Пароль
Паро́ль, паро́ля[1] або га́сло[2] (фр. parole — слово) — таємне слово або певна послідовність символів, призначена для підтвердження особи або її прав. Паролі використовують для захисту інформації від несанкціонованого доступу. Пароль разом із логіном є елементами облікового запису та використовуються програмним забезпеченням для надання користувачу дозволу на з'єднання з комп'ютерною системою та визначення його прав доступу до ресурсів програмного забезпечення. Унікальність та непередбачувана послідовність символів у паролі обумовлюють його складність. Пароль частіше всього використовується з логіном, щоб уникнути збігів при ідентифікації користувачів.
Безпека пароля користувача
ред.Словникова атака
ред.Найпростішою атакою щодо паролів, відмінною від атаки грубою силою, є їхній перебір за словником. Легко вгадувані паролі (123, admin) вважаються слабкими й вразливими. Паролі, які дуже важко або неможливо вгадати, вважаються більш стійкими. Дослідження показують, що близько 40 % всіх користувачів вибирають паролі, які легко вгадати автоматично[джерело?]. Найвідомішими інструментами для перебирання й перевірки стійкості паролів є програми John the Ripper та L0phtCrack.
Іноді радять замість звичних паролів використовувати парольні фрази[3] та інші методи контролю доступу[4]. Іншим заходом захисту є використання генераторів паролів — програм, які формують паролі з випадкових даних. Генератори паролів дозволяють генерувати паролі, які легко читаються, з придатним для запам'ятовування чергуванням голосних і приголосних.
Зберігання та використання у прикладних системах
ред.Зберігання паролів у прикладних системах (зокрема, в операційних системах) у відкритому вигляді є неприпустимим, оскільки у випадку зламу паролі усіх користувачів стають надбанням порушника[5].
Тому з 70-х років XX ст. в UNIX замість паролів зберігались геш-значення від них. У випадку, якщо порушник отримував доступ до [/etc/passwd файлу паролів], то для отримання оригінальних паролів він мав ще виконати атаку знаходження першовзору відносно геш-функції або ту ж саму словникову атаку. Однак, зазначений механізм не є захищеним проти атак з використанням так званих райдужних таблиць. Сучасні UNIX-подібні операційні системи для зберігання паролів використовують гешування з сіллю — деяким випадковим числом, яке зберігається у файлі паролів разом з геш-значенням[5].
Прикладом поганої реалізації зберігання та використання паролів є механізм, що використовувався в операційних системах Microsoft Windows версій до Windows NT. Перед перевіркою символи пароля користувача переводились у верхній регістр, що значно зменшувало ентропію[5].
Користувачі сучасних інформаційних систем вимушені запам'ятовувати багато різних паролів від різних систем. Наслідком є те, що багато користувачів використовують один і той же пароль від різних сервісів. Для розв'язання цієї проблеми використовуються менеджери паролів, що дозволяють зберігати усі паролі у єдиному місці у зашифрованому вигляді, та технології єдиного входу, що дозволяють автентифікуватись в одній системі та переходити в іншу без повторної автентифікації. Паролі повинні бути складними для того, щоб їх було неможливо вгадати.
Помилки при використанні паролів
ред.Тимчасом як паролі можуть бути безпечними, джерелом небезпеки є те, як користувачі поводяться з паролями[джерело?]:
- прості паролі — короткі, зі словами зі словників, без спільного використання символів різних типів (цифри, розділові знаки, літери у верхньому та нижньому регістрах) або такі, що легко вгадуються з інших причин;
- паролі, які легко можуть бути знайдені іншими — на наліпках на моніторах, у блокноті біля комп'ютера, у документі на комп'ютері, на смартфоні у вигляді відкритого тексту тощо;
- однаковий пароль — використання однакового пароля для багатьох сайтів, відсутність зміни паролів тощо;
- спільне використання паролів — користувачі розповідають іншим паролі, надсилають незашифровану електронну пошту з паролями тощо;
- входи до з адміністративними обліковими записами там, де повинні використовуватись обмежені (користувацькі) облікові записи або
- адміністратори, які дозволяють користувачам з однаковими ролями входити під єдиним паролем.
Для забезпечення відповідного рівня захищеності інформації слід уникати наведених практик.
Альтернативні механізми ідентифікації, автентифікації та розмежування доступу
ред.Альтернативою використанню паролів є використання біометричних механізмів ідентифікації, автентифікації та розмежування доступу. Біометричні характеристики важко втратити, на відміну від паролів, які легко забути. Однак у випадку компрометації пароль легко змінити, тоді як біометричні характеристики змінити важко або практично неможливо.
Див. також
ред.Примітки
ред.- ↑ «паро́ля», Правописний словник 1929р. (Г. Голоскевич). Російсько-українські словники (укр.). 27 жовтня 2009. Процитовано 26 лютого 2020.
- ↑ «пароль». Російсько-українські словники (укр.). 27 жовтня 2009. Процитовано 26 лютого 2020.
- ↑ Почему парольные фразы удобнее паролей. Архів оригіналу за 4 березня 2017. Процитовано 3 березня 2017.
- ↑ У нас проблема с паролем, или Что происходит сейчас в области идентификации. Архів оригіналу за 4 березня 2017. Процитовано 3 березня 2017.
- ↑ а б в Шнайер, Брюс (2000). Секреты и ложь. Безопасность данных в цифровом мире. Архів оригіналу за 2 липня 2017. Процитовано 14 травня 2017.
Посилання
ред.- Пароль [Архівовано 19 листопада 2016 у Wayback Machine.] // Юридична енциклопедія : [у 6 т.] / ред. кол.: Ю. С. Шемшученко (відп. ред.) [та ін.]. — К. : Українська енциклопедія ім. М. П. Бажана, 2002. — Т. 4 : Н — П. — 720 с. — ISBN 966-7492-04-4.
- Пароль [Архівовано 1 грудня 2016 у Wayback Machine.]/Академічний тлумачний словник (1970—1980)
- Anthony T. Why Passphrases Are More User-Friendly Than Passwords [Архівовано 4 березня 2017 у Wayback Machine.]/Smashing Magazine. Пер. з англ.: Почему парольные фразы удобнее паролей [Архівовано 4 березня 2017 у Wayback Machine.]
- Thomas D. The Current State Of Authentication: We Have A Password Problem [Архівовано 4 березня 2017 у Wayback Machine.]/Smashing Magazine. Пер. з англ.: У нас проблема с паролем, или Что происходит сейчас в области аутентификации [Архівовано 4 березня 2017 у Wayback Machine.]
Це незавершена стаття про інформаційні технології. Ви можете допомогти проєкту, виправивши або дописавши її. |
Це незавершена стаття про безпеку. Ви можете допомогти проєкту, виправивши або дописавши її. |