Systemy uwierzytelniania w serwisach internetowych

Slides:



Advertisements
Podobne prezentacje
Zagrożenia w sieci..
Advertisements

Zastosowanie LDAP w obsłudze katalogów bibliotecznych
Co to jest DNS i jak działa?
Bramka zabezpieczająca VPN
Sieci komputerowe Usługi sieciowe Piotr Górczyński 27/09/2002.
Wprowadzenie do języka skryptowego PHP
Wprowadzenie do języka skryptowego PHP
Bezpieczeństwo aplikacji WWW
WinSCP - Konfiguracja Przystosowanie WinSCP do specyfiki środowiska
INTERNET jako „ocean informacji”
CORBA Łukasz Wnęk.
ADAM Active Directory w trybie aplikacyjnym
Metody autoryzacji użytkowników wymaga integracji z systemem operacyjnym nie wymaga logowania mała pewność mechanizmu wymaga logowania duża pewność mechanizmu.
SSL - protokół bezpiecznych transmisji internetowych
Damian Urbańczyk PHP Obsługa sesji.
Honorata Prokop, Izabela Ubowska
Proxy WWW cache Prowadzący: mgr Marek Kopel
Proxy (WWW cache) Sieci Komputerowe
PKI, OPIE Auth Mateusz Jasiak.
PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key)
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Longhorn - Usługi terminalowe
Uniform Resource Locators
Artur Szmigiel Paweł Zarębski Kl. III i
PRZEGLĄD INNYCH PROTOKOŁÓW WARSTWY ZASTOSOWAŃ 1. Telnet Telnet jest prostym protokołem, stanowiącym prawie bezpośrednią obudowę protokołu TCP. Służy do.
Technologie informacyjne MCE Pudełko. Zakładanie strony internetowej Technologie informacyjne Marek Pudełko.
Artur Spulnik, Aleksandra Otremba
Made by Mateusz Szirch Kilka słów o JavaScript.
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
PKI – a bezpieczna poczta
eFaktura w DHL Express Poland
Rozwój aplikacji przy wykorzystaniu ASP.NET
Historia Internetu Podstawowe pojęcia.
Zarządzanie użytkownikami i praca w sieci lokalnej
Jerzy Jelinek Paweł Korpowski
Jak to działa? aplikacje desktopowe usługi online urządzenia
ANNA BANIEWSKA SYLWIA FILUŚ
Metody zabezpieczania transmisji w sieci Ethernet
Seminarium eduroam – UMK, Tomasz Wolniewicz UCI UMK Tomasz Wolniewicz UCI UMK Projekt eduroam.
Prezentacja i szkolenie
Sieci komputerowe.
Sieciowe Systemy Operacyjne
Autor: Kamil Szafranek
Internetowe surfowanie
Temat: Poczta elektroniczna ( )
Projektowanie stron WWW
Narzędzia klienta usługi archiwizacji Warsztaty „Usługa powszechnej archiwizacji” Michał Białoskórski, CI TASK Bartłomiej Balcerek, WCSS.
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Technologie internetowe Wykład 5 Wprowadzenie do skrytpów serwerowych.
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Active Directory Federation Services w Windows Server 2012 R2
Podstawy języka skryptów
Technologie internetowe
Prezentacja przykładowych rozwiązań realizujących autoryzację w serwisie WWW w oparciu o bazę LDAP Jerzy Szymański.
INTERNET jako „ocean informacji”
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz TEMAT : Administracja i bezpieczeństwosieci TEMAT : Administracja i bezpieczeństwosieci.
Bartosz Pawlak Wiktor Paliwoda Bezpieczeństwo Systemów Operacyjnych IMAP vs POP.
Maciej Wierzchowski Mariusz Sołtysiak. Założenia  Autentykacja użytkownia  Autentykacja dostawcy  Zapewnienie bezpiecznego połączenia.
ASP.NET Dostęp do bazy danych z poziomu kodu Elżbieta Mrówka-Matejewska.
Zarządzanie stanem w aplikacjach ASP.NET Elżbieta Mrówka-Matejewska
HTML.  Wprowadzenie  Protokół HTTP  Język HTML  Definicja typu dokumentu  Nagłówek strony  Formatowanie treści dokumentu  Definiowanie struktury.
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
Podsłuchiwanie szyfrowanych połączeń – niezauważalny atak na sesje SSL Paweł Pokrywka, Ispara.pl.
Internet to nie tylko gry
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
Realizacja aplikacji internetowych
Sieci komputerowe Usługi sieciowe 27/09/2002.
Aplikacje i usługi internetowe
Zapis prezentacji:

Systemy uwierzytelniania w serwisach internetowych praca inżynierska Autor: Łukasz Chmielarski Opiekun: prof. dr hab. inż. Zbigniew Kotulski

Plan prezentacji Uwierzytelnianie Rodzaje ataków Mechanizmy uwierzytelniania gotowe rozwiązania własne rozwiązania Projekt

Uwierzytelnianie Uwierzytelnianie (ang. authentication) – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby (urządzenia, usługi) biorącej udział w wymianie danych. Uwierzytelnianie vs. autoryzacja, Uwierzytelnianie vs. identyfikacja Uwierzytelnianie jest oparte na informacji którą: Użytkownik zna - tj. hasło, login Użytkownik posiada - tj. token, klucz Użytkownik jest - tj. dane biometryczne Wykorzystanie uwierzytelniania

Uwierzytelnianie po stronie klienta Uwierzytelnianie po stronie klienta jest powszechnym wymaganiem Wiele serwisów nie korzysta z gotowych rozwiązań Nieostrożne składowanie authenticators po stronie klienta Odczucia użytkowników Ograniczenia i limity: Akceptacja użytkownika Zużycie zasobów Uniwersalność

Rodzaje ataków i atakujących Existential forgery – atakujący może sfałszować authenticator dla co najmniej jednego użytkownika (losowego). Selective forgery – atakujący może sfałszować authenticator dla konkretnego użytkownika. Total break – polega na zdobyciu klucza służącego do generacji authenticators Interrogative adversary – tylko generuje zapytania do serwera Eavesdropping adversary – widzi ruch pomiędzy użytkownikiem a serwerem, ale nie może modyfikować Active adversary – widzi ruch i może modyfikować

Protokoły uwierzytelniające Bardzo wiele rozwiązań: (CHAP, EAP, PAP, SPAP, DES, RADIUS, S/KEY, TACACS, MS-CHAP, SKID) Systemy stosowane w http: Public key (zazwyczaj w połączeniu z https/ssl) Kerberos/SPNEGO HTTP Digest access authentication HTTP Basic access authentication HTTP+HTML form based authentication

Public key authentication Wykorzystanie PKI PKI – szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacji (CA), urzędy rejestracyjne (RA) oraz subskrybenci certyfikatów Każdy użytkownik musi posiadać swój certyfikat Wykorzystywany w połączeniu z SSL Tylko niektóre serwisy mogą sobie pozwolić na koszt Używany przez nielicznych

Kerberos/SPNEGO Simple and Protected GSSAPI Negotiation Mechanism (RFC 4178) Zasada działania podobna do protokołu Kerberos Uwierzytelnianie oparte na wspólnym sekrecie Wykorzystanie KDC (Key Distribution Centre) SPNEGO to część Integrated Windows Authentication Początkowo obsługiwane tylko przez przeglądarki IE, obecnie przez wszystkie Potrzeba dużo zasobów

HTTP Digest Access authentication Opracowany w dokumencie RFC 2617 Umożliwia identyfikacje użytkownika bez konieczności wysyłania hasła w plaintext Wykorzystanie funkcji MD5 z chwilowymi wartościami Zasada obliczania odpowiedzi:

HTTP Digest Access authentication Zasada działania: Zalety: Hasło wysyłane w hashu, przechowywane też w hashu Pole nonce po stronie klienta zapobiega chosen plaintext attacks Pole nonce po stronie serwera zapobiega replay attacks Bardziej bezpieczny niż Http Basic Access Authentication Wady: Nie jest tak silny aby zastąpić PKI lub Kerberos Pole qop jest opcjonalne Nieodporny na ataki MitM IE 5 może być niekompatybilny z implementacją

HTTP Basic Access authentication Opracowany w dokumencie RFC 1945, później RFC 2617 Wykorzystuje kodowanie Base64 Zasad działania Zalety: Wspierany przez wszystkie przeglądarki Prostota i łatwość implementacji Wady: Rzadko używany w sieci Internet Opiera się na założeniu bezpiecznego połączenia Brak możliwości log out (serwer nie ma wpływu) Nieodporny na ataki

HTTP+HTML form based authentication Uwierzytelnianie oparte na formularzu HTML i Cookie Zasada działania:

Cookie Przechowywanie danych po stronie klienta Pierwsze użycie Netscape Communications (1994) Zastosowanie: Zachowanie sesji Uwierzytelnianie Personalizacja Budowanie profili Obsługiwane przez wszystkie przeglądarki Niewidoczny dla użytkownika Tylko dane, bez żadnych skryptów Ograniczenia

Składnia Cookie Przesyłany w nagłówku http (Set cookie) Składnia: Nazwa Wartość Expires Domain Path Secure (HttpOnly)

Alternatywa dla cookie Adres URL Stosowane gdy obsługa cookie jest wyłączona Trzeba dodawać parametry do wewnętrznych linków Niebezpieczeństwo podczas zapisywania stron Głównie stosowanie metody GET Ukryte pola formularzy Bardzo podobny mechanizm Dane przesyłane metodą POST Niewidoczne dane dla zwykłego użytkownika Dane nie są kopiowane podczas zapisu strony Dane zawarte są w kodzie HTML, każda strona musi być generowana dynamicznie

Alternatywa dla cookie Window.name: Dane przechowywane w polu Window.name Wykorzystanie Document Object Model i JSON/JavaScript Możliwość przechowywania dużych danych <32 MB Nieużyteczne jeśli otwieramy w nowych oknach/kartach Włączona obsługa JavaScript Local Stored Object: Wykorzystanie Adobe Flash Player Większość użytkowników ma zainstalowany plugin Ograniczenia danych <100kB Ograniczenie dostępu (zmuszenie użytkownika do instalacji)

Projekt Założenia: Zadania: Analiza ruchu podczas logowania się na stronach internetowych Witryny mniej popularne, wręcz niszowe Wielokrotne logowanie dla różnych użytkowników Implementacja sniffera http jako aplikacji lokalnej Zwrócenie uwagi na uwierzytelnianie wykorzystujące cookie Próba wychwycenia niewiarygodnych metod logowania Zadania: Odczyt zawartości wysyłanej na serwer podczas uwierzytelniania Odczyt zawartości otrzymanej z serwera (authenticators) Filtracja danych Zapis odczytanych wartości do pliku (bazy danych)

Projekt Technologie: Pierwsze obserwacje Windows Java + Jpcap Filtry w XML JDBC, MySql Pierwsze obserwacje

Dziękuję za uwagę Pytania ? Koniec Dziękuję za uwagę Pytania ?