Недостатки использования многоразовых паролей

Насколько бы не был пароль засекреченным, узнать его иногда не слишком трудно. Злоумышленник может сделать это, используя различные способы атак, основные из которых приведены ниже:

1. Кража парольного файла. Злоумышленник может прочитать пароли пользователя из

парольного файла или резервной копии.

2. Атака со словарем. Злоумышленник, перебирая пароли, производит в (копии) файле паролей поиск, используя слова из большого заранее подготовленного им словаря. Злоумышленник зашифровывает каждое пробное значение с помощью того же алгоритма, что и программа регистрации.

3. Угадываение пароля. Исходя из знаний личных данных жертвы, злоумышленник пытается войти в систему с помощью имени пользователя жертвы и одного или нескольких паролей, которые она могла бы использовать

4. Социотехника. Объектами этой атаки могут быть пользователи или администраторы. В первом случае злоумышленник представляется администратором и вынуждает пользователя или открыть свой пароль, или сменить его на указанный им пароль. Во втором случае злоумышленник представляется законным пользователем и просит администратора заменить пароль для данного пользователя.

5. Принуждение. Для того чтобы заставить пользователя открыть свой пароль, злоумышленник использует угрозы или физическое принуждение.

6. Подглядывание из-за плеча. Расположенный рядом злоумышленник смотрит за тем, какт пользователь вводит свой пароль.

7. Троянский конь. Злоумышленник скрытно устанавливает программное обеспечение,

имитирующее обычную регистрационную программу, но собирающее имена пользователей и пароли при попытках пользователей войти в систему. Также злоумышленник может скрытно установить на компьютер пользователя аппаратное средство — sniffer клавиатуры, собирающее информацию, которую вводит пользователь при входе в систему.

8. Трассировка памяти. Злоумышленник использует программу для копирования пароля

пользователя из буфера клавиатуры.

9. Отслеживание нажатия клавиш. Для предотвращения использования компьютеров не по назначению некоторые организации используют программное обеспечение, следящее за нажатием клавиш. Злоумышленник может для получения паролей просматривать журналы соответствующей программы.

10. Регистрация излучения. Существуют методы, с помощью которых злоумышленник может перехватывать информацию с монитора путём регистрации излучения, исходящего от электронно-лучевой трубки. Кроме того, существуют способы регистрации не только

видеосигналов.

11. Анализ сетевого трафика. Злоумышленник анализирует сетевой трафик, передаваемый от клиента к серверу, для извлечения из него имен пользователей и их паролей.

12. Атака на "золотой пароль". Злоумышленник ищет пароли пользователя, используемые им в различных системах — домашняя почта, игровые сервера и т.п. Есть большая вероятность того, что пользователь использует один и тот же пароль во всех системах.

Для каждой из этих атак есть методы защиты. Но большинство из этих защит обладают различными недостатками — некоторые виды защит достаточно дороги (к примеру, борьба с побочным электромагнитным излучением и наводками оборудования), другие создают неудобства для пользователей (правила формирования пароля, использование длинного пароля). Один из вариантов защит от различных атак на аутентификацию по паролю — это переход на аутентификацию с использованием одноразовых паролей.