Autenticación de usuarios

Documentos relacionados
SEGURIDAD Y PROTECCION DE FICHEROS

ATAQUE Y CONTRAMEDIAS

AUDITORIA DE SISTEMAS

Guía de doble autenticación

Información sobre seguridad

Seguridad en Redes. Módulo 1 Control de acceso. Carlos A. Rojas Kramer UCC

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Administración Local Soluciones

Información sobre seguridad

Introducción a los procesos de autenticación

SISTEMAS DE SEGURIDAD DE RECONOCIMIENTO FACIAL

BioSt-N56. Terminales Acceso/Presencia. Solución perfecta para el control de accesos y presencia mediante huella dactilar.

Práctica 5. Curso

Introducción a la Firma Electrónica en MIDAS

Seguridad en la transmisión de Datos

Un nombre de usuario de 30 caracteres o menos, sin caracteres especiales y que inicie con una letra.

PROCEDIMIENTO PARA LA REALIZACION DE COPIAS DE SEGURIDAD (BACKUP)

Autenticación Centralizada

Instalar protocolo, cliente o servicio nuevo. Seleccionar ubicación de red. Práctica - Compartir y conectar una carpeta

ALERTA ANTIVIRUS: RECOMENDACIONES

EMPLEADOS Y SISTEMA DE CONTROL DE ENTRADA Y SALIDA DE EMPLEADOS

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Software Criptográfico FNMT-RCM

Alternativas actuales y de futuro en la autenticación de Usuarios Gestión de identidad en la Banca On-line

RECETA ELECTRÓNICA Informe de Seguridad

Seguridad del Protocolo HTTP

O C T U B R E SOPORTE CLIENTE. Manual de Usuario Versión 1. VERSIÓN 1 P á g i n a 1

Resumen del trabajo sobre DNSSEC

P r e g u n t a s m á s F r e c u e n t e s :

Manual de Instalación del Certificado ACA en Windows 8.1

GUÍA PRÁCTICA DE FINANZAS CONCEPTOS BÁSICOS DE LAS TARJETAS DE DÉBITO. Lo que necesita saber sobre el uso de su tarjeta de débito

Biometría en la Banca on line Gestión de Identidad en la Banca on line

Fortalece la seguridad de las transacciones con tarjeta bancaria o de casa

MÓDULO RECOLECTOR PARA LOS RELOJES BIOMÉTRICOS BIONET

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS

UD 1: Adopción de pautas de seguridad informática

USO DE TARJETAS RFID EN PROCESOS DE ENROLAMIENTO, CONTROL Y CONTINGENCIA EN ACTIVIDADES INDUSTRIALES.

Control Horario. Dispositivos para Control Horario

Capítulo 3 Diseño del Sistema de Administración de Información de Bajo Costo para un Negocio Franquiciable

11 Número de publicación: Int. Cl.: 72 Inventor/es: Fast, Peder. 74 Agente: Isern Jara, Jorge

VPN. Luis Opazo A. Dirección de Informática. Temuco, 10 de Septiembre Quées una VPN?

Modelos de uso de las Soluciones de Autenticación para Banca a Distancia

Manual de la aplicación de seguimiento docente en la UJI

En el artículo del mes pasado,

Glosario de términos

DOCUMENTOS COMPARTIDOS CON GOOGLE DOCS

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

Obtenga acceso a efectivo en más de cajeros MasterCard/Maestro/Cirrus en el mundo.

Las Firmas y los Certificados electrónicos (de la Administración Pública del Estado-CSIC)

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Introducción: Seguridad Activa: Medidas de Prevención. Objetivo: Evitar daños en sistemas informáticos antes que ocurran. Mecanismos de protección

Tecnología IP para videovigilancia... Los últimos avances han hecho posible conectar cámaras directamente a una red de ordenadores basada en el

VULNERABILIDADES CRIPTOGRÁFICAS. Por Alexandre Ramilo Conde y Pablo Prol Sobrado

Copia de seguridad

Guía para configurar el monitor TCPIP

Manual LiveBox WEB USUARIO.

Contraseñas seguras: Cómo crearlas y utilizarlas

01-O GUIA DEL ORFE PARA LA INSTALACIÓN DE TOKENS TOKENS SPYRUS

Seguridad de la información en SMart esolutions

OBJETIVOS. Seguridad en el SID. INTERNET E INTRANET ÍNDICE MODELO DE RED CORPORATIVA. Tema VII

WINDOWS : COPIAS DE SEGURIDAD

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

iam Izenpe Manual de usuario para Windows

Arquitectura de sistema de alta disponibilidad

pgp4usb cifrar tus texto en mensajes de correo electrónico y cifra tus archivos

Una seguridad GLOBAL

Gestion de archivos. Problemas al almacenar datos sólo en la memoria:

SEMANA 12 SEGURIDAD EN UNA RED

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

GUÍA PRÁCTICA DE FINANZAS PERSONALES CONCEPTOS BÁSICOS DE LAS TARJETAS DE DÉBITO. Lo que necesita saber sobre el uso de su tarjeta de débito

Base de datos en Excel

Qué es una página web?, qué conoces al respecto?, sabes crear una página

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

Instructivo Asignación y Cambio de clave para el ingreso de usuarios HQ-RUNT

BIOMETRIA. presenta: Ing. David Cruz.

Seguridad en los Dispositivos Móviles. <Nombre> <Institución> < >

Norma de uso Identificación y autentificación Ministerio del Interior N02

Ing. Cynthia Zúñiga Ramos

SOLUCIONES BIOMETRICAS

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

1. SISTEMAS DIGITALES

Que se aprobó el documento denominado Definición y Configuración del SISME por Acuerdo N 9/98 (IV RMI - Brasilia, 20/XI/98).

Criptografía. Por. Daniel Vazart P.

Protocolo PPP PPP Protocolo de Internet de línea serie (SLIP)

DOCUCONTA Versión Septiembre 2010 MINISTERIO DE HACIENDA. Manual de instalación SECRETARÍA DE ESTADO DE PRESUPUESTOS Y GASTOS

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

Inteligencia aplicada a la protección de infraestructuras

Manual Terabox. Manual del usuario. Versión Telefónica. Todos los derechos reservados.

Manual de uso de correo seguro en Outlook Express

GUÍA RÁPIDA DE e-libro. Comenzando

Master en Gestion de la Calidad

PRIMER PASO: Abrir el navegador y entrar en la dirección de Yahoo española

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

Joomla! La web en entornos educativos

1. Solicitud Acreditación 9 3. Descarga e instalación Copia de seguridad 14

ESCUELA POLITECNICA DEL EJERCITO

EJERCICIO Nº14: AÑADIENDO OTROS TIPOS DE CONTENIDOS. Se pueden mejorar los contenidos de un curso al añadir al añadir:

Transcripción:

ASI - Autenticación de usuarios,1 Autenticación de usuarios Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es Alberto Herrán González aherran@ajz.ucm.es

ASI - Autenticación de usuarios,2 Contenidos Cómo autenticar? Medios de autenticación Proceso de autenticación Casos reales Autenticación basada en contraseña Seguridad proporcionada Vulnerabilidades de las contraseñas Implementación del sistema de autenticación Funciones Hash Autenticación basada en objetos testigo Tarjatas convencionales Tarjatas inteligentes Autenticación basada en biometría Autenticación remota Tipos de ataque y medios de defensa

ASI - Autenticación de usuarios,3 Un usuario se autentica......con algo que... SABE Contraseña, PIN, respuestas a preguntas acordadas. TIENE Llaves electrónicas o físicas, SmartCards ES Reconocimiento de retina, huellas dactilares (biometría estática) HACE Reconocimiento de voz o escritura (biometría dinámica) Proceso de autenticación 1. Identificación. Es el modo mediante el cual el usuario proporciona información propia reclamada por el sistema. 2. Verificación. Es el modo de establacer la validez de la identidad proporcionada.

Recortes de la prensa seria abrir ve como se puede En este video se esas que hay en los de una contraseña como contraseña 00000 hoteles utilizando Alfredo Cuesta @ 2014 ASI - Autenticacio n de usuarios,4

ASI - Autenticación de usuarios,5 Autenticación basada en contraseña (1/5) Usuario = ID + Contraseña, Sistema = Fichero de contraseñas Seguridad proporcionada El ID determina si el usuario está autorizado para acceder al sistema. El ID determina los privilegios del usuario. Ej: Superusuarios, invitados anónimos,... Mediante el listado de los IDs de un sistema por parte de un usuario, este puede conceder permisos a otros usuarios sobre sus archivos y carpetas. Vulnerabilidades de las contraseñas Ataque offline con diccionarios. Lograr llegar a copiar el fichero de claves. Después, offline, se compara cada clave con un listado de claves generado con el mismo algoritmo que se denomina diccionario. Ataque a una cuenta específica. Si se conoce el nombre de usuario se puede intentar adivinar su contraseña. Se suelen probar contraseñas fáciles o populares. A veces el atacante intenta averiguar dicha contraseña con ingeniería social. Secuestro de la sesión. El atacante espera a que la estación de trabajo quede desatendido y ocupa el puesto. No es muy elaborada pero es efectiva si no hay una desconexión automática. Sacar partido a errores del usuario. No cambiar las contraseñas por defecto. Anotar la contraseña en un sitio visible, público o de fácil acceso. Usar la misma contraseña en muchos procesos distintos. Si la contraseña se comunica a través de una red, esta debe estár encriptada para evitar posibles robos por monitorización.

ASI - Autenticación de usuarios,6 Autenticación basada en contraseña (2/5) El fichero de contraseñas Almacenar Contraseña Verificar Contraseña Sal Fichero de Contraseñas Fichero de Contraseñas + - Sí No Función Hash lenta Función Hash lenta Contraseña ID Qué es la sal? ID Sal Código Hash ID Contraseña ID Sal Código Hash Se trata de una cadena binaria de longitud fija que se utiliza para condimentar la contraseña, que puede tener cualquier longitud. Ambas son procesadas por una función hash, de ejecución lenta. (Cuanto más rápido se calcule más viable resulta reventarla con fuerza bruta) El resultado (código Hash) también tiene un tamaño fijo que se almacena con el ID y el valor de la sal usado para generarlo. Impide que 2 contraseñas se vean iguales en el fichero contraseñas. Si la sal tiene b bits hay 2 b posibilidades diferentes de almacenar una contraseña. Es casi imposible averiguar si se está utilizando la misma contraseña para acceder a diferentes sistemas.

ASI - Autenticación de usuarios,7 Autenticación basada en contraseña (3/5) Estrategia de selección de contraseñas MEJOR cuanto más LARGA y más DIFÍCIL de adivinar Parece evidente pero... Se debe forzar al sistema a RECHAZAR longitudes menores de 8 bits.

ASI - Autenticación de usuarios,8 Autenticación basada en contraseña (4/5) y sobre la dificultad de adivinarlas? Un ataque probando 62727 palabras adivinó 1/4 de las contraseñas! Utilizando como contraseña el usuario de 138 cuentas se adivinaron 368 contraseñas! Evidentemente había usuarios que repetían su contraseña en varias cuentas. Relación Beneficio/Coste del 2.83!! El resto de pruebas en el gráfico de la derecha. El gráfico muestra la relación Beneficio/Coste de otros intentos. MENOR relación significa que se necesitaron MÁS palabras para adivinarla

ASI - Autenticación de usuarios,9 Autenticación basada en contraseña (5/5) Para aumentar la seguridad Formación del usuario Poca probabilidad de éxito aunque... Hay trucos: Usar iniciales de frases secretas; Ej: Mi Perro Se Come 5 Filetes = MPSC5F Cambiar letras por números o símbolos; Ej: profesorasi = pr0f3s0r451 Contraseñas generadas por ordenador Dificil de recordar Eficaz Comprobación automática de agujeros Muy costoso para el PC No tapa el agujero, sólo avisa Comprobación automática cuando se genera Comprobación en el momento, asegurándo que es suficientemente larga y difícil. El usuario elige su contraseña Protección del fichero de contraseñas Separar la columna del código hash para cada contraseña en otro fichero: shadow password file Este fichero es accesible para un usuario privilegiado del sistema.

ASI - Autenticación de usuarios,10 Qué es una función Hash? Es un algoritmo que recibe una cadena de elementos (caracteres, bytes, bits, etc) de cualquier longitud y genera una cadena de elementos de longitud fija. El objetivo de una función Hash es ocultar, no cifrar. La diferencia es que cifrar es posible descifrar. Para ocultar no necesitamos una función reversible; pero sí debe tener algunas propiedades importantes: 1. Inyectiva: 2 entradas diferentes dan lugar a 2 salidas diferentes k 1 k 2 Hash(k 1 ) Hash(k 2 ) 2. Determinista: Siempre que recibe la misma entrada produce la misma salida, es decir no hay aleatoriedad. 3. Resistente a colisiones: Una colisión se produce cuando dos entradas distintas dan lugar a dos salidas iguales. 4. Efecto avalancha: Un cambio muy pequeño en la entrada provoca cambios muy grandes en la salida. * Ver ejemplos en la práctica de autenticación - ejercicio 1

ASI - Autenticación de usuarios,11 Autenticación basada en objetos testigo (1/2) Testigo (Token) es el objeto que el usuario posee para autenticarse. Tarjeta convencional En inglés Memory Card Se debe combinar con una autenticación por contraseña Ej: Utilización de un cajero = Tarjeta + PIN (Personal Identification Number) Presenta algunas desventajas: Precisa de un lector apropiado Si la contraseña no sigue las indicaciones vistas anteriormente, un testigo perdido, robado o duplicado puede suponer una brecha en la seguridad. Ej: El PIN es una contraseña de 4 dígitos Sólo hay 10000 posibilidades. El usuario está acostumbrado a este método en pocos sistemas (cajeros y puertas restringidas); pero produce rechazo para acceder a un ordenador. Su información está almacenada de manera fija. La tecnología empleada ha variado en el tiempo haciendose cada vez más sofisticada Desde grabar los datos fisicamente, en relieve sobre la superficie de la tarjeta, posteriormente en una banda magnética adosada en la parte posterior, y finalmente insertando la tarjeta de memoria dentro de la tarjeta. El avance de la tecnología ha permitido incluir cierta capacidad de procesado de la información, dando lugar a las tarjetas inteligentes.

ASI - Autenticación de usuarios,12 Autenticación basada en objetos testigo (2/2) Tarjeta Inteligente En inglés Smart Card Nuevo: Protocolos de autenticación Estática Generación dinámica de la contraseña Inic. Inic. Sinc. Sinc. Pass. Reto - Respuesta Reto Respuesta

Autenticación basada en biometría Operaciones Crear usuario (Enrollment) Verificación (Verification) Identificación (Identification) Dificultades Computacionalmente más complejo. Hacen falta métodos de IA. Se pueden producir 2 tipos de errores - Falsos positivos - Falsos negativos Cuál usar? Alfredo Cuesta @ 2014 Según el coste y la precisión Según el tipo y ratio de errores Coste PIN Iris Cara Dedo Mano Firma Voz... Geometría de la mano Firma Rostro Voz Necesario para crear usuario y para su verificación; pero NO para ser identificado Interfaz Sensor biométrico V / F Verificación Identidad Identifiación Situación Ideal Impostores Correcto Negativo Fácil de separar Retina Huella dactilar Precisión Legítimos Correcto Positivo Iris Falsos Negativos CMP Extracción esquemas CMP 1 esquema Almacén N esquemas Situación Real Por dónde separamos?? Impostores Falso Negativo Alta Seguridad Militar Uso civil Falsos Positivos Legítimos Falso Positivo Investigación forense ASI - Autenticación de usuarios,13

ASI - Autenticación de usuarios,14 Autenticación remota Hasta ahora el acceso era local Qué ocurre si se accede al sistema desde internet? PROBLEMA Surgen nuevas amenazas debidas al ataques contra la transmisión. SOLUCIÓN Utilización de protocolos Reto-Respuesta Id. Clave (P) Contraseña 1: Id. 2: Reto 3: Respuesta = f ( rand, H(P) ) 4: Comparar - Respuesta - Tabla Sí / No Id P H(P) Reto = f (, ) H ( ) rand Id. Clave (P) Pass code (W) Testigo 1: Id. 2: Reto 3: U. activa W introduciendo P. Respuesta = f ( rand, H(W) ) 4: Comparar - Respuesta - Tabla Sí / No Id W H(W) Reto = f (, ) H ( ) rand Ident. Disp. (D) Esquema Biomt. User. (SB) Biometría Estática 1: Id. 2: Reto 3: Respuesta = E ( rand, D, SB) 4: Descifrar E, Comparar - Respuesta - Tabla Sí / No Id D SB Reto = Encript. E (,, ) rand Repite la sec. S con - voz - escritura (SR) Biometría Dinámica 1: Id. 2: Reto 3: Respuesta = E (rand, SR) 4: Descifrar E, Comparar - rand - secuencias Sí / No Reto = Encript. E (, ) Secuenc. rand

ASI - Autenticación de usuarios,15 Tipos de ataque y medios de defensa Autenticador Ejemplo de ataque Defensa típica Atacar al cliente Contraseña Testigo Biometría Atacar al host Contraseña Testigo Adivinar, Busqueda exhaustiva Busqueda exhaustiva Falso positivo Ataque con diccionario Robo del passcode Biometría Robo de esquemas Reto-Respuesta Robar, copiar o espiar Contraseña Navegar 'por encima del hombro' (Shoulder surfing) Mantener la clave en secreto; Revocar las claves atacadas rapidamente Testigo Falsificación del Hw. Testigos más resistentes Biometría Falsificar la biometría (Spoofing) Detección de copias en el dispositivo; Caballos de Troya Contraseña Testigo Biometría Introduccir un cliente malicioso o un dispositivo de captura Claves complejas, Limitar el número de intentos. Hashing, Claves complejas Autenticación del cliente o del dispositivo

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback