Парольний захист

Парольний захист

Лекція 3.Методи та засоби захисту ПЗ

Парольний захист

1. Особливості парольного захисту.2. Злам ОС типу Windows.3. Ідентифікація та аутентифікація

користувачів

Тема 3. Парольний захист

1. Особливості парольного захисту

Парольний захист : основи

Пароль - це є кодова інформація в будь - якому вигляді (цифровому, словесному, електронному) , яка слугує ключем до входу в систему різної складності. За степенем складності будови та області застосування паролі поділяються на прості, складно-комбіновані, добрі та погані. Прості паролі є словесно - цифрові. Приклад: - ф121а. Вони використовуються для входу найчастіше в Інтернет ресурси - пошту електрону, адміністративні панелі сайтів , смс систем і т.д. Складно - комбіновані паролі можуть використовуватися для входу до пульту управління ядерними реакторами та захисними сучасними дверима в банківське сховище. В цьому випадку може використовуватись двохступиневий код паролю. Пароль (фр. parole — слово) — це слово, яке складається з набору символів, призначених для захисту чогось. Паролі часто використовуються для захисту інформації від несанкціонованого доступу. У більшості обчислювальних систем комбінація : «ім'я користувача — пароль» використовується для посвідчення користувача.

Вимоги до паролів (ПЗ, ОС)

довжина пароля повинна складати не менше 10 символів;в паролі повинні зустрічатися великі і маленькі букви, цифри та спецсимволи;час життя пароля має становити не більше 42 днів;паролі не повинні повторюватися.

Гірші паролі 2011 року

1. password2. 1234563.123456784. qwerty5. abc1236. monkey7. 12345678. letmein9. trustno110. dragon11. baseball12. 11111113. iloveyou14. master15. sunshine

Що таке парольний взломщик?

Найбільш ефективним є метод злому парольного захисту операційної системи, при якому атаці піддається системний  файл, що містить інформацію про легальні користувачів і їх паролі.У ряді випадків зловмисникові вдається шляхом різних маніпуляцій отримати в своє розпорядження файл з іменами користувачів і їх зашифрованими паролями.І тоді йому на допомогу приходять так звані парольні зломщики - спеціалізовані програми, які служать для злому паролів операційних систем

Як працює парольний взломщик?

Криптографічні алгоритми, що використовуються для шифрування паролів користувачів в сучасних ОС, використовують необоротне шифрування, що  забезпечує неможливість використання ефективного алгоритму злому, кращого за перебір  можливих варіантів.Парольні взломщики шифрують всі паролі з використанням того ж самого криптографічного алгоритму, який застосовується для їх засекречування в ОС.Даний спосіб дозволяє зламати всі паролі, якщо відомо їх подання у зашифрованомувигляді, і вони містять тільки символи з даного набору.

Як працює парольний взломщик: стандартні словники?

Для більш ефективного підбору паролів зломщики використовують спеціальні словники, які представляють собою заздалегідь сформований список слів, найбільш часто використовуваних на практиці як паролі. (Великий набір словників можна знайти на сайті http://www.password.ru)До кожного слова зі словника парольний зломщик застосовує одне або декілька правил:•виконується поперемінне зміна літерного регістра, в якому набрано слово;•порядок проходження букв у слові змінюється на зворотний;•в початок і в кінець кожного слова приписується цифра 1;•деякі букви змінюються на близькі по зображенню цифри. У результаті, наприклад, зі слова password виходить pa55w0rd).

Тема 1. Парольний захист

2. Злам ОС типу Windows

База даних реєстраційних даних користувачів База даних SAM (Security Account Management

Database) являє собою один з розділів (hive) системного реєстру (registry) Windows 2000/XP/2003. Цей розділ належить до гілки (subtree) HKEY_LOCAL_MACHINE і називається SAM.

Розташовується в каталозі \ winnt_root \ System32 \ Config в файлі SAM.

Змінювати записи, що зберігаються в базі даних SAM, за допомогою програм, які безпосередньо редагують реєстр Windows можна, тому що доступ до бази даних SAM заборонений для всіх без винятку категорій користувачів Windows XP/2003.

Зберігання паролей користувача У базі даних SAM кожен пароль користувача

представлений у вигляді двох 16-байтових послідовностей, отриманих різними методами (Windows 2000/XP/2003 і LAN).

У методах ОС Windows 2000/XP/2003 рядок символів пароля користувача хешується за допомогою функції MD4. У результаті на виході виходить MD4 так звана «стиснення» вихідної послідовності, що має довжину 128 біт.

Зберігання паролей користувача В результаті з введеного користувачем

символьного пароля виходить 16-байтовая послідовність - хешований пароль Windows 2000/XP/2003.

Ця послідовність шифрується по DES-алгоритму, і результат шифрування зберігається в базі даних SAM.

При цьому в якості ключа використовується так званий відносний ідентифікатор користувача (Relative Identifier, скорочено RID), який представляє собою автоматично збільшується порядковий номер облікового запису даного користувача в базі даних SAM.

LastPass - безкоштовна програма для зберігання паролів, розроблена компанією LastPass. Вона існує у вигляді плагінів для Internet Explorer, Google Chrome, Mozilla Firefox, Opera і Apple Safari. 

Можливі атаки на БД SAM (1) Основним об'єктом атаки є адміністративні

повноваження. Їх можна отримати, дізнавшись у хешованому або символьному вигляді пароль адміністратора системи, який зберігається в базі даних SAM.

По замовчуванню в Windows 2000/XP/2003 доступ до файлу \ winnt_root \ System32 \ Config \ SAM заблокований для всіх без винятку її користувачів. Тим не менш, за допомогою програми NTBACKUP будь-який власник права на резервне копіювання файлів і каталогів Windows 2000/XP/2003 може перенести цей файл.

Можливі атаки на БД SAM (2) Резервну копію реєстру можна також

створити утилітою REGBAK зі складу Windows NT Resource Kit.

Крім того, безсумнівний інтерес для будь-якого зломщика представляють резервнакопія файлу SAM (SAM.SAV) в каталозі \ winnt_root\System32\Config і стиснута архівна копія SAM (файл SAM._) в каталозі \ winnt_root \ Repair.

Для відновлення паролів ОС Windows 2000/XP/2003 в символьному вигляді існують спеціальні парольні  зломщики. 

Задання параметрів атаки по словнику

Звичайне використання словника;Записані двічі слова;Зворотний порядок символів слів;Усічені до заданої кількості символів слова;Слова без голосних, за винятком заголовної;Транслітерація російських букв латинськими за заданою таблицею транслітерації;Заміна розкладки локалізації латинською розкладкою клавіатури;Заміна латинської розкладки клавіатури розкладкою локалізації;А також безліч інших параметрів злому.

Розрахунок ймовірності зламу пароля ОС Windows Згідно рекомендацій з безпеки Windows XP (Державна

експертиза з ТЕХНІЧНОГО ЗАХИСТУ інформації операційної системи Windows XP Professional SP2 (шифр - "Експертиза WXPSP2") час життя пароля (параметр політики паролів «Вимагати неповторяємості паролів» (Enforce password history)) має становити 42 дні.

Згідно того ж документа параметр «Мінімальна довжина пароля» (Minimum password lengths) повинен складати для АС (автоматизованої системи): - одиночного комп'ютера без локальної мережі - 7 символів; - локальна мережа без виходу в Інтернет - 8 символів; - мережа з виходом в Інтернет - 12 символів.

Час зламу пароля в сутках

Ймовірність зламу пароля

Рекомендації розробнику ПЗ Програмуйте систему введення пароля так, що б у користувача не було можливості

вводити порожній пароль і його довжина не повинна бути менше 5-6 символів.  Якщо для входу у вашу систему потрібен пароль, то при поставці замовнику краще дайте

пароль по замовчанню, який він повинен буде змінити собі сам (про що не забудьте йому нагадати).Введіть список заборонених (разом з паролем за замовчуванням) і останніх використаних паролів. Хоча б 12 останніх, але врахуйте, що він повинен бути зашифрований і повинен бути в цьому списку. Можна зробити й так, що система почне працювати на повну силу тільки після зміни пароля за замовчуванням. 

Якщо є можливість, не зберігайте паролі, навіть у зашифрованому вигляді, на «вінчестері», використовуйте для цього електронні ключі, Touch Memory і т.п. 

Ставте окремі паролі, якщо звичайно в цьому є сенс, на проведення особливо важливих операцій в системі (наприклад: архівна копіювання, якісь особливі звіти, видалення або редагування інформації тощо).

Змушуйте користувача змінити пароль - постійно попереджайте його повідомленнями типу «Колега! Термін дії Вашого пароля минув! Змініть його! »Коли вони йому просто набриднуть, він все одно його змінить і Ваша душа буде спокійніше. Встановлюйте програмно максимальний термін дії пароля в один місяць, а якщо ви будите зберігати останні 12 - то якраз один раз на рік він і зможе повторити свій пароль.

Включіть у вашу задачу можливість швидкої блокування роботи за запитом користувача або за часом бездіяльності, при цьому розблокування повинна бути за паролем, з яким користувач увійшов до завдання.

При зміні пароля обов'язково потрібно ввести старий пароль, а може бути і пароль адміністратора системи - це вже на Ваш розсуд.

Напишіть інструкцію з безпеки інформації у Вашій системі і додайте її в документацію.

Кримінальний кодекс УкраїниСтаття 361. Незаконне втручання в роботу електронно-обчислювальних

машин (комп'ютерів), систем та комп'ютерних мереж 1. Незаконне втручання в роботу  автоматизованих електронно-

обчислювальних машин, їх систем чи комп'ютерних  мереж, що  призвело  до  перекручення чи знищення комп'ютерної інформації або носіїв такої інформації,  а також розповсюдження комп'ютерного вірусу   шляхом   застосування  програмних  і  технічних  засобів, призначених для незаконного проникнення в ці  машини,  системи  чи комп'ютерні  мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації, - караються штрафом до  сімдесяти  неоподатковуваних  мінімумів доходів  громадян  або виправними роботами на строк до двох років, або обмеженням волі на той самий строк.

2. Ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб, - караються обмеженням волі  на строк до п'яти років або позбавленням волі на строк від трьох до п'яти років.

Тема 1. Парольний захист

3. Ідентифікація та аутентифікація

користувачів

Визначення Ідентифікація — процедура розпізнавання

користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою. 

Автентифікція — процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора. З позицій інформаційної безпеки автентифікація є частиною процедури надання доступу для роботи в інформаційній системі, наступною після ідентифікації і передує авторизації

Класифікація

Причини слабкого розповсюдження біометричних систем на Україні

вартість подібних систем; відсутність добре підготовленого,

професійного, персоналу; складність налаштування подібних систем; протидію з боку персоналу, так як

керівництво отримує можливість контролювати всі переміщення персоналу і фактично виробляти контроль робочого часу.

Особливості електронних систем ідентифікації і аутентифікації смарт-карта - вимагає

для підключення до комп'ютера PC / SC сумісний пристрій читання смарт-карт.;

USB-ключ - прямо підключається до комп'ютера через порт USB, поєднуючи в собі функції смарт-карти та пристрої для її зчитування.

Галузі застосування eToken Сувора аутентифікація користувачів при

доступі до інформаційних ресурсів:серверів, баз даних, розділів Web-сайтів, захищених сховищ, шифрованих дисків і інше.;

Вхід в операційні системи, служби каталогу, гетерогенні мережі (операційні системиMicrosoft, Linux, Unix, Novell) та бізнес-додатки (SAP R / 3, IBM Lotus Notes / Domino);

Впровадження систем PKI (Entrust, Microsoft CA, RSA Keon, а також у Засвідчуючих центрах - зберігання ключової інформації, апаратна генерація ключових пар і виконання криптографічних операцій в довіреному середовищі (на чипі смарт-карти);

Галузі застосування eToken

Побудова систем документообігу, захищенихпоштових систем (на основі Microsoft Exchange, Novell GroupWise, Lotus Notes / Domino) - ЕЦП і шифрування даних, зберігання сертифікатів і закритих ключів;

Організація захищених каналів передачі даних з використанням транспорту Інтернет (технологія VPN, протоколи IPSec та SSL) -аутентифікація користувачів, генерація ключів, обмін ключами;

Міжмережеві екрани та безпека периметра мережі (продукти Cisco Systems, Check Point) - аутентифікація користувачів;

Галузі застосування eToken Шифрування даних на дисках

- аутентифікація користувачів, генерація ключів шифрування, зберігання ключової інформації;

Єдина точка входу користувача в інформаційні системи та портали (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) і додатки під управлінням СУБД Oracle сувора двофакторна аутентифікація;

Захист Web-серверів і додатків електронної комерції (на основі Microsoft IIS, Apache Web Server) - аутентифікація користувачів, генерація ключів, обмін ключами;

Управління безпекою корпоративних інформаційних систем, інтеграція систем захисту інформації (Token Management System) - eToken є єдиним універсальним ідентифікатором для доступу до різних програм;

Підтримка успадкованих додатків і розробка власних рішень в області ІБ.

USB ключі представлені на ринку

eToken R2, eToken PRO - компанія Aladdin; iKey10xx, iKey20xx, iKey 3000 - компанія Rainbow

Technologies; ePass 1000 ePass 2000 - фірма Feitian Technologies; ruToken - розробка компанії «Актив» та фірми «АНКАД»; uaToken - компанія ТОВ «Технотрейд».

Безконтактні смарт-карти

Безконтактні смарт-картки (БСК) використовуються в різних додатках і широкопоширені у світі як для аутентифікації, так і для різних транспортних, ідентифікаційних, розрахункових і дисконтних програм.

Важливою властивістю БСК, що виділяє її серед інших смарт-карт, є відсутність механічного контакту з пристроєм, що обробляють дані з картки.

Максимальна відстань для здійснення транзакцій між зчитувачем і картою становить 10 см.   З одного боку це дозволяє користувачеві зручно і швидко зробити транзакцію, але з іншого боку при попаданні карти в поле антени, карта втягується у процес обміну інформацією, незалежно від того бажав цього користувач чи ні.

Як працюють безконтактні смарт-карти?

"захоплення" карти (вибирається перша, яка перебуває в полі антени зчитувача, карта), якщо необхідно - включення антиколізійні алгоритму (команда антіколлізііповідомляє додатком унікальний  серійний номер "захопленої" карти, точніше - унікальний номер вбудованої в картку мікросхеми),

вибір карти з даними серійним номером для подальшої роботи з пам'яттю карти або її серійним номером.

Зазначена послідовність команд виконується за 3 мс, тобто практично миттєво.

Як працюють безконтактні смарт-карти?

Аутентифікація вибраної області пам'яті карти. Команда читання 16 байтів пам'яті картки

виконується за 2,5 мс, команди читання і зміни балансу гаманця за 9-10 мс.

Типова транзакція, що починається з "захоплення" карти і призводить до зміни 16 байтів пам'яті відбувається максимум за 16 мс.

Для аутентифікації сектора пам'яті картки використовується трьохпрохідний алгоритм з використанням випадкових чисел і секретних ключів відповідно до стандарту ISO /IEC DIS 9798-2.

Як відбувається процес аутентифікації?

На першому кроці карта посилає зчитувача сформований нею випадкове число. Зчитувач додає до нього своє випадкове число, шифрує повідомлення і відправляє його карті.

Карта розшифровує отримане повідомлення, порівнює "своє" випадкове число з числом, отриманим в повідомленні, при збігу заново зашифровує повідомлення і направляє зчитувача.

Зчитувач розшифровує повідомлення карти, порівнює "своє" випадкове число з числом, отриманим в повідомленні, і при збігу чисел аутентифікація сектора вважається успішною.

Типи безконтактних смарт-карт

Безконтактні смарт-карти розділяються на ідентифікатори PROximity і смарт-карти, що базуються на міжнародних стандартах ISO / IEC 15693та ISO / IEC 14443. В основі більшості пристроїв на базі безконтактних смарт-карт лежить технологія радіочастотної ідентифікації.

Системи ідентифікації на базі PROximity криптографічно не захищені, за винятком спеціальних замовлених систем. Кожен ключ має прошитий 32/64 розрядний серійний номер.

Комбіновані системи

системи на базі безконтактних смарт-карт і USB-ключів;

системи на базі гібридних смарт-карт; біоелектронні системи

Види комбінованих ідентифікаторів

У корпус брелка USB-ключа вбудовується антена і мікросхема для створення безконтактного інтерфейсу. Це дозволить організувати управління доступом в приміщення і до комп'ютера, використовуючи один код.

Дана схема використання ідентифікатора дозволить виключити ситуацію, колиспівробітник, залишаючи робоче місце, залишає USB-ключ в роз'ємі комп'ютера, що дозволить працювати під його ідентифікатором.

На сьогодні найбільш поширені два ідентифікатора подібного типу:

RFiKey - компанія Rainbow Technologies;eToken PRO RM - компанія Aladdin Software Security RD

Застосування eToken для контролю фізичного доступу

RFID-технологія (Radio Frequency IDentification, радіочастотна ідентифікація) є найбільш популярною на сьогодні технологією безконтактної ідентифікації.

Бездротове розпізнавання здійснюється за допомогою закріплених за об'єктом так званих RFID-міток, що несуть ідентифікаційну та іншу інформацію.

При цьому треба враховувати обмеження, обумовлені розмірами ключа: RFID-мітка повинна бути не більше 1,2 см в діаметрі. Такі розміри мають мітки, які працюють зчастотою 13.56 МГц, наприклад, виробництва "Ангстрем» або HID.

Застосування гібридних смарт-карт для контролю фізичного доступу

Гібридні смарт-карти містять різнорідні чіпи. Один чіп підтримує контактний інтерфейс, інший -безконтактний. Як і у випадку гібридних USB-ключів, гібридні смарт-карти вирішують два завдання: доступ в приміщення і доступ до комп'ютера. Додатково на карту можна нанести логотип компанії, фотографію співробітника або магнітну смугу, що робить можливим повністю замінити звичайні перепустки та перейти до єдиного " електронного пропуску".

Біоелектронні системи

Для захисту комп'ютерних систем від несанкціонованого доступу застосовується комбінація з двох систем -біометричної і контактної на базі смарт-карт або USB-ключів.

Біометрія - це ідентифікація користувача по унікальним, властивим тільки даного користувачу, біологічними ознаками. Такі системи є найзручнішими з точки зору самих користувачів, так як їм не потрібно нічого запам'ятовувати і такі характеристики дуже складно втратити.

При біометричній ідентифікації в базі даних зберігається цифровий код, асоційованийз певною людиною. Сканер або інший пристрій, що використовується для аутентифікації, зчитує певний біологічний параметр.

Приклади біометричних характеристик

Експертна оцінка біометричних характеристик людини

Источник БХЧ

Универсальность

Уникальность

Стабильность

Собираемость

Видеообраз +++ + ++ +++

Термограмма

+++ +++ + ++

Отпечаток +++ +++ +++ ++

Рука ++ ++ ++ +++

РОГ ++ +++ +++ ++

Сетчатка +++ +++ ++ +

Подпись + + + +++

Голос ++ + + ++

Губы +++ +++ ++ +

Уши ++ ++ ++ ++

Динамика ++ +++ + +++

Походка +++ ++ + +

Структура світового ринку біометричних систем

Розпізнавання по відбиткам пальців

Найпоширеніший статичний метод біометричної ідентифікації, в основі якого лежить унікальність для кожної людини малюнка папілярних узорів на пальцях.

Зображення відбитку пальця, отримане за допомогою спеціального сканера, перетвориться в цифровий код (згортку) і порівнюється з раніше введеним шаблоном (еталоном) або набором шаблонів (у разі аутентифікації).

Провідні виробники устаткування (сканерів відбитків пальців):

Biolink, <http://www.biolink.ru/>, Bioscrypt, <http://www.bioscrypt.com/>;Digitalpersona, <http://www.digitalpersona.com/>.

Розпізнавання по формі руки

Даний статичний метод побудований на розпізнаванні геометрії кисті руки, що також є унікальною біометричною характеристикою людини.

За допомогою спеціального пристрою, що дозволяє отримувати тривимірний образ кисті руки (деякі виробники сканують форму декількох пальців), виходять вимірювання, необхідні для отримання унікальної цифрової згортки, що ідентифікує людину.

Провідні виробники:Recognition Systems, <http://www.recogsys.com/>, <http://www.handreader.com/>;Biomet Partners, <http://www.biomet.ch/>.

Розпізнавання по радужній оболонці ока

Провідні виробники:Iridian - найбільший виробник у цій галузі, на рішеннях

цієї компанії базуються практично всі розробки інших: LG, Panasonic, OKI, Saflink та інші.

Розпізнавання по формі лицяУ даному статичному методі ідентифікації будується двох-або тривимірний образобличчя людини. За допомогою камери і спеціалізованого програмного забезпеченняна зображенні або наборі зображень особи виділяються контури брів, очей, носа, губ іт. д., обчислюються відстані між ними й інші параметри, залежно від використовуваного алгоритму. За цими даними будується образ, що перетворюєтьсяв цифрову форму для порівняння.

Розпізнавання по почерку

Цифровий код ідентифікації формується по динамічних характеристиках написання,тобто для ідентифікації будується згортка, в яку входить інформація по графічних параметрах підпису, тимчасовим характеристикам нанесення підпису і динаміки натиску на поверхню залежно від можливостей обладнання (графічний планшет, екран кишенькового комп'ютера і т. д .).

Провідні виробники:CIC (Communication Intelligence Corporation), http://www.cic.com/;Cyber -SIGN, http://www.cybersign.com/;SOFTPRO, http://www.signplus.com/;Valyd, http://www.valyd.com/.

Розпізнавання по клавіатурному почерку

Метод в цілому аналогічний вищеописаному, проте замість підпису в ньому використовується якесь кодове слово, а з обладнання потрібно тільки стандартна клавіатура. Основна характеристика, за якою будується згортка для ідентифікації, - динаміка набору кодового слова.

Провідні виробники:BioPassword Security Software, http://www.biopassword.com/;Checco, http://www.biochec.com/.

Розпізнавання по голосу

Ідентифікація по голосу базується на аналізі унікальних характеристик мови,обумовлених анатомічними особливостями (розмір і форма горла і рота, будова голосових зв'язок) та набутими звичками (гучність, манера, швидкість мови).

Голос схильний до істотних змінам під впливом емоційних факторів (настрій людини) і стану здоров'я (ангіна, нежить, бронхіт і т.д.). На якості ідентифікації можуть позначатися зовнішні умови (наприклад, сторонні шуми від дорожнього руху, розмовінших людей).

Мова людини розбивається на окремі «звукові кадри», які потім перетворяться в цифрову модель. Ці моделі прийнято називатим «голосовими відбитками» (за не надто вдалою аналогією з відбитками пальців). 

Розпізнавання по голосу

Ідентифікація по голосу базується на аналізі унікальних характеристик мови,обумовлених анатомічними особливостями (розмір і форма горла і рота, будова голосових зв'язок) та набутими звичками (гучність, манера, швидкість мови).

Голос схильний до істотних змінам під впливом емоційних факторів (настрій людини) і стану здоров'я (ангіна, нежить, бронхіт і т.д.). На якості ідентифікації можуть позначатися зовнішні умови (наприклад, сторонні шуми від дорожнього руху, розмовінших людей).

Мова людини розбивається на окремі «звукові кадри», які потім перетворяться в цифрову модель. Ці моделі прийнято називатим «голосовими відбитками» (за не надто вдалою аналогією з відбитками пальців). 

Недоліки біометрії

Вкрай складна коректна настройка обладнання, мова йде про встановлення коректного порогового значення помилки. FAR (False Acceptance Rate) - це відсоток помилкових відмов у допуску, FRR (False Rejection Rate) – ймовірність допуску в систему незареєстрованої людини. Поріг чутливості є своєрідною межею ідентифікації.

Людина, яка має схожість будь-якої характеристики вище граничного рівня, буде допущена в систему і навпаки. Значення порогу адміністратор може змінювати на свій розсуд. Тобто це накладає дуже високі вимоги на адміністратора системи

Недоліки біометрії

Опір співробітників компаній, пов'язаний з можливістю контролю робочого часу співробітників. 

Біометричні сканери неможливо застосовувати для ідентифікації людей з деякими фізичними вадами.Застосування сканерів сітківки ока буде складним для тих, хто носить окуляри чи контактні лінзи, а людина, хвора артритом, не зможе рівно покласти палець на сканер відбитка.Ще одна проблема - зріст людини. Сканування особи може стати важким, якщо зріст людини нижче 1,55 м або вище 2,1 м.

Електронні ключі з одноразовими паролями

Буквально через 10 років за прогнозами Gartner, число співробітників, що працюють у віддаленому режимі, істотно збільшиться. Їх приріст вже зараз становить 10-15% на рік.

Gartner наводить у приклад досвід корпорацій Sun і IBM: за три роки після впровадження дистанційної роботи для своїх штатних співробітників Sun Microsystems заощадила на оренді приміщень 300 млн. дол, а за підрахунками IBM, корпорація щорічно економить на «віддаленому доступі» до 500 млн. дол .

Варіанти аутентифікації

При аутентифікації користувачів мережі віддаленого доступу зазвичай використовуються наступні варіанти:

- індивідуальний встановлений ключ або пароль (pre-shared key);

- цифровий сертифікат із закритим ключем, що зберігається на комп'ютері;

- цифровий сертифікат із закритим ключем, що зберігається в пам'яті токена;

- комбінація цифрового сертифікату одноразового  пароля.

Аутентифікація з використанням одноразового пароля

Апаратні реалізації генераторів одноразових паролів називають ОТР-токенами.OTP-токени мають невеликий розмір і випускаються в різних форм-факторах:- у вигляді кишенькового калькулятора;

- у вигляді брелка;- у вигляді смарт-карти;- у вигляді пристрою, комбінованого з USB-ключем;- у вигляді спеціального програмного забезпечення для кишенькових комп'ютерів.