Bezpieczeńswo plików z hasłami

Najczęściej pliki z zaszyfrowanymi hasłami przechowywane są w plikach systemowych pojedynczych komputerów. 

Wydaje mi się, że aby zagwarantować maksymalny stopień zabezpieczeń komputera z zaszyfrowanymi plikami z hasłami, należałoby zadbać  przede wszystkim o to, aby tworzone przez użytkowników hasła były o odpowiednim stopniu skomplikowania oraz długości.

Niebagatelne znaczenie ma także odpowiedni system plików (w Windows: NTFS), dzięki któremu możemy nadawać uprawnienia poszczególnym użytkownikom tylko do niezbędnych do ich pracy programów i plików.

Poza tym uważam, że najlepiej by było, o ile to możliwe nie przechowywać plików z zaszyfrowanymi hasłami na komputerach lokalnych podłączonych do sieci.
Zamiast tego pliki takie powinny być przechowywane na serwerze, np. w przypadku serwera Windows poleciłbym usługę Active Directory. Usługa ta uwierzytelnia autoryzowanych użytkowników, grupy i komputery próbujące uzyskać dostęp do obiektów w sieci. Podsystemem zabezpieczeń odpowiedzialnym za wszystkie próby interakcyjnego uwierzytelniania i autoryzacji użytkowników na komputerze lokalnym jest „urząd zabezpieczeń lokalnych" (LSA - Local Security Authority). Podsystem ten używany jest do przetwarzania żądań uwierzytelniania zainicjowanych za pomocą protokołu Kerberos V5 (protokół ten korzysta z AES oraz SHA)

• http://www.linux-magazine.pl/issue/05/Sysadmin_kerberos.pdf
• http://www.xml-dev.com/blog/index.php?action=viewtopic&id=21 (wizualne wytłumaczenie zasady działania protokołu Kerberos)

Po potwierdzeniu tożsamości użytkownika w usłudze Active Directory urząd LSA na uwierzytelniającym kontrolerze domeny generuje token dostępu użytkownika i kojarzy z tym użytkownikiem identyfikator zabezpieczeń (SID - Security Identifier).

Token dostępu zawiera nazwę użytkownika, nazwy grup, do których należy użytkownik, identyfikator SID użytkownika oraz wszystkie identyfikatory SID grup, do których należy użytkownik.

Identyfikatory zabezpieczeń SID są automatycznie przypisywane przez usługę Active Directory obiektom typu podmiot zabezpieczeń w momencie ich tworzenia. Podmioty zabezpieczeń są kontami w usłudze Active Directory, którym można przypisywać uprawnienia, takimi jak konta komputerów, grup lub użytkowników. Po wystawieniu uwierzytelnianemu użytkownikowi identyfikatora SID identyfikator ten zostaje dołączony do tokenu dostępu użytkownika.

Informacje zawarte w tokenie dostępu są używane do określenia poziomu dostępu użytkownika do obiektu, ilekroć użytkownik próbuje uzyskać do niego dostęp. Identyfikatory SID w tokenie dostępu są porównywane z listą identyfikatorów SID, które tworzą listę DACL dla tego obiektu, w celu sprawdzenia, czy użytkownik ma wystarczające uprawnienia, aby uzyskać dostęp do obiektu.

Tak więc w procesie kontroli dostępu, konta użytkowników są identyfikowane przez identyfikator SID, a nie przez nazwę.

Chcesz otrzymywać powiadomienia o moich kolejnych wpisach lub projektach?
Wpisz swoje imię oraz adres e-mail a następnie kliknij "ZAPISZ MNIE"