Identifiering och autentisering

Relevanta dokument
Identifiering och autentisering. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Introduktion till informationssäkerhet

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Krypteringteknologier. Sidorna ( ) i boken

Användarmanual för registrering av resultat från Markörbaserad journalgranskning

BRÅDSKANDE: SÄKERHETSMEDDELANDE Fel i WIZARD 2 Barcode ID Label # 023 Innehåll

Plus500CY Ltd. Säkerhets- och cookie policy

Beskrivning av Metakatalog. Sundsvalls kommun

Rutin för domänvalidering. Verifiering av organisationer och ombud

För att kunna utföra en variable data printning böhöver du följande filer:

Datautvinning från digitala lagringsmedia DT2002

Generera underlag till användarkonton från textfil

Guide till datadriven verksamhetsstyrning

Plan mot diskriminering och kränkande behandling 2016

Avsluta vår användning av personuppgifter för marknadsföring. Personuppgifter som användare lämnar ut till andra användare

ARKIV DIGITAL - att släktforska i färg

Policy Bästa utförande av order

Livslångt lärande Kompetensutveckling i arbetslivet. Författare: Olle Ahlberg

Regler vid verksamhetsövergång och ägarbyte

Import av frånvaro externa system

Molntjänster från Microsoft En checklista för vårdorganisationer i Sverige

Integritetspolicy Bokförlaget Nona

Biblioteksplan. för Lycksele Kommun

Övningar i JavaScript del 3

Introduktion till protokoll för nätverkssäkerhet

Risk- och sårbarhetsanalys av SUNET Box för Karolinska Institutet

Att skapa förutsättningar för bra utvärderingar. Seminarium Regeringskansliet 17/ Kim Forss, Andante tools for thinking AB

ENG-A1004: Information om studierna -övning, hösten 2014

Instruktioner för ansökan till VFU utomlands i Moveon Utbildningsvetenskapliga fakulteten

Guide för hur bildar man en kaninhoppningsklubb ansluten till SKHRF. Även innehållande kunskap om hur man håller möten

Fredells Byggvaruhus Integritetspolicy

Hur man skapar ett test i Test och quiz i Mondo 2.6

Leverantörsbetalningar

SITHS rekommendationer för internt revisionsarbete

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

BaraTrav Inställningar Version 1.3.4

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Processbeskrivning fakturahantering

Rutin för domänvalidering. Verifiering av organisationer och ombud

Användningstillstånd för testbruk av Geodataplattformens utvecklings- och utbildningsmiljö

när texten flyter runt och bokstäverna hoppar Resurser för vuxna dyslektiker

Samråd om översynen av EU:s handikappstrategi

INTEGRITETSPOLICY ADJURE AB

Produktöversikt Boolware. SOFTWARE CORPORATION

Kryptering. Krypteringsmetoder

FÖRKÖPSINFORMATION FÖR ALLRA TANDVÅRDSFÖRSÄKRING SKYDDA

Övningar i JavaScript del 7

Egen Enhet Skapa ditt egna gästinlogg

Övningar i JavaScript del 5

Programmering Förskola-3. -robotprogrammering med Blue-Bot

Ersättning till privata utförare av hemtjänst samt resursfördelning till kommunala utförare av hemtjänst.

INNEHÅLLSFÖRTECKNING LOGGA IN HUR FÅR MAN ETT LÄRARKONTO? SKAPA LÄRARKONTO

Rutin för utgivning av funktionscertifikat

Enkät till alla landets kommuner om tillsynsrelaterat arbete enligt plan- och bygglagstiftningen, PBL/PBF för året 2012

Ändamål och rättslig grund för behandlingen av dina personuppgifter.

Leverantörskvalificering

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll

Policy Wastetofuel på Facebook

Fältmeddelande (återkallelse)

Barn och ungas delaktighet i samhällsvård

Integritetspolicy Optimized Portfolio Management Stockholm AB (Bolaget) Antagen av styrelsen den 22 maj 2018

SAMLAT PLANDOKUMENT FÖR LIKABEHANDLINGS- OCH VÄRDEGRUNDSARBETE 2014

Folkhälsoplan för 2015

Vad är direktivet/eidas? en beskrivning av en teknisk maskin, en nationell PKI betroddhetsserver

SAMMANTRÄDES PROTOKOLL

RIKTLINJER FÖR SANERING AV MIKROBIELLT SKADADE INOMHUSMILJÖER

Electrolux Vision ADMIN

INTEGRITETSPOLICY. Uppgifter som samlas in när du använder våra tjänster

Studiebevakare för Humanistiska fakulteten (från SUS) Kandidatprogram i arbetslivskommunikation Påverkanssekreterare för lärarutbildningarna

Kort användarmanual för Test och quiz i Mondo 2.0

Skolverkets bedömning är att vi idag har stort behov av:

Design av datornätverk för skola

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Likabehandlingsplan Kvännarskolan. inklusive fritidshem. läsåret 2013/2014

Att bli en kompetent kravställare av kompetens och öka anställningsbarhet hos medarbetarna

BaraTrav Meny Version 1.2

Processbeskrivning ITIL Change Management

KOMMUNIKATIONSPLAN. Digital Agenda för Västra Mälardalen samt Tillgänglighet till Hållbar IT. Revisionshistorik. Bilagor

Grundläggande kunskap om Handterminal och Fordonsradio

Samverkansdag KUR på Gotland

Remiss: Ny Tillgänglighetsplan Ärende 12 BN 2018/245

Cisco WebEx: Standardprogramfix den [[DATE]]

Vad behöver jag för att kunna använda de nya funktionerna?

Tillgänglighetsplan Remiss

Projektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson

Registrering på Tiimeri

Vilka är ni? Syfte med förmiddagen. Rova & Sjögren. Rova & Sjögren. Erik Rova leg. Psykolog.

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

Styrning ökat fokus på brukares och patienters medskapande

kl Tentaupplägg

Skarpnäcks stadsdelsförvaltning. Likabehandlingsplan Sida 1 (9) Västra Bagarmossens förskolor

Informationsattribut för inventering - gränspunkter

Din guide till Windows 10

Vattenfall Innovation Awards

Vi rekommenderar att du läser igenom integritetspolicyn för varje webbplats du besöker

Målet med undervisningen är att eleverna ska ges förutsättningar att:

Förskolan Västanvind

Regional samverkanskurs 2014

Innehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall

Transkript:

Identifiering ch autentisering Litteratur: CSAS kapitel 12, 14 Identifiering ch autenticering Identitet Var är identitet Namn Kntext ch mgivning Autenticering Grunder Lösenrd Bimetri 1

Identitet Definitin (Bishp) A principal is a unique entity. An identity specifies a principal. Identitet är i princip ett namn Persnnamn: David Byers Persnnummer: 561223-2321 SSN: 457-55-5462 DNS-namn: www.liu.se Sökvägar: /etc/passwd, \\tellus\tddd36\www-pub X.509-namn: uid=davby02,u=peple,dc=ida,dc=liu,dc=se cn=david Byers,=Linköpings universitet,c=se Utmaningar i identitet Samma namn kan referera till flera entiteter Svårigheter att avgöra vad ett namn betyder Exempel: David Byers Över 400 entiteter i USA (antagligen fler) Två entiteter i Sverige (förr) 180 entiteter på facebk Lösning: Bind unika identiteter till andra namn Scial security number i USA (457-55-5462) Persnnummer i Sverige (561223-2321) System-identitet på facebk (1679167525) Samma entitet kan ha flera namn Svårt att avgöra m två identiteter refererar till samma entitet 2

Certifikat Certifikat är en vanlig implementatin av identitet i datrer Exempel: X.509-certifikat för SSL PGP-certifikat för e-mail Certifikat kan innehålla annan infrmatin Hur entitetens identitet har verifierats (certifikat-plicy) Bildning av entiteten till andra identiteter Annan infrmatin m entiteten Publik krypt-nyckel Identiteter i X.509 Distinguished name Glbalt unikt namn för en viss entitet Består av en eller flera kmpnenter, t.ex. DC Dmain Cmpnent CN Cmmn Name OU Organizatinal Unit O Organisatin name STREET Street Address L Lcality name ST State r prvince name C Cuntry name 3

Identiteter i X.509 Exempel: CN=David Byers Prblematiskt det kan finnas fler med det namnet Exempel: CN=David Byers,OU=IDA,O=Linköpings Universitet,C=SE Bättre men fungerar inte lika bra för Mikael Jhanssn Prblem m mer än en entitet delar ut identiteter Exempel: UID=davby02,OU=peple,DC=ida,DC=liu,DC=se Bättre unik identitet ch utgivarens identitet ingår sm en del Leder till att samma entitet kan få flera lika identiteter Autenticering Bindning av ett subjekt till en identitet Subjektet agerar för en extern entitet (en principal) Verifiering att subjektet har rätt att binda till identiteten krävs Den externa entiteten måste tillhandahålla någn frm av infrmatin eller utföra någn peratin Olika frmer av verifiering (faktrer) Någt entiteten vet: lösenrd, hemlig nyckel Någt entiteten har: passerkrt, smartcard Någt entiteten är: fingeravtryck, DNA Var entiteten är: GPS-krdinat, viss datr 4

Lösenrd En bestämd sekvens av tecken Typiskt 8-10 tecken Valt av användaren, slumpmässigt, blandning av båda passphrase Algritmer Challenge-respnse-prtkll (bevisa kännedm m lösenrdet) Engångslösenrd Lagring av lösenrd Lagring i klartext Risk att alla lösenrd avslöjas Möjliggör challenge-respnse-prtkll Krypterad lagring Kryptnycklarna måste finnas i minnet Samma prblem sm med klartextlagring Lagring av en hash (checksumma) av lösenrdet Lösenrd avslöjas inte trivialt Prtkll för verifiering av lösenrd är svagare 5

Exempel Lösenrd i Linux Crypt s 1 s 2 hash MD5 $1$salt$hash Endast en hash av lösenrdet lagras 12 bitar i Crypt Variabel längd i MD5 Salt gör att lika lösenrd får lika hashvärden passwrd Crypt: XmlGIW58Le5MM vwmpmirgp2i5u MD5: $ 1$cx0VOO$iIcFj/rfvzeu.WXbqICeeO $1$HGWMG036$U1pLAspVeCqpe63tKN2mY1 Attacker Uttömmande prövning av lösenrd On-line: förebyggs genm att begränsa antalet försök Off-line: förebyggs genm bra lagring ch val av lösenrd Val av lösenrd Användarens val Slumpmässiga lösenrd Lösenrd sm går att uttala 6

Val av lösenrd Användare väljer dåliga lösenrd Lösenrd baserade på namn av lika slag Varianter av rd sm finns i rdlistr Krta lösenrd, enbart bkstäver eller siffrr Registreringsnummer, persnnummer, förkrtningar Persnliga egenskaper eller assciatiner Det finns bra metder för att generera lösenrd Första/andra bkstaven i varje rd i en fras Kmbinatin av bkstäver/tecken från flera källr Genererade lösenrd Slumpmässiga lösenrd Svåra att kmma ihåg: R4CRvTFvE2, PBHs69pd6u, 4Vg5gJ1H5 Användare tenderar att skriva upp dem Lösenrd sm går att uttala Generera en lång nyckel Transfrmera till uttalbart rd via fnem Exempel: bandeplast, redaingerm, cuccrffee 7

Kntrll av lösenrd Kntrll av egenskaper Lösenrdets längd Stra ch små bkstäver Bkstäver ch siffrr Specialtecken Praktiv lösenrdstestning Testning av lösenrd mt rdlista Challenge-Respnse Idé: validera identiteten genm att utföra en peratin sm vara den angivna entiteten kan genmföra Exempel: signera ett meddelande med den privata nyckeln kryptera ett meddelande med en delad hemlighet en hemlig funktin sm ska appliceras användare Begäran m autenticering system användare Meddelande r (challenge) system användare f(r) (respnse) system 8

Engångslösenrd Lösenrd sm kan användas en gång Efter användning så blir lösenrdet giltigt Challenge-respnse-mekanism Challenge är antalet autenticeringar; respnse är lösenrdet för det angivna numret Utmaningar Synkrnisering av användare ch system Generering av bra lösenrd Distributin av lösenrden S/Key Engångslösenrd baserade på en idé från Lamprt h är en kryptgrafisk checksumma (MD5 r SHA-1, fr example) Användaren väljer ett startvärde k Systemet beräknar: h(k) = k 1, h(k 1 ) = k 2 k n 1 ) = k n Lösenrden är: p 1 = k n, p 2 = k n 1 n 1 = k 2, p n = k 1 user { namn } system user { i } system user { p i } system 9

Engångslösenrd med hårdvarustöd Tken-baserade Kan vara challenge-respnse-baserade (bankdsr) Kan beräkna ett nytt lösenrd ungefär sm S/Key Tidsbaserade Engångslösenrdet ändras med jämna mellanrum Datrn vet vilket sm är giltigt vid en viss tid Användaren matar in vanligt lösenrd ch engångslösenrd Prblem med synkrnisering Bimetrisk autenticering Autmatisk mätning av en egenskap eller beteende Fingeravtryck Översätter fingeravtryck till (t.ex.) en graf Apprximativ jämförelse av grafer Röstigenkänning/verifiering Verifiering använd statistiska metder för att testa hyptesen att det är den angivna entiteten sm talar Igenkänning analysera innehållet i det talade meddelandet 10

Bimetrisk autenticering Ögn Analys av irismönster Analys av retina Krppsgemetri Ansiktsigenkänning /ansiktsstruktur Handgemetri Helkrppsgemetri Dynamik Intervall mellan tangenttryckningar, tryckningarnas längd, mm Handskriftsigenkänning hastighet, nedsättning, utseende Risker med bimetri Det går att lura en del utrustning Fingeravtryck har varit särskilt enkelt Bildbaserade tekniker kan luras av reprduktiner Överföring av data måste vara säker ch tillförlitlig Felfrekvenserna kan vara höga Röstigenkänning påverkas av sjukdm Fingeravtryck kan ändras av skadr Ljussättning kan påverka ansiktsigenkänning 11

Psitin Autenticering kan baseras på psitin Psitin kan vara en del av en autenticeringsmetd Exempel Inlggning vid en terminal i ett skyddat rum kan ge särskild access till ett visst system Verifiera att entitetens GPS-krdinater matchar terminalen sm användaren försöker lgga in på Flerfaktrautenticering Autenticering med flera faktrer Någt man vet lösenrd är fingeravtryck var man är vid systemet sm försöker autenticera Flerfaktrautenticering minskar riskerna Förlust av en faktr leder inte till säkerhetsprblem 12

Sammanfattning Autenticering är inte kryptteknik Krypt kan vara en del av systemet, men systemet är det viktiga Lösenrd kmmer inte att försvinna De är enkla ch effektiva Prtkll spelar str rll Prtkllen bestämmer hur lätt eller svårt det är att luras 13

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss