Content extract
JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg JELSZAVAK – MENNYIRE VAGYUNK BIZTONSÁGBAN? 1/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg TTAARRTTAALLOOMMJJEEGGYYZZÉÉKK JELSZAVAK – MENNYIRE VAGYUNK BIZTONSÁGBAN? .1 1.1 BEVEZETÉS 3 1.11 A leggyakoribb jelszavak: 3 1.12 Észak-Amerikában még az alábbiak is nagyon népszerűek: 3 1.13 A probléma 3 1.2 MILYEN A BIZTONSÁGOS JELSZÓ? 4 1.21 Tegyük 4 1.22 Ne tegyük 4 1.23 Ajánlatok 5 1.231 Megjegyzés 5 1.3 TESZTELÉS 6 1.31 Saját jelszavakkal 6 1.32 Secure Password Generator 7 2.1 A STANFORD SRP HITELESÍTÉSI PROJECT 8 2.11 Mi az SRP? 8 2.12 A többtényezős hitelesítés 9 2.13 Strong Password Authentication 10 2.131 Legelterjedtebb jelszó hitelesítő rendszerek 10 2.14 Pszeudo-Bizonságos Hitelesítés 10 3.1 RÖVIDÍTÉSJEGYZÉK, IDEGEN SZAVAK JEGYZÉKE: 11 3.2 IRODALOMJEGYZÉK 12 2/12 JELSZÓBIZTONSÁG Bicskei Laura
Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 11.11 BBEEVVEEZZEETTÉÉSS Jelszavak – minden nap használjuk őket, itt, a cybervilágban. Ez az első lépés a személyünk azonosításában. Engedélyezve vagyunk, hogy fellépjünk a hálózatra, mert vagy egy előzetesen jóváhagyott jelszavunk. Szükség van rájuk az online banki tranzakciókhoz és az online számlafizetéshez is. Számos példa van rá, hol használunk jelszót, de legtöbben nem is gondolunk arra, hogy milyen könnyű is betörni az életünkbe, mert könnyű jelszavakat használunk. Egy BBC által végzett kutatás szerint több mint a számítógép használók fele sosem változtatja a jelszavát, és a jelszavak közül nagyon sok könnyen kitalálható. 1.11 A LEGGYAKORIBB JELSZAVAK: • • • • • • • 23% gyermek neve 19% kedves neve 12% születésnapok 9% labdarúgó csapatok 9% kedvenc helyek 8% háziállat neve 8% saját név 1.12 ÉSZAK-AMERIKÁBAN MÉG AZ ALÁBBIAK IS NAGYON
NÉPSZERŰEK: • • • • Anya leánykori neve Társadalombiztosítási szám Kedvenc szín A személy neve és az épp aktuális év 1.13 A PROBLÉMA Ezek közül bármelyik használata nagyon kockázatos a biztonság szempontjából. Ezenkívül a társadalombiztosítási szám használata még főleg bolondnak is tűnhet, mert ezzel még személyiségi adataink ellopásához is vezethet. Csak az Egyesült Államokban évente 700-750 ezer áldozata van ennek a problémának A probléma az ilyen könnyű neveket tartalmazó jelszavakkal az, hogy a hackerek és a „személyiség tolvajok” speciális programokkal rendelkeznek, olyasmivel, mint a szótárak, melyben benne vannak a leggyakoribb nevek, kifejezések, szókapcsolatok, sőt, még idegen nyelvű szótáraik is vannak. Előbb vagy utóbb, megtalálják a megfelelőt és BINGO, már tehetnek is, amit akarnak! A megfelelő jelszavak választásával elrettenthetjük a tippelős támadásokat, és időt nyerhetünk más
támadások ellen. 3/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 11.22 M MIILLYYEENN AA BBIIZZTTOONNSSÁÁGGOOSS JJEELLSSZZÓÓ?? 1.21 TEGYÜK • Váltogassuk a kis- és nagybetűket a jelszón belül, legyenek nagybetűk a jelszók belsejében is • Használjuk számokat és betűket egyszerre, és ha a rendszer megengedi, írásjeleket is • Legalább 6 karaktert használjunk (Windows NT esetében legalább 8-at) • Használjunk ránézésre véletlenszerűnek tűnő betű- és számsorozatot • Használjunk olyan jelszót, amit könnyedén begépelhetünk, úgy, hogy nem kell a klaviatúrára néznünk közben. Ez nehezebbé teszi mások számára, hogy ellessék a jelszavunkat, miközben begépeljük • Rendszeresen változtassuk a jelszavunkat. Minél fontosabb a felhasználó a hálózat működéséhez (pl. az adminisztrátor a Windowsnál), annál gyakrabban kell változtatni a jelszót Ez megakadályozza, hogy ha már
valaki megszerezte a jelszót, az be is tudjon jutni 1.22 NE TEGYÜK • Ne használjuk a felhasználónevet semmiképpen még módosított formában sem (pl. megfordítva, nagybetűsen vagy megduplázva) • Ne használjuk vezeték, keresztnevünket, vagy bárki másét, ne használjuk a monogramunkat vagy becenevünket sem (vagy bárki másét sem) • Ne használjunk szavakat, melyeket megtalálunk a szótárban vagy bármilyen más listában • Ne használjunk olyan információt, amit könnyedén kideríthetnek rólunk, pl. háziállatunk neve, rendszámunkat, telefonszámunkat, azonosító számainkat, az autónk márkáját, az utcánk nevét stb Ezek a jelszavak nagyon könnyen kitalálhatóak azok számára, akik ismerik a felhasználót • Ne használjunk csak számokból vagy csak betűkből álló jelszót. Keverjük ezeket • Ne használjunk dátumokat, pl. szeptember, vagy szept1999 vagy bármilyen más kombinációját • Ne használjuk billentyűzet sorozatokat,
mint pl. a qwert • Ne használjunk minta jelszavakat, amiket pl. olyan könyvből vettünk, ami a számítógép biztonságáról szól, bármilyen jó is legyen • Ne használjuk a fent említett dolgokat viszszafelé betűzve, nagybetűkkel vagy bárhogy máshogy módosítva. • Ne írjuk ki a jelszavainkat cédulákra, naptárunkba és ne tároljuk úgy elektronikusan, ahol bárki más hozzáférhet • Sose áruljuk el a jelszavunkat másnak 4/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 1.23 AJÁNLATOK Ajánlatok, hogyan is alkossunk ránézésre véletlenszerű karaktersorozatnak tűnő jelszavakat: • Használjuk az első betűjét mondjuk egy könyv egyik sorának, egy dalnak vagy egy versnek. Pl "Who ya gonna call? Ghost Busters!" így nézne ki: "Wygc?GB!” • Használjunk jelszógenerátort. Válasszuk ki az egyik véletlenszerű sorozatot, melyet könnyű kimondani és megjegyezni Sőt, még jobb, ha
nagybetűvel írjuk egyes elemeit, pl. aDAzac123 • Használhatunk értelmes szavakat, hogy pl. egyes betűit a betűhöz hasonló számmal helyettesítjük, pl. 8evé5 • Találjunk ki magunknak rendszámot, engedjük el a fantáziánkat, pl. 8Hmelo A lényeg, hogy könnyen tudjuk megjegyezni a jelszót. Kerüljük az olyan jelszavakat, amit le kell írnunk ahhoz, hogy megjegyezzük. Ha ez így van, és leírjuk, valaki megtalálhatja az irodánkban, ezzel veszélyeztetve a hálózati azonosságunkat 1.231 M E G J E G Y ZÉ S A CERT/CC, egy központilag alapított számítógépes problémákkal foglalkozó szervezet szerint a hálózati biztonsági problémák 80%-a a jelszavak miatt van. Ugyanekkor egy jó jelszó a legegyszerűbb és a legfontosabb része is az informatikai biztonságnak 5/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 11.33 TTEESSZZTTEELLÉÉSS A táblázatban megadott szempontok alapján, az általunk megadott
jelszavak biztonságát skálázó és javaslatokat adó programmal megvizsgáltuk az alábbi jelszavakat: 1.31 SAJÁT JELSZAVAKKAL rozina Növelje a jelszót legalább 8 karakterre. Használjon nagybetűket a jelszón belül. Használjon speciális karaktereket. Használjon számokat a jelszóban. Nem biztonságos jelszó Biztonságos jelszó leMMikki69 Használjon speciális karaktereket. Nem biztonságos jelszó Biztonságos jelszó 19840829 Használjon nagybetűket a jelszón belül. Használjon kisbetűket a jelszón belül. Használjon speciális karaktereket. Nem biztonságos jelszó Biztonságos jelszó MEK-567 Növelje a jelszót legalább 8 karakterre. Használjon kisbetűket a jelszón belül. Használjon speciális karaktereket. Nem biztonságos jelszó 6/12 Biztonságos jelszó JELSZÓBIZTONSÁG 2005.0404 Bicskei Laura Szőgyényi Rozina BMF-KGK, inf.közg leMMikki-69 Használjon speciális karaktereket. Nem biztonságos jelszó Biztonságos jelszó 1.32
SECURE PASSWORD GENERATOR Amennyiben nem akarunk magunk megadni egy jelszót, akkor használhatjuk ezt a jelszógeneráló programot, amely a szempontjaink alapján határozza meg a leginkább megfelelő jelszót. Ezen táblázatban találhatóak a lehetséges szempontok, alatta pedig a generátorral létrehozott jelszavak tesztelése. Jelszó hossza: (4 - 64 chars) Mutassa a fonetikát: (e.g Alpha - Bravo - Charlie) Tartalmazzon betűket: (e.g abcdef) Keverje a kis- és nagybetűket: (e.g AbcDEf) Tartalmazzon számokat: (e.g a9b8c7d) Tartalmazzon speciális karaktereket: (e.g a!b*c d) Ne tartalmazzon hasonló karaktereket: (e.g i, l, o, 1, 0, I) Mennyiség: c5ebR9 Növelje a jelszót legalább 8 karakterre. Használjon speciális karaktereket. Nem biztonságos jelszó 7/12 Biztonságos jelszó JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg hakaw4Wr Használjon speciális karaktereket. Nem biztonságos jelszó Biztonságos
jelszó B4epre-8 Használjon speciális karaktereket. Nem biztonságos jelszó Biztonságos jelszó 22.11 AA SSTTAANNFFOORRDD SSRRPP H HIITTEELLEESSÍÍTTÉÉSSII PPRROOJJEECCTT A Secure Remote Password, azaz a Biztonságos Távoli Jelszó protokoll technológia áll a Stanford SRP Hitelesítési Projektje mögött. A projekt egy nyílt forrású kezdeményezés, amely integrálja a biztonságos jelszó hitelesítést az új és már a meglévő hálózati alkalmazásokba is. A projekt célja, hogy megnövelje a jelszóbiztonságot úgy, hogy „biztonságos jelszó hitelesítési technológiát” a már létező rendszerekbe implementálja. Ezt úgy kívánják elérni, hogy magát a technológiát könnyen használhatóvá, és akadálymentessé tették, ellenben a gyenge és sebezhető hitelesítési technikákkal, amiket régebben alkalmaztak. Az SRP a megszorító licencektől mentes kombinációját nyújtja jelszóvédelemnek, a felhasználó kényelmének és szabadságnak
2.11 Mi az SRP? Az SRP egy biztonságos jelszó hitelesítésen és egy kulcscserén alapuló protokoll. Az SRP a hálózati kommunikációt biztonságos mértékben titkosítja, az olyan rendszereknél, ahol a kliens szoftver felhasználójának meg kell jegyeznie egy kis titkot, pl. egy jelszót, de más ilyen titkos információval nem kell szolgálni. Az SRP a sikeres hitelesítés melléktermékeként egy kriptográfiai kulcsot is használ, amely lehetővé teszi két résztvevő biztonságos kommunikációját. Sok jelszó hitelesítési megoldás szeretné megoldani ezt a módját a biztonságos hitelesítésnek, és újabban már ez a cél. Viszonylag könnyű olyan protokollt tervezni, amelyre rámondható, hogy biztonságos, és engedi a titkosítatlan, egyszerű szöveges jelszóküldést, de sokkal bonyolultabb olyan protokollt tervezni, amely ténylegesen biztonságos marad az alábbi esetekben is: 8/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404
BMF-KGK, inf.közg • A támadó teljesen ismeri a protokollt • A támadóknak hozzáférésük van egy olyan szótárhoz, mely tartalmazza a leggyakrabban használt jelszavakat • A támadók lehallgathatják a kommunikációt a kliensek és a szerver között • A támadók felfoghatják, módosíthatják, és önkényesen hamisíthatják az üzeneteket a kliens és a szerver között • Egy kölcsönösen megbízható harmadik fél nem elérhető Az SRP ötlete először 1996 végén jelent meg a USENET-en, és egy későbbi finomítás vezetett a kész tervhez 1997-ben, melyben létrehozták a biztonsági tulajdonságokat. Ez vezetett az egyik mai napig is használt protokoll kifejlesztéséhez Ez az SRP-3, amelyet 1998-ban mutattak be jó néhány finomítás után a kriptográfiával összefüggő newsgroup-ok és maillist-ek visszajelzései alapján. Ezek azóta is ellenálltak a nyilvános elemzéseknek és kutatásoknak A technológia azóta már kialakította a
legújabb formáját, melyet SRP-6-nak nevezünk, amely megtartotta az SRP-3 biztonságos tulajdonságait, továbbá finomítottak rajta hogy rugalmasabbá és egyszerűbbé tegyék az integrálását a ma létező rendszerekbe. Az SRP elérhető kereskedelmi és nem kereskedelmi felhasználóknak egy díjmentes licenccel. Az Internet jelentős szerepet játszott az SRP korai fejlődésében, e nélkül az SRP nem kapta volna meg a megfelelő mennyiségű elemzést és visszajelzést, amelyet már megkapott amióta először megtervezték és finomították. Az SRP-t arra tervezték, hogy működjön egy ilyen szabadalmakkal teli környezetben, és mindenkinek megadja a lehetőséget arra, hogy egy erős, nem akadályozott jelszó hitelesítési technológiába „lépjen be”, amelyet nagyon sokféle módon fel lehet használni. 2.12 A többtényezős hitelesítés A hitelesítés legbiztonságosabb formái a hitelesítés tényezői közül többet is tartalmaznak: • • •
Amit tudunk: jelszavak Amink van: hardver kulcsok, személyes kulcsok Amik vagyunk: ember Ha ezeket helyesen kombináljuk, akkor a betörőket arra kényszerítjük, hogy több tényezőt is megismerjenek, mielőtt egy jelentősebb támadásba kezdenének. Cryptographic smart cards – Ezek fizikai kulcsok, amelyek tartalmaznak egy processzort és elég memóriát ahhoz, hogy a személyes kulcsot elraktározzák, és véghez tudják vinni a kriptográfiai műveleteket, mint például az elektronikus aláírásokat. Ezek általában PIN kóddal védettek és bennük hardver alapú biztonsági zár van, amely azt teszi lehetővé, hogy használni lehessen őket ember által megjegyzett PIN kód nélkül. A megfelelő körülmények között nagyfokú biztonságot nyújtanak. Ellenben drága a kibocsátásuk, valamint speciális kártyaolvasót is kell hozzá telepíteni, amelyek akadályozzák az elterjedését, különösen az USA-ban. Arcot authentication– Az Arcot Systems
szoftveres alapú megoldást javasol a hardveres hitelesítő kulcsokhoz, mellyel így elkerülhető sok korlát melyekkel a smart 9/12 JELSZÓBIZTONSÁG 2005.0404 Bicskei Laura Szőgyényi Rozina BMF-KGK, inf.közg card-ok használata során találkoztunk, viszont megtarthatjuk a többtényezős biztonsági rendszer előnyeit. Az ún kriptográfiai álcázás módszerét használva az Arcot a kulcsokat teljes egészében a szoftverben tárolja és védi őket a támadástól, mely a szoftver alapú megoldások egyik legnagyobb hibája. 2.13 Strong Password Authentication Habár a legtöbb jelszó rendszer egytényezős, kombinálhatóak egy másik tényezővel, mint pl. szoftver vagy hardver kulcsok, ezzel többtényezős rendszerré téve azokat A különbség a több tényezős és a gyengébb egytényezős rendszer között abból az előnyből származik, amit ez az extra faktor nyújt. Egy biztonságos jelszó rendszer megvédi a „kitalálható” jelszavakat a
támadástól, és a hálózatra való bejelentkezés ellentétei ellen is Van bennük még egy kulcs az adattitkosság és adatsértetlenség megmaradjon a hitelesítés megtörténte után is 2.131 L E G E L T E R J E DT E B B J E L S ZÓ H I T E L E S Í T Ő R E N D S Z E R E K SRP – 1997-ben fejlesztették ki, biztonságos jelszó hitelesítést tesz lehetővé, amely ma már nagyon elterjedt a nyílt forrású és a kereskedelmi termékeknél. Elérhető az FTP és Telnet alkalmazásoknál, és terjedőben van az Internet protokolloknál is, melyek biztonságos jelszóvédelmet igényelnek. EKE – 1992-ben fejlesztették ki, amely az egyik legkorábbi a jelszóvédelmi rendszerek közül. SPEKE – 1996-os fejlesztésű. Mindkét rendszernél, ha valakinek sikerül betörnie a szerverbe az EKE vagy a SPEKE által és megtalálja a jelszó adatbázist, akkor azután képes lesz az összes felhasználót megszemélyesíteni a rendszerben. Az EKE és a SPEKE is használ
változókat az ilyesféle támadások ellen, de ez jelentős teljesítménycsökkenéssel jár. AMP, SNAPI, AuthA, OKE – A jelszó hitelesítő technológiák iránt megnövekedett érdeklődés mozgalma nagyszámú új hitelesítő protokollok megjelenését hozta, mind más kombinációját nyújtva a biztonságnak, a teljesítménynek és a licenc elérhetőségnek. A szabványtestületek (pl IEEE P1363) pedig munkacsoportokat hoztak létre, hogy segítsék a tájékozódást ebben a valóságos betűhalmazban 2.14 Pszeudo-Bizonságos Hitelesítés Ezt a módszerkategóriát pszeudo- vagy ál-biztonságosnak nevezzük, mert jobbak, mint az egyszerű szöveges jelszavak, de vannak jól ismert biztonsági problémái, melyek sebezhetővé teszik a tényleges fejlődésben. Ezen módszerek jellemzőinek megkülönböztetése során azt vesszük észre, hogy a technológia a „senki földjén” van: Vannak módszerek, melyek nagyobb biztonságot nyújtanak, miközben ugyanolyan
könnyű őket használni, és vannak más módszerek, melyek ugyanolyan biztonságot nyújtanak, és könnyebb őket használni. Ezek után nem meglepetés, hogy e módszerek az SRP alapú változói könnyen betörnek a piacra, mert megvan az a tulajdonságuk, hogy könnyű őket használni és fejleszteni, miközben nagyobb biztonságot nyújtanak a jól ismert támadások ellen. 10/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 33.11 RRÖÖVVIIDDÍÍTTÉÉSSJJEEGGYYZZÉÉKK,, IIDDEEGGEENN SSZZAAVVAAKK JJEEGGYYZZÉÉKKEE:: AMP – Authentication via Memorable Passwords – Megjegyzendő jelszavakkal való hitelesítés, felhasználó választhat jelszót egy bizonyos készletből AuthA – Protocol for th problem of password-based authenticated key (AKE), Protokoll a jelszó alapú hitelesítési kulcsokhoz Authentication: hitelesítés BBC – Britsh Broadcating Company, Brit Televíziós Társaság CERT/CC - Computer Emergency Response
Team / Coordiantion Center Cryptographic smart cards: Titkosított Smart Kártya Cybervilág: a világméretű számítógépes hálózatok összességének „költői” neve. EKE - Encrypted Key Exchange: Titkosított Kulcscsere Elektronikus aláírás: az elektronikus dokumentumokhoz azonosítás céljából logikailag hozzárendelt és azzal elválaszthatatlanul összekapcsolt elektronikus adat, illetőleg dokumentum. FTP - File Transfer Protocol: Hálózati protokoll, amelynek segítségével adatállományokat lehet két hálózati számítógép között átvinni. Az egyik számítógép fájl-szerverként működik, a másik gépen a felhasználó valamilyen kliens-szoftvert használ Hírcsoport*: Ez ugyanolyan, mint a levelezési lista, csak “nagyban”. Egy helyen – nem a személyes leveleink között – található rengeteg csoport (témák szerint felosztva, mint a listáknál), melyek közül bármelyikbe bele lehet olvasni és írni. Implementál: megvalósít
Implementáció: Egy adott algoritmus, architektúra, vagy egyéb terv konkrét megvalósítása. Integrál: beilleszt, egységesít, összevon. Kriptográfia: titkosírás, rejtjeles írás; ennek rendszere v. kulcsa Licenc: a termék terjesztésére, illetve módosítására vonatkozó szabadságot korlátozza. Newsgroup és maillist: A levelezőlisták és a hírcsoportok között az az alapvető különbség, hogy az előbbiekre fel kell iratkozni, míg az utóbbiakhoz mindenki csatlakozhat. A hírcsoport olyan, mint az utcai színház, az látja, hallja, aki arra jár Online: átvitt értelemben azokat a dolgokat jelenti, amelyek működésükben az Internethez kötöttek, azon keresztül valósulnak meg. PIN kód - Personal Identity Number: Személyi Azonosító Szám Protokoll: az adatátvitel módját leíró szabályok összessége. Secure Password Generator: Biztonságos Jelszó Generáló Smart card: Smart chipet tartalmazó, azzal működő kártya. Smart chip: Olyan
adattároló lapka, amelyek képes az adatokhoz történő hozzáférés korlátozására, sőt, akár komplex számítási műveletek végzésére is képesek. SNAPI – Secure Network Authentication with Passport Identification, 1999, Phillip MacKenzie, Ram Swaminathan, Biztonságos Hálózati Hitelesítés Jelszó Azonosítással SPEKE - Strong Password Exponential Key Exchange: Biztonságos jelszó Exponenciális Kulcscsere SRP - Secure Remote Password: Biztonságos Távoli Jelszó Strong Password Authentication: Bitonságos „Erős” Jelszó Hitelesítés USENET: hírcsoportok* gyűjteménye. 11/12 JELSZÓBIZTONSÁG Bicskei Laura Szőgyényi Rozina 2005.0404 BMF-KGK, inf.közg 33.22 IIRROODDAALLOOMMJJEEGGYYZZÉÉKK http://www.securitystatscom/tools/passwordphp http://www.password-softwarecom/password-securityhtm http://srp.stanfordedu http://news.bbccouk/1/hi/sci/tech/2061780stm http://netsecurity.aboutcom/cs/generalsecurity/a/aa112103b 2htm
http://www.winguidescom/security/passwordphp 12/12