Autentizace: Jak po síti bezpečně přenést heslo

Heslo bychom nikdy neměli po síti přenášet v otevřeném tvaru, protože v takovém případě může být snadno odchyceno.

První, co každého asi napadne, je komunikovat se serverem přes HTTPS, kdy uživatel zadá do webového formuláře své jméno a heslo, a po kliknutí na tlačítko odeslat, se tyto údaje přenesou bezpečným kanálem na server. Zde se k heslu přičte sůl a pro vzniklý řetězec se spočte hash, který se uloží do DB.

Štítky:
celý článek

Je komunikace přes HTTPS bezpečná?

Thai Duong a Juliano Rizzo prohlásili, že jsou schopni pomocí JavaScriptu dešifrovat data mezi uživatelem a serverem přenášená přes HTTPS. Přičemž začlenění takového škodlivého JavaScript kódu do stránky může být provedeno mnoha různými způsoby. Jedním z nich může být ostatně i malvertising, o kterém jsme nedávno psali.

Štítky:
celý článek

Vícefaktorová autentizace a vzdálený přístup do systému

V případě vzdáleného přístupu do systému, který zpracovává citlivá data, by měla být použita vícefaktorová autentizace.

Autentizační autorita (verifier) může požadovat poskytnutí více faktorů anebo může být některý z faktorů použit pouze jako ochrana tajemství, jehož znalost je pro úspěšnou autentizaci nutná. Může se jednat např. o HW nebo SW token uchovávající kryptografický klíč (cryptographic key) nebo generující jednorázové heslo (One Time Password, zkr. OTP), které uvolní pouze v případě, že uživatel (claimant) zadá správné heslo nebo bude odpovídat jeho biometrická charakteristika. Nenechte se zmást, byť pro úspěšnou autentizaci ve výsledku stačí pouze daný klíč, jedná se též o dvoufaktorovou autentizaci.

Štítky:
celý článek

Můžeme věřit certifikačním autoritám?

Na trhu se pohybuje poměrně velké množství certifikačních autorit a v podstatě kterákoliv z nich může vydat certifikát pro jakýkoliv web na světě.

Problém je, že pokud je daná certifikační autorita (Certification Authority, zkr. CA) kompromitována, může certifikáty jejím jménem vydávat i útočník a pokud se navíc daná CA nachází na seznamu kořenových certifikačních autorit, jsou i všechny jí vydané certifikáty považovány automaticky za důvěryhodné a tedy i servery, kterým tato nebo jí podřízené CA certifikát vydaly.

Štítky:
celý článek

Autentizace: Jednorázová hesla – PINsafe

Existuje mnoho způsobů, jak generovat jednorázová hesla (One Time Password, zkr. OTP), dnes se podíváme na řešení nazvané PINsafe.

Princip na jakém toto řešení funguje, je poměrně jednoduchý. Vychází se z předpokladu, že každý uživatel zná svůj PIN, který představuje sdílené tajemství (shared secret) mezi uživatelem a systémem. Vlastní autentizace pak probíhá tak, že systém vygeneruje náhodné 10místné číslo, uživatel si vybaví svůj PIN, a do systému pak zadá pouze ty číslice z onoho 10místného čísla, které se nacházejí na pozicích odpovídajících jednotlivým číslicím PINu.

Štítky: ,
celý článek

Web malware: malvertisement

Většina malwaru je v dnešní době šířena přes web a vězte, že nakaženy mohou být i naprosto důvěryhodné weby.

Počet nakažených webů rok od roku roste. Není výjimkou, že na mnoha webech je zobrazován obsah až od několika desítek partnerů. Na těchto webech jsou také často zobrazovány widgety, aplikace a reklama třetích stran, které tvoří obsah samotného webu. V těchto widgetech, aplikacích nebo reklamě se však může nacházet i škodlivý kód, o čemž provozovatel daného webu zpravidla neví, a který je v okamžiku, kdy uživatel zavítá na daný web spuštěn a to bez jakékoliv interakce s uživatelem. Jedná se tedy o drive-by download malware.

Štítky: ,
celý článek

DigiNotar: Operation Black Tulip

Z předběžné zprávy od společnosti Fox-IT, která byla najata, aby zjistila, jakým způsobem došlo k průniku (poeticky nazvaném „Operation Black Tulip“) do společnosti DigiNotar, která je středně velkou certifikační autoritou v Holandsku a jejíž certifikáty jsou/byly umístěny v nejpoužívanějších internetových prohlížečích mezi ostatními důvěryhodnými certifikačními autoritami, vyplývají skutečnosti, kterým se ani nechce věřit.

Štítky:
celý článek

Chytré telefony a motion sensor attack

V příspěvku Chytré telefony a shoulder surfing attack jsme psali o tom, jak je možné snadno odpozorovat, jaký PIN uživatel na svém smartphonu zadává. Dnes bychom chtěli zmínit výsledky posledních výzkumů, které ukazují, že je možné zjistit, jaký PIN uživatel na svém smartphonu zadává i prostřednictvím hmatové zpětné vazby a pohybového senzoru. Jedná se o klasický útok postranním kanálem (side channel attack), kdy útočník využívá skutečnosti, že stisknutí klávesy na virtuální klávesnici v případě aktivované hmatové zpětné vazby generuje rozdílné vibrace podle toho, jaká klávesa byla stisknuta.

Štítky: , , ,
celý článek

Základy kryptografie pro manažery: HMAC

HMAC (Keyed-hash Message Authentication Code) je typ autentizačního kódu zprávy (Message Authentication Code, zkr. MAC) spočteného s použitím hashovací funkce a tajného šifrovacího klíče, který slouží k ověření integrity a autenticity zprávy. Funkce, která se pro výpočet tohoto kódu používá, očekává na svém vstupu sdílené tajemství (secret shared key) a text libovolné délky. Výstupem této funkce je pak kód, který má délku odpovídající použité hashovací funkci.

Štítky:
celý článek

Autentizace: Jak v systému bezpečně uložit heslo

O tom, jak si vytvořit bezpečné heslo, a jaká pravidla dodržovat, jsme již psali. V dnešním příspěvku se proto podíváme na to, jakým způsobem bychom měli heslo, které si uživatel vytvořil, v systému uložit.

Útočník se může k souboru nebo databázi obsahující hesla uživatelů dostat mnoha různými způsoby. V prostředí internetu jsou nejznámější případy, kdy útočník zneužil nějaké zranitelnosti webové aplikace např. SQL injection, a získal tak přístup k databázi hesel. Stejně tak může útočník získat fyzický přístup k systému a daný soubor s hesly si jednoduše zkopírovat a konečně může se jednat i o situaci, kdy společnost vyřadí již nepotřebnou výpočetní techniku a neprovede bezpečnou likvidaci dat.

Štítky:
celý článek