Tema 3 (2017)

Resumen Español
Universidad Universidad Autónoma de Barcelona (UAB)
Grado Ingeniería Informática - 3º curso
Asignatura Garantia de la Informació i Seguretat
Año del apunte 2017
Páginas 3
Fecha de subida 10/06/2017
Descargas 1
Subido por

Vista previa del texto

Garantía y Seguridad Tema 3 – Autentificación Autentificación: proceso de verificación de la identidad de un usuario o para verificar la integridad de un dato.
Factores de autentificación:    “conozco”: user, password, clave secreta, … “tengo”: tarjeta, llave, … (token) “soy”: huella digital, retina, voz, … (biométricos) Se pueden usar 2 factores para realizar la autentificación.
Contraseñas Valor secreto (normalmente texto) usado para la autentificación.
   NO se suelen guardar en claro.
Se suele usar una función hash para guardarlas Algunos esquemas usan sal.
Ataques a contraseñas Ataque de diccionario: encontrar la contraseña a base de prueba y error usando un diccionario de contraseñas (fuerza bruta).
Ataque de diccionarios pre-computados: ataque utilizando un diccionario con las contraseñas ya computadas (hash).
Disminuyen el tiempo, pero aparece un problema de espacio por el diccionario.
Rainbow Tables: forma de comprimir un diccionario pre-computado.
Se crean cadenas usando contraseñas hasheadas y reducciones.
Ej: Contraseñas con sal: la sal son unos bits que se usan en las entradas de funciones hash.
Con esto se consigue:   Complica los ataques de diccionario, cada bit de sal duplica la cantidad de almacenamiento y computación necesarios.
También complica los ataques con rainbow table, se tardaría demasiado tiempo o mucho espacio.
Evaluación de sistemas de contraseñas Formula de Anderson: P: probabilidad de encontrar la contraseña.
TG: nº de intentos en una unidad de tiempo.
N: nº de contraseñas posibles.
Contraseñas gráficas Recall: obliga al usuario a recordad y reproducir un patrón de dibujo. Ej: patrón Android Recognition: se basa en hacer memorizar el usuario una serie de imágenes para que a posterior las reconozca. Ej: Passfaces Cued-recall: ayudan al usuario a recordar mediante una pista la contraseña o el patrón. Ej: Passpoint.
Contraseñas biométricas Tipos:   Físicas: huella digital, patrón de iris, ADN.
Comportamiento: firma, escritura de mano, … Evaluación:     True positive: usuario aceptado.
True negative: atacante denegado.
False positive: atacante aceptado.
False negative: usuario denegado.
Errores: 𝐹𝑅𝑅 (𝐹𝑎𝑙𝑠𝑒 𝑅𝑒𝑗𝑒𝑐𝑡𝑖𝑜𝑛 𝑅𝑎𝑡𝑒) = #𝑓𝑎𝑙𝑠𝑒 𝑛𝑒𝑔𝑎𝑡𝑖𝑣𝑒 #𝑢𝑠𝑒𝑟𝑠 𝐹𝐴𝑅 (𝐹𝑎𝑙𝑠𝑒 𝐴𝑐𝑐𝑒𝑝𝑡𝑎𝑛𝑐𝑒 𝑅𝑎𝑡𝑒) = #𝑓𝑎𝑙𝑠𝑒 𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑒 #𝑎𝑡𝑡𝑎𝑐𝑘𝑒𝑟𝑠 CER (Crossover Error Rate): es mejor tener un CER bajo.
Autentificación por token    Tarjetas Smart cards One Time passwords One Time Passwords: se usan tokens para implementar este sistema y son usados para aumentar el nivel de seguridad. Según el tipo de token implementado generará la contraseña de una manera u otra.
  OTP basados en counter: no requieren inputs externos, el código se genera mediante un contador e información interna.
OTP basados en reloj: el código se genera a partir de un tiempo específico y un código generado de una clave secreta.
...

Tags: