Saugokis! Sužinosiu slaptažodį (1990)
2009-11-11 Žymos: Informacijos apsauga Paskelbta kategorijose LTSR Elektronika ir kompiuterija
Kolektyvinio naudojimo skaičiavimo mašinose nuo nesankcionuoto įėjimo į sistemą apsisaugoma slaptažodžių sistema. Ji neleidžia neteisėtiems vartotojams pasinaudoti svetimais failais arba resursais. Slaptažodį pasirenka pats vartotojas, jį žino tik jis bei sistemos administratorius. Kartais naudotojas jį pasako skyriaus administratoriui (tai ypač patogu tiems, kurie labai dažnai užmiršta savo slaptažodžius). Slaptažodžio pasirinkimas mažai ribojamas ir dažnai priklauso nuo centrinės mašinos. Paprastai slaptažodis – tai 6 ar 8 raidžių ir (arba) skaitmenų rinkinys.
Čia pateikiu vienos, mano manymu, tipiškos kolektyvinio naudojimo mašinos slaptažodžių statistinę analizę. Nenoriu kelti panikos (nes mašina netrukus bus demontuojama), todėl nenurodau, kur buvo atliekami tyrimai. Slaptažodžius nustačiau, naudodamasis programa, kurios idėja labai paprasta. Programa imituoja operacinę sistemą ir dialogo uždavinį taip, kad naudotojas to nė nepajunta. Kai jis, galvodamas, kad bendrauja su dialogo uždaviniu, praneša savo numerį ir slaptažodį, programa užsirašo šiuos duomenis ir iškviečia tikrąjį dialogo uždavinį. Vėliau, kai pabandžiau pagal aptiktus slaptažodžių pasirinkimo dėsningumus spėlioti, pavyko nustatyti dar nemažą grupę slaptažodžių. Čia turiu padaryti esminę statistiniam palyginimui pastabą. Skaitytojas turi suprasti, kad dalis slaptažodžių yra nustatyti, pasinaudojant jau tyrimo metu aptiktais dėsningumais, t. y., spėliojant slaptažodį. Todėl kai jis atspėtas, varianto pasitaikymo dažnis turi būti apskaičiuojamas, dalijant iš bendro vartotojų skaičiaus, o kai nustatytas su programa – dalijant iš žinomų slaptažodžių skaičiaus. Vienu ir kitu būdu gautų rezultatų patikimumas nėra vienodas. Atkreipiu jūsų dėmesį į tai! Deja, šiuo metu jau nebeturiu duomenų, kurie slaptažodžiai kokiu būdu buvo nustatyti.
Tirta BESM-6, valdoma DIS-PAKo, o dialoginė sistema – UPO. Prie mašinos prijungta per 30 galinių terminalų, bet savo tikslui galėjau panaudoti tik 7, esančius dviejuose skirtinguose pastatuose. Šioje dialoginėje sistemoje vartotojas identifikuojamas keturženkliu skaičiumi, o slaptažodis gali būti ne ilgesnis kaip šešiaženklis skaičius. Mašina aptarnauja 443 vartotojus. Naudodamasis programa, per du mėnesius nustačiau 134 slaptažodžius! Tai sudaro 31 % visų naudotojų. Pirmiausia krinta į akis tai, kad keli vartotojai slaptažodžių visai nenaudoja – tokių aptiktas šešetas, o tarp jų buvo ir vienas skyriaus administratorius. Jie pasitiki kitais vartotojais arba galbūt tiesiog dėl paprastumo aukoja savo failų ir resursų saugumą. Nors slaptažodis gali būti iš 6 skaitmenų, daugelis teikia pirmenybę keturženkliams – tokių net 103! Triženklių – 22, dviženklių – 2, šešiaženklis – 1, o vienaženklių ir penkiaženklių neradau. Pirmoje histogramoje nuoseklumo dėlei pateikti ir nulinio ilgio slaptažodžiai,- t. y. kai jų nėra.
Dauguma vartotojų slaptažodžius pasirenka neišradingai. Yra keletas tipiškų variantų. Dažnai (16%) slaptažodis sutampa su vartotojo mašininiu numeriu – net 72 kartus. Kartais slaptažodis sudaromas iš keturių vienodų skaitmenų (1111, 2222 ir t. t.). Tokių aptikau 14, tarp jų pirmauja 1111 – 7. Likę pasitaiko vieną du kartus. Kita grupė – skaičiai tarp 1900 ir 2000. Spėju, kad tai 20 a. data, kokiu nors būdu susijusi su vartotojo gyvenimu arba visuotine istorija. Jų buvo 6. Minėtų variantų pasirinkimo motyvas, be abejo, yra tas, kad juos lengva prisiminti. Vienodų skaitmenų atveju, be to, galbūt įtakos turi tai, kad tokį slaptažodį patogu surinkti klaviatūroje. Kitų patogių surinkti slaptažodžių grupė labai didelė. Nelengva rasti bendrą formalų kriterijų. Vienas jų – skaičių patogu atspausdinti ar ne. Todėl į šią grupę įtraukiau tik tuos, kurių rinkimo klavišai yra greta. Tai 1,2; 2, 3; 3, 4. Tokie slaptažodžiai yra, pavyzdžiui, 3232, 3231, 2211, 5656 ir pan. Jų aptikau 13. Atmetus apžvelgtus slaptažodžius, lieka dar 39. Spėju, kad psichologiniai jų pasirinkimo motyvai labai paprasti – skaičius gali būti vartotojo automobilio registracijos numeris, namo ir buto numeris, telefono numerio skaitmenys ir pan. Tačiau jie labai sunkiai identifikuojami ir jų atskirai nesisteminau.
Iš padarytos apžvalgos peršasi išvada, kad aptariama dialoginė sistema, kurioje vartotojo slaptažodis yra šešiaženklis skaičius, nėra saugi. Vos po kelių spėliojimų, naudojantis pateiktomis histogramomis, tikimybė atspėti slaptažodį gana didelė. Jį sudarant iš raidžių, yra daugiau galimybių pasirinkti unikalesnį slaptažodį, vartotojui mielą tekstą, ir tuomet jį atspėti nepaprastai sunku.
Petras Arolis
Žurnalas „Mokslas ir Technika”
199o, Nr. 3
Kiti kategorijos įrašai:
- Elektroniniai laiko matavimo prietaisai (1985) 2009-12-03 0
- Emocijos ir ESM (1986) 2009-11-30 0
- Automobilių sargai (1988) 2009-11-26 0
- Naujo tipo bangos (1986) 2009-11-25 0
Vienas komentaras
scania - 2009-11-11
Ir straipsnis nepaseno, ir žmonės nepasikeitė