A védelmi igényektől függően három alapvető csoportba sorolhatók a megoldások:



Hasonló dokumentumok
Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

Kétcsatornás autentikáció

20 éve az informatikában

Megbízhatóság az informatikai rendszerekben

Bejelentkezés az egyetemi hálózatba és a számítógépre

Felhasználói kézikönyv

AUTOMATED FARE COLLECTION (AFC) RENDSZEREK

K&H token tanúsítvány megújítás

2. Hozzárendelt azonosítók alapján

Elektronikus kereskedelem. Automatikus azonosító rendszerek

(appended picture) hát azért, mert a rendszerek sosem

Tanúsítvány feltöltése Gemalto TPC IM CC és ID Classic 340 típusú kártyára

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

KIRA. KIRA rendszer. Telepítési útmutató v1

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

SEGÉDLET. A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez

Tudjuk-e védeni dokumentumainkat az e-irodában?

Tanúsítvány feltöltése Gemalto.NET kártyára és Gemalto SIM termékre

A GDPR számítástechnikai oldala a védőnői gyakorlatban

Rendszám felismerő rendszer általános működési leírás

CodeMeter - A Digitális Jogkezelő

Geotechnika II. (NGB-SE005-2) Geo5 használat

Novell és Windows7 bejelentkezési jelszavak módosítása

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

Procontrol VRecX. Kezelői kézikönyv. Kamerás megfigyelőrendszer. Verzió:

Verzió: PROCONTROL ELECTRONICS LTD

CareLink Personal telepítési útmutató. Első lépések a CareLink Personal adatfeltöltéshez

Alkalmazások biztonsága

Kriptográfiai alapfogalmak

Az operációs rendszer. Az operációs rendszer feladatai, részei, fajtái Az operációs rendszer beállítása

Felhasználói dokumentáció. a TávTagTár programhoz. Készítette: Nyíri Gábor, hdd@nc-studio.com GDF Abakusz regisztrációs kód: GDFAba43

Testnevelési Egyetem VPN beállítása és használata

Adatbázis rendszerek. dr. Siki Zoltán

K&H e-posta és K&H e-kivonat felhasználói kézikönyv. legutolsó frissítés dátuma:

Elektronikus aláírás és titkosítás beállítása MS Outlook 2010 levelezőben

ALKALMAZÁSOK ISMERTETÉSE

Vezeték nélküli hálózat

Kezdő lépések Outlook Web Access

Adott egy szervezet, és annak ügyfelei. Nevezzük a szervezetet bank -nak. Az ügyfelek az Interneten keresztül érzékeny információkat, utasításokat

TERC V.I.P. hardverkulcs regisztráció

telepítési útmutató K&H Bank Zrt.

Informatika. 3. Az informatika felhasználási területei és gazdasági hatásai

3 A hálózati kamera beállítása LAN hálózaton keresztül

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre. Windows 7, Windows 8, Windows 8.1 és Windows 10-es operációs rendszeren 1(9)

Tanúsítvány és hozzá tartozó kulcsok feltöltése Gemalto TPC IM CC és ID Classic 340 kártyára

Az Outlook levelező program beállítása tanúsítványok használatához

Oktatási cloud használata

Gyors Áttekintő Segédlet Fenntartóknak v1.01 KRÉTA TANTÁRGYFELOSZTÁS GYORS ÁTTEKINTŐ SEGÉDLET FENNTARTÓKNAK. verzió v1.01 /

Technológia az adatszivárgás ellen

3. SZÁMÚ KIEGÉSZÍTŐ TÁJÉKOZTATÁS közbeszerzési eljárásban a évi CXLIII. törvény (Kbt.) 56. alapján

Albacomp RI Rendszerintegrációs Kft Székesfehérvár, Mártírok útja 9. E K O P - 1. A. 2 - A D A T Á L L O M Á N Y O K

Tudnivalók az NYMESEK vezeték nélküli hálózatáról. Beállítási útmutató WIFI felhasználóink számára

R5 kutatási feladatok és várható eredmények. RFID future R Király Roland - Eger, EKF TTK MatInf

tanácsok játék és nyeremény weboldal-ajánló Munka az irodán kívül Távoli munka hatékonyan

Operációs Rendszerek I.

ÖNKORMÁNYZATOK ÉS KISTÉRSÉGI TÁRSULÁSOK RÉSZÉRE

NSR TAO rendszer használatához kiadott tanúsítvány megújításának lépései

2. rész BEVEZETÉS A SZÁMÍTÓGÉPEK VILÁGÁBA. Az információ elérésének és felhasználásának képessége.

A számítógép-hálózat egy olyan speciális rendszer, amely a számítógépek egymás közötti kommunikációját biztosítja.

Belépés a Budapesti Ügyvédi Kamara elektronikus ügyintézési rendszerébe

Debreceni Egyetem Matematikai és Informatikai Intézet. 13. Védelem

Adatbázis-kezelő rendszerek. dr. Siki Zoltán

TÁJÉKOZTATÓ a MicroSigner alapú alkalmazás használatáról

Megbízható számítástechnika: a biztonságos hordozható platform felé vezető úton

Szakterületi modell A fogalmak megjelenítése. 9. fejezet Applying UML and Patterns Craig Larman

BEVEZETÉS A SZÁMÍTÓGÉPEK VILÁGÁBA

Számítástechnikai kommunikációs lehetőségek a QB-Pharma rendszerrel. Előadó: Bagi Zoltán Quadro Byte Kft. ügyvezető

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

UJJLENYOMAT OLVASÓ. Kezelői Kézikönyv

RFID alapú azonosítási rendszerek

VIZSGÁLATI BIZONYÍTVÁNY

BALATONI REGIONÁLIS TÖRTÉNETI KUTATÓINTÉZET, KÖNYVTÁR és KÁLMÁN IMRE EMLÉKHÁZ. Mobil és hordozható eszközök használatára vonatkozó szabályzat

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Gemalto Classic Client Toolbox telepítési és használati útmutató

Tanúsítvány feltöltése Oberthur kártyára és Oberthur SIM termékre

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

OE-NIK 2010/11 ősz OE-NIK ősz

Beléptető rendszer RFID (érintésmentes) olvasóval

13. óra op. rendszer ECDL alapok

Fájlrendszerek. A Windows operációs rendszerek fájlrendszere

Regionális forduló november 18.

ViCA. Virtuális Chipkártya Alkalmazás

Használati útmutató a jogosultságok kiosztásához

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Intelligens beléptetõ rendszerek - RFID hengerzárárbetétek

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

DebitTray program Leírás

Adatbázis alapú rendszerek

Java telepítése és beállítása

Gyakorlati vizsgatevékenység. Graf Iskola

MŰSZAKI KÖVETELMÉNYEK, A KÖRKERESŐ SZOFTVER SPECIFIKÁCIÓJA, KÖLTSÉGVETÉS. A) Műszaki követelmények

Partner adatainak betöltése a CKB Trend rendszerbe.

MAGYAR ÁLLAMKINCSTÁR RÉSZÉRE

S, mint secure. Nagy Attila Gábor Wildom Kft.

Informatika Rendszerek Alapjai

Átírás:

4. Felhasználó azonosítás Az informatikai rendszerek működése szempontjából fontos, hogy azonosítani tudjuk a rendszerbe belépő felhasználókat, majd jogokat, felhatalmazásokat adjunk nekik. Az azonosítás (autentikáció) a folyamat első része. A felhatalmazásokat (autorizáció) a rendszer által elfogadott felhasználóhoz rendeljük. Arra törekszünk, hogy a rendszer által elfogadott felhasználó és a jog tényleges tulajdonosa minél nagyobb valószínűséggel megegyezzen. A probléma az, hogy a felhasználó nem része a számítástechnikai rendszernek. Egyszerűbb dolgunk lenne, ha felhasználó és terminál elválaszthatatlan egységet képezne, mint néhány sci-fi regényben. (A kutyák azonosító áramkörét beültetik a szervezetbe). A védelmi igényektől függően három alapvető csoportba sorolhatók a megoldások: tudás alapú; birtoklás alapú; biometriai jellemzőkön alapuló rendszerek. A tudás alapú rendszerekben a felhasználó tud valamit. Ez lehet jelszó, ugrások a képernyőn, nyomógomb sorrend, stb. A rendszer számára az azonosítás azt jelenti, hogy aki a gép előtt ül, a tudás birtokában van. Ebből csak valószínűsíteni lehet, hogy a bejelentkezés a rendszerben tárolt felhasználóhoz tartozik. A birtoklás alapú megoldásoknál a felhasználó birtokában van valami, amihez a tárolt információk alapján hozzárendeljük a felhasználót. A birtokolt eszköz gyakorlatban lehet chip-kártya, rádiós kártya, USB kulcs, stb. A rendszer csak azt tudja detektálni, hogy a belépőnek az eszköz a birtokában van. Ez nem jelenti azt, hogy megegyezik a rendszerben tárolt tulajdonossal. A szervezetbe beültetett azonosító is a birtoklás alapú csoportba sorolható. Nem olyan egyszerű a cseréje, mint egy bankkártyáé, de ez sem garantálja a rendszerben tárolt felhasználó és a bejelentkező azonosságát. A gyakorlatban a birtoklás alapú és tudás alapú rendszerek kombinációja jelentősen növeli a biztonságot. Ha a bankkártyánkat használjuk, ezt az azonosítási eljárást követjük. A kártya mellé egy PIN kód is szükséges az eredményes tranzakcióhoz. Sem a kártya önmagában, sem a PIN-kód ismerete önmagában nem elég. Ha a kártyánkkal PIN kód nélkül is lehet vásárolni, az lehet kényelmes, de nem biztonságos. A biometriai azonosítást alkalmazó rendszerek kötődnek a legszorosabban a felhasználóhoz. A kifejezés arra utal, hogy a módszer mérhető biológiai jellemzőket használ. Mindkét része a meghatározásnak fontos. Biológiai, tehát a személyhez kötődő természetes jellemző. A mérhetőség a technológiai fejlődésével változó jellemző. Néhány éve a hang azonosító rendszerek magas hibaszázalékú, megbízhatatlan eszközök voltak. Ma már meglehetősen jó azonosító módszerként alkalmazható.

Nem tudunk mit kezdeni az olyan jellemzőkkel, hogy szép, kellemes modorú, stb. Ezek az adatok hasznosak lehetnek egy biztonsági ember számára, de a mai számítástechnikai eszközök számára értelmezhetetlenek, nem algoritmizálhatók. A leggyakrabban használt eljárások: Ujjlenyomat azonosítás; Hang analízis; Infravörös arc azonosítás; Retina kép azonosítás; Holografikus azonosítás. Az ujjlenyomat azonosítás hosszú idő óta használt, kiforrott technológia. A fejlesztések a hibás azonosítások csökkentésére irányulnak. Az egyszerű eszközök megtéveszthetők egy levágott ujjal is. A hibázás lehetősége csökkenthető, ha ellenőrizhetjük a felületi egyezésen túl azt is, hogy van-e véráramlás a mintában. Ez kivédi a levágott ujj problémát. A véráramlást ellenőrző eszközök megtévesztésére az ujjlenyomatot tartalmazó, felragasztható szilikon fóliát lehet használni. A szilikon dielektromos állandó mérésével felismerhető. Valószínűsíthető, hogy a támadók erre is találnak megoldást. A védők és a támadók játékában matematikailag bizonyíthatóan mindig a támadók állnak nyerésre. A védelem olyan támadások kivédésére készülhet fel, aminek legalább a lehetősége felmerült. A támadó kitalálhat azonban teljesen új trükköket is. A hang-azonosítás az utóbbi évek egyik leggyorsabban fejlődő ága. A mai rendszereket nem zavarja, ha megpróbáljuk a hangunkat eltorzítani. A felismerés a hang spektruma alapján történik. (Háttérben a gyors Fourier transzformációt megvalósító olcsó áramkörök megjelenése áll). A spektrum csak durva beavatkozások (gégeműtét) hatására változik. A hang felismerésnek felhasználása nagyon sokrétű. A beléptetési feladatokon túl széles körben alkalmazzák azonosításra a rádióforgalomban is. Örülünk, ha ez elősegíti egy bűnöző elfogását, de nem feltétlen öröm, hogy magán beszélgetéseinkben is azonosíthatók a résztvevők. A katonai alkalmazásoknál pedig katasztrofális lehet, ha a szereplők azonosíthatók. Ilyen esetekben az adatforgalom titkosítása indokolt. A hangrögzítő készülékekkel nehezen téveszthetők meg a berendezések. A gépi hang használata a spektrum alapján viszonylag egyszerűen felderíthető, mivel fix frekvenciájú komponenseket is tartalmaz a visszajátszott hang (törlőfej frekvenciája, mintavételi frekvencia zaja). Beléptetési rendszernél azonosítani tudjuk, hogy kinek a nevében akarnak belépni, és azt is, hogy géphang. Az infravörös arc azonosítás az arc kitüntetett pontjainak ( 25-27 pont ) egymáshoz viszonyított geometriai elrendezését elemzi. Az azonosítás egy többé-kevésbé takart arc esetén is jó hatásfokkal működik. Ez a tulajdonság a beléptető rendszereknél az illetéktelen behatoló felismerésében segíthet. A retina egyedi jellege miatt a retina letapogatása is alkalmas az azonosításra. A letapogatás infravörös fénnyel történik, így a szem számára nem érzékelhető. A módszer jó hatásfokú, de a felhasználók nem szívesen néznek egy lézer forrásba. Még akkor sem, ha tudják, hogy veszélytelen. Az alkalmazása emiatt nem túl gyakori.

A holografikus kép alapján történő azonosítás ma még a ritka megoldások közé tartozik.a hologram előállításához szükséges technika drága. Előnye, hogy a belépő akkor is felismerhető, ha a felvételi állapothoz képest más szögben és távolságban van az azonosító objektum (személy, autó, stb.). Az általános áttekintés után vizsgáljuk meg a leggyakrabban alkalmazott jelszavas védelem működését. A rendszerek általában Felhasználó név; Jelszó kombinációval működnek. A számítógépen tárolnunk kell valamilyen formában a felhasználó név- jelszó párokat. Jelszó tábla azonosító jelszó ID1 PW1 ID2 PW2 IDn PWn A jelszavak nyílt tárolása könnyen belátható okokból nem célszerű. A táblákhoz a számítástechnikai személyzet több tagja is hozzáférhet, tehát a rendszeren belül bárki könnyen megszemélyesíthető (nevében tudunk műveleteket végezni). Jelentősen javul a módszer, ha a jelszavak nyílt tárolása helyett a jelszó valamilyen egyirányú leképzéssel előállított, kódolt változatát tároljuk. A leképző algoritmus általában közismert. A leképzett alakból (megfelelő eljárás esetén) csak nyers erő módszerrel lehet az eredeti jelszót kitalálni. Matematikai formában : Az egyirányú leképzést jelöljük Δ val. y= Δ (x) ismeretében az x= Δ -1 (y) csak x értelmezési tartományának kimerítésével határozható meg. A PWi jelszó helyett a Δ (PWi) kerül tárolásra. Ezzel az első problémát megoldottuk, de a jelszótábla egy eleme kicserélhető másikra, ha a leképzési szabály ismert, és jelszótábla elérhető a behatoló számára. Sikeres a betörés, ha meg tudjuk szerezni a jelszótáblát, és meg tudjuk állapítani a kódolt jelszó eredeti alakját, vagy le tudjuk cserélni legalább egy elemét. A rendszer védelme szempontjából rosszabb eset az, ha a behatoló a nem csak megismeri a jelszótábla tatalmát, hanem a tartalmát is meg tudja változtatni. Ez egyrészt feleslegessé

teszi a jelszavak visszafejtését, másrészt a jogos felhasználók számára teszi elérhetetlenné a rendszert. Az eredeti jelszótábla visszaírása arra is lehetőséget ad, hogy utólag eltakarítsuk a betörés nyomait. A módszer klasszikusa a CIA Commander nevű szoftver. CD-ről indítva a Windows 2000/XP operációs rendszerű gép ADMIN felhasználójának jelszavát elmenti, és lecseréli egy általunk ismertre, majd a végén lehetővé teszi a jelszó visszaírását. Az új MS termékek védelmén javítottak, és a szoftver már nem használható. Jól konfigurált rendszer esetén lényegesen nehezebb a ezt a módszert alkalmazni, mint az XP korszakban. A jelszavak megszerzésének legegyszerűbb módja a felhasználó gondatlanságára épít. Cetlikre írt, vagy kifüggesztett belépési nevek és jelszavak hatástalanná teszik a védelmet. Hatékonyak a jelszó kitaláló programok is. Ezek arra alapoznak, hogy a jelszó értelmes kifejezés, vagy valamilyen egyszerű sorozat (1-2-3-4). A jelszavak kitalálását nagyban megkönnyíti, ha saját, vagy családtag nevét használjuk. Számként valamelyik családtag születési évét írjuk be. A jelszófejtő szoftverek szótárakat tárolnak a terület nyelvén. Az automata jelszótörő programok számára azok a jelszavak nehezen megfejthetőek, melyekben írásjelek, számok és betük is előfordulnak. A közvetlen találgatás ellen hatékony, hogy csak csekély számú kísérletet engedünk meg, majd hosszabb időre letiltjuk a belépést a kísérletező terminálról. A jelszó kitalálásához általában meg kell szereznünk a jelszótáblát. Ha a jelszótábla már a saját rendszerünkben van, akkor tetszőleges számú kísérletet tehetünk a megfejtésére. A jelszótáblát tehát célszerű védett területen (pl.:csak rendszergazdai jogosultsággal elérhető helyen) tárolni, hogy a jelszavakat tartalmazó fájl ne legyen könnyen elérhető a behatoló számára. A hozzáférési táblázatot célszerű több példányban tárolni. Ha a táblázat sérül, akár egy hardver hiba miatt, akkor a jogosult felhasználók sem érik el a rendszert erőforrásait. Volt rá példa, hogy egy levelező rendszer hozzáférési adatai sérültek. 100000-es nagyságrendű felhasználó nem tudott bejelentkezni és levelezni. Az új jelszavak bevitele a rendszerbe hatalmas munka, és idő. A helyreállítás után a korábbi levelezés tartalma elérhetetlen lett, elveszett. Nehezíthetjük a hitelesétési adatok feltörésének folyamatát, ha a leképzésnél kulcsként használjuk a a felhasználó jelszavát, és a táblában az így kódolt hitelesítési sorozatot tároljuk. Δ (PW i )= {ID i } PW A vázolt folyamatban a jelszó nem tárolódik a rendszerben! A jelszó helyén egy teszt-minta van, ami a bejelentkezési név és jelszó alapján állítható elő.

A hitelesítés folyamata: ID ID formátum NEM AZONOSITÓ HITELESITŐ helyes? Eldob ID1 Δ(PW1) ID. keresés IDi Δ(PWi) PW Δ(PWi)*={IDi}PW Δ(PWi)* Δ(PWi)*=? Δ(PWi) IGEN NEM visszautasít ELFOGAD Ha a jelszavak halmaza kicsi, akkor további transzformációkat vihetünk a folyamatba. Az első lépésben előállított Δ(PW i ) -re alkalmazhatunk egy a második kulccsal (KP) végzett transzformációt is. A második kulcs származhat pl. intelligens kártyától vagy más elektronikus eszköztől. Δ (PW i )= {{ID i } PW } KP Figyeljünk a különbségekre! A szokásos beléptető rendszerben a kártya a felhasználó azonosítót (ID) szolgáltatja, és jelszót gépeljük be. Ez az első esetnek felel meg. Szükség lehet arra is, hogy a felhasználó állományait elérjük akkor is, ha a jelszó ismeretlen. Az operációs rendszerek általában biztosítanak lehetőséget a felhasználói jelszó erőszakos cseréjére megfelelő jogosultsággal), az állományok törlése nélkül. Az eredeti jelszót nem tudjuk visszafejteni, így a művelet látható nyomot hagy a rendszerben. Ne felejtsük el, hogy mindig a támadónál van az előny!

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés