Введение
1 Обзор методов и алгоритмов аутентификации пользователей в web-приложениях 17
1.1 Международный опыт создания защищенных web-приложений с учетом актуальных атак злоумышленников. 17
1.2 Методы обеспечения информационной безопасности аутентификации пользователей в web-приложениях 20
1.3 Методы и алгоритмы аутентификации пользователей в web-приложениях
1.3.1 Метод парольной аутентификации 24
1.3.2 Метод аутентификации по сертификатам 29
1.3.3 Метод аутентификации по одноразовым паролям 31
1.3.4 Метод аутентификации по ключам доступа 33
1.3.5 Метода аутентификации по токенам 34
1.4 Методы вторичной аутентификации 37
1.4.1 Метод генерирования одноразовых паролей 39
1.4.2 Метод табличной аутентификации 40
1.4.3 Метод с контрольными вопросами 43
1.4.4 Другие методы вторичной аутентификации
1.5 Международные и отечественные стандарты аутентификации 46
1.6 Выводы по первой главе 47
2 Анализ актуальных типов атак на аутентификационные данные пользователей web-приложения 48
2.1 Классификация атак на web-приложения 48
2.2 Примеры реализации атак на аутентификационные данные пользователей web-приложения 2.2.1 Реализация сетевой атаки типа «фишинг» 54
2.2.2 Реализация сетевой атаки типа «Sql - инъекция» 55
2.2.3 Реализация сетевой атаки типа «ip-спуфинг» 56
2.3 Кеширование в web-браузере пользователей, как канал утечки аутентификационных данных 57
2.4 Анализ SSL/TLS шифрования 59
2.4.1 Реализация дешифрования аутентификационных данных SSL/TLS шифрования 65
2.5 Выводы по второй главе 67
3 Использование байесовской сети для защиты клиентской стороны от атак злоумышленников
3.1 Существующие методы защиты от атак злоумышленников на стороне клиента web-приложения 71
3.2 Описание математической модели байесовской сети 74
3.3 Байесовская математическая модель обнаружения и предотвращения хищения аутентификационных данных пользователя web-приложения 78
3.4 Алгоритм реализации математической модели 89
3.5 Оценка эффективности предавторизационной проверки пользователей web-приложений 92
3.6 Выводы по третьей главе 98
4 Разработка методики и алгоритмов защиты аутентификационных данных пользователей в web приложении 100
4.1 Разработка методики и алгоритмов защиты аутентификационных данных пользователей на стороне web-ресурса 100
4.2 Анализ и моделирование действий злоумышленника на возможность хищения аутентификационных данных пользователей в результате атаки на сервер web-приложения 1 4.2.1 Использование метода радужных таблиц 114
4.2.2 Использование метода «грубого перебора» 115
4.2.3 Использование логирования для дешифровки аутентификационных данных 116
4.3 Нагрузочное тестирование авторизационными данными сервера web приложения 117
4.4 Тестирование производительности многоканальной системой массового обслуживания с неограниченной очередью авторизаций пользователей 121
4.5 Выводы по четвертой главе 127
5 Оценка эффективности методики и алгоритмов защиты аутентификационных данных пользователей web приложения 129
5.1 Расчет возникновения риска реализации актуальных сетевых атак на аутентификационные данные пользователей web-приложения 129
5.2 Влияние методики и алгоритмов защиты аутентификационных данных пользователей web-приложения на информационные риски предприятия в целом 141
5.3 Выводы по пятой главе 143
Заключение 145
