Adgangskode

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 2. december 2021; verifikation kræver 21 redigeringer .

Adgangskode ( fr.  parole  - ord) - et betinget ord [1] eller et vilkårligt sæt af tegn, bestående af bogstaver, tal og andre tegn, og designet til at bekræfte identitet eller autoritet. Hvis kun tal er tilladt, kaldes denne kombination nogle gange for en PIN-kode (fra den engelske forkortelse PIN - personligt identifikationsnummer).

Adgangskoder bruges ofte til at beskytte oplysninger mod uautoriseret adgang . I de fleste computersystemer bruges kombinationen brugernavn  -adgangskode til at godkende brugeren.

På trods af udtrykkets oprindelse behøver adgangskoden faktisk ikke være et ord. En kombination, der ikke er et ord, er sværere at gætte eller gætte, så disse adgangskoder foretrækkes. For yderligere beskyttelse bruges nogle gange adgangskoder bestående af mange ord; sådan en adgangskode omtales nogle gange som en "adgangssætning".

Adgangskodehistorik

Adgangskoder er blevet brugt siden oldtiden. Polybius (? 201 f.Kr. ) beskriver brugen af ​​adgangskoder i det gamle Rom som følger:

Måden, hvorpå de sikrer sikker passage om natten, er som følger: fra ti manipler af hver gren af ​​infanteri og kavaleri, som er placeret i bunden af ​​gaden, vælger kommandanten, hvem der er fritaget for vagttjeneste, og han går hver nat til tribunen , og modtager fra sit kodeord - en trætavle med ordet. Han vender tilbage til sin enhed , og går derefter videre med et kodeord og et tegn til den næste kommandant, som igen sender skiltet videre til den næste [2] .

Adgangskoder er blevet brugt i computere siden deres tidlige dage. For eksempel var CTSS fra MIT , som udkom i 1961 , et af de første åbne systemer. Hun brugte LOGIN-kommandoen til at anmode om brugerens adgangskode.

Robert Morris foreslog ideen om at gemme adgangskoder i hash -form til UNIX -operativsystemet . Dens algoritme, kendt som krypt , bruger et 12-bit salt og binder sig til at omforme med DES-algoritmen , hvilket reducerer risikoen for ordbogs brute force .

Brugere med login og adgangskode autentificeres under login-processen med adgangskontrol til sikre operativsystemer, mobiltelefoner, applikationer og onlinetjenester. En computerbruger har ofte adgangskoder til mange forskellige formål: login på konti; adgang til e-mail-bokse, personlige konti på websteder, i databaser; at læse nyheder i betalte publikationer . Ifølge en undersøgelse fra NordPass var det gennemsnitlige antal adgangskoder brugt af én person i 2019 70-80; i løbet af året er dette tal vokset med 25 % og nærmet sig 100 adgangskoder [3] .

Brugeradgangskodesikkerhed

Undersøgelser viser [4] , at omkring 40 % af alle brugere vælger adgangskoder, der er lette at gætte automatisk [5] . Let at gætte adgangskoder (123, admin) betragtes som svage og sårbare. Adgangskoder, der er meget svære eller næsten umulige at gætte, betragtes som stærkere. Nogle kilder anbefaler at bruge adgangskoder genereret på stærke hashes som MD5 , SHA-1 fra almindelige pseudo-tilfældige sekvenser ifølge algoritmer som [6] [7] [8] .

I slutningen af ​​2017 offentliggjorde SplashData Corporation årets 100 mest usikre adgangskoder. Førstepladsen, for fjerde år i træk, er besat af adgangskoden - 123456. Den bruges af omkring 17% af internetbrugerne. [9]

I 2013 offentliggjorde Google en liste over almindeligt anvendte adgangskodekategorier, der anses for at være for svage på grund af det faktum, at de er nemme at gætte (især efter at have studeret en persons profil på et socialt netværk): [10]

• Navn på kæledyr, navn på barn, partner eller pårørende
• Fødselsdatoer og vigtige begivenheder
• Fødselssted
• Yndlingsferienavn
• Alt relateret til dit yndlingssportshold
• Ordet "adgangskode" (adgangskode)

Adgangskodegenerering

På Unix - lignende operativsystemer kan pwgen -værktøjet bruges . For eksempel

pwgen 10 1

genererer 1 adgangskode på 10 tegn.

Alternative metoder til adgangskontrol

Adskillige former for genbrugelige adgangskoder kan kompromitteres og har bidraget til udviklingen af ​​andre metoder. Nogle af disse er ved at blive tilgængelige for brugere, der søger et mere sikkert alternativ.

• Engangsadgangskoder
• Biometri
• Single sign-on teknologi
• Åbn ID

Metoder til at overføre en adgangskode over et netværk

Enkel adgangskodeoverførsel

Adgangskoden sendes i klartekst. I dette tilfælde kan det opsnappes ved hjælp af simple netværkstrafikovervågningsværktøjer .

Transmission over krypterede kanaler

Risikoen for adgangskodesniffing over internettet kan blandt andet mindskes ved at bruge Transport Layer Security TLS , tidligere kendt som SSL, funktioner indbygget i mange internetbrowsere.

Baseret på hashes

Adgangskoden overføres allerede til serveren i form af en hash (ved indsendelse af en formular på en webside, konverteres adgangskoden til en md5-hash ved hjælp af JavaScript), og på serveren sammenlignes den modtagne hash med hash gemt i databasen. Denne måde at overføre adgangskoden på reducerer risikoen for at få adgangskoden ved hjælp af en sniffer .

Design af sikker software

Almindelige metoder til at forbedre softwaresikkerheden for adgangskodebeskyttede systemer omfatter:

• Minimum adgangskodelængdegrænse (nogle Unix-systemer begrænser adgangskoder til 8 tegn).
• Kræver en adgangskode, der skal indtastes igen efter en periode med inaktivitet.
• Krav om at ændre adgangskoden med jævne mellemrum.
• Tildeling af stærke adgangskoder (genereret ved hjælp af en hardwarekilde med tilfældige tal eller ved hjælp af en pseudo-tilfældig talgenerator , hvis output behandles af stærke hash-transformationer ).

Knække computeradgangskoder

Adgangskodeknækning er en af ​​de almindelige typer angreb på informationssystemer, der bruger adgangskode eller brugernavn-adgangskode- godkendelse . Essensen af ​​angrebet er reduceret til, at den ubudne gæst er i besiddelse af adgangskoden til en bruger, der har ret til at komme ind i systemet.

Det attraktive ved angrebet for en angriber er, at hvis han med succes opnår en adgangskode, er han garanteret at modtage alle rettighederne for den bruger, hvis konto er blevet kompromitteret, og desuden forårsager login på en eksisterende konto normalt mindre mistænksomhed blandt systemet administratorer .

Teknisk set kan angrebet implementeres på to måder: ved flere forsøg på direkte autentificering i systemet, eller ved at analysere kodeords- hashes opnået på anden måde, for eksempel ved at opsnappe trafik.

I dette tilfælde kan følgende metoder bruges:

• Direkte opregning . Optælling af alle mulige kombinationer af tegn tilladt i adgangskoden. For eksempel bliver kodeordet "qwerty" ofte knækket, da det er meget nemt at hente det ved de første taster på tastaturet.
• Ordbogsvalg . Metoden er baseret på den antagelse, at adgangskoden bruger eksisterende ord af ethvert sprog eller deres kombinationer.
• Metode til social engineering . Baseret på den antagelse, at brugeren brugte personlige oplysninger som adgangskode, såsom hans for- eller efternavn, fødselsdato osv. For eksempel Vasya Pupkin , født 31.12.1999. har ofte en adgangskode som "vp31121999" eller "vp991231".

Mange værktøjer er blevet udviklet til at udføre angrebet, såsom John the Ripper .

Kriterier for adgangskodestyrke

Baseret på tilgangene til at udføre et angreb er det muligt at formulere kriterier for styrken af ​​et kodeord til det.

• Adgangskoden bør ikke være for kort, da dette gør det nemmere at brute-force det. Den mest almindelige minimumlængde er otte tegn. Af samme grund bør den ikke kun bestå af tal.
• Adgangskoden bør ikke være et ordbogsord eller en simpel kombination af dem, dette forenkler dets valg fra ordbogen (undtagelsen er Diceware : at vælge et bestemt antal ord fra en liste af en vis længde ved hjælp af en tilfældig talgenerator; adgangskoder er dog lange).
• Adgangskoden bør ikke kun bestå af offentlige oplysninger om brugeren.

Populære anbefalinger til kompilering af en adgangskode inkluderer brugen af ​​en kombination af ord med tal og specialtegn (#, $, * osv.), brugen af ​​sjældne eller ikke-eksisterende ord og overholdelse af minimumslængden.

Angrebsforsvarsmetoder

Beskyttelsesmetoder kan opdeles i to kategorier: at yde modstand mod at knække selve adgangskoden og forhindre implementering af et angreb. Det første mål kan opnås ved at kontrollere adgangskoden, der er sat i forhold til kompleksitetskriterier. Der er automatiserede løsninger til sådan verifikation, som normalt fungerer sammen med adgangskodeændringsværktøjer såsom cracklib [11] .

Det andet mål omfatter at forhindre hash af den overførte adgangskode i at blive fanget og at beskytte mod flere autentificeringsforsøg i systemet. For at forhindre aflytning kan sikre (krypterede) kommunikationskanaler bruges. For at gøre det sværere for en angriber at vælge ved multipel godkendelse, sætter de normalt en grænse for antallet af forsøg pr. tidsenhed (et eksempel på et værktøj: fail2ban [12] ), eller tillader kun adgang fra betroede adresser .

Omfattende centraliserede godkendelsesløsninger såsom Red Hat Directory Server [13] eller Active Directory [14] inkluderer allerede midlerne til at udføre disse opgaver.

Se også

• Slogan
• /etc/passwd
• Godkendelse
• Password manager
• Gaze-indtastede adgangskoder

Noter

1. ↑ Adgangskode  // Forklarende ordbog over det levende store russiske sprog  : i 4 bind  / udg. V. I. Dal . - 2. udg. - Sankt Petersborg. : M. O. Wolfs  trykkeri , 1880-1882.
2. ↑ Polybius om det romerske militær . Hentet 4. august 2007. Arkiveret fra originalen 7. februar 2008. (ubestemt)
3. ↑ Undersøgelse afslører, at gennemsnitlig person har 100 adgangskoder  ( 22. oktober 2020). Hentet 7. september 2021. Arkiveret fra originalen 7. september 2021.
4. ↑ De mest almindelige adgangskoder på internettet - Delovoy Petersburg . Dato for adgang: 5. januar 2010. Arkiveret fra originalen 12. december 2009. (ubestemt)
5. ↑ Vance, Ashlee . Hvis dit kodeord er 123456, skal du bare gøre det til HackMe , The New York Times  (21. januar 2010). Arkiveret fra originalen den 11. februar 2017. Hentet 27. juni 2021.
6. ↑ MLA-ledning: Shell: Linux Password Generator . Dato for adgang: 5. januar 2010. Arkiveret fra originalen 28. december 2009. (ubestemt)
7. ↑ Astakhov Konstantin. Adgangskode generator
8. ↑ mkpw-md5-alpha | Download mkpw-md5-alpha-software gratis på SourceForge.net . Hentet 3. marts 2010. Arkiveret fra originalen 31. maj 2010. (ubestemt)
9. ↑ Eksperter kårede de værste adgangskoder i 2017 . planet-today.ru Hentet 2. januar 2018. Arkiveret fra originalen 3. januar 2018. (ubestemt)
10. ↑ Teknisk. Google afslører de 10 værste adgangskodeideer   // Tid . - 08-08-2013. — ISSN 0040-781X . Arkiveret fra originalen den 27. juni 2021.
11. ↑ CrackLib | Download CrackLib-software gratis på SourceForge.net . Hentet 25. juni 2010. Arkiveret fra originalen 25. juli 2010. (ubestemt)
12. ↑ Fail2ban . Hentet 25. juni 2010. Arkiveret fra originalen 21. august 2008. (ubestemt)
13. ↑ Kapitel 7. Håndtering af brugergodkendelse . Hentet 25. juni 2010. Arkiveret fra originalen 6. marts 2010. (ubestemt)
14. ↑ Håndhævelse af stærk adgangskodebrug i hele din organisation . Dato for adgang: 25. juni 2010. Arkiveret fra originalen 24. juli 2010. (ubestemt)

Litteratur

• Adgangskode  // Forklarende ordbog over det levende store russiske sprog  : i 4 bind  / udg. V. I. Dal . - 2. udg. - Sankt Petersborg. : M. O. Wolfs  trykkeri , 1880-1882.

Links

• Adgangskodevejledning Arkiveret 8. april 2010 på Wayback Machine
• Adgangskodesikkerhedskrav  (link ikke tilgængeligt)
• Oversigt over mønsteradgangskoder Arkiveret 9. juni 2011 på Wayback Machine  
• PassClicks  (engelsk)  (utilgængeligt link)
• Den amerikanske regering siger, at du ikke skal bruge specialtegn i dine adgangskoder.
• Konceptet med engangsadgangskoder i et autentificeringssystem Arkiveret 9. oktober 2007 på Wayback Machine
• Artikel "Passwords for Professionals" Arkiveret 7. maj 2008 på Wayback Machine
• Shell: Linux Password Generator-artikel Arkiveret 28. december 2009 på Wayback Machine