Исследование программного средства ViPNet Password Generator

Исследование программного средства ViPNet Password Generator

Основной защитой от несанкционированного доступа к информации является использование паролей.

image

Авторы:

Анзина Антонина Викторовна (tosz@bk.ru)

Медведева Анастасия Дмитриевна (medvedeva.nastya26@mail.ru)

Основной защитой от несанкционированного доступа к информации является использование паролей. Существует различное количество атак, связанных с подбором и компрометацией пароля.

В настоящее время легко реализуемая атака осуществляется методом полного перебора, то есть перебор всевозможных буквенно-цифровых сочетаний до тех пор, пока не будет найдена нужная комбинация пароля. Достаточно распространена «словарная атака». Она представляет собой различные реализации, такие как перебор слов, часто применяемых в качестве паролей, перебор по словарям общеупотребимых слов, а также составление персонализированных словарей и подбор паролей по ним.

Во избежание вышеперечисленных атак следует составлять криптостойкие пароли, соответствующие следующим требованиям [2]:

  • длина пароля не менее 8 символов;
  • использование строчных и прописных букв, цифр и спецсимволов;
  • пароль должен быть трудно угадываем (не рекомендуется использование личной информации);
  • не рекомендуется использовать подряд расположенные символы;
  • пароль не должен являться общеупотребимым словом или представлять перестановку его символов в обратном порядке.

Пароль должен быть уникальным, его использование не должно дублироваться, а также рекомендуется регулярно менять пароли, хранить их в недоступном для посторонних лиц месте.

Соблюдение всех рекомендаций по составлению пароля является достаточно сложно реализуемым действием. Поэтому для упрощения создания парольной защиты следует использовать надежные инструменты для генерации криптостойких паролей.

Целью статьи является исследование программы ViPNet Password Generator. Основные задачи: выявление недостатков программы и предложения по их устранению.

Программа ViPNet Password Generator является надежным инструментом для создания легко запоминаемых случайных паролей на основе парольных фраз [1]. Парольная фраза представляет собой набор случайно подобранных словосочетаний из словарей общеупотребимых слов, например: 6562 Пушных Рябчика Солят Хмельную Песочницу. При выборе парольной фразы подразумевается, что у пользователя есть возможность выбора языка парольной фразы, уровня сложности от простого к сложному. В зависимости от выбора уровня сложности зависит количество слов во фразе, количество букв, взятых из каждого слова, а также наличие цифр в начале парольной фразы и использование заглавных букв в начале слов.
Пароль максимальной сложности создается из парольной фразы, состоящей из пяти слов, при этом из каждого слова используется четыре первые буквы, а также из цифр, добавленных в начало парольной фразы, их количество варьируется от двух до четырех. Использование заглавных букв в таком пароле является обязательным условием. Сформированный максимально криптостойкий пароль состоит из 24 символов, время автоматического подбора пароля такого вида по версии программы ViPNet Password Generator около 321 502 лет.
Парольная фраза на русском языке может быть сформирована на основе кириллицы, то есть подразумевается набор пароля русскими символами на английскую раскладку клавиатуры. Таким образом, запоминание пароля является достаточно простым, так как необходимо запомнить необычное предложение, состоящее из 5 слов. Примеры парольных фраз и составленные из них пароли представлены в таблице 1.

Таблица 1. Сопоставление парольной фразы, сгенерированной на основе кириллицы, и созданного пароля.


Уровень сложности

Парольная фраза

Пароль

Простой

овощевод защитил крота

jdjpforhj

Стандартный

86 Уклончивых Синичек Настигли Баскетболиста

86ErkjCbybYfcn<fcr

Сложный

2044 Обыденных Публициста Забраковали Будущую Поганку

2044J,slGe,kPf,h<eleGjuf

Примеры парольных фраз, созданных на основе транслитерации, и составленные из них пароли представлены в таблице 2.
Таблица 2. Сопоставление парольной фразы, сгенерированной на основе транслитерации, и созданного пароля.


Уровень сложности

Парольная фраза

Пароль

Простой

carevna zahvalila kulinara

carzahkul

Стандартный

43 Vethih Kozlenka Splavlyayut Rekordsmenaа

43VetKozSplRek

Сложный

8546 Sornyh Krolikov Polozhili Zlobnogo Kozla

8546SornKrolPoloZlobKozl

Использование пароля, сгенерированного из парольной фразы с применением транслитерации, позволяет беспрепятственно вводить пароли на мобильных устройствах. Однако использование транслитерации предоставляет возможность правонарушителю проводить атаки по словарю транслита, что сокращает время подбора пароля.
Программа ViPNet Password Generator позволяет генерировать различное количество паролей от 1 до 9999 и предоставляет возможность распечатывать и сохранять пароль и парольную фразу. Однако с точки зрения безопасности хранение пароля и парольной фразы недопустимо.
Для выявления недостатков создания паролей программой ViPNet Password Generator необходимо рассчитать значение энтропии для определения криптостойкости паролей, сформированных на основе кириллицы и при помощи транслита.
В качестве основной метрики используется понятие информационной энтропии по Шеннону [4]
(1)
где – мощность алфавита, – длина пароля.
Энтропия пароля с максимальным уровнем сложности, созданного на основе кириллицы
(2)
Аналогично вычисляется энтропия пароля максимальной сложности, созданного при помощи транслитерации
(3)
Чем выше значение энтропии, тем случайнее последовательность символов, соответственно выше криптостойкость пароля. Значение энтропии пароля, созданного при помощи транслитерации ниже на 5,34 чем энтропия пароля, созданного на основе кириллицы, так как в первом случае для генерации пароля не используются спецсимволы, и соответственно алфавит меньше.
Другой недостаток основан на возможности несанкционированного получения парольной фразы. Посмотрев парольную фразу на транслите, можно легко запомнить и ввести пароль.
Для того чтобы решить перечисленные выше недостатки следует усовершенствовать процесс генерации пароля при использовании транслитерации. Первоначально необходимо добавить в пароль специальные символы: «[];’,./\». Это можно сделать при помощи циклического сдвига по строчкам на клавиатуры. В качестве параметров, которые могут быть выбраны пользователем при генерации пароля, необходимо добавить в программу шаг сдвига от 1 до 3 и направление сдвига: влево, вправо.
При сдвиге на один символ вправо добавляется 3 спецсимвола: «[;,»
на 1 шаг влево – «\’/». В обоих случаях добавляется по 3 спецсимвола, соответственно меняется показатель энтропии, так как изменяется алфавит.
. (4)
При сдвиге на 2 шага добавляется 6 значений:

  • Сдвиг влево «[];’,.»
  • Сдвиг вправо «\]’;/.»

. (5)
При сдвиге влево и вправо на 3 шага добавляется 8 значений: []\;’,./
(6)
Таким образом, энтропия пароля максимальной сложности, созданного на основе транслитерации, при сдвиге влево или вправо на 3 шага, больше энтропии пароля, созданного на основе кириллицы на 1,61, а значения энтропии пароля, созданного при помощи транслитерации на 6,95.
Таблица 3. Сопоставление парольной фразы, сгенерированной на основе транслитерации, и созданного пароля.


Уровень сложности

Парольная фраза

Пароль

Простой при сдвиге на 1 шаг

carevna zahvalila kulinara

vsrxsjli;

Стандартный при сдвиге на 2 шага

43 Vethih Kozlenka Splavlyayut Rekordsmenaа

43Ntu;[cF]’Yt;

Сложный при сдвиге на 3 шага

8546 Sornyh Krolikov Polozhili Zlobnogo Kozla

8546G]u.’u]a\]a]Va],’]va

Предложения по улучшению программы генерации паролей ViPNet Password Generator позволяют повысить криптостойкость пароля. В качестве субъективной оценки проведен анализ криптостойкости на различных сайтах. На сайте «Kaspersky Secure Password Check» [5] при анализе криптостойкости стандартного пароля для подбора потребуется 327 веков. Другой сайт «The Password Meter» [6] исследует пароль на наличие заглавных и строчных букв, цифр и символов и показывает его слабые места. При анализе пароля средней сложности результат программы на сайте показал, что пароль является «Очень сильным», так как в нем присутствуют буквы различного регистра, цифр и специальные символы.
В результате анализа ввода пароля на клавиатуре мобильного устройства следует учитывать разные модели устройств, на которых установлены клавиатуры с различными раскладками, то есть ввод пароля со сдвигом при учете символов является сложным. Поэтому для ввода паролей на мобильных устройствах следует использовать пароли, созданные на основе транслитерации со сдвигом без использования специальных символов. Для улучшения криптостойкости такого пароля в дальнейшем возможно предложить реализации данной программы для различных версий раскладок клавиатуры для облегчения ввода пароля со сдвигом и специальными символами.

В результате анализа программы ViPNet Password Generator были определены недостатки, заключающиеся в снижении криптостойкости пароля при его вводе на английской раскладке клавиатуры с использованием транслитерации. Для их устранения было предложено использование сдвига при создании пароля на основе транслитерации для добавления специальных символов. При этом изменится мощность алфавита, что приводит к увеличению показателя энтропии. Пароль становится более криптостойким, следовательно его труднее взломать.

Практическая значимость исследования заключается в возможности ввода пароля на различных клавиатурах без потери его криптостойкости.

Список литературы

  • ViPNet Password Generator 4.1. Руководство пользователя 1991–2014 ОАО «ИнфоТеКС», Москва, Россия.
  • J.Baek, Q.Vu, K.Liu. A secure cloud computing based framework for big data information. – Trans. Cloud. – 2015. – С. 233-244.
  • M.Qiu, K.Gai, L.Tao. Secure data scheme using attribute based semantic access controls for mobile clouds in financial industry. – Future Gener. – 2016.
  • Зверева Е.Н., Лебедько Е.Г. Сборник примеров и задач по основам теории информации и кодирования сообщений. – СПб: НИУ ИТМО, 2014. – 76 с.
  • Kaspersky Secure Password Check [Электронный ресурс]. – https://password.kaspersky.com/ru/.
  • The Password Meter [Электронный ресурс]. – http://www.passwordmeter.com/.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.