Metode de autentificare

Discutia a pornit in urma request-ului de a evidentia o solutie de autentificare useri legitimi de Internet intr-o retea proxy based pe baza de IP, MAC.

Pentru autentificare sigura, singura solutie este username + parola (unde parola poate fi de f. multe feluri .... de la clear text password la smartcard, challenge/response token, biometric device, etc ...)

Edited by PreTXT, 02 December 2004 - 10:50.

In natura "autenficarii", IP+MAC nu reprezinta o metoda, ci doar premisele aplicarii unei metode...

Cam ce spune si PreTXT... USERNAME, PAROLA, cu modificare la fiecare logare, case sensitive, clear text, cu hammering protection, cu limitare de conectare in interval de timp, cu AntiIdle, etc...

laurentiu907, on Dec 2 2004, 09:38, said:

te referi la 2-factor authentication, nu ?

:)

http://www.xelios.co..._0401_UK-xs.pdf

aia e un dispozitiv biometric de autentificare (fingerprint scanner) ...
eu am ramas nedumerit de ce ai zis de parola ("cu modificare la fiecare logare") ...
singurul sistem care se apropie de ce zici tu este cel cu one-time password, respectiv autentificare bazata pe un hardware token care iti genereaza o parola conform unui algoritm (care se bazeaza pe timp)... parola este verificata de un server si atunci esti autentificat.

intrucat algoritmul de creare a parolei se bazeaza pe variabila timp, vei avea de fiecare data alta parola ... sistemul face parte din categoria 2-factor authentication ptr. ca se bazeaza pe "something you have" (token-ul) si "something you know" (PIN-ul care trebui introdus in token ptr. ca acesta sa genereze parola) ... tehnologia o intalnesti la RSA, Vasco, etc.

in afara de asta, nu stiu de alt sistem care sa presupuna parola diferita la fiecare logare  :huh:  ....

Edited by PreTXT, 02 December 2004 - 09:57.

Te gandesti prea departe....

La fiecare delogare, i se genereaza din server, automat, o alta parola pentru a fi folosita la urmatoarea logare.

laurentiu907, on Dec 2 2004, 09:59, said:

si cum este comunicata user-ului ?

Asta ramane la latitudinea celui care implementeaza serviciul....

Plus ca algoritmul poate fi modificat randomic tocmai pentru a evita orice posibilitate de generare automata de catre altcineva...

Plus ca asa ceva nu e stand-alone, ci ar veni impreuna cu alte layere de securitate... time stamp based authentification, si asa mai departe...

Da' cred ca tre' sa deshidem un thread separat... ca-mi place...

Edited by laurentiu907, 02 December 2004 - 10:07.

in acest caz te lovesti de alta problema: cum sa transmiti noua parola sigur catre utilizator ... intri intr-un cerc vicios.
sincer, nu cunosc nici un sistem de autentificare care sa se bazeze pe algoritmul descris ... daca ai vreun exemplu, da-mi si mie un link ... chiar ma intereseaza subiectul.

P.S. ce discutii genereaza o intrebare despre MAC si IP .... :D

Quote

Bun.... Ramasesem la cum se transmite parola...

Parola ar avea doua cai... Hint-are in sistemul in care se face delogarea, stocarea pe net, si prezentare criptata catre utilizator. Same... Doar utilizatorul "real" cunoaste mecanismul de decriptare...

Nu intru in detalii cum ar fi amprentarea vocala, sau fingerprint, ca nu-si are rostul...

Sa incercam sa ne pastram in limitele unui sistem clasic...

Cercul de care vorbesti, reprezinta securizarea sistemului considerat securizat....

Cu toate astea, totul se reduce in final la "utilizatorul autentificat", si nu la prezentarea digitala a "parolei". E mai usor sa fie decriptata de om, decat "plimbata" pe diferite sisteme pe unde ar exista riscul sa fie descoperita...

Nu mai zic de autentificare repetata in intevale de timp ca alternativa la mecanismul de AntiIdle... Si ar mai fi de discutat...


Mai tii minte sistemele alea vechi cu "scrieti cuvantul nr. 8 din randul 12 de la pagina 33" ????  :)

Edited by laurentiu907, 02 December 2004 - 10:23.

laurentiu907, on Dec 2 2004, 10:15, said:

asta imi suna a PKI .. chei publice si private .. dar nu vad legatura cu parola .. este vorba de un mecanism de securizare a canalului de comunicatie (pe baza de certificate de exemplu), cum iti face IPSEC-ul.

Quote

ambele reprezinta sisteme statice ... tu ziceai de un sistem dinamic de schimbare a parolei la fiecare logare. .. deci n-au ce cauta in discutie.

Quote

se reduce la utilizatorul autentificat, dar aceasta se face pe baza unui credentials prezentat catre sistemul de autentificare (sub orice forma ar fi acestea: parola text, amprenta, certificat, etc..)
e mai usor sa fie decriptat de catre om: fa-mi si mie o criptare pe 256 biti cu AES, te rog ;) ...
bineinteles ca ai nevoie de un sistem comun mai multor useri de autentificare .. vrei sa ne intoarcem la porumbei si A=12, B=7, C=, etc ... ? informatia aia e plimbata prin sisteme folosindu-se metode criptografice (hashing, encryption)

Quote

autentificarea repetata la intervale de timp se face si la ora actuala .. Kerberos-ul iti elibereaza un ticket cu validitate limitatat ...

finally, tu ai un exemplu clar de sistem care sa iti schimbe parola la fiecare logare si sa o comunice userilor ? sau discutam concepte teoretice ?  :huh:

Edited by PreTXT, 02 December 2004 - 10:35.

Dupa parerea mea, exista trei metode de autentificare"viabile". In ordinea crescatoare a securitatii:

1) autentificare bazata pe ceea ce stii (autentificarea cu username si parola)
2) autentificare bazata pe ceea ce ai (PKI, ai o cheie privata)
3) autentificare bazata pe ceea ce esti (sisteme biometrice)

Cam astea ar fi sistemele testate si "dovedite".

evilone, on Dec 2 2004, 10:46, said:

destul de corect, cu mentiunea ca cel mai sigur este sa implementezi 2-factor authentication, adica o combinatie de 2 dintre cele descrise de tine.

e.g. smartcard cu certificat + PIN  (something you have + something you know)

PreTXT, on Dec 2 2004, 10:33, said:

Eu nu vorbesc de asa ceva...

Bun. Hai sa o luam de la capat....

Da, eu vorbesc de concepte teoretice.... Si DA, cred ca un sistem bazat pe alocare de parola la delogarea utilizatorului autentificat este una din solutii... Totul s-ar rezuma la "securizarea" primului utilizator... Pe urma s-ar merge din delogare in delogare...

Revin... Eu vorbesc de securitate care ar putea fi aplicata, mentenata, si utilizata cu succes pe ORICE tip de sistem...

Da, parerea mea, e ca deja s-a ajuns foarte departe...  Zi-mi si mie pe ce sisteme aplici layerele astea de securitate?

Stii vorba aia cu "lacatele-s pentru oameni cinstiti"...

Ma gandesc de ceva timp de acum, la un sistem de autentificare in LAN, MAN, WAN, ce vrei, bazat pe ceea ce iti spun.... Folosind asa ceva, autentificarea MAC-IP, user password cu posibilitate de brute force attack, hammering etc... ar fi obsolete... ce rost are sa pui cheie de 256 la un sistem care nu asigura cine stie ce, dar are nevoie de securitate...

E ca si cum ai pune cine stie ce materiale din PTFE sau mai mult, la un lagar de caruta.... Intelegi?

Asta ca sa nu ma intelegi gresit..... Eu nu vorbesc de securitatea Pentagonului....

Ceea ce spun eu foloseste doua sisteme...

ceea ce stii, si ceea ce ai... intelegi?

mda... am postat in acelasi timp...  -_-

PreTXT, on Dec 2 2004, 10:53, said:

Exact. Este sistemul aplicat de semnaturile digitale (vezi legea 455/2001 :) ). Cheia privata este stocata pe un token/smartcard, este protejata de un PIN si nu poate fi exportata. Chip-ul care implementeaza algoritmul de criptare este inclus tot in device, asa ca nici nu este nevoie de un astfel de export.

laurentiu907, on Dec 2 2004, 10:54, said:

OK .. deci m-am lamurit ca e vorba de teorie. Dar ... tot nu este practic. Te astepti ca un utilizator sa retina parola urmatoare la fiecare logare-delogare in sistem ? sa fim seriosi ...
Daca te gandesti sa stochezi parola intr-un oarecare mod .. ce rost mai are ? exista PKI, certificate.

Quote

layerele respective de securitate (2-factor authentication) le aplic de exemplu pentru VPN in LAN-ul companiei .. se aplica la toate aplicatiile bancare on-line .. se poate aplica la orice merita nivelul asta de securitate (iar costurile de implementare sunt f. reduse)

Quote

am zis mai sus ;)