***** 1 - TechDays

Report
Леонид Шапиро
MCT, MVP
ЦКО «Специалист»
Microsoft TechDays
http://www.techdays.ru
Что такое аутентификация
Важность аутентификации
Виды аутентификации
Проблемы аутентификации с помощью пароля
Что такое одноразовые пароли?
Технологии реализации
Методы аутентификации с использованием OTP-токенов.
Возможные атаки.
Программные и аппаратные OTP-токены SafeNet: eToken PASS,
eToken NG-OTP, MobilePASS и MobilePASS Messaging (практики
использования).
Заключение
Microsoft TechDays
http://www.techdays.ru
Идентификация – это процедура распознавания
пользователя по его идентификатору.
Аутентификация – процедура доказательства того, что
пользователь на самом деле является тем, за кого он
себя выдает.
Авторизация – процедура предоставления
пользователю определенных прав доступа к ресурсам
системы.
Microsoft TechDays
http://www.techdays.ru
Необходимо убедиться в том, что
пользователь является тем, за кого он
себя выдает.
Необходимо убедиться в том, что
устройство на другой стороне канала
является «своим».
Бессмысленно организовывать
защищенный канал связи, если
неизвестно кто находится с другой
стороны канала.
Microsoft TechDays
http://www.techdays.ru
Что предоставить для подтверждения
подлинности?
Фактор аутентификации — определенный вид
информации, предоставляемый субъектом
системе при его аутентификации.
Microsoft TechDays
http://www.techdays.ru
Многофакторная аутентификация - аутентификация, в процессе
которой используется несколько типов аутентификационных
факторов.
Метод аутентификации (метод регистрации) – специфика
использования определенного типа аутентификационных
факторов в процедуре аутентификации.
Комбинация нескольких методов аутентификации, например, если
служба аутентификации использует для аутентификации лицо и
голос пользователя, не является многофакторной
аутентификацией, так как оба используемых фактора относятся к
одному типу аутентификационных факторов — «на основе
биометрических данных».
Microsoft TechDays
http://www.techdays.ru
знает нечто
#e3Gr3!$FR
имеет нечто
обладает набором
индивидуальных черт
IP-адрес, данные
от радио-метки
находится в
определённом месте
Microsoft TechDays
http://www.techdays.ru
Просто реализовать
Не требует инфраструктуры PKI
Не требует внедрения дополнительных
программно-аппаратных средств
Можно использовать политики для
защиты
Microsoft TechDays
http://www.techdays.ru
Атака со словарем
Угадывание пароля
Социотехника
Принуждение
Подглядывание из-за плеча
Троянский конь
Microsoft TechDays
http://www.techdays.ru
Microsoft TechDays
http://www.techdays.ru
!AWZ!123yjgaX15
12ghVXG790Sy
Microsoft TechDays
http://www.techdays.ru
Парольная аутентификация, использующая запоминаемые
(многоразовые) пароли – НЕДОСТАТОЧНА!
Недоверенная среда передачи данных – возможен перехват сетевого
обмена
Извлечение данных для их повторного использования
Off-line анализ трафика аутентификации с целью восстановления
пароля
Недоверенные устройства доступа
Чужие компьютеры
Проблема аутентификации удаленного сервера
Фишинг
Человеческий фактор
Spyware, keyloggers и др.
Основные пути решения проблемы
Одноразовые пароли
PKI-технологии (закрытые ключи + сертификаты)
Microsoft TechDays
http://www.techdays.ru
Рост социальных медиа как
приложений для решения бизнесзадач.
Рабочее место перестает быть
твердо обозначенным.
Появляются новые мобильные
устройства.
Ожидания работников от
корпоративных IT меняются.
Как обеспечить аутентификацию?
Microsoft TechDays
http://www.techdays.ru
Одноразовые пароли (OTP, One-Time Passwords) — динамическая
аутентификационная информация, генерируемая для единичного
использования с помощью аутентификационных OTP-токенов
(программных или аппаратных).
OTP-токен — мобильное персональное устройство,
принадлежащее определённому пользователю, генерирующее
одноразовые пароли, используемые для аутентификации данного
пользователя.
Одноразовый пароль (OTP) неуязвим для атаки сетевого анализа
пакетов, что является значительным преимуществом перед
запоминаемыми паролями.
Аутентификация с использованием OTP, по сравнению с
аутентификацией по паролю, является аутентификацией с
использованием другого типа аутентификационных факторов —
аутентификацией «на основе обладания чем-либо.
Microsoft TechDays
http://www.techdays.ru
Для активации OTP-токена;
В качестве дополнительной информации, используемой при
генерации OTP;
Для предъявления серверу аутентификации вместе с OTP.
Когда дополнительно используется еще и PIN-код, в методе
аутентификации используются два типа аутентификационных
факторов, соответственно данный метод будет относиться
к
двухфакторной аутентификации.
Microsoft TechDays
http://www.techdays.ru
в виде карманного калькулятора;
в виде брелока;
в виде смарт-карты;
в виде устройства, комбинированного с USB-ключом;
в виде специального программного обеспечения для
карманных компьютеров, смартфонов, настольных
компьютеров.
Для генерации одноразовых паролей OTP-токены используют хэшфункции или криптографические алгоритмы:
симметричная криптография — в этом случае пользователь и
сервер аутентификации используют один и тот же секретный ключ;
асимметричная криптография— в этом случае в устройстве
хранится закрытый ключ, а сервер аутентификации использует
соответствующий открытый ключ.
Microsoft TechDays
http://www.techdays.ru
Метод «Запрос-ответ» (Challenge-response).
Метод «Только ответ» (Response only).
Метод «Синхронизация по времени» (Time synchronous).
Метод«Синхронизация по событию» (Event synchronous).
Microsoft TechDays
http://www.techdays.ru
- Хеш-функции
Аутентификационный сервер
и база данных аутентификации
Рабочая станция и ОТР-токен
Пользователь
(Test)
32415926
Test
32415926
32415926
27182818
27182818
27182818
Microsoft TechDays
27182818
http://www.techdays.ru
- Хеш-функции
Аутентификационный сервер
и база данных аутентификации
Рабочая станция и ОТР-токен
Пользователь
(Test)
29979246
66260689
Test 66260689
66260689
Microsoft TechDays
66260689
http://www.techdays.ru
- Хеш-функции
Аутентификационный сервер
и база данных аутентификации
Рабочая станция и ОТР-токен
Пользователь
(Test)
96823030
12:34
Test 96823030
96823030
Microsoft TechDays
96823030
http://www.techdays.ru
- Хеш-функции
Аутентификационный сервер
и база данных аутентификации
Рабочая станция и ОТР-токен
Пользователь
(Test)
59252459
Test 59252459
59252459
Microsoft TechDays
59252459
http://www.techdays.ru
Метод «Запрос-ответ» (Challenge-response) – сложно
для пользователя
Метод «Только ответ» (Response only) – проблема
рассинхронизации
Microsoft TechDays
http://www.techdays.ru
Атака «человек посередине»
Кража токена
Подбор PIN-кода
Извлечение значения секретного ключа из программного
аутентификационного токена
Подбор PIN-кода с использованием известных OTP
Нечестный администратор
Microsoft TechDays
http://www.techdays.ru
Описание атаки
Методы защиты
Человек
посередине
–
злоумышленник
перехватывает одноразовый пароль, посланный
законным пользователем, блокирует законного
пользователя,
использует
перехваченный
пароль
Использование метода «запрос-ответ».
Использование
вместо синхронных
одноразовых
паролей,
имеющих
легитимность в некотором периоде
времени,
одноразовых
паролей,
работающих по принципу запрос ответ.
Кража токена.
PIN коды в аутентификационных
токенах.
Ввод
PIN-кода
перед
генерацией OTP.
Подбор PIN-кода токена.
Блокирование
после
ввода
неправильного PIN-кода, увеличение
задержки
для
каждого
ввода
неправильного PIN-кода
Извлечение значения секретного ключа из
программного аутентификационного токена –
злоумышленник копирует программный токен,
пытается найти в нем секретный ключ, чтобы
использовать его под видом законного
пользователя.
PIN-код является частью секретного
ключа,
без
его
знания
нельзя
генерировать правильный OTP, даже
зная часть секретного ключа, который
хранится в программном токене.
Microsoft TechDays
http://www.techdays.ru
Описание атаки
Методы защиты
Подбор PIN-кода токена с помощью известных
OTP
–
злоумышленник
перехватывает
несколько правильных OTP, использованных
для входа в систему, копирует программный
аутентификационный токен, затем пытается
подобрать PIN, путем перебора возможных
значений,
используя
для
тестирования
пробного значения PIN перехваченные OTP.
Использование аппаратных токенов. В
этом случае трудно произвести перебор
PIN до момента обнаружения пропажи
токена владельцем.
Нечестный администратор аутентификацион- Разделение зон ответственности. В
ных токенов – злоумышленник является процессе
программирования
и
доверенным лицом.
активирования
токена
должны
участвовать
двое
или
более
сотрудников,
каждый
из
которых
выполняет строго ограниченный набор
операций.
Microsoft TechDays
http://www.techdays.ru
Что такое одноразовые пароли
Методы аутентификации с
использованием OTP-токенов
Возможные атаки и методы защиты
Заключение
Microsoft TechDays
http://www.techdays.ru
«Аутентификация теория и практика обеспечения
безопасного доступа к информационным ресурсам»
Москва 2009 ISBN 978-5-9912-0110-0
http://technet.microsoft.com/ru-ru/library/jj134229
http://technet.microsoft.com/en-us/library/ee809064.aspx
http://technet.microsoft.com/en-us/library/hh831379.aspx
http://www.aladdin-rd.ru/catalog/etoken/
Microsoft TechDays
http://www.techdays.ru
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft TechDays
http://www.techdays.ru

similar documents