Bezpieczeństwo – uwierzytelnianie

Uwierzytelnianie
Materiały pomocnicze do wykładu

Bezpieczeństwo
systemów informatycznych

Uwierzytelnianie

Zbigniew Suski
BSI - uwierzytelnianie 1

Co to jest uwierzytelnianie? Słowniki haseł

Autentyczny (authentic) wg słownika Webstera: ‰ Wykaz nazw użytkowników, ich inicjałów, nazw
kont i innej informacji związanej z użytkownikiem.
Być rzeczywiście i dokładnie tym, czym się
twierdzi, że się jest. ‰ Wykaz słów z różnych słowników: imiona i ich
permutacje, nazwy miejsc, tytuły filmów i książek
Uwierzytelnianie (authentication) jest procesem
i postaci w nich występujących.
stwierdzania autentyczności czyli wiarygodności,
weryfikacji tożsamości użytkownika. ‰ Różne przekształcenia słów z kroku
poprzedniego.
Uwierzytelnianie na podstawie:
‰ Dowolne zamiany liter małych na duże i
‰ tego, co użytkownik wie,
odwrotnie.
‰ tego, co użytkownik posiada,
‰ Słowa w obcych językach dla użytkowników
‰ tego, kim użytkownik jest. obcokrajowców.

Zbigniew Suski
BSI - uwierzytelnianie 2 Zbigniew Suski
BSI - uwierzytelnianie 3

Łamanie haseł – program L0phtCrack Łamanie haseł – program nat

Zbigniew Suski
BSI - uwierzytelnianie 4 Zbigniew Suski
BSI - uwierzytelnianie 5

Opracował: Zbigniew Suski 1

Bezpieczeństwo – uwierzytelnianie

Łamanie haseł – program Pqwak Ochrona haseł

‰ Nadzorowanie haseł (wybór, pielęgnacja):

9 Komunikaty systemowe.
9 Wprowadzanie hasła.
9 Ograniczanie ilości prób rejestracji.
9 Starzenie się haseł.
9 Systemy z dwoma hasłami.
9 Minimalna długość hasła.
9 Blokowanie konta użytkownika.
9 Ochrona hasła administratora.
9 Generowanie hasła przez system.

Zbigniew Suski
BSI - uwierzytelnianie 6 Zbigniew Suski
BSI - uwierzytelnianie 7

Ochrona haseł Hasła jednorazowe – system S/Key (RFC 1760) 1

‰ Klient i serwer są wstępnie skonfigurowani tym samym hasłem

‰ Zabezpieczanie przed odgadnięciem poprzez oraz licznikiem iteracji. Licznik iteracji określa wymaganą ilość
powtórzeń funkcji mieszającej. Przy każdym logowaniu licznik
odrzucanie zbyt łatwych haseł. iteracji stronie klienta maleje.
9 Sprawdzanie bierne. ‰ Klient inicjuje wymianę wysyłając pakiet inicjujący.
9 Sprawdzanie czynne. ‰ Serwer odpowiada numerem sekwencji. Wysyła również tzw.
ziarno.
‰ Bezpieczne przechowywanie haseł.
‰ Po stronie klienta wyliczane jest hasło jednorazowe:
9 operator wprowadza tajne hasło, które jest łączone z ziarnem,
9 kilkakrotnie wykonywana jest funkcja mieszająca generująca
dane wyjściowe (wg licznika powtórzeń),
9 dane wyjściowe przekształcane są do postaci czytelnej i
prezentowane operatorowi.

Zbigniew Suski
BSI - uwierzytelnianie 8 Zbigniew Suski
BSI - uwierzytelnianie 9

Hasła jednorazowe – system S/Key (RFC 1760) 2 Hasła jednorazowe

Użytkownik
‰ Klient przesyła jednorazowe hasło do serwera.
1
eru 2 P Wy
‰ W serwerze znajduje się plik zawierający dla każdego num roś słan
nie ła ba ie
użytkownika jednorazowe hasło z poprzedniego pomyślnego zyta has o n ide
rzec e ie
n 4 um nty
3 P adz dze
wu W er fika
logowania. prow
nie
o 5
W
ys
łan z k tor
6 W zyta ys ie art a I
rze c 8 łan n um y D
‰ Serwer jednokrotnie przepuszcza odebrane hasło 7 P W ieh eru
9 y as
jednorazowe przez funkcję mieszającą. Wynik powinien Po słan ła
tw ie
ie od
odpowiadać hasłu z poprzedniego logowania. rd
ze
ze
wu
Karta ni
e Generowanie
re
je hasła
st
ra
cji
Weryfikacja metodą
hasło - odzew
System
docelowy

Zbigniew Suski
BSI - uwierzytelnianie 10 Zbigniew Suski
BSI - uwierzytelnianie 11

Opracował: Zbigniew Suski 2

Bezpieczeństwo – uwierzytelnianie

Hasła jednorazowe Hasła jednorazowe

1 Klient jest uwierzytelniony
1 Identyfikator wobec serwera
użytkownika
5 Haslo 2 Klient
PIN Ide
od e jednorazowe nty
3 K zow 6 fik
ora Ha ato
jedn slo ru
Haslo Użytkownik Stacja jed ży
tko
4 no
raz wn
robocza ow ika
e

Karta z haslami
jednokrotnego 2 Serwer jest uwierzytelniony IBM Compatible

użytku
Uwierzytelnianie za wobec klienta
pomocą kart z haslami Serwer
jednorazowymi 1: Uwierzytelnienie jednokierunkowe
1, 2: Uwierzytelnienie dwukierunkowe Uwierzytelnienie
Serwer dwustronne

Zbigniew Suski
BSI - uwierzytelnianie 12 Zbigniew Suski
BSI - uwierzytelnianie 13

Procedury uwierzytelniania X.509 Tokeny

‰ Uwierzytelnianie jednokierunkowe.
RSA
9 Nazwa nadawcy.
SecureID
9 Nazwa odbiorcy.
9 Znaczniki czasu określające czas utworzenia i
ważności wiadomości.
9 Liczba losowa wygenerowana przez nadawcę.
9 Podpis cyfrowy nadawcy.
Vasco
‰ Uwierzytelnianie jednokierunkowe.
DigiPass 300
‰ Uwierzytelnianie jednokierunkowe. ActiveCard Plus

Zbigniew Suski
BSI - uwierzytelnianie 14 Zbigniew Suski
BSI - uwierzytelnianie 15

Kerberos - idea Kerberos - komunikaty

KERBEROS CL>AS: CL, TGS, T2

ika w
AS>CL: {TGS, KCL,TGS, T2, L2 , {TGTCL,TGS}KAS,TGS }KCL
own iletó
żytk ia b
ja u wan
jestrac rz yzna
1 R
e
slu gi p Serwer uwierzytelniający
u
t do
KLIENT 2 Bile
CL>TGS: {SR, CL, T3 } KCL,TGS , {TGTCL,TGS}KAS,TGS
3 Bilet do uslugi przyznawania biletów
5 Bilet do uslugi TGS>CL: { KCL,SR, SR, T4, {BCL,SR }KSR,TGS }KCL,TGS
Serwer przyznawania biletów
5 B
ilet
do u
6 U slug
slug
a dla
klien
i
CL>SR: {BCL,SR }KSR,TGS , { CL , T5 }KCL,SR
ta

SR>CL: { T5 + 1}KCL,SR
Serwer aplikacji

Zbigniew Suski
BSI - uwierzytelnianie 16 Zbigniew Suski
BSI - uwierzytelnianie 17

Opracował: Zbigniew Suski 3

Bezpieczeństwo – uwierzytelnianie

Kerberos - atrybuty biletów

‰ Bilety początkowe (flaga INITIAL).

‰ Bilety nieważne (flaga INVALID)
‰ Bilety odnawialne (flaga RENEWABLE)
‰ Bilety postdatowane
(flagi MAY_POSTDATE, POSTDATED)
‰ Bilety upełnomocniające się i upełnomocnione
(flagi PROXIABLE i PROXY)
‰ Bilety przekazywalne
(flagi FORWARDABLE i FORWARD)

Zbigniew Suski
BSI - uwierzytelnianie 18

Opracował: Zbigniew Suski 4