Архивы: по дате | по разделам | по авторам

Пароли, пароли, пароли…

Архив
автор : Киви Берд   22.06.2004

Все большее перемещение финансовых операций в мир компьютерных сетей неизбежно поднимает вопросы о слабой защите паролей доступа.

Все большее перемещение финансовых операций в мир компьютерных сетей неизбежно поднимает вопросы о слабой защите паролей доступа.

Судя по количеству публикаций о недостатках существующих парольных систем и о достоинствах новых, эта проблема из просто серьезной перерастает в одну из самых животрепещущих не только для онлайновой коммерции, но и вообще для банковской системы. Для иллюстрации приведу лишь несколько новостей из этой области за последние недели.

Реквизиты кредитных карт и пароли доступа к банковским счетам ежедневно вводят в компьютеры миллионы людей. Причем специалистам хорошо известно, что все эти весьма чувствительные к компрометации данные после ввода могут долго сохраняться в оперативной памяти, оставаясь незащищенными. Более того, в открытом виде они могут быть автоматически сохранены на жестком диске в файле подкачки и лежать там месяцами, пока их не затрут какие-либо новые данные (или не подберут компетентные злоумышленники). Но самое возмутительное, что практически ни один из широко используемых в онлайновой коммерции продуктов — браузеры, серверное ПО и пр. — не предпринимает никаких мер для ограничения срока жизни в памяти обработанных «чувствительных» данных.

Именно этот вывод можно, наверное, считать главным результатом свежего исследования, проведенного в Стэнфордском университете. Группа аспирантов и студентов, специализирующихся на компьютерной безопасности, создала программный инструментарий, получивший название TaintBochs, который наглядно моделирует работу всей компьютерной системы. Благодаря этому симулятору чувствительные данные можно пометить, а затем отслеживать их прохождение через систему.

Протестировав с помощью TaintBochs популярное в Интернете ПО: браузеры Internet Explorer и Mozilla, сервер Apache (в комбинации с CGI-скриптом на базе Perl), GNU Emacs и другие программы, исследователи установили, что ни одна из них не делает практически ничего для удаления обработанной и более ненужной информации. Мало того, некоторые программы даже копируют чувствительные данные, нимало не заботясь об их дальнейшей судьбе в оперативной памяти.

В то же время общераспространенные операционные системы, такие как Windows и Linux, не имеют надежных и внятно документированных средств для предотвращения сброса определенной информации из RAM в своп-файл на жесткий диск. Эту неприятную ситуацию без проблем можно (и должно) ощутимо улучшить простым добавлением в программу-приложение нескольких строк кода, обнуляющих содержимое регистров памяти, либо вносящих дополнительное шифрование, когда прямое обнуление невозможно (именно это делают многие специализированные криптобиблиотеки). Результаты исследования и возможные меры

по эффективному решению проблемы будут представлены на августовской конференции по компьютерной безопасности Usenix Security Symposium 2004, а соответствующую статью можно найти в Интернете уже сейчас («Understanding Data Lifetime via Whole System Simulation» by Jim Chow, Tal Garfinkel et al., www.stanford.edu/~talg/papers/USENIX04/abstract.html). По свидетельству экспертов, это первое глубокое исследование давно известной проблемы.

Еще одна не менее известная (и тесно связанная с предыдущей) проблема — это традиционное использование слишком простой системы аутентификации, состоящей из логина и пароля доступа, зачастую бесхитростного. В отношении к этой явно устаревшей схеме довольно любопытно проявляются особенности менталитета людей из разных регионов планеты. В обстоятельной Европе серьезные банки уже перешли к одноразовым паролям доступа (TrancActionNumber). Клиенту вручается карточка с полусотней паролей, залитых защитной краской. При каждой новой банковской операции через Сеть клиент соскабливает очередную полоску и вводит одноразовый номер аутентификации вкупе с постоянными параметрами — открытым логином и секретным паролем. Когда полоски кончаются, банк присылает клиенту новую карточку. В Америке, судя по всему, продолжают считать, что нынешняя ненадежная система еще не настолько дискредитирована злоумышленниками, ворующими пароли, чтобы заменять ее более сложной и тем самым отпугивать потенциальных клиентов (общеизвестно, что американцы хуже воспринимают технологические новации, нежели европейцы). В Азии же, особенно в богатых странах — от Саудовской Аравии до Сингапура, в банках и банкоматах интенсивно вводят средства биометрической аутентификации (причем не в дополнение к уже существующим, а вместо них), почему-то полагая, что это действительно прогрессивное и надежное решение. Однако специалисты свидетельствуют, что надеяться на отпечаток пальца или рисунок радужки следует еще меньше, чем на секретный PIN-код. Куда при таких раскладах попадает Россия — сказать трудно, но, видимо, ближе мы все-таки к Америке.

А вот в Израиле ученые изобрели совершенно новую и необычную систему аутентификации — «пароли, которые не забываются, но которые нельзя вспомнить». Именно так называется статья, представленная на проходившей недавно в Вене конференции Computer Human Interaction 2004 («Passwords You’ll Never Forget, but Can’t Recall», by Scott Kirkpatrick and Daphna Weinshall, www.cs.huji.ac.il/~kirk/Imprint_CHI04_final.pdf). Система, разработанная в Иерусалимском университете, позволяет людям использовать такие пароли, которые не надо сознательно помнить. Подобную схему делают возможной особенности человеческой психики, благодаря которым информация заносится в подсознание путем «инстинктивного импринтинга». Многочисленные эксперименты показывают, что мозг надежно сохраняет образы картинок, несуществующих «псевдослов» или искусственных грамматических конструкций. По памяти мы не можем в деталях описать то, что инстинктивно запомнили, однако легко узнаем — даже через недели и месяцы — то, что однажды нам было предъявлено.

Новая система уже прошла испытания. «Бессознательный пароль» состоит из набора сертификатов пользователя, например, четырех картинок. Сначала пользователю показывают последовательность из одной-двух сотен картинок, случайно выбранных из базы объемом порядка 20 тысяч изображений. Все предъявленные картинки разбиты на тематические группы, до десятка штук в каждой. Пользователю «присваивается» по одной картинке из каждой заданной тематической группы, а затем он практикуется (обучается) в выборе «своих» картинок-сертификатов среди всех тематических групп. Как показали опыты, при предъявлении проверочной серии люди способны вспоминать и отмечать «свои» картинки с 90-процентной точностью даже по прошествии трех месяцев. Конечно, и в этой системе для борьбы с перехватом и подделкой данных приходится вводить одноразовые пароли, то есть всякий раз присваивать сертификаты заново. Так что система выглядит пока не очень практичной, однако исследователи надеются года за два довести ее до нужных кондиций.

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.