РЕКОМЕНДАЦІЇ ЩОДО ВИБОРУ СПОСОБУ БЕЗПЕЧНОГО ЗБЕРІГАННЯ ПАРОЛІВ

Олександр Махович; Роман Миколайчук; Віра Миколайчук

doi:10.17721/ISTS.2020.4.48-52

Автор(и)

Олександр Махович Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0002-4684-9881
Роман Миколайчук Київський національний університет імені Тараса Шевченка Автор https://orcid.org/0000-0001-5349-4487
Віра Миколайчук Державний університет телекомунікацій Автор https://orcid.org/0000-0002-2532-5771

DOI:

https://doi.org/10.17721/ISTS.2020.4.48-52

Ключові слова:

захист інформації, автентифікація користувача, шифрування, алгоритми обчислення хешкоду, обчислювальний експеримент

Анотація

Використання паролів залишається найпоширенішим способом автентифікації користувачів для різного роду інформаційних систем. У зв'язку із цим виникає задача забезпечення безпеки зберігання інформації, що стосується даних автентифікації користувачів, та її захисту від несанкціонованого доступу. На практиці набули широкого розповсюдження різноманітні алгоритми безпечного зберігання паролів. Взаємосуперечні вимоги до таких алгоритмів безпечного зберігання паролів, які з одного боку мають бути достатньо складни ми для протидії різноманітним атакам, а з іншого – простими для забезпечення швидкодії інформаційної сис теми – перебору, особливо враховуючи те, що обчислювальна потужність центральних і графічних процесорів постійно зростає. Тому виникає потреба мати можливість змінювати складність обчислення хеш-коду, а отже й обсяг обчислень і час так, щоб значно ускладнити здійснення атаки, але не спричиняти дискомфорту кінцевому користувачу через затримку перевірки достовірності пароля. Серед відомих способів безпечного зберігання паролів розглянуто шифрування паролів, використання хеш-функції у класичному варіанті, а також із додаванням солі та застосуванням ітерацій для обчислення хеш-коду. У роботі проведено порівняльний ана ліз наведених способів, установлено їхні переваги й недоліки, окреслено доцільні галузі застосування кожного способу, розроблено відповідні рекомендації. Для проведення обчислювального експерименту використовували ся засоби платформи Microsoft .NET Core 3.1, що дало змогу встановити часові показники роботи алгоритму отримання хеш-коду залежно від установлених параметрів алгоритму. Отримані за результатами експери менту дані можуть бути використані для вибору способу безпечного зберігання паролів.

Завантажити

Дані для завантаження поки недоступні.

Посилання

Н. Смарт. Криптография, Техносфера, Москва, 2005, 528 с.

Stephen Haunts, Applied Cryptography in .NET and Azure Key Vault. A Practical Guide to Encryption in .NET and .NET Core, Apress, Berkeley, CA, 2019, 228 p.

Microsoft documentation, [Online]. Available: https://docs.microsoft.com/en-us/dotnet/api/system.security.cryptography.hashalgorithmname?view=netcore-3.1.

Salted Password Hashing – Doing it Right, [Online]. Available: https://crackstation.net/hashing-security.htm.

Yasser M. Alginahi, Muhammad Nomani Kabir, Authentication Technologies for Cloud Computing, IoT and Big Data, The Institution of Engineering and Technology, London, UK, 2019, 354 p.

RFC2898 PKCS #5: Password-Based Cryptography Specification, Version 2.0, [Online]. Available: https://tools.ietf.org/html/rfc2898.