Upload
halla-sykes
View
29
Download
0
Embed Size (px)
DESCRIPTION
Felhasználó-azonosítás alternatívái eLearning rendszerekben. Bodnár Károly, Dr. Ködmön József, Kristóf Zsolt Debreceni Egyetem Egészségügyi Kar Nyíregyháza. Tartalom. Bevezetés A jelszavak tulajdonságai Kriptográfiai alapok A jelszó helyes működése - PowerPoint PPT Presentation
Citation preview
Felhasználó-azonosítás alternatívái eLearning rendszerekben
Bodnár Károly, Dr. Ködmön József, Kristóf ZsoltDebreceni Egyetem Egészségügyi Kar Nyíregyháza
Tartalom
1. Bevezetés2. A jelszavak tulajdonságai3. Kriptográfiai alapok4. A jelszó helyes működése 5. A jelszavas azonosítás
kompromittálódásának lehetőségei6. Gyakori problémák a jelszavakkal7. A jelszavas felhasználó-azonosítás
alternatívái
1. Bevezetés
a hálózatban működő megoldások térnyerése miatt, megnőtt a felhasználó-azonosítási hibákból eredő károkozás lehetősége
nagy tömegű személyes adatot mindössze egyetlen jelszó véd
még informatikai szakemberek körében is előfordulnak téves elképzelések a jelszó használatáról, még több gondot okoz a felhasználók képzetlenségből eredő felelőtlensége
2. A jelszavak tulajdonságai
titkosság - könnyű megjegyezhetőség (Itt kezdődnek a problémák.)
Az ideálisan jó jelszó tulajdonságai legalább 8-10 karakter hosszúak, nem tartalmaznak értelmes szavakat, kifejezéseket, tartalmaznak különféle betűket, számokat és egyéb jeleket
is, könnyen megjegyezhetők, rendszeresen megváltoztatják őket.
egyik megoldás a jelszó megjegyzésére „Még nyílnak a völgyben a kerti virágok” – MNaVaKV?159
a keresztnevekből és dátumokból álló jelszavak, az elfogadhatatlanul rossz kategóriába tartoznak
a jelszavas azonosítás gyengeségeit kihasználó szoftverek
Mi lehet a megfelelő megoldás a felhasználók
azonosítására?
A jó megoldás három elemű: Komplex szemlélet: fizikai, algoritmusos és
ügyviteli védelem együttes alkalmazása. A felhasználók és üzemeltetők megfelelő
tájékoztatása, képzése. A „valamivel rendelkezik, és valamit tud” elv
alkalmazása a felhasználó-azonosításban.
3. Kriptográfiai alapok
Legfontosabb elemek: Az f egyirányú függvény (lavina hatás, f(x) hossz) Véletlenszám generátor Bizonyítási módszer (Nullaismeretű bizonyítás - ZKP)
4. Jelszó működése 1.
f(x + s) = h
f egyirányú függvény
s véletlen szám (salt)
SAM
. . .
hsbodnark
h4s4Dave
h3s3Carol
h2s2Bob
h1s1Alice
HSALTNÉV
Jelszó tárolása
4. Jelszó működése 2.
SAM
. . .
hsbodnark
h4s4Dave
h3s3Carol
h2s2Bob
h1s1Alice
HSALTNÉV
Jelszó ellenőrzése
f(x + s) = h1
Ha hHa h11= h, jelszó elfogadva.= h, jelszó elfogadva.
4. Jelszó működése 3. - nyilvánosság
Mivel a jelszó működésének leírása általában nem nyilvános, ezért nem lehetünk biztosak abban, hogy az egyes informatikai alkalmazásokban a fent ismertetett módszert használják. Különösen problémás lehet a speciális fájlok (például Office csomag fájljai, Acrobat pdf fájlok ) felhasználási jogosultságát kezelő jelszavak konstrukciója, ahol az üzenetkivonat és a salt tárolása – a hordozhatóság miatt – kizárólag magában a fájlban lehetséges.
Nagy biztonsági kockázatot jelenthet az egyedi gyártók által készített eLearning rendszerek és egyéb más alkalmazott szoftverek jelszóellenőrző megoldásainak működése, amelyek általában szintén nem nyilvánosak.
Egy információbiztonsági megoldás akkor számít kielégítő minőségűnek, ha ismert, hosszú időn keresztül kifogástalanul működő módszereket és algoritmusokat alkalmaz. Ha egy biztonsági megoldás működését senki sem ismeri, akkor megengedhetetlenül nagy kockázatot jelenthet számukra.
Mivel tökéletes biztonság nem létezik, csak a szakmai nyilvánosság jelenthet kielégítő biztonsági garanciát.
5. A jelszavas azonosítás kompromittálódásának lehetőségei
Megszerezhető a jelszót birtokló személytől (könnyű?!könnyű?!).
Megszerezhető az azonosítást végző rendszerből (könnyűnek látszik!könnyűnek látszik!). Billentyűzet figyelése (szoftver, szem). Próbálgatás
Kimerítő (primitív) próbálgatás,
Kimerítő (primitív) próbálgatásKimerítő (primitív) próbálgatás
95 nyomtatható karakterből álló „jó”,8 hosszúságú jelszó feltörése6,6·1015 összehasonlítás, ami 210 év(106 összehasonlítás/sec.)
5 karakteres jelszó 2,1 óra
26 kisbetűből álló, 8 betűs jelszó 2,4 nap
26 kisbetűből álló, 5 betűs jelszó 12 sec.
5. A jelszavas azonosítás kompromittálódásának lehetőségei Megszerezhető a jelszót birtokló személytől
(könnyű!?könnyű!?). Megszerezhető az azonosítást végző rendszerből
(könnyűnek látszik!könnyűnek látszik!). Billentyűzet figyelése (szoftver, szem). Próbálgatás
Kimerítő (primitív) próbálgatás, Szótáras próbálgatás.
Feltételek:Feltételek: SAM fájl birtoklása és szerkezetének ismerete,SAM fájl birtoklása és szerkezetének ismerete, A használt egyirányú függvény ismerete.A használt egyirányú függvény ismerete.
A A SAMSAM fájl 1. fájl 1.
A A SAMSAM fájl 2. fájl 2.
Kockázatos a jelszó!?
A jelszó feltörését gyakran a legnagyobb biztonsági kockázatnak tartják. A fentiekből azonban látható, hogy ez nem így van, hiszen ehhez igen jelentős szakértelem, naprakész ismeretanyag szükséges, nem elegendő beszerezni egy kellően nagy teljesítményű szoftvert, ahogyan azt egyes szoftvergyártók állítják.
Az igazi nagy kockázatot a felhasználók, és üzemeltetők felelőtlensége, hanyagsága és képzetlensége, röviden az emberi tényező jelenti.
6. Gyakori problémák a jelszavakkal
komoly kockázatot jelent a túl rövid vagy értelmes szavakat is tartalmazó jelszó
az üzemeltető rendszergazdák lehetőségei és felelősségük a rossz megoldások kezelésére ki lehetne egészíteni a beléptető
rendszert egy jelszóminősítő résszel, ami kikényszerítené a minimális jelszó feltételeket
Egy 2006-ban készült reprezentatív felmérés eredménye: az átlagos jelszavak 7-8 karakter hosszúak, 57,9 százalékuk tartalmaz személynevet vagy értelmes szót, 77,6 százalékuk számot, 14,1 százalékuk kis- és nagybetűket is, csak 2,1 százalékukban van az előző kategóriáktól eltérő karakter mindössze 1 százalékot tett ki azoknak a száma, akik a jelszóadás
alapszabályai szerint jártak el az irodai alkalmazottak negyede feljegyzi jelszavát,
15,5 százalékuk valahol a számítógépén, 13,9 százalékuk külső eszközön
több, mint harmada igenis használja a különféle hálózati alkalmazások jelszómegjegyző funkcióját.
7. A jelszavas felhasználó-azonosítás alternatívái
Jelmondat (passphrase)? „Valamit tud és valamivel rendelkezik” elv
alkalmazása (pl. PIN+bankkártya) Az előbbi elv és a ZKP módszer alkalmazása
(Dinamikus jelszó)
Felhasználó(kif. vagy képlet)
Szerver(kif. vagy képlet)
Felhasználó azonosítás
1. jelszó
2. véletlen szám
3. eredményIntelligens
kártya
7. A jelszavas felhasználó-azonosítás alternatívái
A mobiltelefonok tartalmaznak intelligens kártyát (SIM) - a dinamikus jelszó egy változata a mobil aláírás
Biometrikus azonosítás:felhasználónév + biometrikus adat (Ujjlenyomat, stb.) Viszonylag magas költségek, Bizonytalanságok a biometrikus jelek olvasásában,
összehasonlításában Előny: elkerülhető a jelszó vagy PIN.
Tokenes azonosítás: Két komponensű azonosítás PIN és TOKEN használata Azonosítás: Felhasználó név és PASSKÓD (maximum 1 percig!)
PASSKÓD = PIN + TOKENKÓD A TOKEN lehet mobil eszköz: telefon, PDA, …!
Pénzügyi szféra