Blackhat.az

Loading...

Blackhat.az

Register

Cyber Security - Hacking News - Kiber Təhlükəsizlik uyğunluğu - Password cracking - 10 March 2021

İnformasiya Təhlükəsizliyi Perspektivindən Doğrulama Token Konsepsiyası

Maraq təhlükəsizliyinin əsas elementlərindən biri şəxsiyyətin yoxlanılmasıdır. Bu yazıda, bir neçə mərhələli doğrulama metodlarından biri olan ” Bir şeyə sahib olduğunuz bir şey ” nümunəsi olan Doğrulama Tokeninin (identifikasiya işarəsi) mövzusu araşdırılacaq.

Üç əsas identifikasiya üsulu var:

  • Tip 1 – Bildiyiniz bir şey (Something you know)
  • Tip 2 – Bir şey var (Something you have)
  • Tip 3 – Bir şeysən (Something you are).

A) Token mexanizmi

Ədəbiyyatdakı tərif bir fenomen, keyfiyyət, təəssürat və s. Görünən və ya maddi bir təqdimat (zəmanət) kimi xidmət edən bir şey adlandırılan Autentication Token, yuxarıda göstərilən identifikasiya metodlarında ikinci mərhələdə istifadə olunur. Tip 2 kimlik doğrulamasında (sahib olduğunuz bir şey) istifadəçilərin təsdiqlənmiş bir istifadəçi olduqlarını sübut edən bir əlamətə sahib olmalarını tələb edir. Xülasə olaraq, Doğrulama Nişanı şəxsiyyət iddiasını sübut etməyə kömək edən sahibdir.

Sahib subyektinin Nişanı idarə etdiyini sübut etmək üçün istifadə olunan işarənin məzmununu yaradır. Bu quruluş asimmetrik və ya simmetrik (tək) düymələrə əsaslanır . Asimmetrik açar modelində xüsusi açar Nişanədə saxlanılır və açıq açarla qoşulduqda sahibliyini sübut etmək üçün istifadə olunur. Simmetrik açarlar təhlükəsiz bir kanal (məsələn, HTTPS) üzərində birbaşa müqayisə üçün qarşı müştəri və müvafiq mövzu tərəfləri arasında bölüşdürülür.

Qeyd: Simmetrik və asimmetrik şifrələmə haqqında ətraflı məlumat üçün mənbələrdəki Cyberportal bağlantısı [ii] araşdırıla bilər.

Jeton təsdiqləyicisini yaratmaq üçün test və ya birdəfəlik (nömrə və ya bit sətri yalnız bir dəfə istifadə olunur) kimi nişan giriş məlumatları tələb oluna bilər. Token giriş məlumatları istifadəçi tərəfindən təmin edilə bilər və ya Token-in özünün bir xüsusiyyəti ola bilər (məsələn, Birdəfəlik Şifrə (OTP) cihazındakı saat). Jetonu aktivləşdirmək və təsdiqləyicinin yaradılmasına icazə vermək üçün PİN kimi nişan aktivləşdirmə məlumatları tələb oluna bilər.

 

B) Tokenlərə qarşı hücum metodları

Təcavüzkar, Token sahibini təqlid etmək və identifikasiya protokolunu pozmaq üçün bir Token üzərində nəzarəti əldə etməyə çalışır. Nümunə hücum üsulları aşağıdakı kimi sadalana bilər.

  • Nişanlar yox ola bilər (ümumiyyətlə hardware nişanları üçün)
  • Token zədələnə bilər, Token zədələnə bilər (ümumiyyətlə hardware Token üçün)
  • Token sahibindən oğurlana bilər (ümumiyyətlə hardware Token üçün) və ya klonlaşdırıla bilər (ümumiyyətlə proqram Token üçün)

 

C) Token növləri

Şəxsin şəxsiyyətini sübut etmək və bir sistemin və ya tətbiqetməni təsdiqləmək üçün mövzu tərəfindən istifadə edilən Token proqram və ya hardware əsaslı ola bilər.

 

C.1) Proqram Token (Yumşaq Token)

Bunlar masa üstü, noutbuk və ya mobil cihaz kimi ümumi təyinatlı kompüter sistemlərində saxlanılır və ikinci identifikasiya faktoru ilə aktivləşdirmə tələb olunur (məsələn, PİN, parol və ya biometrik). Soft Token-lərin tətbiqi ümumiyyətlə daha ucuzdur, idarə olunması daha asandır və donanma işarələri ilə birlikdə yaranan bəzi fiziki təhlükəsizlik risklərinin qarşısını alır. Bununla birlikdə, proqram təminatçıları yalnız saxlandıqları kompüter qədər təhlükəsizdir və kompüter viruslarına, ortada adam, fişinq və digər proqram hücumlarına həssasdır.

Həssas məlumatlara daxil olmaq üçün və ya uzaqdan təhlükəsiz şəbəkəyə giriş üçün tətbiq olunan çox faktorlu identifikasiyada “əlinizdə olan bir şey” faktorunda istifadə olunan proqram Tokeninin aşağıdakı xüsusiyyətlərə / tələblərə sahib olması gözlənilir;

  • Şəxsi açarlar ixrac edilə bilməz olmalıdır: Yerli açar anbarında saxlanılan şifrələmə düymələrindən istifadə edən Soft Token proqramı açarları ixrac olunmayan kimi qeyd etməlidir . Bu, açarın icazəsiz bir sistemə ixrac edilməsinin qarşısını alır. Uzunmüddətli xüsusi açar sənədlər administratorlara (admin) və yalnız giriş tələb edən tətbiqlərə giriş məhdudlaşdıran giriş nəzarəti ilə qorunmalıdır.
  • Düymələr heç vaxt düz mətndə (şifrələnməmiş) formada saxlanılmamalıdır: Proqram Token paylaşılan gizli düymələrdən istifadə edirsə, düymələr tətbiq xaricində oxuna və kopyalana biləcək formatda saxlanılmamalıdır. Mətn sənədləri ən azı Software Token proqramının işləməsi üçün bir sistem istifadəçiləri tərəfindən oxunmalıdır. Bu, düymələrin başqa bir sistemə kopyalanma şansını çox artır.
  • Aktivləşdirmə təhlükəsiz şəkildə aparılmalıdır: İlkin parolları paylamaq və köç zamanı ilk qeydin kopyalanmamasını təmin etmək üçün gizli bir kanal istifadə edilməlidir. Soft Token proqramının quraşdırılması ümumiyyətlə Token nəsil mühərrikinin qurulması və işə salınması üçün iki məlumata (əsas qeydiyyat, parol) malikdir. Bu iki məlumat icazəsiz bir istifadəçi tərəfindən ələ keçirildikdə, proqramın icazəsiz quraşdırılmasına icazə verilir və səlahiyyətli istifadəçi xaricində tərəflər tərəfindən istifadə edilə bilər.
  • Doğrulama etibarlı olmalıdır: Token aktivləşdirmə istifadəçi hər dəfə yumşaq Token proqramından istifadə edərək təsdiqlədikdə baş verməlidir. Hər bir doğrulama parol və ya digər aktivasiya məlumatlarının daxil edilməsini tələb edir. Digər faktorun (parolun) girişi digər (sistem) tərəfindən soruşulduqda istifadəçinin əl ilə daxil etməsi ilə məhdudlaşdırılmalıdır. Proqramın PİN və ya parolun saxlanması kimi əl ilə istifadəçi girişi olmadan bir Token yaratmasına imkan verən bir təcrübə olmamalıdır.
  • Jeton vaxt məhdudiyyəti kiçik olmalıdır: Proqram tərəfindən yaradılan jetonun istifadəsi üçün vaxt məhdudiyyəti olmalıdır (məsələn, 2 dəqiqə və ya daha az). Bu qısa vaxt pəncərəsi uzaqdan girişə başlamaq üçün kifayət etməli və bir Tokenin digər sistemlər üçün paylaşılmasının və ya oğurlanmasının qarşısını alır.
  • Soft Token proqram şifrəsi qaydalara uyğun olmalıdır: Soft Token proqramı üçün parol idarəetmə tələbləri, Parol İdarəetmə təlimatlarında göstərilən mürəkkəbliyə, ölçüyə, dəyişiklik aralığına və yenidən istifadə qaydalarına uyğun olmalıdır (IRS Nəşr 1075 – Sərgi 8 Parol İdarəetmə [iii]) . Bu təlimatlar Token yaratmaq üçün istifadə olunan parolların asanlıqla təxmin edilməməsini və istifadəçi başına unikal olmasını təmin edəcəkdir.
  • Soft Token-lərə bütün girişlər yoxlanılmalıdır: Uğurlu və uğursuz uzaqdan giriş cəhdləri baş verdikdə yumşaq jeton proqramına giriş üçün yoxlama qeydləri tutulmalıdır. Audit cədvəli PIN nömrələrini və şifrələrini təxmin etmək cəhdlərini qeyd etməli və proqram təminatını müvəffəq və uğursuz uzaqdan giriş əlaqələri ilə əlaqələndirmək Soft Token proqramına müdaxilə və ya təkrarlamaq cəhdlərini göstərə bilər.
  • Soft Token etibarlı bir mühitdə istifadə olunmalıdır:  Soft Token istifadə etməzdən əvvəl həmişə zərərli proqram əleyhinə proqramın ən son versiyasını quraşdırın: Zərərli proqram, açarı qeyd etmək və ya daxil etmək üçün istifadə olunan PİN və ya şifrəni ələ keçirə biləcək digər zərərli proqram təminatlarının müəyyənləşdirilməsi və quraşdırılmasının qarşısını almaq üçün. Soft Token proqramı qarşısının alınması proqramı quraşdırılmalıdır.
  • FIPS 140-2 təsdiqlənmiş kriptoqrafik modullardan hər zaman istifadə edilməlidir: Şifrələmə funksiyasını yerinə yetirən kriptoqrafik modul, FIPS 140-2 Səviyyə [iv] 1.15-ə uyğun olaraq təsdiqlənməlidir.

Bundan əlavə, təhlükəsizlik mütəxəssisi tərəfindən Soft Token proqramının pozulma ehtimalını azaltmaq üçün aşağıdakı təhlükəsizlik yoxlamaları tətbiq edilə bilər.

  • PKI üstünlük verilən əsas idarəetmə platformasıdır. PKI (ümumi açar infrastruktur) bütün kriptoqrafik əməliyyatlar üçün asimmetrik (ümumi / özəl) açar cütlərindən istifadə edir. PKI ilə subyektlər özlərini gizli açarları açıqlamadan sistemə sübut edə bilərlər. Simmetrik açarlar riskə meyllidir, çünki identifikasiya üçün məruz qalmalıdırlar.
  • Trusted Platform Modules (TPM – Trusted Platform Modules) istifadə edilə bilər. TPM, yerli bir cihaz şifrələmə mühərriki və şifrələmə açarları üçün etibarlı bir yerdir. Düymələr TPM açar mağazasında saxlanılırsa, açara birbaşa giriş TPM sistemi tərəfindən müvafiq düymələrə daxil olmaq üçün identifikasiya tələb olunmaqla kəsilir. Bitlocker – TPM inteqrasiyası haqqında ətraflı məlumat üçün mənbələrdəki Cyberportal bağlantısı [v] araşdırıla bilər.
  • Bir Token verilməzdən əvvəl yoxlama aparılmalıdır. İcra edilə bilən sənədlər, DLL və INI sənədləri daxil olmaqla proqram sənədlərinin qarışıq və ya proqramın dəyişdirilmədiyini təsdiqləyən hər hansı digər mexanizmlə müqayisəsi uzaqdan giriş üçün bir Token verilmədən əvvəl aparılmalıdır.

 

C.2) Hardware Token (Hard Token)

Şəxsiyyəti təsdiq etmək üçün istifadə olunan sərtləşdirilmiş xüsusi cihazlarda etimadnaməni saxlayan proqram təminatı olmayan fiziki Tokenlər. Hard Tokenlər, itki və ya oğurluq səbəbindən fiziki təhlükəsizlik hücumlarına (yəni birbaşa fiziki giriş) həssasdır. Hər bir Token növü məlumatların uzaqdan şəbəkə identifikasiyasında təhlükəsizliyini təmin etmək üçün bəzi tətbiq tələblərinə malikdir.

D) Token Texnologiyaları

D.1) Gizli Token Axtarış (Grid Card Technology)

Bu işarələnmiş sütunlarda və sətirlərdə təsadüfi rəqəmlər və hərflərin matrisini ehtiva edir. Bu quruluş ümumiyyətlə istifadəçinin cüzdanında asanlıqla gəzdirilə bilən və ya iş kartları, kredit kartları və ya ATM kartlarının (grid-kart) arxasında basdırıla bilən kredit kartı ölçülü plastik kartlarda basılır. Giriş zamanı identifikasiya serveri bir koordinat massivi ilə təsadüfi bir sorğu kodu yaradır və istifadəçini bu koordinatlarda giriş parolu (jeton) kimi hərfləri daxil etməsini tələb edir. Nişan identifikatoru ən az 64 bit entropiyaya sahib olmalıdır.

 

D.2) Banddan Çıxış Nişanı

Ayrı bir kanalda birincil identifikasiya kanalından alınan və birincil kanaldan istifadə edərək identifikasiya protokoluna verilən birdəfəlik bir Nişandır. Buna misal olaraq mobil telefondan SMS mesajı almaqdır. Nişan doğrulayıcıda ən az 64 bit entropiya olmalıdır.

 

D.3) Birdəfəlik Şifrə (OTP)

Bunlar ümumiyyətlə VPN girişində və internet bankçılığı kimi maliyyə əməliyyatlarında istifadə olunan birdəfəlik və qısamüddətli şifrələrdir. Bunlar “ayələr” adlanan alətlərlə istehsal olunur. Nişan agenti və identifikasiya edən server eyni alqoritmlə parollar yaradır.

OTP, birdəfəlik parolların yaradılmasına imkan verən bir təhlükəsizlik avadanlığı cihazı və ya proqramdır. Əsas alqoritmdə iki giriş dəyəri var. Bu dəyərlər əsas və nəqliyyat amilidir. Nüvə quruluşu eyni olmasına baxmayaraq, OTP istehsalı emal / nəqliyyat metoduna görə ikiyə bölünür:

  • HOTP (Hadisə Əsaslı Qarşı Sıra && HMAC əsaslı OTP): Miqrasiya faktoru sayğac növündən (hadisəyə əsaslanan) asılı olaraq dəyişir. Counter-Sequence, OTP-lərdə hardware və Event-based proqramlarında geniş istifadə olunur.
  • TOTP (Zamana əsaslanan): Zaman möhüründən asılı olaraq nəqliyyat amilinin dəyişməsi kimi müşahidə olunur. Başqa sözlə, OTP, server tərəfində və müştəri tərəfində eyni vaxt ayarı və gizli açara uyğun olaraq yaradılır.

Birdəfəlik istifadə olunan parol əlavə olunduğu alqoritmə görə yaradılır, identifikasiya protokoluna əl ilə daxil edilir və “bildiyiniz bir şey” və ya “olduğunuz bir şey” altında aktivləşdirilə bilər. Bunlara misal olaraq hər 30-60 saniyədə bir kod yaradan və ya basıldığında kod yaradan bir düyməyə sahib olan Tokenlərdir. Bura mobil telefonda və ya mobil cihazda işləyən birdəfəlik parol yaratma tətbiqi daxil ola bilər. Doğrulayıcı funksiyasını yerinə yetirən kriptoqrafik modul FIPS 140-2-də təsdiqlənməli və şəxsi cihaz cihazında saxlanan simmetrik açarı ani vaxt dəyəri ilə birləşdirmək üçün FIPS-təsdiqlənmiş blok şifrəsi və ya hash funksiyası istifadə edilərək birdəfəlik parol yaradılmalıdır. . Birdəfəlik istifadə olunan parolun məhdud ömrü olmalıdır.

İstehsalçıdan / dizaynerdən asılı olaraq, müştəri ilə identifikator arasındakı quruluş PIN / parol seriyası yaradaraq sinxron və ya asinxron işləyir. Sinxron və asinxron quruluşdakı ayrılma zamanla əlaqəlidir.

  • Sinxron əlamətlər: OTP yaratmaq üçün bir identifikasiya server ilə sinxronizasiya olunan vaxt. Server və Token hər birinin eyni vaxt bazasına sinxronlaşdırılması lazım olan müstəqil saatlara malikdir. Yaradılan OTP yalnız qısa müddətdə etibarlıdır. Nişan və identifikatorun iş saatları arasında çox fərq varsa, parol doğrulamasının heç vaxt doğru olmadığı bir problem ola bilər.
    • RSA SecurID, hardware əsaslı sinxron dinamik Token nümunəsidir.

D.4) Şifrələmə Cihazı

Bütün kriptoqrafik əməliyyatların və xüsusi açarların qorunmasını təmin edən bir aparat cihazı adlanır (Proqramlaşdırılamayan Məntiq və Qeyri-Uçucu Saxlama). Buna bir nümunə müxtəlif X.509 sertifikatları və bütün kriptoqrafik funksiyaları idarə edən bir FIPS-201 ağıllı kartıdır. Hər bir doğrulama, aktivasiya məlumatlarının (məsələn, Şifrə, PİN) daxil edilməsini tələb edir.

Daha böyük bir çox faktorlu identifikasiya həllinin bir hissəsi olan təhlükəsiz Token əsaslı bir identifikasiya modulu yaratmaq üçün təhlükəsizlik mütəxəssisi bütün müvafiq təlimatları anlamalı və sonra bu təlimatı rəsmi bir müəssisə təhlükəsizliyinə inteqrasiya etməlidir. İş ehtiyaclarını dəstəkləmək üçün, quruluşa həqiqi bir çox faktorlu identifikasiya həllini təmin edə biləcək ən azı bir əlavə identifikasiya faktorunu ehtiva edən memarlıq quraşdırılmalıdır. Təhlükəsizlik mütəxəssislərinin bu kontekstdə nəzərdən keçirmələri üçün yaxşı bir qaynaq NIST SP800-63-1, Elektron Doğrulama Kılavuzu, Dekabr 2011-dir.