Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Alegere aspersoare

Despre Japonia - tara pe care nu ...

ICSee din sursa sigura sau echiva...

Exista vreo metoda sa pasez contu...
 Acumulator 3.7v

Andaluzia sau Tara Bascilor

reparatie camin vizitare put

Pragurile minime de raportare pen...
 Anevrism de aorta ascendenta

Dovada adresei de resedinta

Tulsa King (2022 - )

Tv box android fara "servicii...
 Factura platita la Supercom si ne...

Nu mai primesc sms pentru locker ...

Apeluri efectuate dar nu apar in ...

Apa de puț in Berceni-Ilfov
 

Metode de autentificare

- - - - -
  • Please log in to reply
41 replies to this topic

#1
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
Discutia a pornit in urma request-ului de a evidentia o solutie de autentificare useri legitimi de Internet intr-o retea proxy based pe baza de IP, MAC.

Pentru autentificare sigura, singura solutie este username + parola (unde parola poate fi de f. multe feluri .... de la clear text password la smartcard, challenge/response token, biometric device, etc ...)

Edited by PreTXT, 02 December 2004 - 10:50.


#2
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
In natura "autenficarii", IP+MAC nu reprezinta o metoda, ci doar premisele aplicarii unei metode...

Cam ce spune si PreTXT... USERNAME, PAROLA, cu modificare la fiecare logare, case sensitive, clear text, cu hammering protection, cu limitare de conectare in interval de timp, cu AntiIdle, etc...

#3
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 09:38, said:

... USERNAME, PAROLA, cu modificare la fiecare logare ...

<{POST_SNAPBACK}>


te referi la 2-factor authentication, nu ?

#4
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
:)

#5
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
http://www.xelios.co..._0401_UK-xs.pdf

#6
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
aia e un dispozitiv biometric de autentificare (fingerprint scanner) ...
eu am ramas nedumerit de ce ai zis de parola ("cu modificare la fiecare logare") ...
singurul sistem care se apropie de ce zici tu este cel cu one-time password, respectiv autentificare bazata pe un hardware token care iti genereaza o parola conform unui algoritm (care se bazeaza pe timp)... parola este verificata de un server si atunci esti autentificat.

intrucat algoritmul de creare a parolei se bazeaza pe variabila timp, vei avea de fiecare data alta parola ... sistemul face parte din categoria 2-factor authentication ptr. ca se bazeaza pe "something you have" (token-ul) si "something you know" (PIN-ul care trebui introdus in token ptr. ca acesta sa genereze parola) ... tehnologia o intalnesti la RSA, Vasco, etc.

in afara de asta, nu stiu de alt sistem care sa presupuna parola diferita la fiecare logare  :huh:  ....

Edited by PreTXT, 02 December 2004 - 09:57.


#7
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
Te gandesti prea departe....

La fiecare delogare, i se genereaza din server, automat, o alta parola pentru a fi folosita la urmatoarea logare.

#8
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 09:59, said:

Te gandesti prea departe....

La fiecare delogare, i se genereaza din server, automat, o alta parola pentru a fi folosita la urmatoarea logare.

<{POST_SNAPBACK}>


si cum este comunicata user-ului ?

#9
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
Asta ramane la latitudinea celui care implementeaza serviciul....

Plus ca algoritmul poate fi modificat randomic tocmai pentru a evita orice posibilitate de generare automata de catre altcineva...

Plus ca asa ceva nu e stand-alone, ci ar veni impreuna cu alte layere de securitate... time stamp based authentification, si asa mai departe...

Da' cred ca tre' sa deshidem un thread separat... ca-mi place...

Edited by laurentiu907, 02 December 2004 - 10:07.


#10
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003
in acest caz te lovesti de alta problema: cum sa transmiti noua parola sigur catre utilizator ... intri intr-un cerc vicios.
sincer, nu cunosc nici un sistem de autentificare care sa se bazeze pe algoritmul descris ... daca ai vreun exemplu, da-mi si mie un link ... chiar ma intereseaza subiectul.

P.S. ce discutii genereaza o intrebare despre MAC si IP .... :D

#11
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003

Quote

Asta ramane la latitudinea celui care implementeaza serviciul....

Plus ca algoritmul poate fi modificat randomic tocmai pentru a evita orice posibilitate de generare automata de catre altcineva...

Plus ca asa ceva nu e stand-alone, ci ar veni impreuna cu alte layere de securitate... time stamp based authentification, si asa mai departe...

Bun.... Ramasesem la cum se transmite parola...

Parola ar avea doua cai... Hint-are in sistemul in care se face delogarea, stocarea pe net, si prezentare criptata catre utilizator. Same... Doar utilizatorul "real" cunoaste mecanismul de decriptare...

Nu intru in detalii cum ar fi amprentarea vocala, sau fingerprint, ca nu-si are rostul...

Sa incercam sa ne pastram in limitele unui sistem clasic...

Cercul de care vorbesti, reprezinta securizarea sistemului considerat securizat....

Cu toate astea, totul se reduce in final la "utilizatorul autentificat", si nu la prezentarea digitala a "parolei". E mai usor sa fie decriptata de om, decat "plimbata" pe diferite sisteme pe unde ar exista riscul sa fie descoperita...

Nu mai zic de autentificare repetata in intevale de timp ca alternativa la mecanismul de AntiIdle... Si ar mai fi de discutat...


Mai tii minte sistemele alea vechi cu "scrieti cuvantul nr. 8 din randul 12 de la pagina 33" ????  :)

Edited by laurentiu907, 02 December 2004 - 10:23.


#12
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 10:15, said:

Bun.... Ramasesem la cum se transmite parola...

Parola ar avea doua cai... Hint-are in sistemul in care se face delogarea, stocarea pe net, si prezentare criptata catre utilizator. Same... Doar utilizatorul "real" cunoaste mecanismul de decriptare...

asta imi suna a PKI .. chei publice si private .. dar nu vad legatura cu parola .. este vorba de un mecanism de securizare a canalului de comunicatie (pe baza de certificate de exemplu), cum iti face IPSEC-ul.

Quote

Nu intru in detalii cum ar fi amprentarea vocala, sau fingerprint, ca nu-si are rostul...
ambele reprezinta sisteme statice ... tu ziceai de un sistem dinamic de schimbare a parolei la fiecare logare. .. deci n-au ce cauta in discutie.

Quote

Cu toate astea, totul se reduce in final la "utilizatorul autentificat", si nu la prezentarea digitala a "parolei". E mai usor sa fie decriptata de om, decat "plimbata" pe diferite sisteme pe unde ar exista riscul sa fie descoperita...
se reduce la utilizatorul autentificat, dar aceasta se face pe baza unui credentials prezentat catre sistemul de autentificare (sub orice forma ar fi acestea: parola text, amprenta, certificat, etc..)
e mai usor sa fie decriptat de catre om: fa-mi si mie o criptare pe 256 biti cu AES, te rog ;) ...
bineinteles ca ai nevoie de un sistem comun mai multor useri de autentificare .. vrei sa ne intoarcem la porumbei si A=12, B=7, C=, etc ... ? informatia aia e plimbata prin sisteme folosindu-se metode criptografice (hashing, encryption)

Quote

Nu mai zic de autentificare repetata in intevale de timp ca alternativa la mecanismul de AntiIdle... Si ar mai fi de discutat...
Mai tii minte sistemele alea vechi cu "scrieti cuvantul nr. 8 din randul 12 de la pagina 33" ????  :)

<{POST_SNAPBACK}>

autentificarea repetata la intervale de timp se face si la ora actuala .. Kerberos-ul iti elibereaza un ticket cu validitate limitatat ...

finally, tu ai un exemplu clar de sistem care sa iti schimbe parola la fiecare logare si sa o comunice userilor ? sau discutam concepte teoretice ?  :huh:

Edited by PreTXT, 02 December 2004 - 10:35.


#13
evilone

evilone

    Senior Member

  • Grup: Senior Members
  • Posts: 3,521
  • Înscris: 14.12.2003
Dupa parerea mea, exista trei metode de autentificare"viabile". In ordinea crescatoare a securitatii:

1) autentificare bazata pe ceea ce stii (autentificarea cu username si parola)
2) autentificare bazata pe ceea ce ai (PKI, ai o cheie privata)
3) autentificare bazata pe ceea ce esti (sisteme biometrice)

Cam astea ar fi sistemele testate si "dovedite".

#14
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

evilone, on Dec 2 2004, 10:46, said:

Dupa parerea mea, exista trei metode de autentificare"viabile". In ordinea crescatoare a securitatii:

1) autentificare bazata pe ceea ce stii (autentificarea cu username si parola)
2) autentificare bazata pe ceea ce ai (PKI, ai o cheie privata)
3) autentificare bazata pe ceea ce esti (sisteme biometrice)

Cam astea ar fi sistemele testate si "dovedite".

<{POST_SNAPBACK}>


destul de corect, cu mentiunea ca cel mai sigur este sa implementezi 2-factor authentication, adica o combinatie de 2 dintre cele descrise de tine.

e.g. smartcard cu certificat + PIN  (something you have + something you know)

#15
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 10:33, said:

e mai usor sa fie decriptat de catre om: fa-mi si mie o criptare pe 256 biti cu AES, te rog ;) ...

<{POST_SNAPBACK}>


Eu nu vorbesc de asa ceva...

Bun. Hai sa o luam de la capat....

Da, eu vorbesc de concepte teoretice.... Si DA, cred ca un sistem bazat pe alocare de parola la delogarea utilizatorului autentificat este una din solutii... Totul s-ar rezuma la "securizarea" primului utilizator... Pe urma s-ar merge din delogare in delogare...

Revin... Eu vorbesc de securitate care ar putea fi aplicata, mentenata, si utilizata cu succes pe ORICE tip de sistem...

Da, parerea mea, e ca deja s-a ajuns foarte departe...  Zi-mi si mie pe ce sisteme aplici layerele astea de securitate?

Stii vorba aia cu "lacatele-s pentru oameni cinstiti"...

Ma gandesc de ceva timp de acum, la un sistem de autentificare in LAN, MAN, WAN, ce vrei, bazat pe ceea ce iti spun.... Folosind asa ceva, autentificarea MAC-IP, user password cu posibilitate de brute force attack, hammering etc... ar fi obsolete... ce rost are sa pui cheie de 256 la un sistem care nu asigura cine stie ce, dar are nevoie de securitate...

E ca si cum ai pune cine stie ce materiale din PTFE sau mai mult, la un lagar de caruta.... Intelegi?

Asta ca sa nu ma intelegi gresit..... Eu nu vorbesc de securitatea Pentagonului....

Ceea ce spun eu foloseste doua sisteme...

ceea ce stii, si ceea ce ai... intelegi?

#16
laurentiu907

laurentiu907

    Moderator

  • Grup: Senior Members
  • Posts: 2,940
  • Înscris: 14.12.2003
mda... am postat in acelasi timp...  -_-

#17
evilone

evilone

    Senior Member

  • Grup: Senior Members
  • Posts: 3,521
  • Înscris: 14.12.2003

PreTXT, on Dec 2 2004, 10:53, said:

destul de corect, cu mentiunea ca cel mai sigur este sa implementezi 2-factor authentication, adica o combinatie de 2 dintre cele descrise de tine.

e.g. smartcard cu certificat + PIN  (something you have + something you know)

<{POST_SNAPBACK}>


Exact. Este sistemul aplicat de semnaturile digitale (vezi legea 455/2001 :) ). Cheia privata este stocata pe un token/smartcard, este protejata de un PIN si nu poate fi exportata. Chip-ul care implementeaza algoritmul de criptare este inclus tot in device, asa ca nici nu este nevoie de un astfel de export.

#18
PreTXT

PreTXT

    Moderator

  • Grup: Senior Members
  • Posts: 2,053
  • Înscris: 09.01.2003

laurentiu907, on Dec 2 2004, 10:54, said:

Da, eu vorbesc de concepte teoretice.... Si DA, cred ca un sistem bazat pe alocare de parola la delogarea utilizatorului autentificat este una din solutii... Totul s-ar rezuma la "securizarea" primului utilizator... Pe urma s-ar merge din delogare in delogare...

OK .. deci m-am lamurit ca e vorba de teorie. Dar ... tot nu este practic. Te astepti ca un utilizator sa retina parola urmatoare la fiecare logare-delogare in sistem ? sa fim seriosi ...
Daca te gandesti sa stochezi parola intr-un oarecare mod .. ce rost mai are ? exista PKI, certificate.

Quote

Revin... Eu vorbesc de securitate care ar putea fi aplicata, mentenata, si utilizata cu succes pe ORICE tip de sistem...

Da, parerea mea, e ca deja s-a ajuns foarte departe...  Zi-mi si mie pe ce sisteme aplici layerele astea de securitate?

Stii vorba aia cu "lacatele-s pentru oameni cinstiti"...

layerele respective de securitate (2-factor authentication) le aplic de exemplu pentru VPN in LAN-ul companiei .. se aplica la toate aplicatiile bancare on-line .. se poate aplica la orice merita nivelul asta de securitate (iar costurile de implementare sunt f. reduse)

Quote

Ceea ce spun eu foloseste doua sisteme...

ceea ce stii, si ceea ce ai... intelegi?

<{POST_SNAPBACK}>


am zis mai sus ;)

Anunturi

Chirurgia cranio-cerebrală minim invazivă Chirurgia cranio-cerebrală minim invazivă

Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne.

Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate