібен, щоб контролювати доступ до комп'ютерних систем. Тому вони мають гарантувати можливість унікального ідентифікування кожного користувача в тій чи іншій системі, тобто кожен із них повинен мати в ній неповторне ім'я та приписаний йому пароль. Відтак для кожної комп'ютерної системи передбачено існування адміністратора для надання унікальних ідентифікаторів користувачам.

За ідентифікатором та паролем захищені комп'ютерні системи повинні виконувати безспірну автентифікацію користувача. Передбачається, що у можливих межах гарантуватиметься захист бази даних паролів та паролів під час їх передачі в локальній мережі або в телекомунікаційних каналах. Захист бази даних паролів не повинен значно перевищувати рівня захисту критичної інформації, від доступу до якої він застерігає.

Обов'язковою вимогою є гарантована можливість періодичної зміни пароля самим користувачем. Допустимий проміжок часу між його перейменуваннями залежить від умов побудови та користування паролем. Зрозуміло, надійніше мати одноразовий пароль, оскільки зберігати його в таємниці треба дуже недовго.

Важливу роль відведено також системі аудиту -- контролю за діями користувачів. Вона допомагає виявляти спроби підібрати пароль.

ПРИНЦИПИ ВИБОРУ ПАРОЛЯ

Досвід свідчить, що найнадійнішим є пароль, випадково створений комп'ютером. Та оскільки він досить важко запам'ятовується, існує небезпека того, що користувач занотує його на помітному місці поруч із комп'ютером. Крім того, вводячи такий пароль для автентифікації, користувачі помиляються значно частіше, ніж тоді, коли вибирають зрозумілий пароль. Розглянемо взаємозв'язок між принципами побудови пароля, його довжиною та терміном використання. Вже мовилося, що до часу, поки пароль залишається таємницею, парольний захист може вважатися задовільним. Не будемо тут розглядати питання захисту пароля від перехоплення, оскільки такі завдання, як правило, потребують достатньо високої кваліфікації зловмисника та доброго знання технології роботи комп'ютерної системи. У будь-якому випадку не можна забувати, що така загроза існує, особливо при передачі інформації в локальній мережі та каналами зв'язку, тож слід заздалегідь вжити заходів задля захисту бази даних паролів та їх самих.

Таємність пароля фактично визначатиметься часом, який потрібен для його підбору. Важливо, щоб зловмисник розгадував прихований пароль якомога довше. Що ж перешкоджає швидко підібрати пароль -- його зміст чи довжина? Розглянемо дуже простий приклад. Маємо два паролі однакової довжини -- по три символи. У першому випадку ці три символи можуть бути лише літерами A і B. Повний перелік усіх можливих у цьому випадку варіантів паролів такий: AAA,

AAB, ABA, ABB, BAA, BAB, BBA, BBB

-- усього вісім варіантів. У другому випадку як складові частини пароля використовуватимемо будь-які цифри (10) або латинські літери в одному регістрі (26 латинських великих літер). Тепер варіантів незрівнянно більше: 85 536. Якщо використовувати великі та малі літери, то кількість варіантів зросте до 238 328. Щоб іще більше розширити можливості вибору пароля, можна додати також великі та малі літери українського алфавіту, спеціальні символи або знаки пунктуації. Відтак кількість варіантів зростатиме надзвичайно швидко, сягнувши за мільярд. Цей приклад яскраво свідчить, що надійність пароля передусім залежить від кількості літер,

цифр або інших знаків, які використовувалися при побудові.

Довжина пароля менше впливає на його стійкість. Але це не означає, що користувач може бути спокійним, маючи короткий пароль, наприклад, із трьох символів. Навряд чи він достатній для захисту інформації. Короткий пароль значно легше підібрати. Навіть здалека побачивши, як користувач вводить пароль, зловмисник, який бажає отримати доступ до інформації, може значно зменшити кількість варіантів перебору. Наприклад, він міг зауважити, що всі

I Таємність пароля фактично визначатиметься часом, необхідним для | його підбору три символи набиралися на клавіатурі праворуч або працівник скористався лише рядком цифр у лівій її частині. Тому чим довший пароль використовує користувач, тим безпечніше почувається. Зрозуміло, що краще набирати символи пароля по всій клавіатурі.

Важливим є також питання щодо запам'ятовування пароля. Широко відомо, що людина може легко запам'ятати 6--8 символів. Більшу кількість символів найчастіше записують.

ПРАКТИЧНІ РЕКОМЕНДАЦІЇ КОРИСТУВАЧЕВІ, ЯКИЙ ФОРМУЄ ПАРОЛЬ

Наведені нижче рекомендації -- дуже прості, але важливі. Ні в якому вигляді не використовуйте для пароля ваше реєстраційне ім'я у комп'ютерній системі (у прямому, оберненому написанні, великими літерами, подвоєне тощо). Ні в якому разі не використовуйте своє прізвище, ім'я, по батькові, імена вашого чоловіка (дружини), дітей. Не слід вдаватися також до іншої доступної інформації про вашу особу (номери телефонів, особистих рахунків, автомобіля, назва своєї вулиці, населеного пункту, де живете ви чи ваші рідні).

Не формуйте пароль лише із цифр або літер; використовуйте для нього літери з різних регістрів (там, де це можливо) і нелітерні символи (цифри або знаки пунктуації). Вибирайте пароль, який легко запам'ятати, щоб не виникало бажання записати його. Краще не використовувати слово, яке можна знайти в словниках.

Методи створення пароля згідно із цими рекомендаціями досить прості та ефективні. Виберіть рядок або два рядки з пісні чи поеми і візьміть перші літери кожного слова. Або самі складіть речення із 6--8 слів про якусь пам'ятну подію свого життя і використайте перші літери слів. Наприклад: із речення "6 грудня був дуже гарний концерт Ванесси Мей" можна створити пароль "бГбдгкУМ", який належить до складних, оскільки складається з латинських та кириличних великих та малих літер, а також цифр.

Можна піти іншим шляхом: замінити у слові із семи-восьми літер приголосну і одну-дві голосних. Вийде слово-абракадабра, яке запам'ятовується своєю оригінальністю. Або спробуйте дібрати два коротких слова і з'єднати їх за допомогою знака пунктуації.

Загальні правила користування паролем передбачають буденні, цілком логічні застороги, про які чомусь дуже часто забувають. Бажано, приміром, не вводити свій пароль, якщо хтось спостерігає за руками та екраном монітора; краще не повідомляти його іншим користувачам і негайно змінити, якщо здалося, що він став комусь відомий. Аби зберегти таємність пароля, його необхідно періодично змінювати (принаймні раз на три місяці, якщо немає інших вимог). Новий пароль повинен суттєво відрізнятися від попереднього, бо якщо змінюється лише його частина, а він уже комусь відомий, -- його нескладно підібрати.

ВИДИ ПАРОЛЬНОГО ЗАХИСТУ

Ми вже з'ясували, що захист дає змогу обмежити доступ сторонніх осіб до комп'ютера та інформації на сервері мережі. Він також необхідний, щоб запобігти несанкціонованому копіюванню конфіденційної інформації з жорстких дисків.

Під час обробки інформації засобами обчислювальної техніки застосовують різні види парольного захисту:

¦ паролі CMOS;

¦ паролі для підключення до мережі Windows 95/NT;

¦ паролі для підключення до сервера (NetWare, Unix тощо);

¦ паролі для підключення до бази даних (Oracle, Informix тощо);

¦ інші види парольного захисту. Системна плата комп'ютера має

мікросхему CMOS-пам'яті, в якій зберігаються відомості про конфігурацію цієї машини. Більшість сучасних комп'ютерів дозволяє встановити парольний захист, за якого пароль зберігається у CMOS-пам'яті. Якщо його встановлено, то при вмиканні живлення відразу після закінчення процедури тестування надходитиме запит про пароль. Щоб комп'ютер продовжував завантажуватися, необхідно правильно набрати на клавіатурі пароль. Припідключенні до мережі Windows 95/NT користувачу треба ввести мережевий пароль. Аналогічно й підключення до сервера обчислювальної мережі або до бази даних може вимагати додаткового введення пароля залежно від категорії інформації та вимог щодо її захисту. Серед інших видів скажемо лише про парольний захист комп'ютера на час тимчасової відсутності користувача на робочому місці -- програми типу "Screen-Saver" блокуватимуть екран монітора і при спробах "оживити" комп'ютер запитуватимуть пароль.

Важливе значення має надійний захист паролем для користувачів, які мають доступ до критичних ресурсів у мережі. Таких, наприклад, як ADMIN в операційній системі Novell NetWare 4.х. та користувач із правами ROOT в ОС Unix. Пароль у них має бути якомога складнішим і змінюватися якомога частіше. Операційна система Novell NetWare 4.х. дає змогу застосовувати досить довгі паролі -- до 128 символів. Звичайно, їх неможливо запам'ятати. Однак застосовувати їх користувачі ADMIN можуть так: пароль ділиться на дві частини, кожну з яких вводить окрема особа. Обидві частини пароля запечатуються та зберігаються в сейфі на випадок надзви-

чайних обставин. Довгий пароль можна довго не змінювати. Для виконання поточної роботи підключають користу-

ІДля пароля краще не брати слово, яке можна знайти в словниках

вача з іншим ім'ям, якому надають необхідні права доступу, але значно меншого обсягу, ніж у ADMIN.

Пароль можна вводити за допомогою клавіатури, магнітної або SMART-карти, Touch Memory та інших пристроїв введення.

Одним із широко застосовуваних у світі, але практично не використовуваним в Україні, є пристрій для генерації разових паролів. Це маленькі за розмірами, дуже легкі та зручні апарати з автономним живленням, які водночас можуть допомагати виконувати автентифікацію користувача за кількома задачами. У таких пристроях часто використовуються криптографічні алгоритми для генерації паролів разового використання, які розраховують та показують на маленькому (на рідких кристалах) дисплеї динамічний пароль. Причому часто вони працюють у двох режимах: односторонньої автентифікації та двосторонньої -- запит/відгук. Найзручніше використовувати їх для задач on-line технології. На сервері встановлюється спеціальне програмне забезпечення, де можна зареєструвати пристрої всіх користувачів системи, які в подальшому за допомогою власних пристроїв отримуватимуть право доступу до задач або даних, щоразу з іншим паролем. Це значно підвищить безпеку такої системи. Отже, дотримуючись простих правил, можна легко зробити парольний захист надійним засобом захисту інформації. Так, пароль -- це дуже просто. Але його надійність залежить від точного виконання правил користування ним.

Література.

1. DoD Computer Security Center. Department of Defense Password Management Guideline. CSC-STD-002-85. 12April 1985.

2. DoD Computer Security Center. Department of Defense Trusted Computer System Evaluation Criteria, CSC-STD-00183. 15 August 1983.