Один из методов замены стандартных символьных паролей В современном мире все больше данных хранится в электронном виде. Объемы этих данных очень велики, и для их хранения пользователям и компаниям приходится покупать больше жестких дисков, нанимать администраторов для обеспечения надежности и поддержания такой системы в работоспособном состоянии. Все это требует высокого уровня подготовки специалистов и высоких материальных затрат. К тому же в последнее время участились случаи взлома крупнейших сайтов и воровство персональных и секретных данных. Обычные символьные пароли очень часто подбирают мошенники. В наше время даже 14-значный пароль можно подобрать за 5 секунд. Разрабатываемый мной метод позволит сократить расходы на содержание вычислительной техники и позволит надежно сохранить данные пользователя и компаний. В настоящее время 99,9% пользователей интернета имеют мобильный телефон. Большинство из них подключены к интернету по Wi-Fi или сотовой связи. Телефон и его номер – это персонализированное устройство, т.е. одним телефоном и номером пользуется только один человек. Исходя из этих данный я буду использовать его в своем методе замены стандартного символьного пароля. Основная идея моего метода состоит не в том, чтобы полностью избавиться от пароля, т.к. это сделать невозможно – вся криптография построена на использовании секретного слова или фразы, а в том, чтобы увеличить длину и сложность стандартного пароля пользователя и переложить роль хранилища пароля на мобильный телефон. Именно простота пароля и малая его длина и позволяет мошенникам получать доступ к секретным данным, а современные вычислительные системы делают этот процесс очень быстрым. Самый простой способ усилить пароль это во много раз увеличить его длину, а также расширить набор символов, используемых в пароле. Как уже было сказано выше, такой пароль не должен запоминать пользователь, поэтому мы будем его генерировать случайным образом. Во время регистрации пользователя, ему необходимо будет ввести номер мобильного телефона, либо e-mail для подтверждения свой личности. После подтверждения личности, пользователь должен установить специальную программу на свой мобильный телефон, которая сгенерирует новый случайный одноразовый пароль, сохранит его и отправит на веб-сервер. После каждого успешного входа будет генерироваться новый пароль. Для входа пользователю необходимо будет подтвердить вход в этой специальной программе, дальше сайт сверит пароли на веб-сервере и сохраненный в мобильном телефоне и, если они совпадают, разрешит пользователю вход в нужное ему сайт. Для увеличения степени безопасности можно разделить пароль на 2 части – это поможет в случае утери или выхода из строя мобильного телефона пользователя. Схема работы представлена на рисунке 1. БД Генерирует пару ключей (открытый и закрытый) для шифрования передаваемых данных методом RSA 8. Часть пароля и часть нового пароля Сервер программы или сайта Компьютер пользователя 7. ПИН-код 6. Запрос на получение пароля 11. Входит в программу или на сайт, расшифровав пароль закрытым ключом, после чего меняет его на новый 1. Вводит ИД устройства в программе или на сайте 0. Идентификатор устройства Пользователь Мобильное устройство пользователя HTTPS 9. Зашифрованные открытым ключом часть пароля и часть нового пароля HTTPS 5. Передает открытый ключ и место куда надо войти 2. Передает ИД устройства, открытый ключ и место куда надо войти Нужен для связи устройства и программы и хранения части пароля пользователя, а также для проверки адреса входа на фишинг 10. Зашифрованный открытым ключом Сервер для пароль и новый пароль, соединенный нового метода с оставшейся частью пароля HTTPS HTTPS 4. Устройство существует 3. Проверяет существования устройства по ИД Сохраняет факт запроса в историю Система проверки целостности базы БД Резервная копия Рисунок 1. Схема работы метода Для пользователя нужно лишь 2 раза кликнуть мышкой, т.е. очень просто; мобильный телефон есть у всех, т.е. не требуется покупка дополнительного оборудования; высокая криптостойкость обеспечивается современными, уже зарекомендовавшими себя методами с очень сложным одноразовым паролем. Рассмотрим различные сферы применения метода замены стандартных символьных паролей: 1. Подтверждение входа на сайт Большинство современных сайтов имеют личный кабинет пользователя. Попасть в который можно только после регистрации на этом же сайте или на других сайтах, предоставляющих OpenID [1]. В любом случае, пользователю придется ввести логин (обычно это email) и придумать пароль. Мой метод замены стандартных символьных паролей, позволит пользователю не придумывать новый пароль, а сгенерировать новый стойкий и надежный к взлому пароль. 2. Доступ в Windows, Linux и другие операционные системы Современные операционные системы уже имеют возможность входа пользователя через интернет (например, Windows 8), поэтому вход Windows уже не отличается от случая входа на сайт. В связи с этим, мой метод замены стандартных символьных паролей может использоваться и в этой направлении. 3. Подтверждение полномочий В корпоративных системах существует проблема потери доступа к важным данным при увольнении сотрудника, отвечающего за безопасное хранение этих данных (администратор). Для решения этой проблемы можно немного модифицировать метод замены символьных паролей, так что бы директор компании смог подтверждать и снимать полномочия управления важными данными с администраторов. При приеме на работу администратора, директор через специальную программу генерирует временный и сложный пароль для администратора, который сможет в будущем удалить, что бы запретить доступ. 4. Идентификация личности и цифровая подпись Вместе с генерацией нового сложного и надежного пароля можно использовать открытый и закрытый ключи, выданные специальным учреждением, для подписи запросов с мобильного устройства. Цифровая подпись в настоящее время может являться гарантом того, что операции подписанные ей, выполняются именно от того пользователя, которому она была выдана, т.е. идентифицировать личность её владельца. Такой уровень надежности нужен для получения банковских или государственных услуг. 5. Передача различной информации для совершения операции При совершении некоторых операций (например, покупке товара через интернет) пользователю необходимо указывать некоторые данные (например, ФИО и адрес доставки), которые меняются редко. Эти данные могут передаваться, с разрешения пользователя, на сайты, в которые он заходит, используя метод замены стандартных символьных паролей, и пользователю не придется вводить их вновь и вновь на различных сайтах. 6. Прием оплаты и привязанные банковские карты Продавец может установить на свое мобильное устройство специальную программу, которая будут отправлять запросы на оплату покупателям, а покупатели их подтверждать с помощью метода замены стандартных символьных паролей, генерируя надежный и сложный пароль для осуществления операции со своими картами. Карты они могут привязать к своему номер телефона или другому идентификатору. Аналогичным образом будет работать интернет-магазин, отправляя запросы на мобильные устройства своих покупателей для подтверждения заказа и его оплаты. 7. Управление физическими предметами Последнее время участились случаи подключения обычной бытовой техники к интернету. Например, холодильник, чайник и другие. Такую же технологию можно установить и на входную дверь или в машину. Для того что бы открыть дверь или завести машину, она будет отправлять запрос на мобильное устройство владельца для подтверждения на выполнении той или иной операции. Итак, этот метод замены стандартных символьных паролей прост в использовании и может быть применен в различных сферах услуг. А главное он значительно повысит безопасность хранения персональных или других данных пользователя при минимальных затратах. Автор: Шамов Андрей