7 Brukerautentisering

Question 1

Hva slags 3 typer autentikatorer har vi?
Hvilke 3 rammeverk for e-autentisering eksisterer?

Answer 1

Noe du vet
Noe du er
Noe du har

NIST
DigDir
eidas

Question 2

Hva slags potensielle problemer er det med statiske passord?

Answer 2

*Dele / Glemme / Gjette (lett å)
*Nedskrevne PWs kan bli funnet
*Kan stjeles (hvis forblir i dataminnet/cache)

Question 3

Hva slags passord burde man lage?
Hvor ofte bør man bytte?
Hva bør man unngå når man lager passord?

Hva er en vanlig PW-feil folk gjør i en verden med mange ulike tjenester og PWs?

Answer 3

• Lengde >= 13 tegn
• Flere kategorier tegn
• Ikke bruk: Vanlige Ord/Navn, Årstall
• Ikke samme passord på ulike steder (spes ikke hvis sensitiv info der)

Question 4

Hvor lagres passord i ulike OS og nettverksmiljøer?

Answer 4

*Linux/Unix: /etc/shadow-filen (tidligere etc/passwd) tekstformat - må ha root-tilgang for å lese/endre

*Windows lokalt i SAM-databasen (Security account manager) - kun admin har tilgang

*Nettverksmiljøer, Windows : AD (active directory) , Linux : LDAP (lightweight directory access protocol)

Question 5

Hva er fordeler/ulemper ved å ha en database med passord lagret i klartekst?

Answer 5

Fordel : Enkel løsning for autentiseringstjenere

Ulempe: Veldig usikkert, hvis passorddatabasene stjeles/lekkes er alle PWene direkte tilgjengelige

Question 6

Hvorfor er ikke databaser med hashede passord helt sikkert?

Answer 6

Fordi det finnes kraftige verktøy som feks JTR som knekke PWene.

Question 7

Hva er brute force angrep for å forsøke å knekke passord?
Hva slags intelligente søk for å finne riktig hash finnes?

Answer 7

At man prøver alle mulige tegnkombinasjoner for å finne riktig hash

Intelligent søk:
Brukernavn
Navn på venner/slektninger
telefonnummer
fødselsdatoer
ordbokangrep
Forhåndsberegnede hashtabeller og rainbowtabeller

Question 8

Hva er det som gir god sikkerhet for passord lagret i database?

Answer 8

Salting

Question 9

Hva er salting og hvorfor er det så effektivt?

Answer 9

Man legger til et tilfeldig tall til passordet (I linux: random[0,4095]

Forhindrer at like passord ser like ut i databasen (husk at hashfunksjoner gir samme output for samme input)

Gjør det praktisk umulig å bruke tabeller (pw > 8 tegn -> tabell> PB)

Question 10

På hvilke 3 steder finner man vanligvis Passordbanker ?

Hva skal stå i rutene?

Answer 10

OS
Nettleser
Tredjeparts løsninger

Question 11

Hva slags 4 forskjellige typer av autentiseringstjenere finens det?

Answer 11

OTP-brikker
Online-enheter
Adgangs- og ID-kort
Sekundære Kanaler (feks SMS)

Question 12

Hva er viktig OTP-brikker / er alltid sant?

Answer 12

Eks: BankID & SecurID
Klokke (OTP-brikker inneholder alltid en)
Synkrone (klokkene må være)

Question 13

Hvordan fungerer phising-resistent autentisering?

Answer 13

med phishing resistens KAN IKKE autentikator bli utnyttet av falsk nettside

Domenenavn i autentikator + klient sjekker nettsteds DN
-DN som del av private passnøkler
-Klient blokkerer autentisering til fake site (pga DN ikke i lagrede nøkler)
-Passnøkler skaper kompleksitet for gjenoppretting + synkronisering

Question 14

Autentisering med Passnøkler, FIDO og webauthn

Hva skal stå i rutene?

Answer 14

Question 15

Hva er en passnøkkel og hvordan fungerer en passnøkel?

Answer 15

1. Passnøkkel = priv kryptografisk nøkkel
2. Passnøkkel ~ PW
3. Passordbanker støtter passnøkler (ofte lagret i users klient/enhet)
4. Ulike passnøkler for ulike Autentiseringstjenere, og hver PN inneholder DN for en tjeneste.
5. Klient krever DN = PN og signerer IKKE utfordringer fra fake sites nettsider.
6. Mobil plattform kan støtte PN-autentisering via laptop med blåtann.

Question 16

Brukerautentisering

Hva slags fordeler og ulemper er det med FIDO/Passnøkler/WebAuthn?

Answer 16

Fordeler:
1. Phishingresistent Autentisering
2. Plattform/enhet finner ikke passnøkkel for falsk website (fordi PN lagret i plattform/enhet er spesifikke for IdPs domenenavn)
3. Bruker trenger ikke HUSKE PW

Ulemper
1. Ved Tap kan synkronisering / overføring være teknisk vanskelig
2. Synkroniseringsløsninger for PNs er basert på lagring i skyen av passordbank/passnøkkelbank
3. Skytilgang krever tradisjonell autentisering (ikke phishing resistent)
4. Mange sliter med å forstå PN - gjør DU?

Question 17

Adgangskort, ID-kort og pass

Hva er RFID?
Hva slags fordeler er forbundet med RFID?
Hva slags ulemper?

Answer 17

Radio Frequency Id er et kontaktløst kort
består av computer-CHIP + Antenne
* Trenger ikke fysisk kontakt med leser
* Kommuniserer via radiosignaler
* Strøm generert av magnetfelt fra leser
* Inaktivt (hvis leser er for langt unna) [RFID finnes også batteridrevne]
* Nice i varme/kalde, fuktige og ikke minst skitne omgivelser

Question 18

Adgangskort, ID-kort og pass

Hva skal stå i de tomme rutene?
* * Eksempel adgangskort med symmetrisk nøkkel
* Nasjonalt ID-kort og pass bruker asymmetrisk nøkkel

Answer 18

Question 19

Hva slags sekundære kanaler kan man autentisere via?

Answer 19

SMS
email
app
SIM (tidligere bruk for Bank-Id på mobil)

Question 20

Autentisering med Sekundære Kanaler

Hva skal stå i de tomme rutene?

Answer 20

Question 21

Brukerautentisering

Hva er biometri?
Nevn i fleng eksempler på biometri?

Answer 21

Biometri: automatiserte metoder for å verifisere/gjenkjenne noen basert på fysiologiske egenskaper

Eks:
* Fingeravtrykk
* Ansiktsgjenkjenning
* Øye retina / iris skanning
* Håndgeometri
* Håndsignatur
* Stemme-karakteristikk
* Tastetrykk-dynamikk

Question 22

Biometri

Hva slags krav (8) stilles til biometriske modaliteter?

Answer 22

• Universalitet (alle skal ha)
• Særpreg (tilstrekkelig forskjellig)
• Permanens (forbli “uendret” over tid)
• Målbarhet
• Nøyaktighet (Equal Error Rate)
• Ytelse (hastigheten på analysen, ressursene som kreves for oppnå hastighet)
• Aksept (til hvilken grad folk godtar at dette blir målt)
• Beskyttelse mot Forfalsking

Question 23

Biometri - Systemkomponenter

Hva skal stå i de tomme rutene?

Answer 23

Hint: Fingeravtrykk

Question 24

Brukerautentisering : Biometri

Hvilke tre operasjonsmoduser har vi i biometri?
Hva kjennetegner dem?

Answer 24

Question 25

Brukerautentisering: Biometri

Innen biometri, hva er sammenehengen mellom
* Skåring (S)
* Terskelverdi (T)
* Match
* Non-match

Answer 25

Question 26

Brukerautentisering, Biometri

Hva er:
* Sann Positiv
* Sann Negativ
* Falsk Positiv
* Falsk Negativ
* FMR
* FNMR
?

Answer 26

Question 27

Biometri

Hva er sammenhengen mellom Terskel (T) og FMR/FNMR?
Hva er Equal Error Rate (EER) ?

Answer 27

• Lav T -> stor FMR (lav sikkerhet)
• Lav T -> liten FNMR (god brukervennlighet)

*Høy T -> liten FMR (høy sikkerhet)
*Høy T -> Stor FNMR (dårlig brukervennlighet)

• EER: FMR = FNMR (justert T)
• Liten EER -> høy nøyaktighet

Question 28

Biometri

Hva er et presentasjonsangrep?

Hvordan utføres presentasjonsangrep?

Hva er PAD?

Answer 28

1) Forfalskning av biometri
2) Deepfake / Falsk finger / Falskt ansikt
3) PAD = Presentation Attack Detection

Question 30

Biometri

På hvilken måte kan Biometriske Autentiseringsmetoder være utrygge (for brukeren) ?

Answer 30

Neddoping av brukeren
Avskjæring av finger
etc

Question 31

Biometri

Hva er Garantinivå av Autentisering?

Answer 31

= Robusthet av autentisering

Ulike krav til ulike tjenester

Sterk autentisering er dyrere enn svak -> GAT bør være balansert

Question 32

Brukerautentisering

Hvilke 4 rammeverk for e-autentisering har vi lært om?

Answer 32

NIST - USA
eIDAS - EU
DigDir - Norge
ISO/IEC

Question 33

Brukerautentisering

Hvilke 3 kategorier av krav til autentisering opererer vi med?

Answer 33

1) ID-registrering og autentikatorhåndtering
2) Autentiseringsmetode
3) Fødereringssikkerhet (Tillitsnivåer og sikkerhet mlm IdP og SdP)

Question 34

Brukerautentisering

Hva er eIDAS og i den forbindelse hva er LoA?

Answer 34

EU-forordning.
Electronic Identification, Authentication and Trust Services
juridisk rammeverk for e-ID +tillitstjenester i EU.

Forskrit om e-autentisering og tillitstjenester for e-forvaltning (eIDAS)

Level of Assurance (3 ulike garantinivåer, Low, Substantial og High)