1 / 20

הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות. תרגול 6 – בקרת כניסה. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. בקרת כניסה. סיסמאות (מקדמי בטיחות) אחסון סיסמאות ב- Unix התקפות מילון. הנושא: בקרת כניסה. המחשב מאמת את זהות המשתמש שמנסה להשתמש בשירותיו

gerard
Download Presentation

הגנה במערכות מתוכנתות

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. הגנה במערכות מתוכנתות תרגול 6 – בקרת כניסה הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד.

  2. בקרת כניסה • סיסמאות (מקדמי בטיחות) • אחסון סיסמאות ב-Unix • התקפות מילון הגנה במערכות מתוכנתות - תרגול 6

  3. הנושא: בקרת כניסה • המחשב מאמת את זהות המשתמש שמנסה להשתמש בשירותיו • לפעמים גם המשתמש ירצה לאמת את זהות המחשב • שיטות מימוש בקרת כניסה: • תכונה שלי • משהו שאני יודע (סיסמאות – השיטה הנפוצה) • משהו שיש לי הגנה במערכות מתוכנתות - תרגול 6

  4. סיסמאות • נשמרות במחשב ומשמשות לאימות • מקדם הבטיחות של סיסמה = תוחלת הזמן לפיצוח הסיסמה בחיפוש שיטתי • N – גודל מרחב הסיסמאות • T – הזמן הדרוש לאימות סיסמה בודדת • בהנחה של התפלגות אחידה:מקדם הבטיחות הוא ½NT הגנה במערכות מתוכנתות - תרגול 6

  5. הגדלת מקדם הבטיחות • הגדלת N: • הגדלת אורך סיסמה • הגדלת מרחב תווים מותרים • הגדלת T: • הוספת השהיה מכוונת • חישוב ארוך יותר בעת אימות הסיסמה הגנה במערכות מתוכנתות - תרגול 6

  6. לשם המחשה הגנה במערכות מתוכנתות - תרגול 6

  7. זמן הדרוש לניחוש סיסמה מקור: http://www.lockdown.co.uk/?pg=combi עבור 96 תווים (כל התווים האפשריים) במחשב רגיל (10,000,000 ניחושים בשנייה). הגנה במערכות מתוכנתות - תרגול 6

  8. סיסמאות נפוצות princess rockyou 1234567 12345678 abc123 123456 12345 123456789 Password iloveyou לפי 32 מיליון סיסמאות שנאספו מ-rockyou.com 50% בחרו סיסמא "קלה" (מילה מהמילון, מקשים סמוכים וכו'). 30% מהסיסמאות באורך 6 תווים ומטה. הגנה במערכות מתוכנתות - תרגול 6

  9. תכנית crack והתקפת מילון • ניצול התפלגות לא אחידה • תכנית crack – תכנית לפיצוח סיסמאות באמצעות התקפת מילון. הגנה במערכות מתוכנתות - תרגול 6

  10. המלצות לסיסמה בטוחה • אורך גדול (8 תווים לפחות) • לכלול אותיות קטנות, גדולות, ספרות • לכלול סימנים מיוחדים (כגון:!, @, #, וכו') • לא להיות שם חשבון, שם המשתמש, תאריך הלידה, מילים ממילון או כל דבר קל לניחוש. יש להחליף את הסיסמה לעיתים קרובות. הגנה במערכות מתוכנתות - תרגול 6

  11. אחסון ססמאות – גישה נאיבית הגנה במערכות מתוכנתות - תרגול 6 קובץ בו לכל משתמש מאוחסן ה-username, והסיסמה: לא טוב – למה?

  12. אחסון סיסמאות – נסיון • קובץ בו לכל משתמש מאוחסן ה-username, והסיסמה בצורה מתומצתת: הגנה במערכות מתוכנתות - תרגול 6

  13. דוגמה לתמצות: • על-בסיס אלגוריתם ההצפנה DES • קלט ופלט - 64 ביט, מפתח – 56 ביט • תהליך התמצות: • המשתמש בוחר סיסמה בת 8 תווים (8 ביט לתו) • לוקחים 7 ביטים מכל תו לקבלת מפתח בן 56 ביטים. נקרא למפתח המתקבל pass’. • מצפינים את הקבוע 0 באופן איטרטיבי 25 פעמים: DESpass’(…(DESpass’(0)…) הגנה במערכות מתוכנתות - תרגול 6

  14. יתרונות עיקריים: • הסיסמה לא נשמרת במחשב • קל לבדוק נכונות הסיסמה המוקלדת • אין מפתח סודי שנשמר במחשב ומאפשר את פענוח הסיסמה הגנה במערכות מתוכנתות - תרגול 6

  15. חסרונות עיקריים: • שתי סיסמאות זהות יתנו שני תמצותים זהים, ולכן יהיה קל לזהות בקובץ הסיסמאות: • סיסמאות דומות למשתמשים שונים • סיסמאות דומות של אותו משתמש בשתי מערכות שונות • התקפה לפריצת חשבון כלשהו במערכת: • גודל מרחב סיסמאות בגודל N, x משתמשים במערכת • תוחלת מספר הסיסמאות לבדיקה:חשבון מסוים: N/2, חשבון כלשהו: N/(x+1) • DES הוא סטנדרט נפוץ וקיימת חומרה מהירה המממשת אותו הגנה במערכות מתוכנתות - תרגול 6

  16. אחסון סיסמאות ב-Unix דומה, למעט: Salt – מחרוזת אקראית בת 12 ביטים, מופיעה בגלוי בקובץ הסיסמאות שימוש אלגוריתם DES’ המושפע מה-salt הגנה במערכות מתוכנתות - תרגול 6

  17. הערות • בהינתן סיסמאות זהות הסיכוי לתמצות זהה נמוך. • ההתקפה שתוארה קודם לא תעבוד. • הוספת ה-salt לא מגדילה את מרחב הססמאות! • קובץ אחסון הסיסמאות: • בעבר: /etc/passwd – קובץ נגיש לכולם • כיום: /etc/shadow – אינו נגיש למשתמשים רגילים הגנה במערכות מתוכנתות - תרגול 6

  18. שאלת בקרת כניסה • בחברה מסוימת הוחלט לחזק את שיטת בקרת הכניסה של Unix. מעתה כל משתמש בוחר שלוש סיסמאות, כל אחת באורך השווה לאורך סיסמה במערכת הישנה. • מרחב התווים של הסיסמאות נשאר כמו במערכת הישנה. • לאחר שהמשתמש בוחר את שלוש הסיסמאות שלו, המחשב מגריל שלושה salt-ים עבור הסיסמאות, ומתמצת (Hash) כל אחת מהסיסמאות עם salt משלה. בקובץ הסיסמאות, ליד שם המשתמש כתובים שלושה זוגות, כל זוג כולל salt והסיסמה המתאימה מוצפנת עם אותו salt (כל זוג שמור בדומה לנעשה ב-unix). הגנה במערכות מתוכנתות - תרגול 6

  19. שאלת בקרת כניסה - המשך קבע מהו מקדם הבטיחות של סיסמה במערכת החדשה. הנח כי מקדם הבטיחות של סיסמה במערכת הישנה היה K: • על מנת להיכנס למערכת יש צורך להקיש את כל שלוש הסיסמאות, כאשר בדיקת הסיסמאות נעשית בצורה סדרתית: • בהקשת הסיסמה ה-i, אם הסיסמה הייתה נכונה המשתמש מתבקש להקליד את הסיסמה ה-i+1. • אחרת המשתמש מתבקש להקיש מחדש את הסיסמה ה-i. הגנה במערכות מתוכנתות - תרגול 6

  20. שאלת בקרת כניסה - המשך הגנה במערכות מתוכנתות - תרגול 6 על מנת להכנס למערכת יש להזין את כל הסיסמאות ביחד. אם הייתה טעות לפחות באחת מהן, המשתמש יצטרך להזין את כולן שוב

More Related