curso autenticacion robusta
TRANSCRIPT
Autenticación Robusta
Identificación digital
Cuatro conceptos fundamentales para la seguridad son:
-Autenticación:El servicio solo puede ser utilizado por las persona asignadaspara ello.-Autorización:El usuario del servicio tan solo puede realizar aquello paraLo que ha sido autorizado-Integridad:La información no ha sido “manipulada” desde su origenhasta su destino-Confidencialidad:La información ha sido protegido frente al resto de usuarios
Identificación Digital
¿Qué metodos podemos utilizar?
* Sistemas basados en claves de acceso! ALGO QUE SE SABE!
* Utilización de “prendas físicas”! ALGO QUE SE POSEE !
* Biometría !ALGO QUE SE ES !
* Combinación de los metodos anteriores
Identificación Digital
-Algo que sabemos:
Sistemas basados en claves de acceso
Basados en el conocimiento del par usuario/contraseña
Problemas:
* La clave debe de estar archivada en el equipo* Puede ser interceptada al enviarse o utilizarse* Pueden en ocasiones ser “predecibles”* Pueden ser “confiadas” a otras personas
Identificación Digital
Sin embargo:
Es el método más utilizado, incluido en todas las opciones de autenticación de S.O. y/o apliaciones. (Telnet, FTP, HTTP, Email, ...)
Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como:
•Longitud mínima de la contraseña•Complejidad de la contraseña (caracteres utilizados)•Vigencia de la contraseña
Identificación Digital
Claves de acceso
Ejemplo de configuración de la politica de contraseñas en laPlataforma Windows 2000/XP
Identificación Digital
Claves de acceso
Complejidad de la contraseña
-Debe de contener una combinación de letras, números y caracteres especiales
-No debe ser nunca una posible palabra de diccionario
-Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas
En general resulta difícil su implementación ya que para la mayoría de los usuarios seleccionar una contraseña “robusta” no es tarea sencilla.
Identificación Digital
Claves de acceso
Complejidad de la contraseña
Combinación de letras, números y caracteres especiales
Como ejemplo, si utilizaramos el alfabeto (a..z) y los numeros naturales para construir la contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336
Un ordenador actual puede realizar todas estas combinaciones ! en menos de 2 minutos!
Identificación Digital
Claves de acceso
Ejemplo de descubrimiento por fuerza bruta.
Identificación Digital
Claves de acceso
En la actualidad existen “diccionarios” en Internet de numerosos lenguajes (inglés, francés, danés, ...) así como materias diversas (literatura, música, cine,...)
Por ello, seleccionar una contraseña de “diccionario”implica su descubrimiento ! en segundos !.
Identificación Digital
Claves de acceso:
El mayor problema surge en la actitud de muchos usuariosy su incapacidad de generar un password adecuado y ! recordarlo !
Así, es frecuente que los usuarios:
•Anoten y tengan “ a mano” las contraseñas que deben utilizar.•Traten de “evadir” la “complejidad” de la contraseña:
(Ej: mínimo 7 caracteres, obligatorio letras, números y caracteres.)
Contraseña para Enero: pepe01!Contraseña para Febrero: pepe02!
Identificación Digital
Claves de acceso: captura de las contraseñas
Numerosos servicios como Telnet, FTP, POP3, ... Solicitan el parUsuario/password como control de acceso.
Estos servicios “no utilizan cifrado en la comunicación” por lo queSon facilmente interceptados mediante un sniffer (incluso utilizandoSwitchs en lugar de hubs).
Identificación Digital
Claves de acceso: recordar contraseñas
Utilizar la opción de “recordar” contraseñas en el equipo localpuede permitir extraer sin dificultad todas las contraseñas. (ej SnadBoy’s Revelation)
Identificación Digital
Claves de acceso: Keyloggers
Existen también numerosas aplicaciones software/hardware que registran las pulsaciones efectuadas en el teclado
Identificación DigitalClaves de acceso: Keyloggers
Ejemplo de captura por “software” la sesión de un usuario:
Los passwords se pueden copiar, olvidar o perder. Alguien nos los
puede sustraer
Demasiados passwords para diferentes sitios causa stress
Identificación Digital
Claves de acceso, en resumen:
Identificación Digital
Sistemas basados en tokens
Basados en la posesión de una tarjeta, token, ...
Problemas:
* No prueba quien es la persona que tiene el token* No autorizan a los individuos, sino a los tokens* Si se extravía otra persona podría llegar a utilizarla
y la persona “legal” no puede acceder al servicio prestado * En ocasiones pueden ser falsificadas
Identificación Digital
contact smart card requiere introducirla en un lector con una conexión directa a un micromóduloconductor en la superficie de la tarjeta.Contactless card requiere proximidad al lector (unos 10 cm). Ambos (lector y tarjeta) tienen una antena y su comunicación se produce por radiofrecuencia. (RFID)
SmartCardDos categorías de SM: contact y contactless
Identificación Digital
SmartCard Caracteristicas del “chip”
- Una CPU entre 8 bit hasta 32 bits- ROM o Flash memory que contiene el chip del sistema operativo- RAM que sirve de almacenamiento temporal de datos- EEPROM que se usa para almacenamiento de datos de usuario- Al menos un puerto serie- Un generador números aleatorios- Timers- Opcionalmente un motor criptográfico- Controladores para otros dispositivos.
Identificación Digital
¿Qué ofrecen las tarjetas SmartCard?
Mayor nivel de seguridad.
– Autenticación.(Tarjeta y terminal están seguros de la identidad delotro). Se realiza, gracias a la existencia de procesadorescriptográficos simétricos (3DES) y/o asimétricos (PKI).– Identificación. (Verificación de la identidad de la tarjeta). Lavalidación del PIN se realiza en la propia tarjeta.– Integridad. (Asegurar que el mensaje no ha sido alterado).Utilizandoalgoritmos simétricos de criptografía.– No repudio. (Evitar la denegación de una transacción). Existiendo laposibilidad de realización de firmas con clave privada.
Identificación Digital
Contenido que puede ser almacenado en una smartcard
1. Combinación de usuario/password para diferentes servicios2. Credenciales de usuario y/password para S.O.1. Certificados Digitales2. Certificados Raiz
Identificación Digital
USBToken
- Similares a las smartcard, pero no requieren lector adicional,tan solo un puerto USB (previa instalación del driver y softwareCorrespondiente).
- Pueden almacenar valores de autenticación genéricos o Configurarse especificamentepara soporte PKI
Identificación Digital
USBToken
Configurados con soporte PKI permiten almacenar un certificado en formato PKCS12 (clave privada+clave pública) que permitirá
- Login automático- Certificado de usuario
para autenticación WEB y firma y cifrado de email
Identificación Digital
Sistemas basados en biometria
Basados en las características físicas de una persona
Problemas:
* Pueden ser engañados* Si el sistema “falla” podemos tener problemas para el acceso* Todavía son caros y requieren hardware especializado * Deben de combinarse con el uso de passwords o tokens
Biometria
• Es una tecnología de seguridad basada en el reconocimiento de una característica física para la AUTENTICACIÓN y AUTORIZACIÓN de las personas.
Ejemplo: la huella dactilar
Biometria
• INTRANSFERIBLE
• ESCALABLE (a nivel de software y de instalación)
• COMODO para el usuario ya que no debe recordar una multitud de passwords
• SEGURO: uno de los mejores métodos de autenticación en los sistemas informáticos
CARACTERÍSITICAS I
Biometria
• Soluciona el problema de la transferibilidad de los passwords
• Evita ataques de fuerza bruta
• El password biométrico es mucho más “robusto” que una contraseña
• Reconocer la responsabilidad del usuario en sus acciones
CARACTERÍSITICAS II
dispositivos Biométricos
FISIOLÓGICAS:
• Huella dactilar• Iris• Cara• Geometría de la mano• Retina• Forma de las venas• ADN
Se clasifican según la Tecnología Biométrica:
COMPORTAMENTALES:
• Voz• Forma de firmar• Forma de teclear
1 2 3 4
Biometria, huella dactilar
El proceso de Autenticación
Escáner
• Susceptibilidad de la superficie del sensor
• Desgaste de la superficie del sensor
• Susceptibilidad a las descargas electrostáticas
• Suciedad
• Durabilidad
• Tamaño
• Calidad de imagen
FACTORES QUE PROPORCIONAN FIABILIDAD:
Biometria, huella dactilar
Imagen de la huella
Crestas: son patrones concéntricos que forman topologías diferentes en forma de crestas y valles.
Punto central o núcleo se localiza en el centro aproximado de la impresión de la huella. Es el punto de referencia para la lectura y la clasificación de la huella.
Características Globales frente a locales:Dos individuos pueden tener las mismas características globales pero siempre tendrán diferentes características locales de la huella.
TERMINOLOGÍA I
Las características locales nos dejan distinguir entre dos individuos con características globales iguales.
Biometria, huella dactilar
Imagen de la huella
• Características globales aquellas que podemos identificar a simple vista. Las más destacadas son: espirales, arcos y lazos.
Área patrón: la parte de la huella digital que contiene todas las características globales.
• Características locales: son los puntos de minucia.
Puntos de minucia: Los puntos en los que finalizan las crestas, bifurcan, cambian de dirección, ... se llaman puntos de minucia
TERMINOLOGÍA II
Biometria, huella dactilar
Extracción de la minuciaUn algoritmo extrae minucias y las convierte en una representación numérica de algunos de los puntos individuales de la huella.
1. Crestas que finalizan y las crestas que crean bifurcaciones.
2. Orientación: cada punto de minucia se orienta en una dirección particular.
3. Frecuencia espacial: la frecuencia espacial se refiere a la densidad de las crestas en una superficie determinada.
4. Curvatura: referente al ratio de cambio de orientación de las crestas.
5. Posición: la posición de los puntos de minucia referentes a la localización en el plano x, y, y también en concordancia a los puntos fijos.
CARACTERÍSTICAS: Hay cinco características diferentes de puntos de minucia:
Biometria, huella dactilar
En el proceso de autenticación, los sistemas biométricos identifican o verifican al usuario.
1:n Identificación: El sistema busca una correspondencia entre n huellas en la base de datos, utilizando sólo la información de la huella
1:1 Verificación: El usuario se identifica con un PIN, una tarjeta o por otras medidas, y se compara la muestra suministrada con el patrón correspondiente a ese usuario
Correspondencia
La verificación 1:1 es más rápido, pero la identificación puede resultar más conveniente.
Biometria, huella dactilar
Biometria, huella dactilar
Ejemplo de la aplicación, captura de huellas digitales
Identificación Digital
Sistema de llave pública.
Clave privada: * utilizada para firmar un bloque de datos* Debe ser guardada en secreto
Clave pública: * utilizada para verificar la firma* Debe de darse a conocer a los demás.
Identificación Digital
Proceso de firma digital:
-El emisor realiza un “hash” del documento y lo firma con su clave privada.-Se envia el documento junto con el hash “firmado”.-El receptor “abre” el hash con la clave pública del emisor (verifica la firma)y realiza el hash sobre el documento.Si coinciden se garantiza la “integridad” del texto.
Identificación Digital
������������������ ����� ����
�������������� ���� �������� ����������������� ����������������������� ����� ������ ������ ������������������� ����������������������������� ����� ������
�������������� ������������ ����!���!�""��������������� ����������� ��������� ���#� ���������$
����������� �����������������������%�����������������#&��$ ���� ����������������������������� �������������� ����"�
'����(�������� ������������������)����"����
� ����������������*
+(��� ��������� ������,�+������������,+������� ����������� ���+-���������)����+'���)�� ������ ��+'���&��������%����+'�����&������������
Certificados Digitales.
Autoridades Certificadoras
+�� ��������� ����� ������������������ ������(������� ���#����� $ �������������� ����������������������)����"+.������%��� ����� �� ������% ����)�� ������������ ������������% �%� ��� ������������������������"
Autoridades Certificadoras
�������������� ����������������� ��������������(���������# ���� $ ��&��� �������!���������������� ����� �����*
+.��������� ������ ����������&���������� ������+���� ���������������, �� �����������������������+���� ���������������, �� ������ ��,����� ,���+.����������������������%�� ���������������� �������+"""""""""
�� ���������������������#.������� �����,�$ ��/.�
Autoridades Certificadoras
�� ��������� ����� ������������ 0��������� ��������������������0�������� 1�������� ������,��������(��� ���������� ������,�����-�
����������(������������� *
+���� �����%������� ���������,������ �������+/���� ���������2�%���+� ��,����������� �������+/������������������ ��+3��� ���,����� 1���������
Autoridades Certificadoras
���� ������������� � 4"567��8
'����������� �������� 0������ ������������������)����!���� ��� ����������*
+9)�� �����:� �,�+9)�� �����-� ��+(�%� ��������������+���� +�� ��������:������+;��� ����������������)����+<� ��
Autoridades Certificadoras
-Ejemplo de Certificado de usuario X509
Sistemas OneTime Password
ActivCard
Consola de administración
ActivCard:
Definir conexión LDAP
Sistemas OneTime Password
ActivCard:
Definir consulta sobreConexión LDAP
Sistemas OneTime Password
ActivCard:
Definir el servidor yLa configuración Radius
Sistemas OneTime Password
ActivCard:
Configurar un gateway, “secreto Radius” yperfil de autorización y registro.
Sistemas OneTime Password
ActivCard:
Seleccionar grupo quetendra acceso (filtro delquery LDAP por atributo)y unirlo al gw anterior
Sistemas OneTime Password
ActivCard:
Importar fichero con laconfiguración de los tokens
Sistemas OneTime Password
ActivCard:
Asignar el token al usuario.
Sistemas OneTime Password