Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
Пароль: различия между версиями
Wikiadmin (обсуждение | вклад) м (1 версия импортирована) |
Wikiadmin (обсуждение | вклад) м (Замена текста — «Источник: » на «'''''Источник:''''' ») |
||
| Строка 3: | Строка 3: | ||
'''Пароль''' (''англ.'' Password) - Идентификатор субъекта доступа, который является его (субъекта) секретом. | '''Пароль''' (''англ.'' Password) - Идентификатор субъекта доступа, который является его (субъекта) секретом. | ||
| − | Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.) | + | '''''Источник:''''' Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.) |
== Толкование == | == Толкование == | ||
Версия 12:20, 13 ноября 2019
Определение
Пароль (англ. Password) - Идентификатор субъекта доступа, который является его (субъекта) секретом.
Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.)
Толкование
Парольная защита относится к типу аутентификации по сущности знания.
Пароль (фр. parole — слово) - секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.
Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя. Пароль может состоять из символов, оговоренных в политике парольной защиты, в том числе только из цифр. Пин-коды, коды доступа можно считать паролями. В отличии от криптоключа в криптосхеме, сам по себе пароль не делает информацию более защищенной и может быть эффективно использован только при комплексной системе разграничения доступа или в криптосистеме. Иногда криптоключ может совпадать с паролем или создаваться на базе пароля.
Пароль является охраняемой законом информацией. Он охраняется в силу п.1 ч.3 ст.6 ЗоИИТиЗИ, если только обладатель сам принимает меры по защите этой информации (п.2 ч.4 ст.6).
Политика парольной защиты.
Политика парольной защиты —
- специализированная политика безопасности и комплекс процедур безопасности, обеспечивающие адекватные меры по эффективной и правомерной аутентификации.
К политике парольной защиты относятся процедуры:
- Создания паролей;
- Хранения паролей (хэш-функции, менеджеры паролей);
- Применения паролей (маскировка, скремблирование);
- Передачи паролей (шифрование);
- Удаления и изменения паролей;
При описании данных процедур необходимо учитывать следующие свойства и ограничения:
- Срок действия пароля;
- Количество символов;
- Объем алфавита;
- Произносимость/запоминаемость;
- Ассоциированность с владельцем;
- Цитируемость в словарях;
- Случайность автоматической генерации;
- Вхождение символов;
- Повторное использование пароля;
- Ограничение по условию (время, координаты);
- Ограничение по времени набора;
- Ограничение количества попыток ввода;
- Введение дополнительных пауз между попытками ввода.
Хэш-функция.
В большинстве случаев парольные фразы не хранятся на целевых объектах, хранятся лишь их хеш-значения. Хранить парольные фразы нецелесообразно, так как в случае несанкционированного доступа к файлу с фразами злоумышленник узнает все парольные фразы и сразу сможет ими воспользоваться, а при хранении хеш-значений он узнает лишь хеш-значения, которые не обратимы в исходные данные, в данном случае в парольную фразу. В ходе процедуры аутентификации вычисляется хеш-значение введённой парольной фразы, и сравнивается с сохранённым.
