Documente Academic
Documente Profesional
Documente Cultură
informatiilor sensibile
Autor: MSc. Cezar RaŃă, Director Executiv, 3Q ELSONET srl – Membru A.R.S.S.
Abstract
Autentificarea cu parola implica construirea unor parole puternice (lungi, complexe, unice
si generate aleator), rezistente la atacuri, iar stocarea si utilizarea lor sa fie facuta in
siguranta. Managementul local al parolelor si informatiilor sensibile presupune indeplinirea
celor trei cerinte esentiale de securitate: confidentialitatea, integritatea si disponibilitatea
parolelor si informatiilor sensibile precum si a celor derivate din acestea asa cum sunt
descrise in literatura de specialitate. Aplicatia Magic Password rezolva problema
managementului local, indeplineste recomandarile SP-800-118 si in plus are optiuni de
securitate pentru parolele create si stocate, pentru mesajele stocate si optiuni de
autosecurizare ce nu se regasesc in alte aplicatii similare.
1 Introducere
Tot mai multe conturi ale persoanelor fizice sau ale institutiilor sunt sparte, principalul
„vinovat” fiind parola prea slaba (vezi 3.1) sau stocata necorespunzator (vezi 3.3).
Acest articol este menit sa atraga atentia cititorului asupra pericolului la care este expus
cand se autentifica cu parola si propune masuri si mijloace de atenuare sau chiar eliminare a
riscurilor.
Exista multe articole in publicatiile de specialitate, dar si in cele de informare generala, care
trag un semnal de alarma cu privire la pericolele de care trebuie sa se tina cont la autentificare 1 , 2 , 3.
Folosind credentialele sustrase fraudulos atacatorii incearca sa goleasca conturile
victimelor, sa obtina secrete tehnice si comerciale sau informatii de securitate in vederea declansarii
unor atacuri viitoare. Importanta si necesitatea protejarii credetialelor si informatiilor sensibile este
direct proportionala cu dimensiunea pagubelor ce pot fi produse.
Furtul dispozitivelor mobile (smartphone, tableta) pe care sunt pastrate impropriu securizat
parole si informatii sensibile creste semnificativ riscul divulgarii acestor secrete. Dimensiunea
problemei este evidentiata si in raportul „2012 NORTON CYBERCRIME REPORT”, pag .9 4, in
care se precizeaza ca 35% din adulti si-au pierdut sau li s-a furat dispozitivul mobil.
Multitudinea de credentiale (username si parole) pe care un utilizator trebuie sa le
memoreze duce la pastrarea necorespunzatoare a acestora, utilizarea aceleeasi parole pentru
autentificarea pe mai multe sisteme sau utilizarea unor parole prea slabe. Mai multe statistici care
scot in evidenta dimensiunea problemei sunt prezentate in „2013 GLOBAL SECURITY REPORT”,
pag 54 5.
Toate aceste vulnerabilitati si atacuri arata necesitatea administrarii parolelor si
informatiilor sensibile prin dezvoltarea unor tehnologii de management adecvate. Administrarea se
poate face la nivel de organizatie sau la nivel de utilizator. Tehnologiile care se adreseaza
utilizatorului poarta numele de management local si implica crearea si schimbarea periodica a
parolelor, stocarea securizata a parolelor si informatiilor sensibile dar si facilitati de operare rapida
cu acestea.
1
Suita de articole despre parole furate, http://www.ziare.com/articole/parole+furate+hackeri
2
Utilizatorii de internet folosesc parole ce pot fi usor de aflat, http://www.wall-street.ro/articol/IT-C-
Tehnologie/78891/Utilizatorii-de-internet-folosesc-parole-ce-pot-fi-usor-de-aflat.html
3
90% din parole sunt vulnerabile in fata hackerilor, http://www.manager.ro/articole/itsic/90procente-din-parole-sunt-
vulnerabile-in-fata-hackerilor-28214.html
4
http://now-static.norton.com/now/en/pu/images/Promotions/2012/cybercrimeReport/2012_
Norton_Cybercrime_Report_Master_ FINAL_050912.pdf
5
http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdf
1
Desi au fost create multe aplicatii pentru managementul local al parolelor doar o parte
indeplinesc cerintele de securitate (confidentialitate, integritate si disponibilitate) si de
administrare prezentate in NIST, SP 800-118 Guide to Enterprise Password Management [5.].
Prezentul articol incearca sa focalizeze atentia cititorului asupra implementarii si respectarii
cerintelor de securitate IT in sistemele de securitate fizica si a pericolelor la care expune sistemele pe
care le administreaza si pe beneficiarii acestora sau chiar propria persoana.
In acest articol este tratat managementul local al parolelor si informatiilor sensibile.
Managementul la nivel de organizatie ar putea fi abordat intr-un alt articol.
In continuare, dupa o scurta prezentare a autentificarii, sunt analizate cerintele de securitate
a parolelor (capitolul 3 Parole) impreuna cu pericolele la care sunt expuse (capitolul 4 Atacuri
impotriva parolelor). Concluziile trase evidentiaza necesitatea administrarii parolelor si informatiilor
sensibile (capitolul 5 Managementul Parolelor si Informatiilor Sensibile) de catre o aplicatie
specializata.
In ultima parte a articolului este propusa o aplicatie pentru managementul local al parolelor
si informatiilor sensibile (capitolul 6 Magic Password) ce indeplineste cerintele de securitate
prezentate in NIST, SP 800-118 Guide to Enterprise Password Management dar care are si functii de
securizare suplimentare.
Articolul n-ar putea fi incheiat fara a aduce multumiri celor care au ajutat la publicarea lui si
fara prezentarea listei cu referintele bibliografice utilizate.
Termeni specifici ce apar in articol:
confidentialitate - proprietatea de a pastra secretul informatiei, pentru ca aceasta sa fie folosita
numai de persoanele autorizate
credentiale – text utilizat pentru identificare si autentificare (username si parola)
disponibilitate - Asigurarea accesului rapid si fiabil la informatie
valoare hash – sau „message digest” sau „digest” este rezultatul unei functii „one-way” Hash 6
integritate - proprietatea de a evita orice modificare (inserare, stergere, substitutie) neautorizata a
informatiei
Phishing – utilizatorul este convins sa introduca credentialele intr-un formular pe un site fals care
arata exact ca cel original
Social Engineering – aflarea unor informatii confidentiale prin exploatarea slabiciunilor omenesti
(utilizatorul divulga aceste informatii fara voie si in necunostinta).
2 Autentificarea
2.1 Despre identificare si autentificare
Pentru a i se permite accesul (autorizarea) intr-un sistem (hardware sau software) un
utilizator trebuie sa se identifice (spune ca este „username”) si sa se autentifice (dovedeste ca este
acel „username”) folosind parole, token sau caracteristici biometrice. Perechea {username, parola}
adica {identificator, autentificator} trebuie sa fie unica intr-un sistem ce necesita autentificare.
Autentificarea este procesul de stabilire a increderii in identitatea electronica a
utilizatorului la un sistem sau echipament. [4.].
Identificarea si autentificarea se pot face simultan prin introducerea unui cod PIN (Personal
Identification Number) ce consta dintr-un sir (relativ scurt) de cifre si care este utilizat pentru
autentificarea rapida.
Parolele care contin mai multe cuvinte ce formeaza o propozitie se numesc passphrase si
au avantajul ca sunt usor de memorat.
Atat codul PIN cat si passphrase sunt variante ale parolei utilizate pentru autentificare. In
continuare prin termenul parola se va intelege referirea la toate cele trei variante (parola, cod,
passphrase).
6
http://csrc.nist.gov/publications/fips/fips180-4/fips-180-4.pdf
2
2.2 Moduri de autentificare
Pentru autentificare utilizatorul poate folosi ceva „ce stie” (parola), ceva ce utilizatorul
„este” (ex: amprenta sau altceva biometric) sau ceva ce utilizatorul „detine” (ex: smart card). Astfel
se deosebesc trei moduri de autentificare:
• Single-factor authentication – utilizarea unuia din cele trei moduri de autentificare
• Two-factor authentication – utilizarea simultana a doua din cele trei moduri de
autentificare
• Three-factor authentication – utilizarea simultana a celor trei moduri
Multi-factor authentication – utilizarea a mai mult de un mod de autentificare simultan, in
fapt este un termen general pentru two-factor si three-factor authentication.
Se pot spune multe despre autentificare dar prezentarea intregii problematici depaseste
scopul acestui articol care trateaza managementul local al parolelor si informatiilor sensibile.
3 Parole
Autentificarea cu parola este metoda cea mai des utilizata dintre toate mijloacele de
autentificare dar si cea mai vulnerabila, mai ales atunci cand este impropriu administrata. Parolele
sunt utilizate pentru autentificarea utilizatorilor in aplicatii software, in diferite sisteme hardware sau
software, pentru protectia informatiilor prin derivarea cheii de criptare din parola.
Crearea cheilor de criptare sau a parolelor prin derivarea unei parole master trebuie sa se
faca conform PKCS #5 v2.1: Password-Based Cryptography Standard [15.] si in baza recomandarii
NIST, SP 800-132 Recommendation for Password-Based Key Derivation [6.] ce specifica foarte clar
cerintele.
3.1 Taria parolelor
Taria unei parole este determinata de lungimea, complexitatea si impredictibilitatea aparitiei
caracterelor in componenta sa si se exprima prin doi parametri:
• „keyspaces” (spatiul cheilor) - numarul de variante posibile ale cheii, in cazul nostru a
parolei.
• „entropy” (entropia) – incertitudinea valorii parolei
3
Exemplu: prin atacul "brute force", o parola de 32 caractere poate fi gasita in 3,3 10
ani (miliarde de miliarde de … miliarde de ani). [8.]
7
http://www2.trustwave.com/rs/trustwave/images/2013-Global-Security-Report.pdf
4
3.3 Stocarea parolelor
8
http://csrc.nist.gov/publications/nistpubs/800-131A/sp800-131A.pdf
9
http://www.schneier.com/blog/archives/2012/08/yet_another_ris.html
10
http://www.schneier.com/blog/archives/2009/06/cloud_computing.html
5
4.1 Capturarea parolei
O parola poate fi capturata cand este stocata ori transmisa sau cand atacatorul se foloseste
de comportamentul si cunostintele utilizatorului si il determina, prin metode non-tehnice, sa divulge
parola.
11
http://technet.microsoft.com/en-us/library/cc959354.aspx
6
4.2.1 Ghicirea parolelor
Atacatorul incearca sa gaseasca parola prin diferite tehnici iar sansele de reusita sunt cu atat
mai mari cu cat parola este mai slaba.
Atacul de tip dictionar: atacatorul incearca sa ghiceasca parola testand cuvintele dintr-un
dictionar. Este un atac relativ rapid si are de multe ori ca rezultat obtinerea parolei. Solutie: parolele
NU trebuie sa contina cuvinte clare sau parti din cuvinte
Forta bruta („brute-force”): atacatorul testeaza toate combinatiile posibile ale parolei.
Atacul necesita timp si putere de calcul. Solutie: lungimea parolei cat mai mare.
Atac hibrid: atacatorul imbina atacul tip dictionar folosind cuvinte din dictionar +
combinatii de caractere si numere speciale cu atacul „brute-force”. Solutie: parole generate aleator si
cat mai lungi si mai complexe.
Solutie generala: cresterea complexitatii, lungimii si schimbarea periodica a parolei.
Schimbarea periodica reduce si riscul „spargerii” mecanismului de pastrare a parolei (in principiu
baza de date).
7
Evolutia in timp a puterii de calcul si a tehnicilor de atac creste riscul aflarii parolei, solutia
fiind cresterea tariei parolei prin cresterea lungimii si a setului de caractere utilizat precum si prin
schimbarea acesteia la intervale de timp mai mici.
8
Important: Magic Password asigura utilizatorului controlul total asupra procesului de
creare si stocare a parolelor si mesajelor cu informatii sensibile fara implicarea niciunei aplicatii
exterioare, stocarea pe vreun server sau in cloud [14.].
6.1 Caracteristici Magic Password
9
• Mesajele sunt decriptate in memoria volatila si astfel in cazul unor evenimente inprevizibile
informatiile sensibile nu raman stocate decriptat.
6.1.2 Caracteristici suplimentare
• Important – aplicatia Magic Password stocheaza in Baza de Date doar o parte din
elementele constituente (de constructie) si nu parolele in clar, criptate sau valoarea hash a
lor.
• Important – parolele Master si Confirmare NU sunt pastrate pe dispozitiv (in software sau
Baza de Date) sau pe un server sau Cloud.
• Se poate crea cate o parola pentru fiecare resursa ce necesita autentificare (sistem sau
echipament).
• Poate crea si stoca cate o parola de criptare pentru fiecare mesaj criptat sau pentru grupuri
de mesaje.
• Toate datele aplicatiei (doar ale aplicatiei) se autodistrug in cazul in care se incearca
ghicirea parolei Master, (numarul de incercari este setabil de catre utilizator).
• Aplicatia permite reset general si astfel se poate incarca o noua Baza de Date cu alta Parola
Master
• Taria parolelor: pentru parolele cu lungimea de 32 caractere si compuse din cifre, litere
mici, litere mari, si simboluri (94 caractere) spatiul parolelor este 94
1,38 10 .
Prin atacul „brute-force” o parola poate fi gasita in 3,3 10 (miliarde de miliarde de
... miliarde de ani) [8.] http://en.wikipedia.org/wiki/Brute-force_attack.
• Se pot crea parole in limba dorita prin setarea unui alfabet propriu, introdus de utilizator.
• Aplicatia poate stoca peste un miliard de parole (depinde de capacitatea dispozitivului).
• Informatiile pot fi usor si rapid gasite in Baza de Date prin organizarea lor dupa dorinta si
criteriile utilizatorului.
• Aceeasi Baza de Date si acelasi alfabet pot fi folosite pe mai multe dispozitive si astfel se
pot genera aceleasi parole folosind dispozitive diferite.
• Aplicatia este foarte personalizabila; utilizatorul poate face multe setari dupa propria
dorinta.
10
sterge automat la pierderea alimentarii, la inchiderea aplicatiei, etc...), deci situatia
practic nu poate exista.
o Obtine parola Master: este insuficient, trebuie baza de date, alfabetul si in cazul
parolelor importante trebuie si parola de Confirmare.
6.2 Spargerea si ghicirea parolelor generate cu Magic Password
Intrucat nici o parola nu este pastrata in Baza de Date spargerea acesteia devine inutila si nu
duce la obtinerea vreunei parole.
Ghicirea parolelor este de asemenea improbabila deoarece sunt generate aleator din
elemente constituiente ce nu sunt toate stocate in Baza de Date sau in alta parte.
Complexitatea parolei poate fi aleasa de utilizator prin setarea numarului si setului de
caractere folosit. In plus, in Magic Password utilizatorul poate seta parola ca fiind foarte importanta
si astfel se cere o parola de confirmare.
Datorita modului de constructie a parolelor de catre Magic Password aflarea unei parole de
catre un atacator nu pune in nici un fel in pericol celelalte parole. Pur si simplu se genereaza o
versiune noua a parolei (va fi automat total diferita de cea veche) si situatia este rezolvata.
Incercarea repetata a atacatorului de ghicire a parolei Master duce la stergerea tuturor
datelor aplicatiei Magic Password, numarul de incercari poate fi setat de utilizator si se recomanda sa
fie scazut pe masura ce utilizatorul se obisnuieste cu aplicatia.
Deoarece parolele finale nu sunt stocate in Baza de Date atacatorul nu are element de
comparatie in incercarea de spargere a parolelor prin incercari succesive de generare a unor parole
care sa dea acelasi rezultat chiar daca foloseste „Rainbow table”. Setarea unui alfabet particular cu
caractere din alta limba creste dificultatea utilizarii „Rainbow table”. In constructia aplicatiei pentru
crearea parolelor se utilizeaza si o valoare de salt, generata aleator, astfel incat utilizarea „Rainbow
table” este si mai dificila.
6.3 Probleme din domeniul securitatii fizice pe care le rezolva aplicatia
• Memorarea codurilor instalator si personalizarea lor pentru fiecare beneficiar in parte
• Faciliteaza schimbarea periodica a codurilor si parolelor.
• Memorarea codurilor si parolelor multiple pentru un client (de catre instalator)
o Cod instalator alarma
o Cod instalator (parola administrator) DVR
o Cod instalator (parola administrator) echipament de control acces
o Cod instalator (parola administrator) soft de control acces
o Cod router (parola administrator)
o Datele de conectare la reteaua locala si internet cu parolele aferente
6.4 Testarea aplicatiei
Daca doriti sa testati aplicatia o puteti face la http://www.3q.ro/magic_password.html, aici
gasiti link-uri la pentru descarcare de la Samsung, Amazon, si Google Play.
7 Recomandari
7.1 Recomandari pentru utilizarea parolelor din standardul ISO-IEC 27002
• Parola trebuie pastrata confidentiala (departe de ochii curiosi) in timpul introducerii,
pastrarii si manipularii.
• Trebuie evitata pastrarea parolelor pe hartie, in fisiere sau pe dispozitive mobile intr-un
mod nesecurizat.
• Parolele trebuie schimbate oricand exista un indiciu ca sunt compromise.
• Parolele trebuie sa fie suficient de lungi si complexe si sa nu contina cuvinte din dictionar,
nume zile de nastere sau numere de telefon.
• Parolele trebuie schimbate periodic si trebuie evitata reutilizarea lor
• Trebuie evitata autentificarea cu aceeasi parola la mai multe sisteme
7.2 Construirea unei parole puternice si usor de memorat
O parola puternica se construieste nu se alege.
11
Cerintele pentru o parola puternica (generata aleator, sa contina cifre, litere mici, litere mari
si simboluri si cu o lungime cat mai mare) sunt in totala contradictie cu cele pentru o parola usor de
memorat, atunci ce se poate face?
Exemplele urmatoare sunt din NIST, SP 800-118 Guide to Enterprise Password
Management [5.], dar exista numeroase carti si articole care trateaza acest subiect. Informatii utile si
de incredere despre cum se construieste o parola puternica se mai gasesc si in:
• Perfect Passwords [2.]
• Human Selection of Mnemonic Phrase-based Passwords [1.]
• https://accounts.google.com/PasswordHelp
• http://www.google.com/goodtoknow/online-safety/passwords
• http://www.lockdown.co.uk/?pg=password_guide
• http://its.virginia.edu/accounts/passwords.html
Metodele urmatoare pot fi folosite pentru constructia parolelor Master si Confirmare.
8 Multumiri
Tin sa aduc multumiri ARSS (Asociatiei Romane a Specialistilor in Securitate) pentru
spatiul acordat publicarii articolului, domnului Ion Iordache, presedintele ARSS, pentru
disponibilitatea si receptivitatea aratata si colegilor din ARSS pentru problemele si ideile expuse si
discutate pe grupul de discutii al asociatiei.
9 Bibliografie
[1.] Cynthia Kuo, Sasha Romanosky, and Lorrie Faith Cranor, “Human Selection of Mnemonic
Phrase-based Passwords”, Symposium on Usable Privacy and Security (SOUPS), 2006,
Pittsburgh, PA, July 2006.
[2.] Burnett M, Perfect Passwords, Selection, protection, authentication, Syngress Publiching,
Canada, 2006.
[3.] Contos B., Crowell W., Physical and Logical Security Convergence Powered By Enterprise
Security Management, Syngress Publishing, USA, 2007.
[4.] NIST, SP 800-63-1 Electronic Authentication Guideline
[5.] NIST, SP 800-118 Guide to Enterprise Password Management
[6.] NIST, SP 800-132 Recommendation for Password-Based Key Derivation
12
[7.] http://www.sans.org/security-resources/policies/Password_Policy.pdf
[8.] http://en.wikipedia.org/wiki/Brute-force_attack
[9.] http://www.eetimes.com/design/embedded-internet-design/4372428/How-secure-is-AES-
against-brute-force-attacks
[10.] https://accounts.google.com/PasswordHelp
[11.] http://www.google.com/goodtoknow/online-safety/passwords
[12.] http://www.lockdown.co.uk/?pg=password_guide
[13.] http://its.virginia.edu/accounts/passwords.html
[14.] http://www.3q.ro/ro/magic_password.html
[15.] http://www.rsa.com/rsalabs/pkcs/files/h11302-wp-pkcs5v2-1-password-based-
cryptography-standard.pdf
13