Uwierzytelnianie
Transkrypt
Uwierzytelnianie
Bezpieczeństwo – uwierzytelnianie Uwierzytelnianie Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Uwierzytelnianie Zbigniew Suski BSI - uwierzytelnianie 1 Co to jest uwierzytelnianie? Słowniki haseł Autentyczny (authentic) wg słownika Webstera: Wykaz nazw użytkowników, ich inicjałów, nazw kont i innej informacji związanej z użytkownikiem. Być rzeczywiście i dokładnie tym, czym się twierdzi, że się jest. Wykaz słów z różnych słowników: imiona i ich permutacje, nazwy miejsc, tytuły filmów i książek i postaci w nich występujących. Uwierzytelnianie (authentication) jest procesem stwierdzania autentyczności czyli wiarygodności, weryfikacji tożsamości użytkownika. Różne przekształcenia słów z kroku poprzedniego. Uwierzytelnianie na podstawie: Dowolne zamiany liter małych na duże i odwrotnie. tego, co użytkownik wie, tego, co użytkownik posiada, Słowa w obcych językach dla użytkowników obcokrajowców. tego, kim użytkownik jest. Zbigniew Suski BSI - uwierzytelnianie 2 Łamanie haseł – program L0phtCrack Zbigniew Suski Opracował: Zbigniew Suski BSI - uwierzytelnianie Zbigniew Suski BSI - uwierzytelnianie 3 BSI - uwierzytelnianie 5 Łamanie haseł – program nat 4 Zbigniew Suski 1 Bezpieczeństwo – uwierzytelnianie Łamanie haseł – program Pqwak Ochrona haseł Nadzorowanie haseł (wybór, pielęgnacja): 9 Komunikaty systemowe. 9 Wprowadzanie hasła. 9 Ograniczanie ilości prób rejestracji. 9 Starzenie się haseł. 9 Systemy z dwoma hasłami. 9 Minimalna długość hasła. 9 Blokowanie konta użytkownika. 9 Ochrona hasła administratora. 9 Generowanie hasła przez system. Zbigniew Suski BSI - uwierzytelnianie 6 Ochrona haseł BSI - uwierzytelnianie Zbigniew Suski Hasła jednorazowe – system S/Key 7 (RFC 1760) 1 Klient i serwer są wstępnie skonfigurowani tym samym hasłem oraz licznikiem iteracji. Licznik iteracji określa wymaganą ilość powtórzeń funkcji mieszającej. Przy każdym logowaniu licznik iteracji stronie klienta maleje. Zabezpieczanie przed odgadnięciem poprzez odrzucanie zbyt łatwych haseł. 9 Sprawdzanie bierne. Klient inicjuje wymianę wysyłając pakiet inicjujący. 9 Sprawdzanie czynne. Serwer odpowiada numerem sekwencji. Wysyła również tzw. ziarno. Bezpieczne przechowywanie haseł. Po stronie klienta wyliczane jest hasło jednorazowe: 9 operator wprowadza tajne hasło, które jest łączone z ziarnem, 9 kilkakrotnie wykonywana jest funkcja mieszająca generująca dane wyjściowe (wg licznika powtórzeń), 9 dane wyjściowe przekształcane są do postaci czytelnej i prezentowane operatorowi. Zbigniew Suski BSI - uwierzytelnianie Hasła jednorazowe – system S/Key 8 (RFC 1760) 2 BSI - uwierzytelnianie Zbigniew Suski 9 Hasła jednorazowe Użytkownik Klient przesyła jednorazowe hasło do serwera. eru num ła nie has zyta c n e e ie rz wu adz 3 P dze row o p nie 6 W zyta c e rz 7 P W serwerze znajduje się plik zawierający dla każdego użytkownika jednorazowe hasło z poprzedniego pomyślnego logowania. Serwer jednokrotnie przepuszcza odebrane hasło jednorazowe przez funkcję mieszającą. Wynik powinien odpowiadać hasłu z poprzedniego logowania. Karta Weryfikacja metodą hasło - odzew 1 2 P Wy roś słan ie ba o n ide 4 um nty W er fika ys 5 z k tor łan W art a I ie ys D y n ł an um 8 i eh W eru y 9 as Po słan ła ie tw od ie rd ze ze wu ni Generowanie e re je hasła st ra cji System docelowy Zbigniew Suski Opracował: Zbigniew Suski BSI - uwierzytelnianie 10 Zbigniew Suski BSI - uwierzytelnianie 11 2 Bezpieczeństwo – uwierzytelnianie Hasła jednorazowe Hasła jednorazowe 1 Klient jest uwierzytelniony wobec serwera 1 Identyfikator użytkownika 5 Haslo jednorazowe PIN od e 3 K zow ora jedn aslo H Użytkownik 4 Karta z haslami jednokrotnego użytku Klient 2 6 Stacja robocza Ide nty fik Ha ato slo ru jed ży tko no raz wn ika ow e 2 Serwer jest uwierzytelniony wobec klienta Uwierzytelnianie za pomocą kart z haslami jednorazowymi 1: Uwierzytelnienie jednokierunkowe 1, 2: Uwierzytelnienie dwukierunkowe Serwer BSI - uwierzytelnianie Zbigniew Suski 12 Procedury uwierzytelniania X.509 IBM Compatible Serwer Uwierzytelnienie dwustronne BSI - uwierzytelnianie Zbigniew Suski 13 Tokeny Uwierzytelnianie jednokierunkowe. RSA SecureID 9 Nazwa nadawcy. 9 Nazwa odbiorcy. 9 Znaczniki czasu określające czas utworzenia i ważności wiadomości. 9 Liczba losowa wygenerowana przez nadawcę. 9 Podpis cyfrowy nadawcy. Vasco DigiPass 300 Uwierzytelnianie jednokierunkowe. Uwierzytelnianie jednokierunkowe. ActiveCard Plus BSI - uwierzytelnianie Zbigniew Suski 14 Kerberos - idea 2 15 Kerberos - komunikaty KERBEROS KLIENT BSI - uwierzytelnianie Zbigniew Suski ika w own iletó żytk ia b ja u wan zna trac y s rz je e gi p lu 1 R s u t do Bile CL>AS: CL, TGS, T2 AS>CL: {TGS, KCL,TGS, T2, L2 , {TGTCL,TGS}KAS,TGS }KCL CL>TGS: {SR, CL, T3 } KCL,TGS , {TGTCL,TGS}KAS,TGS TGS>CL: { KCL,SR, SR, T4, {BCL,SR }KSR,TGS }KCL,TGS CL>SR: {BCL,SR }KSR,TGS , { CL , T5 }KCL,SR SR>CL: { T5 + 1}KCL,SR Serwer uwierzytelniający 3 Bilet do uslugi przyznawania biletów 5 Bilet do uslugi Serwer przyznawania biletów 5 B ilet do u 6 U slug slug i a dla klien ta Serwer aplikacji Zbigniew Suski Opracował: Zbigniew Suski BSI - uwierzytelnianie 16 Zbigniew Suski BSI - uwierzytelnianie 17 3 Bezpieczeństwo – uwierzytelnianie Kerberos - atrybuty biletów Bilety początkowe (flaga INITIAL). Bilety nieważne (flaga INVALID) Bilety odnawialne (flaga RENEWABLE) Bilety postdatowane (flagi MAY_POSTDATE, POSTDATED) Bilety upełnomocniające się i upełnomocnione (flagi PROXIABLE i PROXY) Bilety przekazywalne (flagi FORWARDABLE i FORWARD) Zbigniew Suski Opracował: Zbigniew Suski BSI - uwierzytelnianie 18 4