Curso autenticacion robusta

Autenticación Robusta

Identificación digital

Cuatro conceptos fundamentales para la seguridad son:

-Autenticación:El servicio solo puede ser utilizado por las persona asignadaspara ello.-Autorización:El usuario del servicio tan solo puede realizar aquello paraLo que ha sido autorizado-Integridad:La información no ha sido “manipulada” desde su origenhasta su destino-Confidencialidad:La información ha sido protegido frente al resto de usuarios

Identificación Digital

¿Qué metodos podemos utilizar?

* Sistemas basados en claves de acceso! ALGO QUE SE SABE!

* Utilización de “prendas físicas”! ALGO QUE SE POSEE !

* Biometría !ALGO QUE SE ES !

* Combinación de los metodos anteriores


-Algo que sabemos:

Sistemas basados en claves de acceso

Basados en el conocimiento del par usuario/contraseña

Problemas:

* La clave debe de estar archivada en el equipo* Puede ser interceptada al enviarse o utilizarse* Pueden en ocasiones ser “predecibles”* Pueden ser “confiadas” a otras personas


Sin embargo:

Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o apliaciones. (Telnet, FTP, HTTP, Email, ...)

Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como:

•Longitud mínima de la contraseña•Complejidad de la contraseña (caracteres utilizados)•Vigencia de la contraseña


Claves de acceso

Ejemplo de configuración de la politica de contraseñas en laPlataforma Windows 2000/XP


Claves de acceso

Complejidad de la contraseña

-Debe de contener una combinación de letras, números y caracteres especiales

-No debe ser nunca una posible palabra de diccionario

-Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas

En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.


Claves de acceso

Complejidad de la contraseña

Combinación de letras, números y caracteres especiales

Como ejemplo, si utilizaramos el alfabeto (a..z) y los numeros naturales para construir la contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336

Un ordenador actual puede realizar todas estas combinaciones ! en menos de 2 minutos!


Claves de acceso

Ejemplo de descubrimiento por fuerza bruta.


Claves de acceso

En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...)

Por ello, seleccionar una contraseña de “diccionario”implica su descubrimiento ! en segundos !.


Claves de acceso:

El mayor problema surge en la actitud de muchos usuariosy su incapacidad de generar un password adecuado y ! recordarlo !

Así, es frecuente que los usuarios:

•Anoten y tengan “ a mano” las contraseñas que deben utilizar.•Traten de “evadir” la “complejidad” de la contraseña:

(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)

Contraseña para Enero: pepe01!Contraseña para Febrero: pepe02!


Claves de acceso: captura de las contraseñas

Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el parUsuario/password como control de acceso.

Estos servicios “no utilizan cifrado en la comunicación” por lo queSon facilmente interceptados mediante un sniffer (incluso utilizandoSwitchs en lugar de hubs).


Claves de acceso: recordar contraseñas

Utilizar la opción de “recordar” contraseñas en el equipo localpuede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)


Claves de acceso: Keyloggers

Existen también numerosas aplicaciones software/hardware que registran las pulsaciones efectuadas en el teclado

Identificación DigitalClaves de acceso: Keyloggers

Ejemplo de captura por “software” la sesión de un usuario:

Los passwords se pueden copiar, olvidar o perder. Alguien nos los

puede sustraer

Demasiados passwords para diferentes sitios causa stress


Claves de acceso, en resumen:


Sistemas basados en tokens

Basados en la posesión de una tarjeta, token, ...

Problemas:

* No prueba quien es la persona que tiene el token* No autorizan a los individuos, sino a los tokens* Si se extravía otra persona podría llegar a utilizarla

y la persona “legal” no puede acceder al servicio prestado * En ocasiones pueden ser falsificadas


contact smart card requiere introducirla en un lector con una conexión directa a un micromóduloconductor en la superficie de la tarjeta.Contactless card requiere proximidad al lector (unos 10 cm). Ambos (lector y tarjeta) tienen una antena y su comunicación se produce por radiofrecuencia. (RFID)

SmartCardDos categorías de SM: contact y contactless


SmartCard Caracteristicas del “chip”

- Una CPU entre 8 bit hasta 32 bits- ROM o Flash memory que contiene el chip del sistema operativo- RAM que sirve de almacenamiento temporal de datos- EEPROM que se usa para almacenamiento de datos de usuario- Al menos un puerto serie- Un generador números aleatorios- Timers- Opcionalmente un motor criptográfico- Controladores para otros dispositivos.


¿Qué ofrecen las tarjetas SmartCard?

Mayor nivel de seguridad.

– Autenticación.(Tarjeta y terminal están seguros de la identidad delotro). Se realiza, gracias a la existencia de procesadorescriptográficos simétricos (3DES) y/o asimétricos (PKI).– Identificación. (Verificación de la identidad de la tarjeta). Lavalidación del PIN se realiza en la propia tarjeta.– Integridad. (Asegurar que el mensaje no ha sido alterado).Utilizandoalgoritmos simétricos de criptografía.– No repudio. (Evitar la denegación de una transacción). Existiendo laposibilidad de realización de firmas con clave privada.


Contenido que puede ser almacenado en una smartcard

1. Combinación de usuario/password para diferentes servicios2. Credenciales de usuario y/password para S.O.1. Certificados Digitales2. Certificados Raiz


USBToken

- Similares a las smartcard, pero no requieren lector adicional,tan solo un puerto USB (previa instalación del driver y softwareCorrespondiente).

- Pueden almacenar valores de autenticación genéricos o Configurarse especificamentepara soporte PKI


USBToken

Configurados con soporte PKI permiten almacenar un certificado en formato PKCS12 (clave privada+clave pública) que permitirá

- Login automático- Certificado de usuario

para autenticación WEB y firma y cifrado de email


Sistemas basados en biometria

Basados en las características físicas de una persona

Problemas:

* Pueden ser engañados* Si el sistema “falla” podemos tener problemas para el acceso* Todavía son caros y requieren hardware especializado * Deben de combinarse con el uso de passwords o tokens

Biometria

• Es una tecnología de seguridad basada en el reconocimiento de una característica física para la AUTENTICACIÓN y AUTORIZACIÓN de las personas.

Ejemplo: la huella dactilar

Biometria

• INTRANSFERIBLE

• ESCALABLE (a nivel de software y de instalación)

• COMODO para el usuario ya que no debe recordar una multitud de passwords

• SEGURO: uno de los mejores métodos de autenticación en los sistemas informáticos

CARACTERÍSITICAS I

Biometria

• Soluciona el problema de la transferibilidad de los passwords

• Evita ataques de fuerza bruta

• El password biométrico es mucho más “robusto” que una contraseña

• Reconocer la responsabilidad del usuario en sus acciones

CARACTERÍSITICAS II

dispositivos Biométricos

FISIOLÓGICAS:

• Huella dactilar• Iris• Cara• Geometría de la mano• Retina• Forma de las venas• ADN

Se clasifican según la Tecnología Biométrica:

COMPORTAMENTALES:

• Voz• Forma de firmar• Forma de teclear

1 2 3 4

Biometria, huella dactilar

El proceso de Autenticación

Escáner

• Susceptibilidad de la superficie del sensor

• Desgaste de la superficie del sensor

• Susceptibilidad a las descargas electrostáticas

• Suciedad

• Durabilidad

• Tamaño

• Calidad de imagen

FACTORES QUE PROPORCIONAN FIABILIDAD:


Imagen de la huella

Crestas: son patrones concéntricos que forman topologías diferentes en forma de crestas y valles.

Punto central o núcleo se localiza en el centro aproximado de la impresión de la huella. Es el punto de referencia para la lectura y la clasificación de la huella.

Características Globales frente a locales:Dos individuos pueden tener las mismas características globales pero siempre tendrán diferentes características locales de la huella.

TERMINOLOGÍA I

Las características locales nos dejan distinguir entre dos individuos con características globales iguales.


Imagen de la huella

• Características globales aquellas que podemos identificar a simple vista. Las más destacadas son: espirales, arcos y lazos.

Área patrón: la parte de la huella digital que contiene todas las características globales.

• Características locales: son los puntos de minucia.

Puntos de minucia: Los puntos en los que finalizan las crestas, bifurcan, cambian de dirección, ... se llaman puntos de minucia

TERMINOLOGÍA II


Extracción de la minuciaUn algoritmo extrae minucias y las convierte en una representación numérica de algunos de los puntos individuales de la huella.

1. Crestas que finalizan y las crestas que crean bifurcaciones.

2. Orientación: cada punto de minucia se orienta en una dirección particular.

3. Frecuencia espacial: la frecuencia espacial se refiere a la densidad de las crestas en una superficie determinada.

4. Curvatura: referente al ratio de cambio de orientación de las crestas.

5. Posición: la posición de los puntos de minucia referentes a la localización en el plano x, y, y también en concordancia a los puntos fijos.

CARACTERÍSTICAS: Hay cinco características diferentes de puntos de minucia:


En el proceso de autenticación, los sistemas biométricos identifican o verifican al usuario.

1:n Identificación: El sistema busca una correspondencia entre n huellas en la base de datos, utilizando sólo la información de la huella

1:1 Verificación: El usuario se identifica con un PIN, una tarjeta o por otras medidas, y se compara la muestra suministrada con el patrón correspondiente a ese usuario

Correspondencia

La verificación 1:1 es más rápido, pero la identificación puede resultar más conveniente.



Ejemplo de la aplicación, captura de huellas digitales


Sistema de llave pública.

Clave privada: * utilizada para firmar un bloque de datos* Debe ser guardada en secreto

Clave pública: * utilizada para verificar la firma* Debe de darse a conocer a los demás.


Proceso de firma digital:

-El emisor realiza un “hash” del documento y lo firma con su clave privada.-Se envia el documento junto con el hash “firmado”.-El receptor “abre” el hash con la clave pública del emisor (verifica la firma)y realiza el hash sobre el documento.Si coinciden se garantiza la “integridad” del texto.


��

��

�� !��!�""�� #� ��$

�� %��#&��$ �� "�

'��(�� )��"��

� ��*

+(�� ,�+��,+�� +-��)��+'��)�� +'��&��%��+'��&��

Certificados Digitales.

Autoridades Certificadoras

+�� (�� #�� $ �� )��"+.��%�� % ��)�� % �%� �� "


�� (��# �� $ ��&�� !�� *

+.�� &�� +�� , �� +�� , �� ,�� ,��+.��%�� +"""""""""

�� #.�� ,�$ ��/.�


�� 0�� 0�� 1�� ,��(�� ,��-�

��(�� *

+�� %�� ,�� +/�� 2�%��+� ��,�� +/�� +3�� ,�� 1��


�� 4"567��8

'�� 0�� )��!�� *

+9)�� :� �,�+9)�� -� ��+(�%� ��+�� +�� :��+;�� )��+<� ��


-Ejemplo de Certificado de usuario X509

Sistemas OneTime Password

ActivCard

Consola de administración

ActivCard:

Definir conexión LDAP


ActivCard:

Definir consulta sobreConexión LDAP


ActivCard:

Definir el servidor yLa configuración Radius


ActivCard:

Configurar un gateway, “secreto Radius” yperfil de autorización y registro.


ActivCard:

Seleccionar grupo quetendra acceso (filtro delquery LDAP por atributo)y unirlo al gw anterior


ActivCard:

Importar fichero con laconfiguración de los tokens


ActivCard:

Asignar el token al usuario.


Documents

Curso autenticacion robusta