Краткий обзор еще нескольких довольно часто встречающихся методов.

Звонок администратору – злоумышленник выбирает из списка сотрудников того, кто не использовал пароль для входа в течение нескольких дней (отпуск, отгулы, командировка) и кого администратор не знает по голосу. Затем следует звонок с объяснением ситуации о забытом пароле, искренние извинения, просьба зачитать пароль, либо сменить его на новый. Больше чем в половине случаев просьба будет удовлетворена, а факт подмены будет замечен либо с первой неудачной попыткой зарегистрироваться истинного сотрудника, либо по произведенному злоумышленником ущербу.

Почти такая же схема, но в обратную сторону может быть разыграна злоумышленником в адрес сотрудника фирмы – звонок от администратора. В этом случае он представляется уже сотрудником службы информационной безопасности и просит назвать пароль либо из-за произошедшего сбоя в базе данных, либо якобы для подтверждения личности самого сотрудника по какой-либо причине (рассылка особо важных новостей), либо по поводу последнего подключения сотрудника к какому-либо информационному серверу внутри фирмы. Фантазия в этом случае может придумывать самые правдоподобные причины, по которым сотруднику "просто необходимо" вслух назвать пароль. Самое неприятное в этой схеме то, что если причина запроса пароля придумана, что называется "с умом", то сотрудник повторно позвонит в службу информационной безопасности только через неделю, месяц, если вообще это произойдет. Кроме того, данная схема может быть проведена и без телефонного звонка – по электронной почте, что неоднократно и исполнялось якобы от имени почтовых и Web-серверов в сети Интернет.

Оба данных метода относятся к группе "атака по социальной психологии" и могут принимать самые разные формы. Их профилактикой может быть только тщательное разъяснение всем сотрудникам, в особо важных случаях введение административных мер и особого регламента запроса и смены пароля.

Необходимо тщательно инструктировать сотрудников об опасности оставления рабочих станций, не закрытых паролем. В первую очередь это, конечно, относится к терминалам, работающим в публичных местах и офисах с более низким уровнем доступа к информации, однако, и при работе в помещениях с равным уровнем доступа не рекомендуется давать возможность сотрудникам работать за другими ЭВМ тем более в отсутствие владельца. В качестве программных профилактических мер используются экранные заставки с паролем, появляющиеся через 5-10 минут отсутствия рабочей активности, автоматическое отключение сервером клиента через такой же промежуток времени. От сотрудников должны требоваться разрегистрация как на серверах, так и на рабочих станциях при выключении ЭВМ, либо закрытие их паролем при оставлении без присмотра.

Длина пароля

При выборе пароля следует определить, каким должна быть его длина и стойкость к несанкционированному подбору. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система. В системах защиты информации определяют ожидаемое время раскрытия пароля или ожидаемое безопасное время Тб.

Ожидаемое безопасное время Тб - это полупроизведение числа возможных паролей и времени, необходимого на проверку каждого пароля из последовательности запросов.

Т_б = 0.5 * (А^s * E / R),

где R - скорость передачи символов в линии связи (символы/мин);

E - число символов в передаваемом сообщении;

S - длина пароля;

A - число символов в алфавите, из которых составляется пароль (26 - английский, 32 русский).

Пример: при R=600 (сим/мин), Е=6, S=6, А=26

Т_б = 0.5 * (26 ⁶ * 6 / 600) = 107 дней

Если после каждой неудачной попытки подбора предусматривается задержка в 10 секунд, безопасное время резко увеличивается.

Рассмотрим формулу Андерсона, в которую входит вероятность Р того, что данный пароль может быть раскрыт посторонним лицом за время М, в течении которого могут быть предприняты попытки ( в месяцах при работе по 24 час/сутки).

4,32 * 10⁴ * ( R * M / E * P) <= A^s

Если значения R, E, M, A фиксированы, то каждая длина пароля будет давать различную вероятность Р отгадывания пароля.

Пример: требуется определить длину пароля, чтобы вероятность P его отгадывания была не более 0,001 после трехмесячного систематического тестирования (M=3) для английского алфавита. Скорость передачи R=600 сим/мин, за одну попытку посылается E=20 символов:

4.32 * 10 ⁴ * 3 * 10³ * 600 / 20 <= 26^s или 3.888 *10⁹ <= 26^s

Для S=6: 26^s = 3.08 *10⁸, т.е. < 3.888*10⁹

Для S=7 26^s = 8.08 *10⁹, т.е. > 3 .888*10⁹

Следовательно, выбираем длину пароля 7 символов.

В настоящее время широко используются 8-10-ти символьные пароли, которые часто разбиваются на две части (пользователь-карточка).