Парольные защиты
На сегодняшний день этот класс СЗПО является самым распространенным.
Основ-
ной принцип работы данных систем заключается в идентификации и
аутентификации
пользователя ПО путем запроса дополнительных данных, которыми могут
быть название
фирмы и/или имя и фамилия пользователя и его пароль либо только па-
роль/регистрационный код. Такая информация может запрашиваться в
различных ситуа-
циях, например, при старте программы, по истечении срока бесплатного
использования
ПО, при вызове процедуры регистрации либо в процессе установки на ПК
пользователя.
Процедуры парольной защиты просты в реализации. Большинство парольных
СЗПО ис-
пользует логические механизмы, сводящиеся к проверке правильности
пароля/кода и
запуске или не запуске ПО, в зависимости от результатов проверки.
Существуют также
системы, шифрующие защищаемое ПО и использующие пароль или производную
от него
величину как ключ дешифрации. Обычно они реализованы в виде защитного
модуля и
вспомогательных библиотек и устанавливаются на уже скомпилированные
модули ПО.
Слабым звеном парольных защит является блок проверки правильности
введенного
пароля/кода. Для такой проверки можно сравнивать введенный пароль с
записанным в
коде ПО правильным либо с правильно сгенерированным из введенных
дополнительных
данных паролем. Возможно также сравнение производных величин от
введенного и пра-
вильного паролей, например их хэш-функций, в таком случае в коде можно
сохранять
только производную величину, что повышает стойкость защиты. Путем
анализа проце-
дур проверки можно найти реальный пароль, записанный в коде ПО, найти
правильно
сгенерированный пароль из введенных данных либо создать программу для
перебора
паролей для определения пароля с нужной хэш-суммой. Кроме того, если
СЗПО не ис-
пользует шифрования, достаточно лишь принудительно изменить логику
проверки для
получения беспрепятственного доступа к ПО.
Шифрующие системы более стойки к атакам, но при использовании простейших
или некорректно реализованных криптоалгоритмов есть опасность
дешифрации ПО.
Для всех парольных систем существует угроза перехвата пароля при его
вводе авто-
ризованным пользователем. Кроме того, в большинстве СЗПО данного типа
процедура
проверки используется лишь единожды, обычно при регистрации или
установке ПО, за-
тем система защиты просто отключается, что создает реальную угрозу для
НСД при не-
законном копировании ПО.
Положительные стороны:
1. Надежная защита от злоумышленника-непрофессионала.
2. Минимальные неудобства для пользователя.
3. Возможность передачи пароля/кода по сети.
4. Отсутствие конфликтов с системным и прикладным ПО и АО.
5. Простота реализации и применения.
6. Низкая стоимость.
Отрицательные стороны:
1. Низкая стойкость большинства систем защиты данного типа.
2. Пользователю необходимо запоминать пароль/код.