Uwierzytelnianie

Bezpieczeństwo – uwierzytelnianie
Uwierzytelnianie
Materiały pomocnicze do wykładu
Bezpieczeństwo
systemów informatycznych
Uwierzytelnianie
Zbigniew Suski
BSI - uwierzytelnianie
1
Co to jest uwierzytelnianie?
Słowniki haseł
Autentyczny (authentic) wg słownika Webstera:
‰ Wykaz nazw użytkowników, ich inicjałów, nazw
kont i innej informacji związanej z użytkownikiem.
Być rzeczywiście i dokładnie tym, czym się
twierdzi, że się jest.
‰ Wykaz słów z różnych słowników: imiona i ich
permutacje, nazwy miejsc, tytuły filmów i książek
i postaci w nich występujących.
Uwierzytelnianie (authentication) jest procesem
stwierdzania autentyczności czyli wiarygodności,
weryfikacji tożsamości użytkownika.
‰ Różne przekształcenia słów z kroku
poprzedniego.
Uwierzytelnianie na podstawie:
‰ Dowolne zamiany liter małych na duże i
odwrotnie.
‰ tego, co użytkownik wie,
‰ tego, co użytkownik posiada,
‰ Słowa w obcych językach dla użytkowników
obcokrajowców.
‰ tego, kim użytkownik jest.
Zbigniew Suski
BSI - uwierzytelnianie
2
Łamanie haseł – program L0phtCrack
Zbigniew Suski
Opracował: Zbigniew Suski
BSI - uwierzytelnianie
Zbigniew Suski
BSI - uwierzytelnianie
3
BSI - uwierzytelnianie
5
Łamanie haseł – program nat
4
Zbigniew Suski
1
Bezpieczeństwo – uwierzytelnianie
Łamanie haseł – program Pqwak
Ochrona haseł
‰ Nadzorowanie haseł (wybór, pielęgnacja):
9 Komunikaty systemowe.
9 Wprowadzanie hasła.
9 Ograniczanie ilości prób rejestracji.
9 Starzenie się haseł.
9 Systemy z dwoma hasłami.
9 Minimalna długość hasła.
9 Blokowanie konta użytkownika.
9 Ochrona hasła administratora.
9 Generowanie hasła przez system.
Zbigniew Suski
BSI - uwierzytelnianie
6
Ochrona haseł
BSI - uwierzytelnianie
Zbigniew Suski
Hasła jednorazowe – system S/Key
7
(RFC 1760) 1
‰ Klient i serwer są wstępnie skonfigurowani tym samym hasłem
oraz licznikiem iteracji. Licznik iteracji określa wymaganą ilość
powtórzeń funkcji mieszającej. Przy każdym logowaniu licznik
iteracji stronie klienta maleje.
‰ Zabezpieczanie przed odgadnięciem poprzez
odrzucanie zbyt łatwych haseł.
9 Sprawdzanie bierne.
‰ Klient inicjuje wymianę wysyłając pakiet inicjujący.
9 Sprawdzanie czynne.
‰ Serwer odpowiada numerem sekwencji. Wysyła również tzw.
ziarno.
‰ Bezpieczne przechowywanie haseł.
‰ Po stronie klienta wyliczane jest hasło jednorazowe:
9 operator wprowadza tajne hasło, które jest łączone z ziarnem,
9 kilkakrotnie wykonywana jest funkcja mieszająca generująca
dane wyjściowe (wg licznika powtórzeń),
9 dane wyjściowe przekształcane są do postaci czytelnej i
prezentowane operatorowi.
Zbigniew Suski
BSI - uwierzytelnianie
Hasła jednorazowe – system S/Key
8
(RFC 1760) 2
BSI - uwierzytelnianie
Zbigniew Suski
9
Hasła jednorazowe
Użytkownik
‰ Klient przesyła jednorazowe hasło do serwera.
eru
num
ła
nie
has
zyta
c
n
e
e ie
rz
wu
adz
3 P
dze
row
o
p
nie
6 W
zyta
c
e
rz
7 P
‰ W serwerze znajduje się plik zawierający dla każdego
użytkownika jednorazowe hasło z poprzedniego pomyślnego
logowania.
‰ Serwer jednokrotnie przepuszcza odebrane hasło
jednorazowe przez funkcję mieszającą. Wynik powinien
odpowiadać hasłu z poprzedniego logowania.
Karta
Weryfikacja metodą
hasło - odzew
1
2 P Wy
roś słan
ie
ba
o n ide
4
um nty
W
er fika
ys
5
z k tor
łan
W
art a I
ie
ys
D
y
n
ł
an
um
8
i
eh
W
eru
y
9
as
Po słan
ła
ie
tw
od
ie
rd
ze
ze
wu
ni
Generowanie
e
re
je
hasła
st
ra
cji
System
docelowy
Zbigniew Suski
Opracował: Zbigniew Suski
BSI - uwierzytelnianie
10
Zbigniew Suski
BSI - uwierzytelnianie
11
2
Bezpieczeństwo – uwierzytelnianie
Hasła jednorazowe
Hasła jednorazowe
1 Klient jest uwierzytelniony
wobec serwera
1 Identyfikator
użytkownika
5 Haslo
jednorazowe
PIN
od
e
3 K
zow
ora
jedn
aslo
H
Użytkownik
4
Karta z haslami
jednokrotnego
użytku
Klient
2
6
Stacja
robocza
Ide
nty
fik
Ha
ato
slo
ru
jed
ży
tko
no
raz
wn
ika
ow
e
2 Serwer jest uwierzytelniony
wobec klienta
Uwierzytelnianie za
pomocą kart z haslami
jednorazowymi
1: Uwierzytelnienie jednokierunkowe
1, 2: Uwierzytelnienie dwukierunkowe
Serwer
BSI - uwierzytelnianie
Zbigniew Suski
12
Procedury uwierzytelniania X.509
IBM Compatible
Serwer
Uwierzytelnienie
dwustronne
BSI - uwierzytelnianie
Zbigniew Suski
13
Tokeny
‰ Uwierzytelnianie jednokierunkowe.
RSA
SecureID
9 Nazwa nadawcy.
9 Nazwa odbiorcy.
9 Znaczniki czasu określające czas utworzenia i
ważności wiadomości.
9 Liczba losowa wygenerowana przez nadawcę.
9 Podpis cyfrowy nadawcy.
Vasco
DigiPass 300
‰ Uwierzytelnianie jednokierunkowe.
‰ Uwierzytelnianie jednokierunkowe.
ActiveCard Plus
BSI - uwierzytelnianie
Zbigniew Suski
14
Kerberos - idea
2
15
Kerberos - komunikaty
KERBEROS
KLIENT
BSI - uwierzytelnianie
Zbigniew Suski
ika
w
own
iletó
żytk
ia b
ja u
wan
zna
trac
y
s
rz
je
e
gi p
lu
1 R
s
u
t do
Bile
CL>AS:
CL, TGS, T2
AS>CL:
{TGS, KCL,TGS, T2, L2 , {TGTCL,TGS}KAS,TGS }KCL
CL>TGS:
{SR, CL, T3 } KCL,TGS , {TGTCL,TGS}KAS,TGS
TGS>CL:
{ KCL,SR, SR, T4, {BCL,SR }KSR,TGS }KCL,TGS
CL>SR:
{BCL,SR }KSR,TGS , { CL , T5 }KCL,SR
SR>CL:
{ T5 + 1}KCL,SR
Serwer uwierzytelniający
3 Bilet do uslugi przyznawania biletów
5 Bilet do uslugi
Serwer przyznawania biletów
5 B
ilet
do u
6 U
slug
slug
i
a dla
klien
ta
Serwer aplikacji
Zbigniew Suski
Opracował: Zbigniew Suski
BSI - uwierzytelnianie
16
Zbigniew Suski
BSI - uwierzytelnianie
17
3
Bezpieczeństwo – uwierzytelnianie
Kerberos - atrybuty biletów
‰ Bilety początkowe (flaga INITIAL).
‰ Bilety nieważne (flaga INVALID)
‰ Bilety odnawialne (flaga RENEWABLE)
‰ Bilety postdatowane
(flagi MAY_POSTDATE, POSTDATED)
‰ Bilety upełnomocniające się i upełnomocnione
(flagi PROXIABLE i PROXY)
‰ Bilety przekazywalne
(flagi FORWARDABLE i FORWARD)
Zbigniew Suski
Opracował: Zbigniew Suski
BSI - uwierzytelnianie
18
4