Ministerul Educaţiei Culturii si Cercetarii al Republicii Moldova

Universitatea Tehnică a Moldovei

Departamentul ISA

RAPORT
Lucrarea de laborator nr. 2
Bazele Securității Informaționale

Tema: Tehnici de autentificare prin parole, Managementul parolelor

A efectuat:
st.gr. SI-161 Rotari Gheorghe

A verificat: Cojocaru Svetlana

Chișinău 2018
Cuprins
Introducerea ...................................................................................................................................... 3
1 Managerul de parole Kaspersky Passowrd manager..................................................................... 4
Familiarizarea cu Kaspersky Passowrd manager:................................................................ 5
2 Single sing one ............................................................................................................................. 9
3 One-Time Password.................................................................................................................. 11
4 Authentication protocol............................................................................................................ 13
Concluzii ..................................................................................................................................... 14
Bibliografie..................................................................................................................................14
Introducerea

Tema: Tehnici de autentificare prin parole. Managementul parolelor

Scopul lucrării: Familiarizarea cu metodele de stocare si gestionare parolelor

Sarcina:

- descărcarea și testare unui maneger de parole;

- descrierea soluției Single Sign One;
- descrierea soluției One-Time Password;
- descrierea protocoalelor de autentificare.

Definiții
O parolă puternică conține o combinație de șase sau mai multe litere mari și minuscule, plus
semne de punctuație și numere. Utilizarea celor patru tipuri de caractere funcționează cel mai bine.
De exemplu orice cuvînt poate fi transformat în parola v!c0l. Daca pentru fiecare serviciu/web utilizat
creăm cite un acount nou si introducem o parola diferite, atunci probabilitatea ca ca noi v-om pierde
accesul din cauza ca nu stim parola este foarte mare. Pentru asta in ajutorul utilizatorului de rind au
fost create managerele de parole
Manager de parole este un soft instalat pe gadget-ul unui utilzator, scopul de bază a acestu
soft este gestiunea parolelor care simplifică experiența utilizatorilor la logarea pe diferite sisteme,
prin organizarea parolelor si a codurilor de logare. Pentru a evita memorarea sau notarea parolelor in
agende si post-it-uri, riscand astfel pierderea lor sau sa fie vazute de altcineva, alternativa este
folosirea unui manager de parole. Pe piata sunt o multime de manager de parole free cit si freemium.
Fiecare din manager de parole are metoda sa de cryptare ca de exemplu KeePass ese un manager de
parole free care stocheaza parolele intro baza de date criptate prin AES si Twofish, o altertenativa
acestui pot fi Ewallet si Lastpass care folosesc metoda de criptare prin cheia de 256 de biti.
1 Managerul de parole Kaspersky Passowrd manager
Pentru lucrarea de laborator nr.2 am ales aplicatia Kaspersky Passowrd manager ce ruleazea pe
sistemul de operare Windows 10 Pro.

Descarcarea si inregistrarea in aplicația Kaspersky constă in următorii pasii:

- descarcam aplicatia de pe site-ul oficial www.kaspersky.com (Figura 1.1);

- după de ce am descarcat aplicația o deschidem si v-om vedea
fereastra aplicației unde avem 2 optiuni (Figura 1.2);
- apasăm butonul Don't have an acount si completam casuțele cu
informația necesară(Figura 1.3).

Figura 1.1 - Pagina de descarcarea a aplicației de pe site-ul oficial

Figura 1.2 - Pagina de pornire Kaspersky

 Figura 1.3 - Înregistrarea unui utilizator nou

Familiarizarea cu Kaspersky Passowrd manager:

- setam o parola master;

- după ce am setat o parola master avem acces la manager-ul de parole(Figura 1.5);
 Figura 1.6 - Fereastra de operare cu Kaspersky Passowrd manager

Salvarea parolelor cu ajutorul Kaspersky Passowrd manager

- accesind iconița cu aplicații din partea dreaptă a interfaței avem posibilitaea de a salva parole
pentru aplcațile instalate in device-ul nostru (Figura 1.7)
- accesind iconița cu web , avem posibilitatea de a salva parole de la diferite
website-uri(Figura 1.8).
 Figura 1.7 - Fereastra de adaugarea a si salvare parolelor pentru aplicații

Figura 1.8 - Fereastra de adaugarea si salvarea parolei pentru site-ul Facebook

 Procesul de adaugare a unei parole noi in Kaspersky Passowrd manager este realizat la un
nivel intuintiv si simplu (Figura 1.7 & Figura 1.8 );

Accesarea parolelor din aplicație in browser fară introducere Masterkey-ului

Pentru folosirea managerului de parole in browser trebuie activat preventiv in

browser. In cazul meu am folosit browserul Google Chrome. Am intrat in managerul
de exensii si l-am activat (Figura 1.9).

Figura 1.9 – Setările de exentensie

- odata activat, in browser ne va aparea o iconiță nou cu o cheie pe ea, accesind această
iconiță vo avea lista de website-uri introduse anterior in aplicație (Figura 1.9);
- accesînd pe una din iconițele cu website-uri automat v-om fi redirectionați pe acel website,
unde avem de 2 posibilitați: alege unui din acounturi completare automată de catre
managerul de parole sau să facem copy paste (Figura 1.10).

Figura 1.10 - Exentisia activtă in Google Chrome

Fiugra 1.10 - Metodele de logare

 Single sing one (SSO) este un serviciu de autentificare de sesiune și utilizator care permite
unui utilizator să utilizeze un set de acreditări de conectare (de exemplu, nume și parolă) pentru a
accesa mai multe aplicații. Serviciul autentifică utilizatorul final pentru toate aplicațiile pe care le-a
fost acordat utilizatorul și elimină alte solicitări atunci când utilizatorul comută aplicații în timpul
aceleiași sesiuni. Pe partea din spate, SSO este util pentru logarea activităților utilizatorilor, precum
și pentru monitorizarea conturilor de utilizator. Într-un serviciu de SSO web de bază, un modul de
agent de pe serverul de aplicații preia acreditările specifice de autentificare pentru un utilizator
individual de la un server de politică SSO dedicat, în timp ce autentifică utilizatorul împotriva unui
depozit de utilizatori.[3]

Figura 2.1 – Modul de lucru a SSO

OpenID

OpenID vă permite să utilizați un cont existent pentru a vă conecta la mai multe site-uri web,
fără a fi nevoie să creați parole noi. Puteți alege să asociați informații cu OpenID-ul dvs. care pot fi
partajate cu site-urile Web pe care le vizitați, cum ar fi un nume sau o adresă de e-mail. Cu OpenID,
controlați cât de multă informație este partajată cu site-urile web pe care le vizitați. Cu OpenID, parola
dvs. este furnizată numai furnizorului dvs. de identitate, iar furnizorul respectiv vă confirmă
identitatea pe site-urile pe care le vizitați. În afară de furnizorul dvs., niciun site nu vă vede parola,
deci nu trebuie să vă faceți griji că un site web lipsit de scrupule sau nesigur va compromite
identitatea.[3]

Microsoft Live ID

Un cont Microsoft este un ID alcătuit dintr-o adresă de e-mail și o parolă, pe care o puteți
utiliza pentru a vă conecta la site-uri Web Microsoft, servicii, sisteme de operare și proprietăți
precum: Windows 10 sau Windows 8.1, Xbox, Skype, Office 365, OneDrive, Windows 10 Mobile
sau Windows Phone 8.1, Windows Store, Bing, MSN și Outlook.com. Contul Microsoft a fost numit
"Windows Live ID".[3]
 OpenId si Microsoft live id au la baza aceasi idee a tehnologiei SSO, ambele vin in ajutor
pentru utilizator de rind. Tehnologia Microsoft live id este disponibilă pentru doar serviciile pentru
Microsoft ceea ce este un plus foarte mare pentru securitatea datelor utilizatorului, deoareace la datele
utilizatorului are acces numai microsoft. Astefel microsoft oferă utilizatorului crearea unui singur
cont si utilizarea lui pentru toate serviciile sale, fara a oferi informația despre utilizator.
OpenId in sine tot prevede scutirea utilizatorului pentru a crea pentru fiecare resursa cite un
cont, ci crearea unui cont pe un site ca google si unde este posibilitatea sa ne logam prin intermediul
google, indifirent ce tangente are acel site cu google.Însă creatorii acelui site trebuie să implimenteze
singuri aceasta functie.
 One-time Password utilizeaza informatiile transmise printr-un mesaj-text utilizatorului ca
parte a autentificarii.In asemena cazuri, utilizatorul primeste un SMS cu un PIN temporar unic, pe
care il introduce, de exemplu, pe un site web, pentru a-si demonstra identitatea – daca PIN-ul introdus
este corect, utilizatorul primeste acces la account.Acest proces ofera un strat suplimentar de securitate
online intre numele de utilizator si parola.Ca si orice metoda de autentificare out-of-band, SMS One-
Time Password sint vulnerabile la atacurile MITM(man-in-the-middle), deoarece victima,
introducind de buna voie PIN-ul pe un website, poate oferi involuntar acces la account unui intrus.[3]

Figura 4.1- Modelul de lucru a OneTime Password

 3 Authentication protocol

Un protocol de autentificare este un tip de protocol de comunicații de calculator sau un

protocol criptografic conceput special pentru transferul datelor de autentificare între două entități.
Acesta permite entității de destinație să autentifice entitatea de conectare (de exemplu, Clientul care
se conectează la un server), precum și să se autentifice entității de conectare (Server la un client) prin
declararea tipului de informații necesare pentru autentificare, precum și a sintaxei. Este cel mai
important nivel de protecție necesar pentru o comunicație sigură în rețelele de calculatoare.[3]

RADIUS
Remote Authentication Service Dial-In este un protocol și un software client / server care
permite serverelor de acces la distanță să comunice cu un server central pentru a autentifica utilizatorii
dial-in și pentru a le autoriza accesul la sistemul sau serviciul solicitat. RADIUS permite unei
companii să mențină profilele utilizatorilor într-o bază de date centrală pe care toate serverele la
distanță pot să le împărtășească. Oferă o mai bună securitate, permițând unei companii să stabilească
o politică care poate fi aplicată la un singur punct de rețea administrat. Având un serviciu central
înseamnă, de asemenea, că este mai ușor să urmăriți utilizarea pentru facturare și pentru păstrarea
statisticilor de rețea.[1]

DIAMETER
Diametrul este un protocol AAA (authentication, authorization and accounting) utilizat de
rețele de calculatoare. Acesta definește cerințele minime pe care un protocol AAA trebuie să le suporte
și a fost construit pentru a depăși și a înlocui vechiul protocol RADIUS care la precedat.Diametrul
este un protocol de fundație bazat cu capabilități de rutare, capacități de negociere, gestionarea
erorilor și transmiterea mesajelor de diametru. Acesta servește pentru autentificarea, autorizarea și
contabilizarea activităților unui utilizator înainte de a fi permis în rețea. AAA este pur și simplu un
proces care filtrează informații înainte de a acorda acces la un client sau utilizator într-o rețea pentru
a oferi o ieșire sigură și fiabilă. Unul dintre standardele timpurii folosite pentru a implementa AAA
este (RADIUS) care a înlocuit-o cu DIAMETER. RADIUS a fost destul de popular, cu toate acestea
a fost foarte limitat în ceea ce privește securitatea și fiabilitatea, astfel încât a fost îmbunătățită prin
adăugarea de procese avansate și noi operațiuni, cum ar fi perechi de atribute-valoare și notificare de
eroare.[1]

TACAS
Terminal access controller access control system (TACACS) este un protocol de autentificare
utilizat pentru comunicarea la distanță cu orice server găzduit într-o rețea UNIX. TACACS oferă o
metodă ușoară de determinare a accesului la rețeaua de utilizatori prin intermediul comunicării de la
serverul de autentificare de la distanță. Protocolul TACACS utilizează portul 49 implicit.
TACACS utilizează / dezactivează mecanisme cu chei de autentificare care corespund cu numele de
utilizator și parolele. Cisco, care a proiectat și lansat protocolul TACACS, este și proprietarul
acestuia.[1]

KERBEROS
Kerberos este un protocol de rețea care utilizează criptografia secret-cheie pentru
autentificarea aplicațiilor client-server. Kerberos solicită un bilet criptat printr-o secvență de server
autentificată pentru a utiliza serviciile. Un server de autentificare utilizează un bilet Kerberos pentru
a acorda acces la server și apoi creează o cheie de sesiune bazată pe parola solicitantului și pe o altă
valoare aleatorie. Biletul de acordare a biletelor (TGT) este trimis la serverul de acordare a biletelor
(TGS), care trebuie să utilizeze același server de autentificare.Solicitantul primește o cheie criptată
TGS cu un timbru de timp și un bilet de serviciu, care este returnat solicitantului și este decriptat.[1]
Concluzii

In urma efectuări lucrării de laborator am acumulat cunoștințe practice în utilizarea unui

manager de parole, în cazul meu Kaspersky Passowrd manager. Un manager de parole este un ajutor
pentru utilizatorii care au o mulțime de parole și nu le pot memora, dar este si partea rea odată ce va
afla cineva parola de la manager, el va avea acces la toate parolele. Dupa părerea și experiența mea
utilizarea unui manager de parole nu este o soluție optimă pentru salvarea parolelor, deoarece dacă
cu gadgetul pe care este instalat manager-ul de parole se intimplă ceva pentru a face un back-up la
parole sau pentru ca sa le sincronizăm în alt gadget v-om fi nevoiți să plătim.În cadrul lucrării am
analizat OTP (one time passowrd) ce este o modalitate de logare, aplicat pe larg in serviile web mari.
Am comparat OpenId si Microsoft ce au la baza solutia SSO realizata in 2 modalitati diferite.
La fel in urma efectuării lucrari de la laborator am acumulat cunoștințe teoretice despre așa
protocoalele de autoidentificare în rețele ca Kerberos, TACACS, Radius și versiunea mai perfermantă
a acestuia DIAMETR. Care sunt protoacoale de baza folosit pe larg in toate domeniile.
Bibliografie:

1. https://habrahabr.ru
2. https://github.com
3. https://www.techopedia.com/