M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
3.
Správa hesel ve Windows
Součástí bezpečnostní politiky operačního systému je správa uživatelských
účtů, ke které náleží zejména bezpečné uložení kopií hesel. Hesla zpravidla
nejsou uložena v otevřené podobě, ale uchovávají se jejich šifrované obrazy. K
tomuto účelu používají operační systémy různé kryptografické algoritmy. V od-
lišných variantách operačního systému Windows má zabezpečení hesel různou
úroveň. Nejslabší ochranu poskytují verze Windows 9X a Windows Me. Tyto
verze dovolují sestavit heslo s maximální délkou 14 znaků. I když tato délka te-
oreticky umožňuje sestavit dostatečně složité heslo, operační systém Windows
provádí určitá zjednodušení, která tento prostor omezují. Prvním nepříznivým
krokem je case insenzitivní zpracování hesla. Operační systém aplikuje na ře-
tězec funkci UpCase(). Tento krok negativně omezuje konečný tvar hesla a
umožňuje při útoku významně redukovat množinu testovaných znaků. Heslo
je dále doplněno znaky NUL tak, aby mělo výslednou délku 14 znaků. Takto
upravený řetězec se před uložením do SAM kryptograficky zpracuje. Rozdělí se
14
Bezpečnost operačního systému a počítačové komunikace
na dvě části, které se použijí jako klíče pro algoritmus DES. Výstupem je 128-
ti bitový řetězec, který je uložen do systémové databáze. Původní 14 znaková
délka hesla je procesem zpracování degradována na 7. LM hash je nejslabší
formou zabezpečení hesel v operačním systému Windows.
Ve verzi Windows NT byla délka hesla prodloužena na 128 znaků. Dále bylo
odstraněno UpCase() zpracování řetězce před kryptografickým zpracováním
a uložením do databáze SAM. Rovněž byl odstraněn rozklad hesla na dvě
části před jeho kryptografickým zpracováním. Pro utajení obsahu hesla ope-
rační systém používá algoritmus Message Digest MD-4. Jedná se o tzv. funkci
obsahu (hash funkce), která se používá pro generování jedinečné číselné re-
prezentace zprávy. V tomto případě je zprávou řetězec tvořící heslo. Důleži-
tou vlastností funkce je jednosměrnost, která neumožňuje rekonstruovat obsah
zprávy z výtahu. Zdálo by se, že těmito změnami zanikají všechny bezpečnostní
nedostatky původního zpracování hesla. Nicméně i tyto verze operačního sys-
tému obsahují slabinu. Ohrožení bezpečnosti spočívá ve snaze zachovat zpět-
nou kompatibilitu k verzím Windows 9X a Me. Aby byla ponechána možnost
autentizace klientům starších verzích Windows, vytváří podsystém zabezpe-
čení kopii hesla také dle původní méně bezpečné strategie.