Megosztás a következőn keresztül:

Fenyegetéscsökkentési technikák

  • Cikk

Számos veszélyelhárítási módszer érhető el, amelyekkel biztonságossá teheti a jelszavakat. Ezeket a technikákat az alábbi négy elsődleges technológia közül egy vagy több használatával valósítjuk meg.

Technológia Leírás
CryptoAPI A CryptoAPI olyan függvényeket biztosít, amelyek segítségével titkosítási rutinokat alkalmazhat a célentitásokra. A CryptoAPI képes kivonatokat, kivonatokat, titkosítást és visszafejtést biztosítani az elsődleges funkciók említése érdekében. A CryptoAPI más funkciókkal is rendelkezik. A titkosításról és a CryptoAPI-ról a Titkosítási alapismeretekcímű témakörben olvashat.
Hozzáférés-vezérlési listák A hozzáférés-vezérlési (ACL) egy objektumra vonatkozó biztonsági védelem listája. Az objektum lehet fájl, folyamat, esemény vagy bármi más, amely rendelkezik biztonsági leíróval. További információ az ACL-ről: Hozzáférés-vezérlési listák (ACL).
Adatvédelmi API Az adatvédelmi API (DPAPI) a következő négy függvényt biztosítja a bizalmas adatok titkosításához és visszafejtéséhez: CryptProtectData, CryptUnprotectData, CryptProtectMemoryés CryptUnprotectMemory.
Tárolt felhasználónevek és jelszavak A tárfunkciók megkönnyítik, konzisztensebbé és biztonságosabbá teszik a felhasználók jelszavait és egyéb hitelesítő adatait, például a titkos kulcsokat. További információ erről a funkcióról: CredUIPromptForCredentials.

 

Ezek a technológiák nem minden operációs rendszeren érhetők el. Ezért a biztonság javításának mértéke attól függ, hogy milyen operációs rendszerekről van szó. Az alábbi technológiák érhetők el az egyes operációs rendszerekben.

Operációs rendszer Technológia
Windows Server 2003 és Windows XP
  • CryptoAPI
  • Hozzáférés-vezérlési listák
  • Adatvédelmi API
  • Tárolt felhasználónevek és jelszavak
Windows 2000

 

A következő fenyegetéscsökkentési technikák a négy technológia közül legalább egyet használnak. Az operációs rendszerben nem szereplő technológiák használatát igénylő technikák nem használhatók.

Jelszavak lekérése a felhasználótól

Ha engedélyezi a felhasználónak a jelszó beállítását, kényszerítse az erős jelszavak használatát. Megkövetelheti például, hogy a jelszavak legalább nyolc karakter hosszúságúak legyenek. A jelszavaknak nagy- és kisbetűket, számokat és egyéb billentyűzetkaraktereket is tartalmazniuk kell, például a dollárjelet ($), a felkiáltójelet (!) vagy a nagyobbat (>).

Miután beszerezte a jelszót, használja gyorsan (a lehető legkevesebb kódot használva), majd törölje a jelszó összes elemet. Ez minimálisra csökkenti a betolakodó számára a jelszó "csapdába ejtéséhez" rendelkezésre álló időt. Az ezzel a technikával való kompromisszum az a gyakoriság, amellyel a jelszót le kell kérni a felhasználótól; az alapelvet azonban lehetőség szerint alkalmazni kell. A jelszavak helyes lekéréséről további információt A felhasználó hitelesítő adatainak kérésecímű témakörben talál.

Kerülje a "jelszó megjegyzése" felhasználói felületi beállítások megadását. A felhasználók gyakran igénylik ezt a lehetőséget. Ha meg kell adnia, akkor legalább győződjön meg arról, hogy a jelszó biztonságosan lesz mentve. További információt a jelen témakör későbbi, Jelszavak tárolása című szakaszában talál.

Jelszóbejegyzési próbálkozások korlátozása. Bizonyos számú sikertelen próbálkozás után zárja ki a felhasználót egy bizonyos ideig. Igény szerint hosszabbíthatja meg a válaszidőt az egyes próbálkozások esetében. Ez a technika egy találgatásos támadás legyőzésére irányul.

Jelszavak tárolása

Soha ne tároljon jelszavakat egyszerű szöveges (titkosítatlan) formátumban. A jelszavak titkosítása jelentősen növeli a biztonságot. A titkosított jelszavak tárolásáról további információt a CryptProtectDatacímű témakörben talál. A jelszavak memóriabeli titkosításáról további információt a CryptProtectMemorycímű témakörben talál. A jelszavakat a lehető legkevesebb helyen tárolja. Minél több helyen tárolja a rendszer a jelszót, annál nagyobb az esélye annak, hogy egy betolakodó megtalálja. Soha ne tároljon jelszavakat weblapon vagy webes fájlban. A jelszavak weblapon vagy webes fájlban való tárolása lehetővé teszi a jelszavak könnyű feltörését.

Miután titkosította és tárolta a jelszót, használjon biztonságos ACL-eket a fájlhoz való hozzáférés korlátozásához. Másik lehetőségként a jelszavakat és a titkosítási kulcsokat cserélhető eszközökön is tárolhatja. A jelszavak és a titkosítási kulcsok cserélhető adathordozókon, például intelligens kártyán való tárolásával biztonságosabb rendszer hozható létre. Miután lekért egy jelszót egy adott munkamenethez, a kártya eltávolítható, így megszűnik annak a lehetősége, hogy a betolakodó hozzáférhessen.