ВЕБ-МОДУЛЬ АВТОМАТИЗАЦИИ ПРОЦЕССА ГЕНЕРАЦИИ ПАРОЛЕЙ ИНТЕРНЕТ-САЙТОВ «ACCOUNT PASSWORD CHANGER»
|
Введение 4
1 Роль аутентификации в цифровом пространстве 7
1.1 Статистика взлома паролей сайтов 7
1.2 Технологии реализации аутентификации на интернет-сайтах 8
1.3 Технологии реализации систем аутентификации на различных системах
управления контентом 14
1.4 Анализ исходных данных по теме исследования 17
1.4.1 Анализ печатных и интернет-источников по аутентификации 17
1.4.2 Анализ нормативных источников 19
1.4.3 Анализ решений по хранению и управлению паролями 20
2 Описание модуля с обучающей инструкцией 26
2.1 Постановка задачи и общие требования 26
2.2 Выбор технологии реализации 28
2.3 Проектирование веб-модуля 32
2.4 Описание основных библиотек и используемых функций 35
2.5 Описание интерфейса веб-модуля 37
2.5.1 Страница регистрации аккаунта 37
2.5.2 Страница аккаунта 38
2.5.3 Страница регистрации сайта в системе 41
2.5.4 Страница управление сайтами 45
2.5.5 Обеспечение безопасности веб-модуля 47
2.5.6 Описание демонстрационного сайта 49
2.6 Описание обучающей инструкции и теоретического материала 50
2.7 Размещение на веб-сервере и апробация 53
Заключение 55
Список использованных источников 56
Приложение А 59
Приложение Б
1 Роль аутентификации в цифровом пространстве 7
1.1 Статистика взлома паролей сайтов 7
1.2 Технологии реализации аутентификации на интернет-сайтах 8
1.3 Технологии реализации систем аутентификации на различных системах
управления контентом 14
1.4 Анализ исходных данных по теме исследования 17
1.4.1 Анализ печатных и интернет-источников по аутентификации 17
1.4.2 Анализ нормативных источников 19
1.4.3 Анализ решений по хранению и управлению паролями 20
2 Описание модуля с обучающей инструкцией 26
2.1 Постановка задачи и общие требования 26
2.2 Выбор технологии реализации 28
2.3 Проектирование веб-модуля 32
2.4 Описание основных библиотек и используемых функций 35
2.5 Описание интерфейса веб-модуля 37
2.5.1 Страница регистрации аккаунта 37
2.5.2 Страница аккаунта 38
2.5.3 Страница регистрации сайта в системе 41
2.5.4 Страница управление сайтами 45
2.5.5 Обеспечение безопасности веб-модуля 47
2.5.6 Описание демонстрационного сайта 49
2.6 Описание обучающей инструкции и теоретического материала 50
2.7 Размещение на веб-сервере и апробация 53
Заключение 55
Список использованных источников 56
Приложение А 59
Приложение Б
В современном мире информационные системы различной значимости и охвата стали неотъемлемой частью инфраструктуры государства, бизнеса, и общества в широком смысле этого слова. С каждым днем в информационные системы переносится все больше защищаемой информации. Современные технологии в информационном пространстве обеспечивают новые возможности ведения бизнеса, государственной и общественной деятельности, и вместе с тем создают значительные требования в обеспечении информационной безопасности с целью защиты этой информации. Известно, что более 25 % злоупотреблений информацией в информационных системах совершаются локальными пользователями, партнерами и поставщиками услуг, имеющими прямой доступ к информационной системе. До 70 % из них — случаи несанкционированного получения прав доступа, хищении и передачи конфиденциальной информации пользователей информационных систем. Это становится возможным в связи несовершенством технологий авторизации и аутентификации пользователей информационных систем. Совершенствование методов систем учета доступа и регистрации пользователей является одним из главных приоритетов совершенствования информационных систем. Основными процедурами регистрации пользователей в информационных системах являются процедура идентификации — получение ответа на вопрос «Кто Вы?» и аутентификации — доказательства того, что «Вы именно тот, кем представляетесь». Несанкционированное получение прав доступа злоумышленником к информационной системе связано, в первую очередь, с нарушением прохождения процедуры аутентификации.
Процесс регистрации пользователя в информационной системе состоит из трех взаимосвязанных, выполняемых последовательно процедур: идентификации, аутентификации и авторизации. Идентификация — это процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет системе свой идентификатор и она проверяет его наличие в своей базе данных. Субъекты с известными системе идентификаторами считаются легальными, остальные субъекты относятся к нелегальным. Аутентификация (установление подлинности) — процедура проверки принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает. Авторизация — процедура предоставления определённому лицу или группе лиц прав на выполнение определённых действий; после прохождения им процедуры аутентификации. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.
На сегодняшний момент аутентификация с помощью логина и пароля является наиболее распространенной, прежде всего, благодаря простоте использования. Однако данный вид аутентификации имеет некоторые недостатки. В отличие от случайно формируемых криптографических ключей, пароли пользователя бывает возможно подобрать из-за безответственного отношения подавляющего большинства пользователей к генерированию па-роля. Выбор пользователями легко угадываемых паролей встречается чаще всего. Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Пароль может быть подсмотрен или перехвачен при вводе. Начинающие пользователи персональных компьютеров используют один и тот же пароль для большинства своих аккаунтов в сети, для защиты учетной записи. Это одна из самых распространённых ошибок, так как злоумышленники могут скомпрометировать его и, разумеется, воспользоваться им. В связи с этим, пользователи должны задумываться о том, чтобы всегда устанавливать (или хотя бы стараться) разные пароли на учетные за-писи, аккаунты в Интернете. Кроме того, одна из теорий, подтвержденных на практике уже не один раз гласит, что пароль периодически нужно менять.
Периодическая смена паролей позволит более эффективно защитить аккаунт и конфиденциальную информацию на нем, а кроме того, это усложнит процесс взлома злоумышленникам, так как старая информация, которая возможно, была ими найдена уже будет неактуальной.
Объектом исследования — процесс аутентификации как часть безопасности интернет-сайта.
Предметом исследования является повышение надежности аутентификации интернет-сайтов с использованием автоматизации процесса генерации паролей.
Цель настоящего исследования — разработать веб-модуль автоматизации процесса генерации паролей интернет-сайтов «Account Password Changer».
В соответствии с поставленной целью в работе определены следующие задачи:
1. Проанализировать литературу и интернет-источники, посвященные аутентификации интернет-сайтов.
2. Подготовить проект веб-модуля с учетом специфики аутентификации различных системах управления контента (CMS) для создания интернет- сайтов.
3. Реализовать функционал веб-модуля в выбранных технологиях.
4. Подготовить интернет-сайт для демонстрации работы веб-модуля.
5. Разработать обучающий материал по организации процесса аутентификации с использованием веб-модуля.
Процесс регистрации пользователя в информационной системе состоит из трех взаимосвязанных, выполняемых последовательно процедур: идентификации, аутентификации и авторизации. Идентификация — это процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет системе свой идентификатор и она проверяет его наличие в своей базе данных. Субъекты с известными системе идентификаторами считаются легальными, остальные субъекты относятся к нелегальным. Аутентификация (установление подлинности) — процедура проверки принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает. Авторизация — процедура предоставления определённому лицу или группе лиц прав на выполнение определённых действий; после прохождения им процедуры аутентификации. Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.
На сегодняшний момент аутентификация с помощью логина и пароля является наиболее распространенной, прежде всего, благодаря простоте использования. Однако данный вид аутентификации имеет некоторые недостатки. В отличие от случайно формируемых криптографических ключей, пароли пользователя бывает возможно подобрать из-за безответственного отношения подавляющего большинства пользователей к генерированию па-роля. Выбор пользователями легко угадываемых паролей встречается чаще всего. Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Пароль может быть подсмотрен или перехвачен при вводе. Начинающие пользователи персональных компьютеров используют один и тот же пароль для большинства своих аккаунтов в сети, для защиты учетной записи. Это одна из самых распространённых ошибок, так как злоумышленники могут скомпрометировать его и, разумеется, воспользоваться им. В связи с этим, пользователи должны задумываться о том, чтобы всегда устанавливать (или хотя бы стараться) разные пароли на учетные за-писи, аккаунты в Интернете. Кроме того, одна из теорий, подтвержденных на практике уже не один раз гласит, что пароль периодически нужно менять.
Периодическая смена паролей позволит более эффективно защитить аккаунт и конфиденциальную информацию на нем, а кроме того, это усложнит процесс взлома злоумышленникам, так как старая информация, которая возможно, была ими найдена уже будет неактуальной.
Объектом исследования — процесс аутентификации как часть безопасности интернет-сайта.
Предметом исследования является повышение надежности аутентификации интернет-сайтов с использованием автоматизации процесса генерации паролей.
Цель настоящего исследования — разработать веб-модуль автоматизации процесса генерации паролей интернет-сайтов «Account Password Changer».
В соответствии с поставленной целью в работе определены следующие задачи:
1. Проанализировать литературу и интернет-источники, посвященные аутентификации интернет-сайтов.
2. Подготовить проект веб-модуля с учетом специфики аутентификации различных системах управления контента (CMS) для создания интернет- сайтов.
3. Реализовать функционал веб-модуля в выбранных технологиях.
4. Подготовить интернет-сайт для демонстрации работы веб-модуля.
5. Разработать обучающий материал по организации процесса аутентификации с использованием веб-модуля.
В ходе выполнения дипломной работы был разработан веб-модуль «APC», а так же разработана электронная инструкция для администраторов веб-сайтов использующих в своей работе политику аутентификации и авторизации аккаунтов пользователей с помощью логина и пароля.
Сопоставление результатов работы с поставленными задачами позволяет заключить следующее:
Проведенный анализ литературы, интернет-источников выявил, основные направления использования аутентификации пользователя, что определило необходимость и важность разработки веб-модуля.
Также были определенны параметры генерации нового пароля, а имен-но:
• длина пароля;
• использование цифр;
• использование специальных символов;
• использование заглавных букв;
• использование похожих символов;
• исключение из пароля символов.
Разработанный веб-модуль позволит администраторам сайтов обеспечить дополнительную защиту аккаунтов и конфиденциальных данных пользователей своих веб-ресурсов.
Таким образом, следует считать, что задачи дипломной работы полностью выполнены и цель исследования достигнута.
Сопоставление результатов работы с поставленными задачами позволяет заключить следующее:
Проведенный анализ литературы, интернет-источников выявил, основные направления использования аутентификации пользователя, что определило необходимость и важность разработки веб-модуля.
Также были определенны параметры генерации нового пароля, а имен-но:
• длина пароля;
• использование цифр;
• использование специальных символов;
• использование заглавных букв;
• использование похожих символов;
• исключение из пароля символов.
Разработанный веб-модуль позволит администраторам сайтов обеспечить дополнительную защиту аккаунтов и конфиденциальных данных пользователей своих веб-ресурсов.
Таким образом, следует считать, что задачи дипломной работы полностью выполнены и цель исследования достигнута.