7 Brukerautentisering Flashcards
Hva slags 3 typer autentikatorer har vi?
Hvilke 3 rammeverk for e-autentisering eksisterer?
Noe du vet
Noe du er
Noe du har
NIST
DigDir
eidas
Hva slags potensielle problemer er det med statiske passord?
*Dele / Glemme / Gjette (lett å)
*Nedskrevne PWs kan bli funnet
*Kan stjeles (hvis forblir i dataminnet/cache)
Hva slags passord burde man lage?
Hvor ofte bør man bytte?
Hva bør man unngå når man lager passord?
Hva er en vanlig PW-feil folk gjør i en verden med mange ulike tjenester og PWs?
- Lengde >= 13 tegn
- Flere kategorier tegn
- Ikke bruk: Vanlige Ord/Navn, Årstall
- Ikke samme passord på ulike steder (spes ikke hvis sensitiv info der)
Hvor lagres passord i ulike OS og nettverksmiljøer?
*Linux/Unix: /etc/shadow-filen (tidligere etc/passwd) tekstformat - må ha root-tilgang for å lese/endre
*Windows lokalt i SAM-databasen (Security account manager) - kun admin har tilgang
*Nettverksmiljøer, Windows : AD (active directory) , Linux : LDAP (lightweight directory access protocol)
Hva er fordeler/ulemper ved å ha en database med passord lagret i klartekst?
Fordel : Enkel løsning for autentiseringstjenere
Ulempe: Veldig usikkert, hvis passorddatabasene stjeles/lekkes er alle PWene direkte tilgjengelige
Hvorfor er ikke databaser med hashede passord helt sikkert?
Fordi det finnes kraftige verktøy som feks JTR som knekke PWene.
Hva er brute force angrep for å forsøke å knekke passord?
Hva slags intelligente søk for å finne riktig hash finnes?
At man prøver alle mulige tegnkombinasjoner for å finne riktig hash
Intelligent søk:
Brukernavn
Navn på venner/slektninger
telefonnummer
fødselsdatoer
ordbokangrep
Forhåndsberegnede hashtabeller og rainbowtabeller
Hva er det som gir god sikkerhet for passord lagret i database?
Salting
Hva er salting og hvorfor er det så effektivt?
Man legger til et tilfeldig tall til passordet (I linux: random[0,4095]
Forhindrer at like passord ser like ut i databasen (husk at hashfunksjoner gir samme output for samme input)
Gjør det praktisk umulig å bruke tabeller (pw > 8 tegn -> tabell> PB)
På hvilke 3 steder finner man vanligvis Passordbanker ?
Hva skal stå i rutene?
OS
Nettleser
Tredjeparts løsninger
Hva slags 4 forskjellige typer av autentiseringstjenere finens det?
OTP-brikker
Online-enheter
Adgangs- og ID-kort
Sekundære Kanaler (feks SMS)
Hva er viktig OTP-brikker / er alltid sant?
Eks: BankID & SecurID
Klokke (OTP-brikker inneholder alltid en)
Synkrone (klokkene må være)
Hvordan fungerer phising-resistent autentisering?
med phishing resistens KAN IKKE autentikator bli utnyttet av falsk nettside
Domenenavn i autentikator + klient sjekker nettsteds DN
-DN som del av private passnøkler
-Klient blokkerer autentisering til fake site (pga DN ikke i lagrede nøkler)
-Passnøkler skaper kompleksitet for gjenoppretting + synkronisering
Autentisering med Passnøkler, FIDO og webauthn
Hva skal stå i rutene?
Hva er en passnøkkel og hvordan fungerer en passnøkel?
- Passnøkkel = priv kryptografisk nøkkel
- Passnøkkel ~ PW
- Passordbanker støtter passnøkler (ofte lagret i users klient/enhet)
- Ulike passnøkler for ulike Autentiseringstjenere, og hver PN inneholder DN for en tjeneste.
- Klient krever DN = PN og signerer IKKE utfordringer fra fake sites nettsider.
- Mobil plattform kan støtte PN-autentisering via laptop med blåtann.
Brukerautentisering
Hva slags fordeler og ulemper er det med FIDO/Passnøkler/WebAuthn?
Fordeler:
1. Phishingresistent Autentisering
2. Plattform/enhet finner ikke passnøkkel for falsk website (fordi PN lagret i plattform/enhet er spesifikke for IdPs domenenavn)
3. Bruker trenger ikke HUSKE PW
Ulemper
1. Ved Tap kan synkronisering / overføring være teknisk vanskelig
2. Synkroniseringsløsninger for PNs er basert på lagring i skyen av passordbank/passnøkkelbank
3. Skytilgang krever tradisjonell autentisering (ikke phishing resistent)
4. Mange sliter med å forstå PN - gjør DU?
Adgangskort, ID-kort og pass
Hva er RFID?
Hva slags fordeler er forbundet med RFID?
Hva slags ulemper?
Radio Frequency Id er et kontaktløst kort
består av computer-CHIP + Antenne
* Trenger ikke fysisk kontakt med leser
* Kommuniserer via radiosignaler
* Strøm generert av magnetfelt fra leser
* Inaktivt (hvis leser er for langt unna) [RFID finnes også batteridrevne]
* Nice i varme/kalde, fuktige og ikke minst skitne omgivelser
Adgangskort, ID-kort og pass
Hva skal stå i de tomme rutene?
* * Eksempel adgangskort med symmetrisk nøkkel
* Nasjonalt ID-kort og pass bruker asymmetrisk nøkkel
Hva slags sekundære kanaler kan man autentisere via?
SMS
email
app
SIM (tidligere bruk for Bank-Id på mobil)
Autentisering med Sekundære Kanaler
Hva skal stå i de tomme rutene?
Brukerautentisering
Hva er biometri?
Nevn i fleng eksempler på biometri?
Biometri: automatiserte metoder for å verifisere/gjenkjenne noen basert på fysiologiske egenskaper
Eks:
* Fingeravtrykk
* Ansiktsgjenkjenning
* Øye retina / iris skanning
* Håndgeometri
* Håndsignatur
* Stemme-karakteristikk
* Tastetrykk-dynamikk
Biometri
Hva slags krav (8) stilles til biometriske modaliteter?
- Universalitet (alle skal ha)
- Særpreg (tilstrekkelig forskjellig)
- Permanens (forbli “uendret” over tid)
- Målbarhet
- Nøyaktighet (Equal Error Rate)
- Ytelse (hastigheten på analysen, ressursene som kreves for oppnå hastighet)
- Aksept (til hvilken grad folk godtar at dette blir målt)
- Beskyttelse mot Forfalsking
Biometri - Systemkomponenter
Hva skal stå i de tomme rutene?
Hint: Fingeravtrykk
Brukerautentisering : Biometri
Hvilke tre operasjonsmoduser har vi i biometri?
Hva kjennetegner dem?
Brukerautentisering: Biometri
Innen biometri, hva er sammenehengen mellom
* Skåring (S)
* Terskelverdi (T)
* Match
* Non-match
Brukerautentisering, Biometri
Hva er:
* Sann Positiv
* Sann Negativ
* Falsk Positiv
* Falsk Negativ
* FMR
* FNMR
?
Biometri
Hva er sammenhengen mellom Terskel (T) og FMR/FNMR?
Hva er Equal Error Rate (EER) ?
- Lav T -> stor FMR (lav sikkerhet)
- Lav T -> liten FNMR (god brukervennlighet)
*Høy T -> liten FMR (høy sikkerhet)
*Høy T -> Stor FNMR (dårlig brukervennlighet)
- EER: FMR = FNMR (justert T)
- Liten EER -> høy nøyaktighet
Biometri
Hva er et presentasjonsangrep?
Hvordan utføres presentasjonsangrep?
Hva er PAD?
1) Forfalskning av biometri
2) Deepfake / Falsk finger / Falskt ansikt
3) PAD = Presentation Attack Detection
Biometri
På hvilken måte kan Biometriske Autentiseringsmetoder være utrygge (for brukeren) ?
Neddoping av brukeren
Avskjæring av finger
etc
Biometri
Hva er Garantinivå av Autentisering?
= Robusthet av autentisering
Ulike krav til ulike tjenester
Sterk autentisering er dyrere enn svak -> GAT bør være balansert
Brukerautentisering
Hvilke 4 rammeverk for e-autentisering har vi lært om?
NIST - USA
eIDAS - EU
DigDir - Norge
ISO/IEC
Brukerautentisering
Hvilke 3 kategorier av krav til autentisering opererer vi med?
1) ID-registrering og autentikatorhåndtering
2) Autentiseringsmetode
3) Fødereringssikkerhet (Tillitsnivåer og sikkerhet mlm IdP og SdP)
Brukerautentisering
Hva er eIDAS og i den forbindelse hva er LoA?
EU-forordning.
Electronic Identification, Authentication and Trust Services
juridisk rammeverk for e-ID +tillitstjenester i EU.
Forskrit om e-autentisering og tillitstjenester for e-forvaltning (eIDAS)
Level of Assurance (3 ulike garantinivåer, Low, Substantial og High)
