Please enable JavaScript.
Coggle requires JavaScript to display documents.
03: Sistemi di Autenticazione (Password ripetibili (Svantaggi…
03: Sistemi di Autenticazione
Password ripetibili
Password in chiaro
Memorizzazione server
UserID
Password in chiaro / Hash
Vantaggi
Semplicità
Svantaggi
Conservazione password lato utente
Memorizzazione password lato server
Password in chiaro
Digest non protetto
Password sniffing
Attacco replay
Strong Authentication
Almeno un fattore:
Non rubabile
Non riusabile
Non replicabile
Fattori indipendenti
Almeno 2FA
Sistemi a sfida
Sfida simmetrica
Problemi
Server deve memorizzare la password in chiaro
Apertura di due connessioni con l'attaccante
Sfida asimmetrica
Problemi
Lentezza
Firma inconsapevole
Vantaggi
Non richiede memorizzazione lato server
Autenticazione mutua
Non ripudio
Sistemi OTP
Vantaggi
Immune allo sniffing
Svantaggi
Soggetto a MITM (Autenticazione server richiesta)
Password limitate in numero
Difficoltà di distribuire le OTP
Scritte su un foglio
Autenticatore hardware (token)
DoS
Social engineering
Autenticatore software (smartphone)
Difficoltà generazione password
Tipologia
Sincroni (Time based)
Analisi
Richiede authentication window
Richiede sincronizzazione C/S
Richiede computazione locale al subscriber
Soggetto ad attacchi sul tempo (NTP)
RSA SecurID
Utente invia:
ID, PIN, Token Code (Seed, Time)
ID, Token Code (Seed, Time, PIN)
Server mantiene
UserID
Segreto dell'utente
Duress code
Architettura
ACE Client
ACE Server
Asincroni
S/KEY
Utente
Genera S
Passphrase utente
Nonce del server
Genera le OTP
OTP1=h(S)
OTP2=h(h(s))
OTPn=h(h(...h(s)))
Invia OTPn al server
Server
Riceve OTPn
Verifica OTPn-1 con OTPn
Event Based OTP
P(ID,C) = h(C, S_ID)
Non usa il seed
Usa contatore C
Richiede pre-computazione OTP
Il counter si incrementa alla pressione (utente)
Zero Knowledge Proof
Diverso dal challenge response
Prover e verifier hanno conoscenze diverse
Necessarie più iterazioni
Zero Knowledge Password Proof
Sistemi biometrici
False Acceptance Rate
False Rejection Rate
Kerberos
Ticket
Ksc (Chiave di sessione tra client e server)
Life
Timestamp
Client Address
Client ID
Server ID
Criptato con Ks (Chiave del server)
Authenticator
Client ID
Client Address
Timestamp
Criptato con Ksc (Chiave di sessione tra client e server)
Funzione
Evita replay attack
Ha durata breve
Può essere usato una volta sola
E' cifrato con la chiave di sessione
E' collegato al ticket (che è riusabile)
Se ne crea uno ad ogni autenticazione dell'utente
Attori
Client
Authentication Server
K_UID, K_TGS
Fornisce il TGT al client
Ticket Granting Server
K_S
Fornisce il TS al client
Application Server
Accetta il TS dal client
FIDO
Registrazione
Sistema biometrico per generare chiave asimmetrica
Server invia:
Richiesta di registrazione
Hash
Risposta client
Risposta alla registrazione
Chiave pubblica
Key handler
Autenticazione
Server invia:
Sfida
Key handle
Client risponde:
Soluzione alla sfida