Tema: Autentificare bazata pe mai mulți factori

Mersul lucrării:

1. Descrierea principiului de funcționare a sistemului de autentificare Rohos Logon

Key.

Rohos Logon Key este o programa predestinata autentificarii automate intr-un sistem de
operare cu o parola – care este inregistrata si criptata pe un USB drive, la conectarea caruia
parola utilizatorului se introduce automat. Sunt prezente mai multe functionalitati ale acestui
program, precum ca trecerea calculatorului in switch mode la deconectarea USB drive-ului din
PC, si alte functionalitati. Metoda de criptare a datelor pe flash drive – este AES. Programa
intr-un fel creaza un token de autentificare dintr-un USB drive, ceea ce ofera posibilitatea de a
genera o parola mai sofisticata si a o configura pe acest flash, ceea ce faciliteaza utilizatorul de
a exclude introducerea manuala a unei parole sofisticate.

2. Studierea functionalitatii sistemului Rohos Logon Key.

Primul lucru care l-am facut a fost instalarea programei Rohos Logon Key, si deja dupa
prima lansare apare fereastra initiala, in care avem mai multe optiuni.

Aici este posibilitatea de a crea mai multe token-uri, si respectiv mai multi utilizatori pentru
logarea la sistemul de operare respectiv. Deasemeni avem posibilitatea de a partaja utilizatorii
din windows, adaugare, stergere, modificare. Primul pas, daca avem deja o parola configurata la
utilizatorul sistemului de operare Windows, atunci va fi crearea unui token. Noua se propune de
ales usb-drive-ul pe care va fi facut configurarea tokenului. Setam parola , alegem G drive si
apasam configurare. Daca avem nevoie de sterge parola de pe USB drive, apasam curatire.
Avem posibilitatea de a alege careva optiuni in cazul cand dorim sa se petreaca vreun eveniment
la deconectarea usb drive-ului din calculator. Spre exemplu putem configura sa se aprinda
regimul de hibernare, sau sa se treaca la switch user.

Deasemenea avem posibilitatea de a schimba parola utilizatorului de windows curent,

introducind parola veche, apoi parola noua, si repetarea parolei noi.

Dupa ce a fost configurat tokenul, deja putem verifica careva optiuni, sa setam bifa care va
indica iconita de Rohos Logon Key la momentul logarii, sau nu. Este optional, eu am setat bifa.

1
 Deja dupa ce a fost configurat tokenul, verificam daca totul functioneaza, realizam un restart la
PC, sau ii dam logout, pentru a verifica daca ne putem loga cu ajutorului flashului configurat.
Conectam flashul, asteptam 3 secunde – si el automat ne va autentifica in sistem. Aceasta e
modalitatea de functionare.

3. Soluția One-Time Password

Autentificarea in baza a doi factori, din cadrul RSA SecurID consta in faptul ca stim parola sau
PIN codul, si in ceea ca cunoastem cheia, asigurind astfel un nivel mai avansat de autentificare
a fiabilitatii utilizatorilor in baza compararii cu parolele utilizate de mai multe ori.

a) Dispozitive de autentificare Hardware RSA SecureID

Exista o gama larga de modele utile a acestor dispozitive, fiecare dintre care genereaza si
afiseaza un cod nou la fiecare 60 de secunde. RSA SecurID Modelul SD600 și SID700 sunt
dispozitivele ce asigura cel mai mare termen de exploatare , intr-un design riguros, portabil, si
de incredere.

RSA SecureID SD600 RSA SecureID SID700 RSA SecureID SD200

Modelul RSA SecurID SD200- este de marimea unui card de

credit, avind caracteristici excelente de lucru, precum si celelalte produse RSA SecurID
Modelul RSA SecurID SID800- este cel mai nou model din aceasta linie-acesta ofera o
caracteristica importanta-functia parolei irepetabile, plus la aceatsa si alte caracteristici
2
suplimentare, datorita portului USB integrat si a cipului inteligent. Acest dispozitiv poate fi
folosit pentru a genera coduri de unică folosință și pentru a stoca nume de utilizator , parole ,
Windows , și certificate digitale. Plus la aceasta atunci cind dispozitivul este conectat, parolele
se citesc automat, fara a fi nevoie de a le tasta manual.
RSA SecurID- este un garant al securitii identitatii fiind un un set de metode și tehnologii care
reduc la minimum riscul comercial asociat cu identificarea incorecta a identitatii și de utilizarea
incorecta a conturilor personale. Garanție de identificare corecta oferă o interacțiune libera și
sigura cu sisteme de tip enterprise și acces la informațiile utilizatorilor de încredere, ceea ce
deschide noi oportunități de creștere a veniturilor, creșterea satisfacției clienților și a
controlului costurilor.

b) McAfee One Time Password

Ne permite sa se implementeze rapid o autentificare
cu doi factori folosind token-uri de software, pentru ca
angajatii care lucreaza la distanta sa poata beneficia de
acces securitizat la informatiile de care au nevoie
imediat, fara a incalca prevederile legale.

Poisbilitati si avantaje

-Administrarea simplificată
Putem sa obținem control deplin asupra setarilor
sistemului datorita tablourilor de bord, create printr-o
interfață web. Putem sa oferim utilizatorilor finali și instrumente de sprijin de servicii pentru a
schimba parolele, de auto-administrare și auto-înregistrare de sistem, pentru a reduce povara
asupra administratorilor.

3
 -Prevenirea accesului neautorizat la sistemele importante, prin intermediul unui mecanism
puternic de autentificare
Elimina accesul neautorizat utilizând o combinație de informații de utilizator (nume de
utilizator și parolă) și o parola nerepetabila. Utilizarea mecanismului de autentificare sigura, va
ajuta la evitarea unor efecte adversechiar in cazul unei scurgeri de informatii.

-Flexibilitate și scalabilitate a mecanismului de autentificare

Puteți proteja aplicatiile "on the fly", fără a fi nevoie de deconectare temporară și creșterea
numărului de utilizatori datorită funcției de built-in de cluster. One Time Passowrd este
utilizata in organizatii de diferite dimensiuni cu numarul de angajati de la 10 si pina la 10000
de oameni.

-Asigurarea normativ juridica a conformtitatilor prin utilizarea autentificarii „din afara bezii”
(la utilizarea autentificarii neliniare)
Pentru a asigura respectarea cerintelor normative, inclusiv a standardelor industriei cardurilor
de plata (PCI) si altele, se face autentificarea clientilor prin parole one-time, care se trimit prin
intermediul mesagelor SMS sau masaje vocale, sau prin e-mail sau mesaje prompte.

-Permit o economisire de timp la implimentare

Comparativ cu mecanismele tradiționale, de autentificare care folosesc parole one-time și
token-uri de hardware soluția- McAfee One Time Password este conceputa astfel încât se fie
usor de implementat. Chiar și în cazul instalării sistemelor complexe și de configurare ia doar
câteva minute sau ore (mai degrabă decât de zile sau săptămâni).

-Reduce costurile administrative prin utilizarea software-ului simbol Pledge

Utilizarea de token-uri de hardware necesită costuri administrative și logistice mari. Software-
ul de jetoane soluții Gaj One Time Password permite de a reduce dramatic aceste costuri.

-Foloseste tehnologia Intel Identity Protection Technology (IPT)

IPT utiliza tehnologia pentru a crea parole unice la nivel de cip de procesoare care acceptă
tehnologia IPT.

4. Soluția Single Sign One. Diferența dintre OpenID și Windows Live ID.

4
 OpenID este un sistem standard de autentificare a utilizatorilor in cadrul site-urilor.Pentru a
intelege mai usor ce reprezinta openid imagineaza-ti o carte de identitate valabila peste tot in
lume, insa intr-o varianta online. Astfel cu un singur username si o singura parola te vei putea
loga pe toate site-urile fara a mai crea conturi noi sau a confirma email-uri.

Cum imi fac cont OpenID?

Pentru a detine un astfel de cont trebuie sa te inregistrezi la un provider OpenId, dar daca ai
cont pe unul dintre urmatoarele site-uri (si sansele sunt foarte mari sa ai ) inseamna ca ai deja un
OpenId:
a) Google
b) Yahoo
c) Wordpress
d) AIM
e) Blogger
f) LiveJournal
d) Myspace
Aceste site-uri nu sunt singurele care ofera un openId. Este foarte important ca providerul
Openid-ului sa fie unul cat mai sigur si mai usor de folosit, astfel din aceste puncte de vedere cele mai
recomandate site-uri sunt MySpace si Yahoo.
OpenId este un ajutor dat magazinelor online care aveau probleme in convingerea utilizatorilor
sa se autentifice. Prin openId detinatorii de magazine online pot afla mai multe despre vizitatorii lor si
astfel isi pot targeta mai bine produsele .
Pe scurt OpenID:
1. este folosit pentru logare fara a crea conturi noi
2. nu controleaza sau memoreaza ce faci pe anumite site-uri
3. încredințează parola ta doar unui singur site (cel pe care ti-ai facut contul)
4. nu poate garanta ca deținătorul unui OpenId nu este spammer, un robot, etc.
5. devine din ce in ce mai folosit , in prezent 27000 de site-uri permit logarea prin OpenId.

Windows Live ID este un mecanism de autentificare sau o identitate electronică. Un

identificator prin care site-uri sau aplicații ne pot recunoaște.
Cu toții am văzut site-uri Web care necesită username și password pentru login. Sau e-mail și
parolă pentru conectare. Site-urile au nevoie de cont pentru a ne putea recunoaște - nu neapărat ca

5
persoană cu nume și prenume, dar măcar ca "identitate de vizitator". Site-urile asociază acestor
identități diverse informații: preferințe, grupa de vârstă, sau date personale. O fac pentru a putea
furniza servicii "personalizate".
Windows Live ID este un asemnea cont, o asemenea identitate electronică. Diferența este că
Windows Live ID este făcut pentru a funcționa pe orice site. Cu alte cuvinte, folosind același cont
Windows Live ID, cel puțin potențial, pot fi "recunoscut" de către mai multe site-uri sau aplicații.
La ora actuală, Microsoft a făcut publice specificațiile prin care orice site, indiferent de
platformă, poate folosi mecanismul de autentificare Windows Live ID. De vreme ce acest mecanism
de autentificare funcționează pe mai multe site-uri.
Când un site vrea să "identifice" un vizitator folosindu-i contul Windows Live ID, acel site nu
primește toate detaliile contului, ci doar un număr de identificare. Serviciul Windows Live ID nu
divulgă nici numele, nici adresa de e-mail folosită, nici alte detalii.
Dacă doriți să furnizați acelui site date personale din contul Windows Live ID, pentru a nu le
tasta mereu iar și iar, aceasta se face printr-un mecanism de delegare. Fără "împuternicire", site-ul nu
obține decât un cod scurt indescifrabil.
Să facem o analogie: Windows Live ID este ca un buletin electronic, un card de identitate.
Buletinul cuprinde datele personale și acel CNP - Cod Numeric Personal. Când mergi pe un site iar
site-ul vrea să te identifice, spui că vrei să folosești "buletinul" Windows Live ID, dar site-ul nu "vede"
decât CNP-ul! Dacă vrea mai multe date, trebuie vi le ceară. Dacă vrea mai multe date din "buletinul"
dvs Windows Live ID, trebuie să vă ceară permisiunea.