|
Infineon Программное решение Security Platform |
Меры защиты от словарных атак
 |
Примечания:
|
Программное решение Security Platform принимает следующие меры для отражения словарных атак:
- В случае нескольких неудачных попыток проверки подлинности, Security Platform временно отключается до следующего перезапуска системы. Благодаря чему, владелец Security Platform имеет возможность принять дополнительные меры противодействия словарным атакам перед повторным включением Security Platform.
- Кроме того используется функция время блокировки: В течение определенного времени, все попытки проверки подлинности отклоняются. С каждой последующей неудачной попыткой проверки подлинности уровень защиты возрастает, что означает удвоение времени блокировки.
- Если дальнейшие неудачные попытки проверки подлинности отсутствуют, через определенное время, уровень защиты вновь снижается.
- Владелец Security Platform может сменить уровень защиты.
Следующие иллюстрации описывают принимаемые меры.
Повышение уровня безопасности, в случае нескольких неудачных попыток проверки подлинности
Данная иллюстрация показывает как неудачные попытки проверки подлинности влияют на повышение уровня защиты и времени блокировки, в случае, если Security Platform не была временно отключена.
|
||||||||||||
В данном примере установлен порог защиты в пять попыток проверки подлинности. Злоумышленник повторяет попытки пройти проверку подлинности, следовательно, уровень защиты поднимается по окончанию текущего времени блокировки.
Избежать повышение уровня безопасности с помощью временного отключения Security Platform
Для блокировки дальнейших атак на ранней стадии и во избежание длительного времени блокировки, Security Platform временно отключается в момент превышения порога защиты.
|
|||||||||||||||
На данном примере видно, как Security Platform больше не может быть атакована, даже после истечения периода блокировки. Security Platform будет включена лишь после следующего перезапуска системы.
Автоматическое снижение уровня защиты
На данной иллюстрации показано, как уровень защиты понижается спустя определенное время, при условии отсутствия дальнейших неудачных попыток проверки подлинности.
|
||||||||||||||||||||
В данном примере видно, как повышается уровень защиты и время блокировки (красный) что вызвано неудачными попытками пройти проверку подлинности. Подразумевается, что спустя короткое время система перезапускается (серый). По истечении времени автоматического снижения, уровень защиты автоматически снижается. Обратите внимание, что для низких уровней защиты, время автоматического снижения намного превосходит время блокировки.
|
Примечания:
|
Изменение уровня защиты
На данной иллюстрации показан изменения уровня защиты выполненная владельцем Security Platform.
|
||||||||||||||||||||
Подобно изображенному на предыдущей иллюстрации, вы можете видеть повышение уровня защиты, время блокировки (красный) и временное отключение системы до следующей перезагрузки (серый). Здесь подразумевается, что владелец Security Platform выполняет изменения уровня защиты, так как он не хочет ждать автоматического снижения повышающегося уровня защиты.
Стандартные параметры защиты от словарных атак
В следующей таблице приведены некоторые параметры защиты от словарных атак типичные для Infineon Trusted Platform Module. Значения приведенных параметров могут отличаться на вашем Trusted Platform Module.
|
Разрешено попыток проверки подлинности ключа (например, используется для проверки подлинности пользователя Security Platform) |
5 | Меры защиты от словарных атак принимаются после 5 неудачных попыток проверки подлинности в течение 6 часов (см. политику Настройка пороговых значений словарных атак и Конфигурировать настройки защиты от словарных атак). |
|
Допустимое количество попыток проверки подлинности владельца Security Platform |
3 | Меры защиты от словарных атак принимаются после 3 неудачных попыток проверки подлинности в течение 6 часов (см. политику Настройка пороговых значений словарных атак и Конфигурировать настройки защиты от словарных атак). |
|
Разрешено попыток проверки подлинности данных (например, используемых системой Windows BitLocker в сочетании с PIN-кодом) |
10 | Меры защиты от словарных атак принимаются после 10 неудачных попыток в течение 6 часов (см. политику Настройка пороговых значений словарных атак и Конфигурировать настройки защиты от словарных атак). |
|
Минимальное время блокировки |
~10 сек. | Первоначально, время блокировки после превышения порогового значения составляет 10 секунд. |
|
Максимальное время блокировки |
~24 ч. | Максимальное время блокировки составляет 24 часа. Этот предел достигается менее чем за 15 неудачных попыток проверки подлинности после превышения порогового значения. |
|
Время автоматического снижения уровня защиты |
~6 ч. | Примерно 6 часов спустя после достижения определенного уровня защиты, последний автоматически снижается до 1. Обратите внимание, что вышесказанное действительно, только если в течение 6 часов не предпринимались новые неудачные попытки проверки подлинности. Такие попытки приведут к повышению уровня защиты на 1. |
Такие настройки позволяют обеспечить высокий уровень безопасности в случае настоящей словарной атаки. С другой стороны, они обеспечивают удобство и гибкость в случае случайной ошибки при вводе пароля.
|
Время блокировки и время автоматического снижения уровня защиты истекает только в работающей системе. |
©Infineon Technologies AG