- что-то, что пользователь знает, -- к примеру, пароль, когнитивный пароль (ответ на секретный вопрос) или пассфраза (в отличие от пароля, пассфраза строится на основании более чем одного слова);
- что-то, что у пользователя есть, -- например, токен, смарт-карта или ключ (в т.ч. магнитный);
- и что-то, что пользователь делает или чем он является (т.н. биометрия), -- скажем, особенности почерка, геометрия кисти, рисунок сетчатки или отпечаток среднего пальца левой ноги.
Так вот, пароль -- самый слабый из методов аутентификации. В основном потому, что его безопасность подвержена наиболее широкому спектру угроз. Пароль можно подсмотреть через плечо во время ввода на клавиатуре, выманить в обмен на шоколадку, получить обманом у пьяного сотрудника, найти в мусорной корзине или потерянном бумажнике или телефоне. Пароли подбирают и взламывают: величайшие умы современности потратили годы жизни на построение сложнейших криптоаналитических техник, позволяющих существенно сократить время поиска подходящего пароля при его известном хеш-отображении (о котором позже). Пароли, наконец, просто забывают. Ненадежная это вещь, ваши пароли. В чем же секрет их несомненной популярности?
Все просто, -- пароли это дешево. Именно поэтому практически каждая техническая система контроля доступа реализует схему аутентификации по имени пользователя паролю. В системах, отвечающих высоким требованиям безопасности, наряду с паролями используется физический токен или/и биометрия. Например, банкомат требует от пользователя банковскую карту (токен) и ПИН-код (пароль).
Безопасное использование пароля возможно только в том случае, если его знает один человек. Дело в том, что даже в системе аутентификации пароль в чистом виде не хранится. А хранится его хеш-отображение, или, иными словами, результат выполнения хеш-функции над текстом пароля. Хеш-функции это такие криптографические алгоритмы, которые отображают текст любой длины в текст фиксированной длины. Например, любой объем данных, будь то пароль из восьми символов, или полное собрание сочинений В.И. Ленина, в захешированном виде будет занимать одинаковое количество байтов. Количество это зависит от выбранного алгоритма. Вы наверняка сталкивались с хеш-функциями ранее, наиболее распространенные из них: MD5, SHA-1, SHA-256, RIPEMD-160. То есть, возвращаясь к паролю в чистом виде, можно сделать вывод, что это сокровище в открытом виде хранится только в голове владельцаи нигде более.
Любая схема парольной аутентификации подразумевает, что пользователи будут хранить пароли в секрете. Если это условие не соблюдается, взлом системы неизбежен. Тем не менее, требование к секретности паролей зачастую игнорируется пользователями. Виной тому слабая компьютерная грамотность, но не только.
Наиболее пагубно на безопасности паролей отражается нежелание ИТ-персонала бороться с безграмотностью пользователей. Сталкиваясь с этой проблемой, айтишники зачастую воспринимают ее как неизбежное зло, тем самым признавая собственное бессилие изменить что-нибудь к лучшему. Пользователь (человеческий фактор) повсеместно (т.е. всеми, кому не лень) считается наиболее слабым и уязвимым звеном системы безопасности. Этот стереотип по какой-то непонятной причине воспринимается как некая глубочайшая мудрость, перед которой все преклоняются в патетическом отчаянии. Мол, "мозги не пропатчить" и все такое.
На самом деле, и я в этом твердо убежден, у этого признания безысходности есть очень простая причина. Просто люди ленивы, а преклонение перед пользовательской безграмотностью -- очень удобный easy button . И еще я уверен в том, что пользователь -- это не слабое звено, а потенциально наиболее эффективное оружие против любого вида атак. Не фаервол, не IPS, не антивирус и не DLP, а образованный, сознательный и дисциплинированный пользователь является злейшим врагом хакера. Соберитесь как-нибудь с коллегами, составьте набросок плана обучения пользователей, -- ничего сложного, только то, что от них требуется. Включите в программу общие признаки инцидентов ИБ (отказ в работе ПО, потери производительности, множественные сетевые соединения и т.п.) и правила выбора просто запоминаемых, но трудно подбираемых паролей (благо, методов выбора таких паролей изобретено великое множество). И самое главное: сделайте так, чтобы в результате обучения пользователи почувствовали собственную важность, значимость своей роли в успехе комплексной системы безопасности компании, а также вынесли что-нибудь полезное для себя лично.
Любая схема парольной аутентификации подразумевает, что пользователи будут хранить пароли в секрете. Если это условие не соблюдается, взлом системы неизбежен. Тем не менее, требование к секретности паролей зачастую игнорируется пользователями. Виной тому слабая компьютерная грамотность, но не только.
Наиболее пагубно на безопасности паролей отражается нежелание ИТ-персонала бороться с безграмотностью пользователей. Сталкиваясь с этой проблемой, айтишники зачастую воспринимают ее как неизбежное зло, тем самым признавая собственное бессилие изменить что-нибудь к лучшему. Пользователь (человеческий фактор) повсеместно (т.е. всеми, кому не лень) считается наиболее слабым и уязвимым звеном системы безопасности. Этот стереотип по какой-то непонятной причине воспринимается как некая глубочайшая мудрость, перед которой все преклоняются в патетическом отчаянии. Мол, "мозги не пропатчить" и все такое.
На самом деле, и я в этом твердо убежден, у этого признания безысходности есть очень простая причина. Просто люди ленивы, а преклонение перед пользовательской безграмотностью -- очень удобный easy button . И еще я уверен в том, что пользователь -- это не слабое звено, а потенциально наиболее эффективное оружие против любого вида атак. Не фаервол, не IPS, не антивирус и не DLP, а образованный, сознательный и дисциплинированный пользователь является злейшим врагом хакера. Соберитесь как-нибудь с коллегами, составьте набросок плана обучения пользователей, -- ничего сложного, только то, что от них требуется. Включите в программу общие признаки инцидентов ИБ (отказ в работе ПО, потери производительности, множественные сетевые соединения и т.п.) и правила выбора просто запоминаемых, но трудно подбираемых паролей (благо, методов выбора таких паролей изобретено великое множество). И самое главное: сделайте так, чтобы в результате обучения пользователи почувствовали собственную важность, значимость своей роли в успехе комплексной системы безопасности компании, а также вынесли что-нибудь полезное для себя лично.
