Захист інформації відомчої інформаційно-телекомунікаційної мережі за допомогою парольної системи

Собина Віталій Олександрович

Національний університет цивільного захисту України

http://orcid.org/ 0000-0001-6908-8037

Тарадуда Дмитро Віталійович

Національний університет цивільного захисту України

http://orcid.org/0000-0001-9167-0058

Демент Максим Олександрович

Національний університет цивільного захисту України

https://orcid.org/0000-0003-4975-384X

DOI: https://doi.org/10.52363/2524-0226-2021-34-15

Ключові слова: аутентифікація, пароль, стійкість парольної системи, ентропія Шеннона, політика стійкості пароля

Анотація

Теоретично обґрунтовано підхід до кількісної оцінки стійкості парольних систем з урахування потужності простору паролів і довжини пароля. Формалізована ідея інформаційної ентропії як підхід до вимірювання кількості інформації, яка невідома через випадкові величини, визначається випадковість змінної на основі знань, що містяться в іншій частині повідомлення. Встановлено, що, чим більше ентропії в даному розподілі паролів, тим складніше вгадати пароль, який було обрано з цього розподілу; паролі з більшими значеннями ентропії вимагають більшої очікуваної кількості припущень, що робить ентропію корисною як міру стійкості пароля. Надано пропозиції щодо управління паролями відомчої інформаційно-телекомунікаційної мережі об’єкта критичної інформаційної інфраструктури. Дослідження показують, що велика частина ентропії, внесена великими та не буквеними символами, створюється користувачами, які перевищують мінімальні вимоги політики стійкості пароля. Безпечне створення паролів ускладнюється компромісом між розробкою паролів, які одночасно важко зламати і використовувати. Відповідно важливою є політика управління доступом. Дослідження показують, що велика частина ентропії, внесена великими та не буквеними символами, створюється користувачами, які перевищують мінімальні вимоги політики стійкості пароля: використання кількості цифр більше, ніж потрібно, різні позиції спеціальних символів. Зроблено висновок, що текстові паролі залишаються домінуючим методом автентифікації в комп’ютерних системах, незважаючи на значні вдосконалення, включаючи смарткарти, картки RFID, USB-токени та графічні паролі, що мають свої переваги і є придатними для використання в певному середовищі або для певної програми. Зазначено, що опублікованих емпіричних досліджень, які б вивчали стратегії, що використовуються користувачами за різними політиками щодо паролів, мало. Подальші дослідження планується провести в цьому напрямку.

Посилання

1. International Organization for Standardization. (2013). International standard ISO/IEC 27001:2013. Information technology. Security techniques. Information security management systems. Retrieved from https://www.iso.org/ru/standard/54534.html
2. Weir, M., Aggarwal, S., Collins, M., Stern, H. (2010). Testing Metrics for Password Creation Policies by Attacking Large Sets of Revealed Passwords. CCS '10: Proceedings of the 17th ACM conference on Computer and communications security, 62–175. doi: 10.1145/1866307.1866327
3. Bonneau, J. (2012). Guessing human-chosen secrets (Report No. 819). Uni-versity of Cambridge, Computer Laboratory. Retrieved from https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-819.pdf
4. Nayak, A., Bansode, R. (2016). Analysis of Knowledge Based Authentication System Using Persuasive Cued Click Points. 7th International Conference on Commu-nication, Computing and Virtualization 2016, 553–560. doi: 10.1016/j.procs.2016.03.070
5. Chiasson, S., Stobert, E., Forget, A., Biddle, R., Van Oorschot P. C. (2012). Per-suasive Cued Click-Points Design, implementation, and evaluation of a knowledge-based authentication mechanism. IEEE Transactions on Dependable and Secure Com-puting, 9, 2, 222–235. doi: 10.1109/TDSC.2011.55
6. Bonneau, J. (2012). Statistical metrics for individual password strength. The 20th international conference on Security Protocols. https://doi.org/10.1007/978-3-642-35694-0_10
7. Khorev, P. B. (2019). User Authentication Based on Knowledge of Their Work on the Internet. Security, Architectures and Protocols. doi: 10.5772/intechopen.88620
8. Kelley, P. G., Komanduri, S., Mazurek, M. L., Shay, R., Bauer, T. V. L., Chris-tin, N., … Lopez, J. (2012). Guess Again (and Again and Again): Measuring Password Strength by Simulating Password-Cracking Algorithms. IEEE Symposium on Security and Privacy, 523–537. doi: 10.1109/SP.2012.38
9. Rioul, O. (2015). Shannon's formula and Hartley's rule: A mathematical coin-cidence? AIP Conference Proceedings. V. 1641. I. 1. doi: 10.1063/1.4905969
10. Boguslavskaya, K. (2021). Nord Pass nazval 200 samykh populyarnikh pa-roley 2020 goda. Retrieved from https://vctr.media/samyye-rasprostranennyye-paroli-2020-goda-52027.