1 / 82

Аутентификация пользователей

Аутентификация пользователей. Безмалый В.Ф. Microsoft Security Trusted Advisor MVP Consumer Security vladb@windowslive.com http://vladbez.spaces.live.com. Идентификация и аутентификация пользователей.

hans
Download Presentation

Аутентификация пользователей

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Аутентификация пользователей Безмалый В.Ф. Microsoft Security Trusted Advisor MVP Consumer Security vladb@windowslive.com http://vladbez.spaces.live.com

  2. Идентификация и аутентификация пользователей • Идентификация- это, с одной стороны, присвоение индивидуальных имен, номеров или специальных устройств (идентификаторов) субъектам и объектам системы, а, с другой стороны, - это их распознавание (опознавание) по присвоенным им уникальным идентификаторам. • Аутентификация - это проверка (подтверждение) подлинности идентификации субъекта или объекта системы. Цель аутентификации субъекта - убедиться в том, что субъект является именно тем, кем представился (идентифицировался).

  3. Способы аутентификации • путем проверки знания того, чего не знают другие (паролей, PIN-кодов, ключевых слов); • путем проверки владения тем, что относительно сложно отнять или передать (карточками, дискетами, ключевыми вставками и т.п.); • путем проверки уникальных физических характеристик и параметров (отпечатков пальцев, особенностей радужной оболочки глаз, формы кисти рук и т.п.) самих пользователей при помощи специальных биометрических устройств; • путем проверки рекомендации (сертификата, специального билета) от доверенного посредника.

  4. Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей • В рамках разрешительной системы (системы авторизации) допуска устанавливается: • кто, кому, при каких условиях, к каким ресурсам АС и на какие виды доступа может давать разрешения; • система санкционирования и разграничения доступа, которая предполагает определение для всех пользователей информационных и программных ресурсов, доступных им для чтения, модификации, удаления, выполнения и т.п.; • как реализуется процедура допуска. • Полномочия руководителей соответствующих степеней давать разрешения на допуск к решению тех или иных задач должны быть закреплены решениями (приказами) высшего руководства организации.

  5. Процедура авторизации сотрудников • Процедура регистрации (создания учетной записи) пользователя для сотрудника и предоставления ему прав доступа к ресурсам АС инициируется заявкой начальника подразделения. В заявке указывается: • содержание запрашиваемых изменений (регистрация нового пользователя АС, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам АС ранее зарегистрированного пользователя); • наименование подразделения, должность, фамилия, имя и отчество сотрудника; • имя пользователя (при изменении полномочий и прав доступа); • полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач).

  6. Хранение хаявок • Исполненная заявка передается в подразделение и хранится в архиве у ответственного за информационную безопасность подразделения (при его отсутствии - у руководителя подразделения). Копии исполненных заявок могут впоследствии использоваться: • для восстановления бюджетов и полномочий пользователей после аварий в АС; • для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам системы при разборе конфликтных ситуаций; • для проверки правильности настройки средств разграничения доступа к ресурсам системы.

  7. Требования к паролю вОС Windows • длина пароля должна составлять не менее 10 символов; • в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы; • время жизни пароля должно составлять не более 42 дней; • пароли не должны повторяться.

  8. Что такое парольный взломщик? • Наиболее эффективным является метод взлома парольной защиты операционной системы (в дальнейшем - ОС), при котором атаке подвергается системный файл, содержащий информацию о легальных пользователях и их паролях. • В ряде случаев злоумышленнику удается путем различных ухищрений получить в свое распоряжение файл с именами пользователей и их зашифрованными паролями. • И тогда ему на помощь приходят так называемые парольные взломщики - специализированные программы, которые служат для взлома паролей операционных систем.

  9. Как работает парольный взломщик? • Криптографические алгоритмы, применяемые для шифрования паролей пользователей в современных ОС, используют необратимое шифрование, что делает невозможным более эффективный алгоритм взлома, чем перебор возможных вариантов. • Парольные взломщики шифруют все пароли с использованием того же самого криптографического алгоритма, который применяется для их засекречивания в атакуемой ОС. • Данный способ позволяет взломать все пароли, если известно их представление в зашифрованном виде, и они содержат только символы из данного набора.

  10. Взлом по словарю • Для более эффективного подбора паролей взломщики используют специальные словари, которые представляют собой заранее сформированный список слов, наиболее часто используемых на практике в качестве паролей.(Большой набор словарей можно найти на сайте http://www.password.ru) • К каждому слову из словаря парольный взломщик применяет одно или несколько правил: • производится попеременное изменение буквенного регистра, в котором набрано слово; • порядок следования букв в слове меняется на обратный; • в начало и в конец каждого слова приписывается цифра 1; • некоторые буквы изменяются на близкие по начертанию цифры. В результате, например, из слова password получается pa55w0rd).

  11. Взлом операционных систем (на примере Windows 2000/XP/2003)

  12. База данных учетных записей пользователей • База данных SAM (SecurityAccountManagementDatabase) представляет собой один из разделов (hive) системного реестра (registry) Windows 2000/XP/2003. Этот раздел принадлежит ветви (subtree) HKEY_LOCAL_MACHINE и называется SAM. • Располагается в каталоге \winnt_root\System32\Config в файлеSAM. • Изменять записи, хранящиеся в базе данных SAM, при помощи программ, которые напрямую редактируют реестр Windows нельзя, т. к. доступ к базе данных SAM запрещен для всех без исключения категорий пользователей Windows XP/2003.

  13. Хранение паролей пользователей • В базе данных SAM каждый пароль пользователя обычно бывает представлен в виде двух 16-байтовых последовательностей, полученных разными методами (Windows 2000/XP/2003 и LAN). • В методе Windows 2000/XP/2003 строка символов пользовательского пароля хешируется с помощью функции MD4. В результате на выходе MD4 получается так называемая «выжимка» исходной последовательности, имеющая длину 128 бит.

  14. Хранение паролей пользователей • В итоге из введенного пользователем символьного пароля получается 16-байтовая последовательность - хешированный пароль Windows 2000/XP/2003. • Эта последовательность шифруется по DES-алгоритму, и результат шифрования сохраняется в базе данных SAM. • При этом в качестве ключа используется так называемый относительный идентификатор пользователя (RelativeIdentifier, сокращенно RID), который представляет собой автоматически увеличивающийся порядковый номер учетной записи данного пользователя в базе данных SAM.

  15. Возможные атаки на базу данных SAM • Основным объектом атаки являются административные полномочия. Их можно получить, узнав в хешированном или символьном виде пароль администратора системы, который хранится в базе данных SAM. • По умолчанию в Windows 2000/XP/2003 доступ к файлу \winnt_root\System32\Config\SAM заблокирован для всех без исключения ее пользователей. Тем не менее, с помощью программы NTBACKUP любой обладатель права на резервное копирование файлов и каталогов Windows 2000/XP/2003 может перенести этот файл.

  16. Возможные атаки на базу данных SAM • Резервную копию реестра можно также создать утилитой REGBAK из состава Windows NT ResourceKit. • Кроме того, несомненный интерес для любого взломщика представляют резервная копия файла SAM (SAM.SAV) в каталоге \winnt_root\System32\Config и сжатая архивная копия SAM (файл SAM._) в каталоге \winnt_root\Repair.

  17. Восстановление паролей в ОС Windows 200/XP/2003 • Для восстановления пользовательских паролей ОС Windows 2000/XP/2003 в символьном виде существуют специальные парольные взломщики. Они выполняют как прямой подбор паролей, так и поиск по словарю, а также используют комбинированный метод взлома парольной защиты, когда в качестве словаря задействуется файл с заранее вычисленными хешированными паролями, соответствующими символьным последовательностям, которые часто применяются в качестве паролей пользователей операционных систем.

  18. Задание параметров атаки по словарю • Обычное использование словаря; • Записанные дважды слова; • Обратный порядок символов слов; • Усеченные до заданного количества символов слова; • Слова без гласных, за исключением заглавной; • Транслитерация русских букв латинскими по заданной таблице транслитерации; • Замена раскладки локализации латинской раскладкой клавиатуры; • Замена латинской раскладки клавиатуры раскладкой локализации; • А также множество других параметров взлома.

  19. Расчет вероятности взлома пароля Windows 2000/XP/2003 • Согласно рекомендаций по безопасности Windows XP (ДержавнаекспертизазтехнічногозахистуінформаціїопераційноїсистемиWindows XP Professional SP2 (шифр - "ЕкспертизаWXPSP2") время жизни пароля (параметр политики паролей «Требовать неповторяемость паролей» (Enforce password history)) должен составлять 42 дня. • Согласно того же документа параметр «Минимальная длина пароля» (Minimum password lengths) должен составлять для АС (автоматизированной системы): • одиночного компьютера без локальной сети - 7 символов; • локальная сеть без выхода в Интернет - 8 символов; • сеть с выходом в Интернет - 12 символов.

  20. Время взлома пароля в сутках

  21. Вероятность взлома пароля

  22. Недостатки парольной аутентификации • пользователи часто применяют короткие легко подбираемые пароли; • во многих системах существуют многочисленные возможности перехвата паролей (серфинг на плече, запуск клавиатурных "шпионов", перехват в открытых сетях и т.д.).

  23. Классификация средств идентификации и аутентификации.

  24. Причины слабого распространения биометрических систем на Украине • стоимость подобных систем; • отсутствие хорошо подготовленного, профессионального, персонала; • сложность настройки подобных систем; • противодействие со стороны персонала, так как руководство получает возможность контролировать все перемещения персонала и фактически производить контроль рабочего времени.

  25. Недостатки биометрической аутентификации • проблема получения ключа из биометрических параметров; • возможность исключения из процесса аутентификации субъектов со скомпрометированным электронным аутентификатором; • относительно высокая стоимость реализации биометрических систем; • возможностью ошибок распознавания первого и второго рода (пропуск или ложная тревога); • возможность изготовления относительно дешевых муляжей для биопараметров.

  26. Особенности электронных систем идентификации и аутентификации • смарт-карта – требует для подключения к компьютеру PC/SC совместимое устройство чтения смарт-карт.; • USB-ключ – напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для её считывания.

  27. Решения для аутентификации - eToken Персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью. • Двухфакторная аутентификацияпользователей при доступе к защищенным ресурсам - компьютерам, сетям, приложениям (знать – PIN-код, иметь – смарт-карту) • Аппаратное выполнение криптографических операций в доверенной среде (в чипе смарт-карты: аппаратный датчик случайных чисел, генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функций, формирование ЭЦП) • Безопасное хранение криптографических ключей, данных пользователей, настроек приложенийи др. • Аутентификация в унаследованных (не PKI) приложениях • Решение проблемы «слабых» паролей • Мобильное хранение данных • Аутентификация по одноразовым паролям

  28. Решения для аутентификации - eToken

  29. eToken PRO (Java) Новое поколение USB-ключей и смарт-карт eToken, построенное на базе Java-карты с увеличенным объемом защищенной памяти для хранения пользовательских данных (72 Кб) и возможностью расширения функционала за счет загрузки дополнительных приложений (Java-апплетов). Выпускается в виде USB-ключа и смарт-карты.

  30. eToken NG-FLASH (Java) Комбинированный USB-ключ с дополнительным модулем Flash-памяти объёмом до 16 Гб для использования в системах информационной безопасности, сочетающий возможности смарт-карты и защищённого хранилища данных.

  31. eToken NG-OTP (Java) Комбинированный USB-ключ с генератором одноразовых паролей. Обладает всем функционалом электронных ключей eToken PRO (Java) для использования в PKI-системах и автономным режимом работы без подключения к компьютеру. Может быть использован в мобильных телефонах, смартфонах, а также обычных компьютерах, на которых отсутствуют или недоступны USB-порты (например, при работе в интернет-кафе или чужом офисе).

  32. eToken PASS Автономный генератор одноразовых паролей. Устройство не требует подключения к компьютеру и установки дополнительного программного обеспечения и может использоваться в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов, не имеющих USB-разъема или устройства чтения смарт-карт.

  33. Усиление функций безопасности

  34. eToken Network Logon • Назначение – усиление функций безопасности ОС Microsoft Windows • Двухфакторная аутентификация (eToken + PIN-код) • На локальном компьютере • В домене Microsoft Windows • Аутентификация: • По цифровым сертификатам • По регистрационному профилю пользователя (логин, пароль, имя домена)

  35. Назначение • Вход на компьютер и в сеть Windowsс использованием eToken • Регистрация пользователя по сложному паролю или цифровому сертификату • Блокирование компьютера при отсоединении eToken • Решение проблемы "слабых" паролей • Интеграция в инфраструктуру открытых ключей

  36. eTokenNetworkLogonобеспечивает • Двухфакторную аутентификацию пользователей на компьютере и в сети Windows с помощью USB-ключей или смарт-карт eToken; • Использование регистрационных имён и паролей для локального входа в систему или для входа в домен; • Использование цифровых сертификатов Х.509, сертификатов пользователя со смарт-картой и закрытых ключей для входа в домен; • Генерирование и последующее применение случайных паролей, неизвестных пользователю.

  37. Основные возможности • Безопасное хранение регистрационных данных пользователя в памяти eToken • Хранение нескольких профилей на одном устройстве • Генерация случайных паролей • Синхронизация с доменным паролем пользователя • Различные модели поведения при отключении eToken: • Блокировка рабочей станции • Log off

  38. Вход в систему

  39. Область применения eToken • Строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам Web-сайтов, защищенным хранилищам, шифрованным дискам и пр.; • Вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, Unix, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino); • Внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в Удостоверяющих центрах – хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты);

  40. Область применения eToken • Построение систем документооборота, защищённых почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) - ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей;

  41. Область применения eToken • Организация защищённых каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами; • Межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) – аутентификация пользователей;

  42. Область применения eToken • Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации; • Единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle – строгая двухфакторная аутентификация;

  43. Область применения eToken • Защита Web-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) – аутентификация пользователей, генерация ключей, обмен ключами; • Управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) - eToken является единым универсальным идентификатором для доступа к различным приложениям; • Поддержка унаследованных приложений и разработка собственных решений в области ИБ.

  44. USB-ключи, представленные на рынке • eToken R2, eToken PRO – компания Aladdin; • iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies; • ePass 1000 ePass 2000 – фирмаFeitian Technologies; • ruToken – разработка компании «Актив» и фирмы «АНКАД»; • uaToken - компания ООО «Технотрейд».

  45. Характеристики USB-ключей

  46. USB-ключи, представленные на рынке • eTokenPRO – компания Aladdin; • iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies; • ePass1000 ePass 2000 – фирма Feitian Technologies; • ruToken– разработка компании «Актив» и фирмы «АНКАД»; • uaToken- компания ООО «Технотрейд».

  47. Бесконтактные смарт-карты • Бесконтактные смарт-карты (БСК) используются в различных приложениях и широко распространены в мире как для аутентификации, так и для различных транспортных, идентификационных, расчетных и дисконтных приложений. • Важным свойством БСК, выделяющим ее среди других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты.

  48. Бесконтактные смарт-карты • Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. • С одной стороны это позволяет пользователю удобно и быстро произвести транзакцию, но с другой стороны при попадании карты в поле антенны, карта вовлекается в процесс обмена информацией, независимо от того желал этого пользователь или нет.

More Related