Professional Documents
Culture Documents
12 de junio de 2002
Autentificacin-1
12 de junio de 2002
Autentificacin-2
Psicologa Aplicada
12 de junio de 2002
Autentificacin-3
12 de junio de 2002
Autentificacin-4
Vulnerabilidades
Cuales son los tipos de ataque que tenemos que prevenir a los
sistemas de password?
Ataques a un usuario especfico: queremos entrar en la cuenta
de Bill Gates.
Ataques a cualquier cuenta en el sistema: queremos usar una
tarjeta de telfono prepago.
Ataques a cualquier cuenta en cualquier sistema: queremos
penetrar a la intranet de Microsoft.
Ataques de bloque de servicio (DOS): queremos bloquear
acceso por parte de otro usuario, o de todos los usuarios.
Es importante plantear esta pregunta antes de disear el
sistema de passwords.
12 de junio de 2002
Autentificacin-5
Fisgoneo
Quizs Manuel puede copiar el password cuando Alicia lo
introduce:
A menudo la interfaz al usuario est mal diseado. Por
ejemplo, el teclado de un cajero automtico puede ser visible
desde lejos, incluso con una cmera de video con lente
telescpico.
En un hotel, el personal puede escuchar las seales de modem
desde las habitaciones.
En una red local, es relativamente fcil hacer sniffing
(olfateo) de passwords.
Los sistemas modernos usan protocolos que evitan la
transmisin del password sobre la lnea, ej. SSH (Secure
SHell) o Kerberos.
12 de junio de 2002
Autentificacin-6
Spoofing
Cmo sabe Alicia que el programa que le pide el password
no es de Manuel? Es importante contar con un trusted path
(va de confianza) entre el usuario y el sistema:
En Windows, la secuencia Ctrl-Alt-Del no puede ser
interceptado en el sistema local.
En SSH, el servidor remoto tiene que autenticarse.
Sin embargo, de nada sirve esto si el terminal local est
intervenido, ej. se ha colocado un transmisor de radio dentro
del teclado . . .
12 de junio de 2002
Autentificacin-7
Otros Ataques
En un sistema, un error de programacin dejaba entrar a
cualquier usuario con el password Carriage Return.
Cuando se corrigi, muchos usuarios de copias sin licencia no
se enteraron.
Un banco envi tarjetas nuevas a todos sus clientes, todas con
el mismo PIN. Era dificil detectar porque el personal no tena
acceso a los PINs de los clientes.
A veces el usuario y el sistema se defasen, y la bitacora de
intentos de login contiene copias de passwords, o sea la
bitacora debe ser bien protegida.
12 de junio de 2002
Autentificacin-8
Implementacin de Contraseas
12 de junio de 2002
Autentificacin-9
12 de junio de 2002
Autentificacin-10
12 de junio de 2002
Autentificacin-11
Contraseas Desechables
Sera ms seguro si cada contrasea slo se usara una vez. Un
mtodo interesante para lograr esto se llama S/KEY:
Alicia escoge un nmero aleatorio R, y calcula x1 = f (R),
x2 = f (f (R)), x3 = f (f (f (R))), etc. hasta x100 = f 100(R),
donde f () es una funcin unidireccional. Guarda los xi. El
sistema guarda x101. (Ojo: xi = f (xi1)).
Cuando Alicia quiere conectarse por primera vez, presenta su
nombre y x100. El sistema calcula f (x100) y compara con su
copia de x101. Si son iguales, Alicia es autntica. El sistema
reemplaza x101 por x100 en su base de datos.
La prxima vez, Alicia presenta x99 . . .
12 de junio de 2002
Autentificacin-12
12 de junio de 2002
Autentificacin-13
Zero-Knowledge Proof
Es estrictamente necesario que Alicia y Bob compartan un
secreto? Si Alica puede demostrarle a Bob que tiene cierta
informacin secreta, sin revelarla, sera suficiente:
Z
puerta cerrada
Autentificacin-14