Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

Пароль

Материал из wikisec
Версия от 14:01, 29 октября 2019; Wikiadmin (обсуждение | вклад) (1 версия импортирована)
Перейти к навигации Перейти к поиску

Определение

Пароль (англ. Password) - Идентификатор субъекта доступа, который является его (субъекта) секретом.

Источник: Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения." (Утверждено решением председателя Гостехкомиссии России от 30 марта 1992 г.)

Толкование

Парольная защита относится к типу аутентификации по сущности знания.

Пароль (фр. parole — слово) - секретное слово или набор символов, предназначенный для подтверждения личности или полномочий.

Пароли часто используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя. Пароль может состоять из символов, оговоренных в политике парольной защиты, в том числе только из цифр. Пин-коды, коды доступа можно считать паролями. В отличии от криптоключа в криптосхеме, сам по себе пароль не делает информацию более защищенной и может быть эффективно использован только при комплексной системе разграничения доступа или в криптосистеме. Иногда криптоключ может совпадать с паролем или создаваться на базе пароля.

Пароль является охраняемой законом информацией. Он охраняется в силу п.1 ч.3 ст.6 ЗоИИТиЗИ, если только обладатель сам принимает меры по защите этой информации (п.2 ч.4 ст.6).

Политика парольной защиты.

Политика парольной защиты —

специализированная политика безопасности и комплекс процедур безопасности, обеспечивающие адекватные меры по эффективной и правомерной аутентификации.


К политике парольной защиты относятся процедуры:

  • Создания паролей;
  • Хранения паролей (хэш-функции, менеджеры паролей);
  • Применения паролей (маскировка, скремблирование);
  • Передачи паролей (шифрование);
  • Удаления и изменения паролей;


При описании данных процедур необходимо учитывать следующие свойства и ограничения:

  • Срок действия пароля;
  • Количество символов;
  • Объем алфавита;
  • Произносимость/запоминаемость;
  • Ассоциированность с владельцем;
  • Цитируемость в словарях;
  • Случайность автоматической генерации;
  • Вхождение символов;
  • Повторное использование пароля;
  • Ограничение по условию (время, координаты);
  • Ограничение по времени набора;
  • Ограничение количества попыток ввода;
  • Введение дополнительных пауз между попытками ввода.

Хэш-функция.

В большинстве случаев парольные фразы не хранятся на целевых объектах, хранятся лишь их хеш-значения. Хранить парольные фразы нецелесообразно, так как в случае несанкционированного доступа к файлу с фразами злоумышленник узнает все парольные фразы и сразу сможет ими воспользоваться, а при хранении хеш-значений он узнает лишь хеш-значения, которые не обратимы в исходные данные, в данном случае в парольную фразу. В ходе процедуры аутентификации вычисляется хеш-значение введённой парольной фразы, и сравнивается с сохранённым.

Источник — https://wikisec.ru/index.php?title=Пароль&oldid=1885