Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP ЦКО «Специалист»

Microsoft TechDayshttp:// Что такое аутентификация Важность аутентификации Виды аутентификации Проблемы аутентификации с помощью пароля Что такое одноразовые пароли? Технологии реализации Методы аутентификации с использованием OTP-токенов. Возможные атаки. Программные и аппаратные OTP-токены SafeNet: eToken PASS, eToken NG-OTP, MobilePASS и MobilePASS Messaging (практики использования). Заключение

Microsoft TechDayshttp:// Идентификация – это процедура распознавания пользователя по его идентификатору. Аутентификация – процедура доказательства того, что пользователь на самом деле является тем, за кого он себя выдает. Авторизация – процедура предоставления пользователю определенных прав доступа к ресурсам системы.

Microsoft TechDayshttp:// Необходимо убедиться в том, что пользователь является тем, за кого он себя выдает. Необходимо убедиться в том, что устройство на другой стороне канала является «своим». Бессмысленно организовывать защищенный канал связи, если неизвестно кто находится с другой стороны канала.

Microsoft TechDayshttp:// Что предоставить для подтверждения подлинности? Фактор аутентификации определенный вид информации, предоставляемый субъектом системе при его аутентификации.

Microsoft TechDayshttp:// Многофакторная аутентификация - аутентификация, в процессе которой используется несколько типов аутентификационных факторов. Метод аутентификации (метод регистрации) – специфика использования определенного типа аутентификационных факторов в процедуре аутентификации. Комбинация нескольких методов аутентификации, например, если служба аутентификации использует для аутентификации лицо и голос пользователя, не является многофакторной аутентификацией, так как оба используемых фактора относятся к одному типу аутентификационных факторов «на основе биометрических данных».

Microsoft TechDayshttp:// знает нечто имеет нечто обладает набором индивидуальных черт обладает набором индивидуальных черт #e3Gr3!$FR находится в определённом месте IP-адрес, данные от радио-метки

Microsoft TechDayshttp:// Просто реализовать Не требует инфраструктуры PKI Не требует внедрения дополнительных программно-аппаратных средств Можно использовать политики для защиты

Microsoft TechDayshttp:// Атака со словарем Угадывание пароля Социотехника Принуждение Подглядывание из-за плеча Троянский конь

Microsoft TechDayshttp://

!AWZ!123yjgaX15 12ghVXG790Sy

Microsoft TechDayshttp:// Парольная аутентификация, использующая запоминаемые (многоразовые) пароли – НЕДОСТАТОЧНА! Недоверенная среда передачи данных – возможен перехват сетевого обмена Извлечение данных для их повторного использования Off-line анализ трафика аутентификации с целью восстановления пароля Недоверенные устройства доступа Чужие компьютеры Проблема аутентификации удаленного сервера Фишинг Человеческий фактор Spyware, keyloggers и др. Основные пути решения проблемы Одноразовые пароли PKI-технологии (закрытые ключи + сертификаты)

Microsoft TechDayshttp:// Рост социальных медиа как приложений для решения бизнес- задач. Рабочее место перестает быть твердо обозначенным. Появляются новые мобильные устройства. Ожидания работников от корпоративных IT меняются. Как обеспечить аутентификацию?

Microsoft TechDayshttp:// Одноразовые пароли (OTP, One-Time Passwords) динамическая аутентификационная информация, генерируемая для единичного использования с помощью аутентификационных OTP-токенов (программных или аппаратных). OTP-токен мобильное персональное устройство, принадлежащее определённому пользователю, генерирующее одноразовые пароли, используемые для аутентификации данного пользователя. Одноразовый пароль (OTP) неуязвим для атаки сетевого анализа пакетов, что является значительным преимуществом перед запоминаемыми паролями. Аутентификация с использованием OTP, по сравнению с аутентификацией по паролю, является аутентификацией с использованием другого типа аутентификационных факторов аутентификацией «на основе обладания чем-либо.

Microsoft TechDayshttp:// Для активации OTP-токена; В качестве дополнительной информации, используемой при генерации OTP; Для предъявления серверу аутентификации вместе с OTP. Когда дополнительно используется еще и PIN-код, в методе аутентификации используются два типа аутентификационных факторов, соответственно данный метод будет относиться к двухфакторной аутентификации.

в виде карманного калькулятора; в виде брелока; в виде смарт-карты; в виде устройства, комбинированного с USB-ключом; в виде специального программного обеспечения для карманных компьютеров, смартфонов, настольных компьютеров.

Microsoft TechDayshttp:// Для генерации одноразовых паролей OTP-токены используют хэш- функции или криптографические алгоритмы: симметричная криптография в этом случае пользователь и сервер аутентификации используют один и тот же секретный ключ; асимметричная криптография в этом случае в устройстве хранится закрытый ключ, а сервер аутентификации использует соответствующий открытый ключ.

Microsoft TechDayshttp:// Метод «Запрос-ответ» (Challenge-response). Метод «Только ответ» (Response only). Метод «Синхронизация по времени» (Time synchronous). Метод«Синхронизация по событию» (Event synchronous).

Microsoft TechDayshttp:// Пользователь (Test) Test - Хеш-функции Рабочая станция и ОТР-токен Аутентификационный сервер и база данных аутентификации

Microsoft TechDayshttp:// Пользователь (Test) Test Хеш-функции Рабочая станция и ОТР-токен Аутентификационный сервер и база данных аутентификации

Microsoft TechDayshttp:// Пользователь (Test) Test Хеш-функции Рабочая станция и ОТР-токен Аутентификационный сервер и база данных аутентификации 12:34

Microsoft TechDayshttp:// Пользователь (Test) Test Хеш-функции Рабочая станция и ОТР-токен Аутентификационный сервер и база данных аутентификации

Microsoft TechDayshttp:// Метод «Запрос-ответ» (Challenge-response) – сложно для пользователя Метод «Только ответ» (Response only) – проблема рассинхронизации

Microsoft TechDayshttp:// Атака «человек посередине» Кража токена Подбор PIN-кода Извлечение значения секретного ключа из программного аутентификационного токена Подбор PIN-кода с использованием известных OTP Нечестный администратор

Microsoft TechDayshttp:// Описание атакиМетоды защиты Человек посередине – злоумышленник перехватывает одноразовый пароль, посланный законным пользователем, блокирует законного пользователя, использует перехваченный пароль Использование метода «запрос-ответ». Использование вместо синхронных одноразовых паролей, имеющих легитимность в некотором периоде времени, одноразовых паролей, работающих по принципу запрос ответ. Кража токена.PIN коды в аутентификационных токенах. Ввод PIN-кода перед генерацией OTP. Подбор PIN-кода токена.Блокирование после ввода неправильного PIN-кода, увеличение задержки для каждого ввода неправильного PIN-кода Извлечение значения секретного ключа из программного аутентификационного токена – злоумышленник копирует программный токен, пытается найти в нем секретный ключ, чтобы использовать его под видом законного пользователя. PIN-код является частью секретного ключа, без его знания нельзя генерировать правильный OTP, даже зная часть секретного ключа, который хранится в программном токене.

Microsoft TechDayshttp:// Описание атакиМетоды защиты Подбор PIN-кода токена с помощью известных OTP – злоумышленник перехватывает несколько правильных OTP, использованных для входа в систему, копирует программный аутентификационный токен, затем пытается подобрать PIN, путем перебора возможных значений, используя для тестирования пробного значения PIN перехваченные OTP. Использование аппаратных токенов. В этом случае трудно произвести перебор PIN до момента обнаружения пропажи токена владельцем. Нечестный администратор аутентификацион- ных токенов – злоумышленник является доверенным лицом. Разделение зон ответственности. В процессе программирования и активирования токена должны участвовать двое или более сотрудников, каждый из которых выполняет строго ограниченный набор операций.

Microsoft TechDayshttp:// Что такое одноразовые пароли Методы аутентификации с использованием OTP-токенов Возможные атаки и методы защиты Заключение

Microsoft TechDayshttp:// «Аутентификация теория и практика обеспечения безопасного доступа к информационным ресурсам» Москва 2009 ISBN

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.