двухфакторной аутентификации.
advertisement
Леонид Шапиро MCT, MVP ЦКО «Специалист» Microsoft TechDays http://www.techdays.ru Что такое аутентификация Важность аутентификации Виды аутентификации Проблемы аутентификации с помощью пароля Что такое одноразовые пароли? Технологии реализации Методы аутентификации с использованием OTP-токенов. Возможные атаки. Программные и аппаратные OTP-токены SafeNet: eToken PASS, eToken NG-OTP, MobilePASS и MobilePASS Messaging (практики использования). Заключение Microsoft TechDays http://www.techdays.ru Идентификация – это процедура распознавания пользователя по его идентификатору. Аутентификация – процедура доказательства того, что пользователь на самом деле является тем, за кого он себя выдает. Авторизация – процедура предоставления пользователю определенных прав доступа к ресурсам системы. Microsoft TechDays http://www.techdays.ru Необходимо убедиться в том, что пользователь является тем, за кого он себя выдает. Необходимо убедиться в том, что устройство на другой стороне канала является «своим». Бессмысленно организовывать защищенный канал связи, если неизвестно кто находится с другой стороны канала. Microsoft TechDays http://www.techdays.ru Что предоставить для подтверждения подлинности? Фактор аутентификации — определенный вид информации, предоставляемый субъектом системе при его аутентификации. Microsoft TechDays http://www.techdays.ru Многофакторная аутентификация - аутентификация, в процессе которой используется несколько типов аутентификационных факторов. Метод аутентификации (метод регистрации) – специфика использования определенного типа аутентификационных факторов в процедуре аутентификации. Комбинация нескольких методов аутентификации, например, если служба аутентификации использует для аутентификации лицо и голос пользователя, не является многофакторной аутентификацией, так как оба используемых фактора относятся к одному типу аутентификационных факторов — «на основе биометрических данных». Microsoft TechDays http://www.techdays.ru знает нечто #e3Gr3!$FR имеет нечто обладает набором индивидуальных черт IP-адрес, данные от радио-метки находится в определённом месте Microsoft TechDays http://www.techdays.ru Просто реализовать Не требует инфраструктуры PKI Не требует внедрения дополнительных программно-аппаратных средств Можно использовать политики для защиты Microsoft TechDays http://www.techdays.ru Атака со словарем Угадывание пароля Социотехника Принуждение Подглядывание из-за плеча Троянский конь Microsoft TechDays http://www.techdays.ru Microsoft TechDays http://www.techdays.ru !AWZ!123yjgaX15 12ghVXG790Sy Microsoft TechDays http://www.techdays.ru Парольная аутентификация, использующая запоминаемые (многоразовые) пароли – НЕДОСТАТОЧНА! Недоверенная среда передачи данных – возможен перехват сетевого обмена Извлечение данных для их повторного использования Off-line анализ трафика аутентификации с целью восстановления пароля Недоверенные устройства доступа Чужие компьютеры Проблема аутентификации удаленного сервера Фишинг Человеческий фактор Spyware, keyloggers и др. Основные пути решения проблемы Одноразовые пароли PKI-технологии (закрытые ключи + сертификаты) Microsoft TechDays http://www.techdays.ru Рост социальных медиа как приложений для решения бизнесзадач. Рабочее место перестает быть твердо обозначенным. Появляются новые мобильные устройства. Ожидания работников от корпоративных IT меняются. Как обеспечить аутентификацию? Microsoft TechDays http://www.techdays.ru Одноразовые пароли (OTP, One-Time Passwords) — динамическая аутентификационная информация, генерируемая для единичного использования с помощью аутентификационных OTP-токенов (программных или аппаратных). OTP-токен — мобильное персональное устройство, принадлежащее определённому пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя. Одноразовый пароль (OTP) неуязвим для атаки сетевого анализа пакетов, что является значительным преимуществом перед запоминаемыми паролями. Аутентификация с использованием OTP, по сравнению с аутентификацией по паролю, является аутентификацией с использованием другого типа аутентификационных факторов — аутентификацией «на основе обладания чем-либо. Microsoft TechDays http://www.techdays.ru Для активации OTP-токена; В качестве дополнительной информации, используемой при генерации OTP; Для предъявления серверу аутентификации вместе с OTP. Когда дополнительно используется еще и PIN-код, в методе аутентификации используются два типа аутентификационных факторов, соответственно данный метод будет относиться к двухфакторной аутентификации. Microsoft TechDays http://www.techdays.ru в виде карманного калькулятора; в виде брелока; в виде смарт-карты; в виде устройства, комбинированного с USB-ключом; в виде специального программного обеспечения для карманных компьютеров, смартфонов, настольных компьютеров. Для генерации одноразовых паролей OTP-токены используют хэшфункции или криптографические алгоритмы: симметричная криптография — в этом случае пользователь и сервер аутентификации используют один и тот же секретный ключ; асимметричная криптография— в этом случае в устройстве хранится закрытый ключ, а сервер аутентификации использует соответствующий открытый ключ. Microsoft TechDays http://www.techdays.ru Метод «Запрос-ответ» (Challenge-response). Метод «Только ответ» (Response only). Метод «Синхронизация по времени» (Time synchronous). Метод«Синхронизация по событию» (Event synchronous). Microsoft TechDays http://www.techdays.ru - Хеш-функции Аутентификационный сервер и база данных аутентификации Рабочая станция и ОТР-токен Пользователь (Test) 32415926 Test 32415926 32415926 27182818 27182818 27182818 Microsoft TechDays 27182818 http://www.techdays.ru - Хеш-функции Аутентификационный сервер и база данных аутентификации Рабочая станция и ОТР-токен Пользователь (Test) 29979246 66260689 Test 66260689 66260689 Microsoft TechDays 66260689 http://www.techdays.ru - Хеш-функции Аутентификационный сервер и база данных аутентификации Рабочая станция и ОТР-токен Пользователь (Test) 96823030 12:34 Test 96823030 96823030 Microsoft TechDays 96823030 http://www.techdays.ru - Хеш-функции Аутентификационный сервер и база данных аутентификации Рабочая станция и ОТР-токен Пользователь (Test) 59252459 Test 59252459 59252459 Microsoft TechDays 59252459 http://www.techdays.ru Метод «Запрос-ответ» (Challenge-response) – сложно для пользователя Метод «Только ответ» (Response only) – проблема рассинхронизации Microsoft TechDays http://www.techdays.ru Атака «человек посередине» Кража токена Подбор PIN-кода Извлечение значения секретного ключа из программного аутентификационного токена Подбор PIN-кода с использованием известных OTP Нечестный администратор Microsoft TechDays http://www.techdays.ru Описание атаки Методы защиты Человек посередине – злоумышленник перехватывает одноразовый пароль, посланный законным пользователем, блокирует законного пользователя, использует перехваченный пароль Использование метода «запрос-ответ». Использование вместо синхронных одноразовых паролей, имеющих легитимность в некотором периоде времени, одноразовых паролей, работающих по принципу запрос ответ. Кража токена. PIN коды в аутентификационных токенах. Ввод PIN-кода перед генерацией OTP. Подбор PIN-кода токена. Блокирование после ввода неправильного PIN-кода, увеличение задержки для каждого ввода неправильного PIN-кода Извлечение значения секретного ключа из программного аутентификационного токена – злоумышленник копирует программный токен, пытается найти в нем секретный ключ, чтобы использовать его под видом законного пользователя. PIN-код является частью секретного ключа, без его знания нельзя генерировать правильный OTP, даже зная часть секретного ключа, который хранится в программном токене. Microsoft TechDays http://www.techdays.ru Описание атаки Методы защиты Подбор PIN-кода токена с помощью известных OTP – злоумышленник перехватывает несколько правильных OTP, использованных для входа в систему, копирует программный аутентификационный токен, затем пытается подобрать PIN, путем перебора возможных значений, используя для тестирования пробного значения PIN перехваченные OTP. Использование аппаратных токенов. В этом случае трудно произвести перебор PIN до момента обнаружения пропажи токена владельцем. Нечестный администратор аутентификацион- Разделение зон ответственности. В ных токенов – злоумышленник является процессе программирования и доверенным лицом. активирования токена должны участвовать двое или более сотрудников, каждый из которых выполняет строго ограниченный набор операций. Microsoft TechDays http://www.techdays.ru Что такое одноразовые пароли Методы аутентификации с использованием OTP-токенов Возможные атаки и методы защиты Заключение Microsoft TechDays http://www.techdays.ru «Аутентификация теория и практика обеспечения безопасного доступа к информационным ресурсам» Москва 2009 ISBN 978-5-9912-0110-0 http://technet.microsoft.com/ru-ru/library/jj134229 http://technet.microsoft.com/en-us/library/ee809064.aspx http://technet.microsoft.com/en-us/library/hh831379.aspx http://www.aladdin-rd.ru/catalog/etoken/ Microsoft TechDays http://www.techdays.ru © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Microsoft TechDays http://www.techdays.ru
