2012

Uživatelé a jejich hesla 12IPG

2011/2012

Hesla, 12IPG, J. Blažej, 2011/2012

osnova 

autentizace



nebezpečí odcizení identity



hesla



doporučené praktiky


Autentizace (v oblasti IT) 

 

Autentizace – proces ověřování proklamované identity subjektu (uživatele, procesu, ...) výsledkem autentizace je autenticita synonyma jako autentifikace nebo autentikace se nedoporučují, přesto se s nimi můžeme setkat


Autentizace – metody 







Co znám – kombinace jména a hesla (ev. PINu), gesto Co mám – ověřitelný hardwarový prostředek (klíč, softwarový klíč (médium), RFID karta, NFC čip, autentizační kalkulátor, mobil, ...) Jaký jsem – ověřitelné biometrické vlastnosti (otisk prstu, vzhled oční duhovky, vzhled sítnice, invariant pohybu, ...) Co umím – ověřitelná reakce (odpověď na náhodně vygenerovaný kontrolní dotaz, ...) Hesla, 12IPG, J. Blažej, 2011/2012

Autentizace – používané metody 

V „důležitých“ případech mohou být kombinovány − − − −

bankovnictví google (zdvojená autentizace, přihlašování z jiného místa planety) facebook (přihlašování z jiného místa planety) ... Hesla, 12IPG, J. Blažej, 2011/2012

ČSN ISO/IEC 17799 

Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací


Autentizace – problémy metod 

Co znám – mohu zapomenout



Co mám – mohu pozbýt



Jaký jsem – mohu mít úraz, onemocnět



Co umím – mohu být zmaten, indisponován


Autentizace – ohrožení metod 

Co znám – může být prozrazeno



Co mám – může být ukradeno



Jaký jsem – může být napodobeno? zatím těžko Co umím – může se naučit někdo jiný 




Autentizace dnes 

Hesla zatím stále zůstávají nejčastěji používanou metodou


Ověřování správnosti hesla lokální systém 1/2 heslo zadané uživatelem

(zaheslovaná) databáze hesel

Už snad nikde (win95, .pwl soubory)


Ověřování správnosti hesla lokální systém 2/2 heslo zadané uživatelem

hashovací algoritmus

hash (krátký otisk)

databáze hashů


Ověřování správnosti hesla vzdálený systém 1/2 heslo zadané uživatelem

zabezpečené spojení

hashovací algoritmus hash (krátký otisk)

databáze hashů


Ověřování správnosti hesla vzdálený systém 2/2 heslo zadané uživatelem

hashovací algoritmus

hash (krátký otisk)

databáze hashů

zabezpečené spojení


Hashovací algoritmy 



LM, NTLM, NTLMv2, MD2, MD4, MD5, SHA1, SHA-2, RIPEMD-160, MySQL v.3.23, MySQL SHA1, Cisco PIX mnoho z nich má popsané bezpečnostní problémy


Vlastnosti hashe 





Vede na stejně dlouhý otisk bez ohledu na délku hesla Malá změna vstupu vyvolá velkou změnu otisku Není znám opačný algoritmus generující z otisku všechny možné vstupy


Vlastnosti hashe 2 



Není znám algoritmus vedoucí k formulaci jiné správy se stejným hashem Není znám algoritmus vedoucí k vygenerování dvojice zpráv s blízkým hashem (shoda u MD5, postup u SHA1)


Transport Layer Security  

TSL, SSL využití asymetrické šifry pro zabezpečení na úrovni transportní vrstvy


RSA (Rivest, Shamir, Adleman) 













Mějme dvě různá velká náhodná prvočísla p a q. Jejich součin n = pq.



p = 61; q = 53



n = pq = 3233 (modul, veřejný)



Hodnotu Eulerovy funkce φ(n) = (p − 1)(q − 1). Zvolme celé číslo e menší než φ(n), které je s φ(n) nesoudělné.



Nalezne číslo d tak, aby platilo de ≡ 1 (mod φ(n)). Jestli e je prvočíslo tak d = (1+r*φ(n))/e, kde r = [(e-1)φ(n)^(e-2)]

e = 17 (veřejný, šifrovací exponent - číslo menší a nesoudělné s φ(n)=60×52=3120) d = 2753 (soukromý, dešifrovací exponent - tak aby de ≡ 1 (mod φ(n)))



F(123) = 12317 mod 3233 = 855



F'(855) = 8552753 mod 3233 = 123

Klíč: (n,e) a d Hesla, 12IPG, J. Blažej, 2011/2012

V principu nebezpečné protokoly 

FTP



SCP



POP3



POP3 a SSL



HTTP



HTTPS



Telnet



SSH

pro jejich nezbytné použití má smysl mít „heslo nižší bezpečnosti“ viz nastavení nms.fjfi.cvut.cz


ukázka 

Jak poznat důvěryhodné SSL (TSL) spojení?



Kdy věřit digitálním podpisům?


Hesla, obecná pravidla 

Jiný systém – jiné heslo



Dlouho stejné heslo – větší šance prozrazení



Logické důsledky: − −

Jak si pamatovat spoustu hesel? Jak si je pamatovat, když je navíc musím stále měnit? Hesla, 12IPG, J. Blažej, 2011/2012

Pokud jste na svém počítači 

Databáze v prohlížeči



Řešení typu programu SuperGenPass



Bezpečné „úložiště“

– vše pak leží na bezpečnostní frázi


Doporučené postupy 

Minimální délka – většinou alespoň 8 znaků 



ne vždy je možná / povolená − typicky PIN kódy, ale mnoho moderních karet (SIM, bankovní) má limit 6, 8, ... existují omezení i shora − některé systémy mohou ignorovat koncovou část


Doporučené postupy 2 

Kombinovat velikost písmen, číslice, speciální znaky − − −

Jak ale budu heslo zadávat? Akceptuje systém hodně speciální znaky? Nebude výsledek tak složitý, abych si ho musel zapsat?


Pozor na jazykové prostředí 





Na svém počítači snadno napíšete „řeŘicha“, ale co když se budete potřebovat přihlásit odjinud? => i z nejnižších 128 znaků kódové tabulky se dá složit silné heslo Problém y/z (zvlášť máte-li omezený počet pokusů)


Google rady 



Buďte tvořiví. Nepoužívejte slova, která lze najít ve slovníku.



Použijte alespoň osm znaků. 



Nepoužívejte heslo, které jste použili někde jinde. 







Nepoužívejte pořadí písmen jako na klávesnici (asdf) ani po sobě jdoucí čísla (1234).



Vytvořte nějakou zkratku. Nepoužívejte obvyklé zkratky, jako je NATO nebo BESIP. Zkombinujte je s číslicemi a interpunkčními znaménky. Přidejte interpunkční znaménka a číslice. Zkombinujte velká a malá písmena





Nahraďte písmena podobně vyhlížejícími znaky, například písmeno O nulou nebo písmeno S znakem $. Používejte fonetické přepisy, např. ,,jaxe vede" místo ,,jak se vede". Vaše heslo by neměly tvořit samé číslice, velká nebo malá písmena. Vymyslete způsoby, jak shromáždit náhodná písmena a číslice, například otevřením knihy, ze státních poznávacích značek nebo použitím každého třetího písmene z prvních deseti zobrazených slov. Nepoužívejte opakující se znaky (aa11). Nepoužívejte heslo, které je někde uvedeno jako příklad výběru dobrého hesla.


Zobecněné rady 





Žádní miláčci



−

V nejobecnějším smyslu slova

−

věci, odkazy na (pop)kulturu

Heslo by vždy mělo být zapamatovatelné

Žádná svoje čísla Žádná slovníková slova (a představte si i hodně sprostý slovník a i slovník v mnoha jazycích)


Náhodnost 

Náhodné heslo nemá horší prolomitelnost než dobře vytvořené mnemonické heslo


Typy nebezpečí 

Na heslo se jde zeptat



Heslo jde odpozorovat



Heslo jde uhodnout



Softwarový útok



Hardwarový útok


Hardwarové útoky 

(jen jednodušší, nejde o ochranu proti vyloženě špionážním útokům)



VGA signál, zvláště u CRT monitorů



bezdrátová klávesnice



wifi sniffing



PIN skimming


Softwarové útoky 

phishing, pharming



nezabezpečená komunikace



Keylogger −



http://www.lupa.cz/zpravicky/skandal-se-smirovacim-software-od-carrier-iq-s

získání databáze otisků ze systému


Situace 

Jsem u cizího počítače a potřebuji se připojit na svůj např. emailový účet.


Jak si pomoci?  

Nepřihlašovat se... Komplikovat způsob zadávání hesla – klávesnice, schránka, myš


Google řešení - sesame uživatel přihlášený na mobilním zařízení

přijme fotoaparátem QR kód

potenciálně nebezpečný počítač

vygeneruje QR kód

ověřený uživatel


Ukázka reálné množiny hesel

Tady byl text, který ještě není dost starý na to, aby byl volně na síti


Jednoduché závěry 

Významné množství uživatelů použije jméno někoho blízkého, oblíbené postavy, věci



Málo používají speciální znaky



Použijí-li číslice, pak nejčastěji na konci



Je-li použita posloupnost čísel, znaků, nebývá náhodná




Délka hesla 20

četnost

15

10

5

0

0

2

4

6

8

10

12

14

počet znaků Hesla, 12IPG, J. Blažej, 2011/2012

16

18

20

Další závěry 

Není žádná výhra používat anglická slova, útočník si snáz sežene dobrý slovník / rainbow tabulky v angličtině −



Jedno z pravidel kryptografie: Těžko porozumím zprávě, když neznám jazyk, ve kterém je napsána – kód Navajo

Heslo by nemělo obsahovat uživatelské jméno


Starý vtípek 

7470 ZPR4V4 V4M UK4Z3, J4K N453 MY5L D0K4Z3 N3UV3R173LN3 V3C1! PU50B1V3 V3C1! N4 Z4C47KU 70 BYL0 73ZK3 4L3 73D, N4 70M70 R4DKU 7V0J3 MY5L MUZ3 C157 4U70M471CKY B3Z PR3MY5L3N1. BUD N4 53B3 HRDY! P0UZ3 N3K73R1 L1D3 70HL3 M0H0U PR3C157. PR051M P05L1 70 D4L3, P0KUD 70 UM15 PŘ3C157.


Leet žargon


Konstrukce z fráze 

Dej mi babko jedno jab'ko, budeme mít stejně

Dmb1j,bm= Dvakrát měř, jednou řež. −

2xm;J5! Můj nový počítač se širokoúhlým displejem stojí v rohu u okna. −



−

mnPsšd$vru[+].


Když nechci heslo z fráze  





použijte dlouhé heslo česká slova se dají ohýbat (skloňovat, časovat) číslice se k jednoduchému heslu dají přidávat i jinak než na konec, např. když si musím heslo často měnit stejně tak speciální znaky



2012

Recommend Documents