Анализ свойств и характеристик паролей для аппаратного менеджера на основе микроконтроллера arduino

DOI:

Актуальность темы

На сегодняшний день использование паролей является одним из самых популярных способов аутентификации пользователей в интернете. Из-за способов хранения паролей, разработчики вынуждены накладывать ограничения на то, какие пароли безопаснее использовать. Так, например, чаще всего пароль должен содержать не менее 8 символов, иметь буквы разных регистров, содержать специальные символы и т. д. Можно констатировать, что со временем, эти ограничения только усиливаются, а это в свою очередь усложняет выбор безопасного и одновременно легко запоминаемого пароля. Так, например, наиболее безопасный пароль будет содержать 128 символов с максимальной энтропией.

Анализ паролей, используемых для аутентификации

Сложность пароля – мера оценки времени, которое необходимо затратить на угадывание пароля или подбор каким-либо методом, например, методом полного перебора. Оценка того, как много попыток (времени) в среднем потребуется взломщику для угадывания пароля. Другое определение термина – функция от длины пароля, его запутанности и непредсказуемости.

С точки зрения взлома методом полного перебора (brute-force attack) устойчивость пароля к хакерским атакам сильно зависит как от его длины, так и от используемого набора знаков. Энтропия пароля (сложность пароля, измеряемая в битах), сгенерированного случайным образом, рассчитывается по формуле [1]:

ln N

H — L--- ln2 ,

(1.1)

где L – набор символов в пароле; N – количество символов в используемом алфавите; ln – натуральный логарифм, то есть логарифм по основанию е = 2,71828.

Энтропия пароля, сгенерированного случайным образом, может изменяться с учетом используемого набора символов.

Рост общей энтропии пароля, а, следовательно, и увеличение общего количества возможных комбинаций, используемых при его составлении, зависит как от длины пароля, так и от доступного набора символов [2]. При этом общее количество возможных комбинаций пароля рассчитывается по формуле:

C — L N .                (1.2)

Пользователя все-таки больше интересует количество возможных комбинаций при более приемлемой длине пароля в диапазоне символов, которые приведены в таблице. При этом следует заметить, что уже при длине пароля в четыре знака количество возможных комбинаций для пароля, составленного из арабских цифр, латинского алфавита с регистром и со специальными символами, количество возможных комбинаций в 8 145,1 раза выше, чем для пароля, составленного только из арабских цифр. В то же время при длине пароля в 10 символов вышеуказанное превышение уже достигает 5 987 369 392,4 раза или 5,987 x 109 раза.

Для того чтобы создать максимально безопасный пароль, нужно определить максимально возможную длину паролей, которые можно использовать на разных ресурсах и выбрать такую, которая будет удовлетворять выбранные критерии [4]. При анализе сайтов были выявлены такие ограничения [3]:

– использование только латинских символов;

– начало и конец пароля должен состоять из буквы;

– использование только букв (A–Z и а–z) и цифр (0–9);

– использование специальных символов: !@#$%^&*()–_+=;:,./?\|‘[]{};

– длина пароля не должна быть более 30 символов.

Алгоритм работы устройства

Устройство состоит из таких элементов как: выделенная память, USB, блок ввода

Таблица

Рост количества возможных комбинаций пароля в зависимости от его длины

Количество символов в пароле, в ед. Арабские цифры Латинский алфавит без регистра Арабские цифры + латинский алфавит без регистра Латинский алфавит с регистром Арабские цифры + латинский алфавит с регистром Арабские цифры + латинский алфавит с регистром + спец. символы 4 10 000 456 976 1 679 616 7 311 616 14 776 336 81 450 625 5 100 000 11 881 376 60466176 3,8∙108 9,16∙108 7,738∙109 6 1 000 000 3,089∙108 2,177∙109 1,97∙ 1010 5,680∙1010 7,351∙1011 7 10 000 000 8,032∙109 7,836∙1010 1,028∙ 1012 3,522∙1012 6,983∙1013 8 100 000 000 2,088∙1011 2,821∙1012 5,346∙ 1013 2,183∙1014 6,634∙ 1015 9 1 000 000 000 5,430∙1012 1,016∙1014 2,780∙ 1015 1,354∙1016 6,302∙1017 10 1,000∙1010 1,412∙1014 3,656∙1015 1,446∙ 1017 8,393∙1017 5,987∙1019 11 - 3,670∙1015 1,316∙1017 7,517∙ 1018 5,204∙1019 5,688∙1021 12 - 9,543∙1016 4,738∙ 1018 3,909∙ 1020 3,226∙1021 5,404∙ 1023 13 - 2,481∙1018 1,706∙1020 2,033∙ 1022 2,000∙1023 5,133∙1025 14 - 6,451∙1019 6,141∙1021 1,057∙ 1024 1,240∙1025 4,877∙1027 15 - 1,677∙1021 2,211∙1023 5,496∙ 1025 7,689∙1026 4,633∙1029 данных, при подключении к ПК устройство определяется как HID-клавиатура, что позволяет вводить данные через блок ввода данных [5; 6].

Устройство работает по алгоритму, приведенному на рисунке.

Вначале, необходимо активировать устройство вводом PIN-кода, который представляет собой комбинацию клавиш, на клавиатуре, состоящую из 7 символов. При правильном вводе PIN-кода устройство будет активировано и затем можно будет им воспользоваться. Если PIN-код был введен неверно, то у пользователя будет еще 10 попыток, после чего устройство заблокируется на 5 минут. После активации устройства можно воспользоваться функциями создания пароля или ввода уже сохраненного пароля на устройстве.

Заключение

Таким образом, пароль, сгенерированный случайным образом имеет большую энтропию, чем пароль, составленный пользователем. В алгоритме работы устройства реализованы функции генерации пароля из допустимых характеристик и максимальной энтро- пии, хранение пароля на устройстве, улучшение безопасности путем подтверждения действий, считывание пароля из устройства в строку ввода, а также используется защита PIN-кодом.