Вернуться на сайт Gosecure Быстрый поиск     

GoSecure

Форум поддержки пользователей

Вы не зашли.

#11 13-09-2007 09:25:41

Adviser
Участник
Зарегистрирован: 12-09-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

Относительно надежности парольной авторизации пользователей советую почитать эту статью:
https://www.pgpru.com/biblioteka/statji … maparolejj

Из нее следует, что надежность пароля не всегда прямо пропорциональна его длине.
Единственный способ обезопасить пользователя от рассмотренных в статье способов взлома паролей - это исключить возможность их автономного подбора. Например путем внедрения в приложение авторизации по смарт-картам или электронному ключу.

Неактивен

 

#12 14-09-2007 08:57:26

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Прочитал статью. Причем не заметил ни одной практической рекомендации. Где-то что-то как-то можно сломать причем приводятся даже процентные соотношения, что уже взломано. Мы же будем более последовательны в утверждениях. Использовать PRTK и прочие приемы в предзагрузочной аутентификации весьма проблематично по той простой причине, что операционной системы нет, как нет и тех файлов, на базе которых можно организовать атаку. Да и с незагрузочными дисками ситуация не очень "приятная". У Вас зашифрован не отдельный файл, а целый диск. А если принять во внимание, что проверка правильности паролей никак не касается зашифрованного диска? Как проверять, что и с чем сверять и на основе чего делать выводы.

Еще хотелось бы отметить, что за сложность пароля в ответе сам пользователь программы. Во время задания пароля расчитывается его сложность. Сложность пароля оценивается по встроеному словарю, применяя современные алгоритмы нечетких сравнений строк.

Одно можно сказать наверняка - атака по словарю далека от успеха взлома паролей в программе Secure Disk.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

#13 14-09-2007 09:49:44

Adviser
Участник
Зарегистрирован: 12-09-2007
Сообщений: 8
Профиль

Re: Ограничения в программе

Boris написал:

Использовать PRTK и прочие приемы в предзагрузочной аутентификации весьма проблематично по той простой причине, что операционной системы нет, как нет и тех файлов, на базе которых можно организовать атаку. Да и с незагрузочными дисками ситуация не очень "приятная". У Вас зашифрован не отдельный файл, а целый диск.

Не представляет большой проблемы создание программы подбора паролей, учитывающей алгоритм авторизации именно Secure Disk. Будьте уверены, что если Secure Disk достигнет определенного порога популярности, появление такой программы не заставит себя долго ждать несмотря на закрытые исходники. А дальше вообще все просто - зашифрованный диск подключается к другому компьютеру с этой программой и запускается процесс перебора паролей по словарю или полным перебором. Благо любой чисто программный алгоритм авторизации не исключает возможность автономного перебора паролей. Единственное чем здесь можно осложнить жизнь злоумышленнику - реализовать в алгоритме замедление перебора паролей, как описано в вышеназванной статье.


Boris написал:

А если принять во внимание, что проверка правильности паролей никак не касается зашифрованного диска?

То есть? Ведь пароль является ключем для шифрования диска (по крайней мере так утверждается разработчиками). Пусть не в буквальном виде, а через хеш-функцию, но тем не менее связь между шифром и паролем все равно есть. И эта связь вполне достаточна для организации атак линейными методами. Обладать какой то частью зашифрованной информации необходимо лишь для нелинейного криптоанализа. А для линейных методов достаточно изучить механизм авторизации.

Boris написал:

Еще хотелось бы отметить, что за сложность пароля в ответе сам пользователь программы. Во время задания пароля расчитывается его сложность. Сложность пароля оценивается по встроеному словарю, применяя современные алгоритмы нечетких сравнений строк.

Общеизвестно, что сложный пароль (а тем более два сложных пароля), который к тому же регулярно меняется, пользователь никогда не сможет запомнить. И обязательно его запишет на каком нибудь носителе. А это в плане безопасности едва ли лучше чем простой пароль. Поэтому в данном случае перекладывать всю ответственность на пользователя несправедливо.

Неактивен

 

#14 14-09-2007 11:32:45

Boris
Administrator
Зарегистрирован: 02-04-2007
Сообщений: 232
Профиль

Re: Ограничения в программе

Что Вы хотите выяснить?

Мы не станем описывать способы и алгоритмы связанные с безопасностью в программе. Мы знакомы с автором приведенной Вами статьи и другими его публикациями (в частности "Практическая криптография"). Мы изучали последние публикации в этой области. Если у Вас нет практических результатов по этой теме, то считаю тему закрытой, иначе высказывания типа "Не представляет большой проблемы создание программы подбора паролей ..." считаю ничем не подкрепленными, а значит голословными.

Не вводите в заблуждение читателей форума.


С уважением, служба поддержки GoSecure.
support@gosecure.ru

Неактивен

 

Board footer

Powered by PunBB 1.2.16

[ Generated in 0.036 seconds, 9 queries executed ]

© Copyright GoSecure, 2007-2008. All rights reserved.
Использование материалов этого сайта возможно только с согласия его владельцев.
Rambler's Top100