Mezzi di autenticazione

Esame Sicurezza informatica

Facoltà Ingegneria

Università Università degli Studi di Roma Tor Vergata

Appunto

Appunti di Sicurezza informatica sui Mezzi di autenticazione basati su appunti personali del publisher presi alle lezioni del prof. Naldi dell’università degli Studi di Tor Vergata - Uniroma2, facoltà di ingegneria, Corso di laurea in ingegneria informatica. Scarica il file in formato PDF!

…continua

Anteprima

Vedrai una selezione di 1 pagina su 4

Disdici quando
vuoi

Acquista con carta
o PayPal

Scarica i documenti
tutte le volte che vuoi

Estratto del documento

MEZZI DI AUTENTICAZIONE

Possiamo classificare i mezzi di autenticazione in base a :

- Quello che si sa

- Quello che si ha

- Quello che si è

- Quello che si fa

Per quanto riguarda quello che si sa li possiamo dividere in password, pin, e risposte a domande personali.

Per quanto riguarda le password sono stringhe di 6-8 caratteri che permettono l’identificazione. Le proprietà

delle password sono:

- Non reciprocità: normalmente le password permettono una identificazione unilaterale;

- Bassa complessità: molto efficienti sia dal punto di vista computazionale che dal punto di vista della

comunicazione.

- Non è richiesta una terza parte;

- La chiave è normalmente tenuta a memoria dall’utente ed in un file di sistema.

L’affidabilità delle password dipende dalla lunghezza ed il tasso di errore nell’inserimento cresce più che

linearmente sia all’aumentare della lunghezza della password e sia in situazioni di stress;

possiamo inoltre fare un hashing delle password ossia non si mantiene in memoria la password ma solo il

valore di hash; in questo modo è possibili confrontare l’hash ottenuto sulla password introdotta con l’hash

memorizzato.

Sulle password possono essere fatti diversi attacchi:

- Attacchi replay

- Ricerca esaustiva

- Attacchi tipo dizionario

- Attacchi su password note

La sicurezza delle password si basa quindi su file di password criptati, regole sulle password (avere password

con alta entropia seguendo regole sintattiche e procedurali come ad esempio che la password deve avere

almeno 8 caratteri, includere caratteri speciali, non dovrebbe avere un significato, ecc), rallentamento nella

verifica delle password (per limitare l’uso di programmi per la ricerca esaustiva; normalmente si ottiene

applicando in maniera ricorsiva una funzione più semplice in cui l’iterazione t+1 usa il risultato

dell’iterazione t), salting (aggiunge alcuni bit alla password prima dell’hashing per limitare l’uso di attacchi

simultanei tipo dizionario; in questo caso l’informazione rimane nel file delle password).

Inoltre per quanto riguarda le password abbiamo One-Time Password (ossia è una password valida una

sola volta) è una password che è valida solo per una singola sessione di accesso o una transazione. La OTP

evita una serie di carenze associate all'uso della tradizionale password (statica). Il più importante problema

che viene risolto da OTP è che, al contrario della password statica, esso non è vulnerabile agli attacchi con

replica. Ciò significa che, se un potenziale intruso riesce a intercettare una OTP che è stata già utilizzata per

accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla, in quanto non sarà più

valida. D'altra parte, una OTP non può essere memorizzata da una persona. Essa richiede quindi una

tecnologia supplementare per poter essere utilizzata. Gli algoritmi di generazione delle OTP in genere fanno

uso di numeri casuali o pseudocasuali. Ciò è necessario perché altrimenti sarebbe facile prevedere la OTP

futura osservando quelle precedenti. Gli algoritmi OTP che sono stati realizzati sono abbastanza diversi tra

loro. I vari approcci per la generazione di OTP sono elencati di seguito.

• Algoritmi basati sulla sincronizzazione temporale tra server di autenticazione e client che fornisce

la password (le OTP sono valide solo per un breve periodo di tempo)

• Algoritmi matematici che generano una nuova password in base alla password precedente (le OTP

sono, di fatto, una catena di password legate tra loro, e devono essere utilizzate in un ordine

predefinito)

• Algoritmi matematici dove la password è basata su un challenge (per esempio, un numero casuale

scelto dal server di autenticazione o dai dettagli della transazione) e/o su un contatore.

Ci sono anche diversi modi per rendere note all'utente le successive OTP da usare. Alcuni sistemi elettronici

prevedono l'uso di speciali token che l'utente porta con sé, che generano le OTP e le mostrano utilizzando un

piccolo display. Altri sistemi sono costituiti da un software che gira sul telefono cellulare dell'utente. Altri

sistemi generano le OTP sul lato server e le trasmettono all'utente su un canale fuori banda, come ad esempio

un canale di messaggistica SMS. Infine, in alcuni sistemi le OTP sono stampate su carta, che l'utente è tenuto

a portare con sé.

Infine abbiamo le grafical password che si basano sul fatto che la mente umana è più efficiente

nell’elaborazione dell’informazione visiva piuttosto che di quella alfanumerica.

Ne sono un esempio i beaw a secret dove l’utente traccia un disrgno semplice su una griglia 2D e vengono

memorizzate le coordinate dei punti sulla grigia e per la verifica l’utente deve toccare gli stessi punti sulla

grigia oppure i passpoint dove l’utente deve selezionare alcuni punti sull’immagine in una certa sequenza e

per la verifica l’utente deve selezionare la stessa sequenza di punti oppure usare uno schema di Dhamija dive

si scelgono diverse immagini da un menù e viene proposta una sequenza di insieme di immagini.

Gli svantaggi delle graphical password sono che:

- Le procedure di registrazione e di login sono più lente

- Richiede più spazio per la memorizzazione

- Shoulder surfing

Per quanto riguarda il PIN consiste nell’usare “qualcosa che si conosce” in combinazione con “qualcosa che

si possiede”. Per impedire che si hanno delle ricerche esaustive, la carta viene ritirata (disabilitata) dopo 3-4

tentativi.

Possiamo distinguere due categorie:

- Passphrase: è essenzialmente una frase lunga che ha il vantaggio della lunghezza e lo svantaggio

chedi solito usa frasi di senso compiuto quindi lo spazio di ricerca non è molto grande.

- Passe: consiste nel mappare una frase su una chiave pseudo casuale; passe si può sare come chiave

simmetrica per la cifratura e si può aggiungere il valore di un contatore per ottenere una password

tempo variante.

Per quanto riguarda l’autenticazione basata su quello che si ha:

autenticazione basata su token: Il token è un dispositivo elettronico portatile (generalmente delle dimensioni

di una chiave, di un telecomando per cancelli o di una piccola calcolatrice) necessario all’autenticazione per

l’effettuazione di operazioni online. In alcuni casi, il dispositivo può essere collegato un computer attraverso

una porta USB. uella del token è chiamata “autenticazione a due fattori” o “autenticazione forte”: è una

metodologia di riconoscimento che utilizza congiuntamente due sistemi di verifica.

Il token si basa sul Possesso del dispositivo – Il titolare deve avere il possesso e l’utilizzo esclusivo del

dispositivo elettronico di autenticazione. Nel caso del token, il possesso del dispositivo è verificato con il

rilascio, tramite esso, di One Time Password (OTP): password dispositive “usa e getta” che vengono

generate ad hoc per ciascuna operazione.

La tecnica di critto-analisi presentata da Mike Bond dell’università di Cambridge si basa sull’identificazione

di un PIN a 4 cifre ( probabilmente in uso negli ATM della CityBank ) ed il suo algoritmo permette di trovare

un PIN in relativamente pochi tentativi e sfrutta proprio il metodo di generazione del PIN. Infatti l’HSM

utilizza i classici algoritmi DESo 3DESper la generazione e la verifica del codice PIN a partire dal numero di

conto corrente memorizzato sulla banda magnetica della carta bancomat in più viene utilizzata una tabella di

decimalizzazione per la conversione da esadecimale a decimale. Come vedremo in seguito, il principale

punto di debolezza nell’algoritmo di verifica di un PIN è proprio l’utilizzo della tabella di decimalizzazione.

Autenticazione biometrica

L’identificazione mediante password è un metododi autenticazione “innaturale”... non può cioè attestare con

sicurezza l’identità della persona, ma semplicemente garantire che l’utente sia a conoscenza di qualcosa o lo

possegga... (il PIN e la carta nel nostro caso) La biometria invece si basa sull’identificazione delle

caratteristiche biologiche quali ad esempio l’iride, le impronte digitali o il percorso del sistema venoso e

quindi è in grado di attestare la presenza fisica della persona. Alcuni esperimenti sono già stati condotti da

alcune banche giapponesi.

Un sistema di riconoscimento biometrico deve basarsi su caratteristiche fisiologiche che rispettino due

proprietà imprescindibili: persistenza (la caratteristica fisiologica non deve variare considerevolmente nel

tempo) e individualità (la caratteristica fisiologica deve essere unica per ogni individuo). Qualsiasi

caratteristica fisiologica che soddisfi entrambe le premesse può essere utilizzata come informazione

biometrica [2].

Tipicamente un sistema di biometric recognition è composto da tre parti fondamentali:

1) un apparato di acquisizione dell’informazione biometrica in cui la caratteristica fisiologica dell’individuo

viene registrata da un dispositivo di acquisizione (ad esempio uno scanner di retina o di impronta digitale);

2) un meccanismo di estrazione che trasforma i dati significativi dell’informazione biometrica in una

rappresentazione macchina;

3) una funzione di confronto che, mediante algoritmi di pattern-matching e decision-making, quantifica la

similitudine tra la rappresentazione dell’informazione biometrica acquisita e una rappresentazione

precedentemente memorizzata nel sistema.

Se il confronto produce un valore di similitudine maggiore di una certa soglia (threshold), stabilita in fase di

progettazione del sistema, le due informazioni biometriche sono considerate provenienti dallo stesso

individuo ed il confronto dà esito positivo.

Il protocollo di riconoscimento prevede una fase di registrazione dell’individuo, detta Enrollment, mediante

una o più acquisizioni della informazione biometrica che vengono combinate in un template memorizzato dal

sistema in un dispositivo di memoria (un database, una smart card, ecc.). Il template rappresenta

l’informazione biometrica “ufficiale” associata all’individuo. In seguito, durante la fase di autenticazione, il

template viene richiamato e confrontato con un’informazione biometrica acquisita al momento, detta live-

scan.

Nella progettazione di un sistema di riconoscimento biometrico occorre, in primo luogo, tenere conto

dell’”accettabilità” della misurazione biometrica [2]; il grado di accettabilità dipende da un insieme di fattori

complessi e mutabili che sono in relazione con il contesto di riferimento (quindi da fattori sociali quali la

cult

Dettagli

Publisher

Daniele9292

A.A. 2016-2017

4 pagine

SSD Scienze matematiche e informatiche INF/01 Informatica

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher Daniele9292 di informazioni apprese con la frequenza delle lezioni di Sicurezza informatica e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Roma Tor Vergata o del prof Naldi Maurizio.