information system security wk5-1-pki

Faculty of Information Technology Page

IT346 Information System Security

Week 5-1: PKIอ.พงษ์�ศั�กดิ์� ไผ่�แดิ์ง


Digital Certificate ในการใช้� Secret Key น��น การแจกจ�าย Key

เป็�นส่�วนส่�าคั�ญมาก ดิ์�งน��นจ#งม$ระบบที่$(ใช้�ส่�าหร�บการแจก Key เร$ยกว�า KDC (Key Distribution Center)

ในการใช้� Public Key ก*จะใช้� Certificate Authority (CA) เป็�นตั�วกลางการแจกจ�ายพ�บ Public Key โดิ์ยที่$( CA จะร�บรองว�า Public Key น$�เป็�นของใคัร

หน�าที่$(ของ CA‣ ตัรวจส่อบคัวามม$ตั�วตันของบ/คัคัลหร0อระบบน��นๆ‣ เม0(อ CA ตัรวจส่อบว�าม$ตั�วตันแล�ว CA ก*จะส่ร�างใบร�บ

รองอ$เล*กที่รอนกส่� (Digital Certificate) ให�ก�บผ่2�ร�องขอ

2

Faculty of Information Technology

Digital Certificate Digital Certificate ป็ระกอบดิ์�วย Public

Key ของบ/คัคัลน��นๆ พร�อมหมายเลขเฉพาะที่$(ใช้�ระบ/บ/คัคัลหร0อระบบน��นๆ (เช้�น ช้0(อ-นามส่ก/ลและหน�วยงาน หร0อช้0(อเว*บไซตั�) แล�วข�อม2ลดิ์�งกล�าวน$� จะถู2กเข�าเซ*นดิ์�วย Digital Signature ของ CA

เม0(อม$การส่0(อส่ารก�น แที่นที่$(คั2�ส่นที่นาจะแลกเป็ล$(ยน Public Key ก�น ที่��งส่องก*จะแลกเป็ล$(ยน Digital Certificate แที่น ซ#(งเม0(อฝ่7ายใดิ์ฝ่7ายหน#(งไดิ์�ร�บ Digital Certificate ของอ$กฝ่7ายหน#(งมา ก*จะตัรวจส่อบ Digital Certificate น��นโดิ์ยใช้� Public Key ของ CA เพ0(อตัรวจส่อบว�าเป็�นคั$ย�ที่$(ไดิ์�มาเป็�นของคั2�ส่นที่นาจรง

Owner’s Info

Issuer’s Info

Issuer’s signature

Owner’s public key

Digital Certificate


Public Key Infrastructure (PKI) ระบบ public key cryptosystem จะเช้0(อถู0อ

ไดิ์�ก*ตั�อเม0(อเราส่ามารถูผ่2ก public/private key pair เข�าก�บตั�วบ/คัคัลที่$(ถู2กตั�องไดิ์�

เราใช้� certificate ซ#(งออกโดิ์ย Trusted Third Party (TTP) เป็�นเคัร0(องม0อในการผ่2ก public/private key pair เข�าก�บ identity ของตั�วบ/คัคัล โดิ์ยใน certificate จะระบ/ข�อม2ลเก$(ยวก�บเจ�าของ certificate พร�อมที่��ง public key ของเจ�าจอง certificate น��นๆ

จากน��น TTP ที่�าการ sign ตั�ว certificate ดิ์�วย private key ของ TTP เอง เพ0(อร�บรองข�อม2ลดิ์�งกล�าว

เราส่ามารถูหา public key ของบ/คัคัลตั�างๆไดิ์�จาก public directory หร0อบ/คัคัลน��นๆอาจส่�ง certificate ของตันมาให�โดิ์ยตัรง

4

Subject ID

Public Key

Expiration Date

Issuer (TTP ID)

… TTP Signatur

eCertificate Structure


Public Key Infrastructure (PKI) Certificate Authority (CA) คั0อ TTP ที่$(

ออก certificate ให�ก�บบ/คัคัลหร0อองคั�กรตั�างๆ เน0(องจากจ�านวน certificate ม$มากเกนกว�าที่$(

CA 1 หน�วยงานจะให�บรการไดิ์� และหากม$ CA จ�านวนมาก ผ่2�ที่$(ตั�องการ verify certificate ที่$(ไดิ์�ร�บมาจะตั�องม$ public key ของ CA แตั�ละอ�น ที่�าให�ยากตั�อการจ�ดิ์การ เราจ#งจ�ดิ์การ CA ให�ม$โคัรงส่ร�างแบบล�าดิ์�บช้��น (hierarchy) เร$ยกว�า Public Key Infrastructure (PKI)‣ ส่�วนบนส่/ดิ์คั0อ Root CA ที่�าหน�าที่$(ออก certificate

ให�ก�บ CA อ0(นๆในระบบ‣ ผ่2�ใช้�ในระบบตั�องการแคั�ถู0อ public key ของ Root

CA แล�วเม0(อตั�องการมอบ certificate ของตันให�คันอ0(น ก*ส่�ง certificate ของ CA ที่��งหมดิ์ที่$(อย2�ใน path ระหว�าง CA ที่$(ออก certificate ของตันข#�นไป็ถู#ง Root CA ไป็ดิ์�วย

5


Public Key Infrastructure (PKI)

Alice Bob: message || CertAlice || CertCA1

Bob Alice: message || CertBob || CertCA2.2 || CertCA2

หาก tree ส่2ง การส่�งรายการ certificate ของ CA ระหว�างที่างที่��งหมดิ์อาจที่�าไดิ์�ยาก อาจแก�ป็8ญหาโดิ์ยในแตั�ละฝ่7ายเก*บ copy ของ certificate ของ CA ที่$(เคัยไดิ์�ร�บแล�วไว� ดิ์�งน��นคันส่�งก*ส่�งแตั� hash ของ certificate ของ CA แล�วให�ผ่2�ร�บหา certificate ที่$( match เอง ผ่2�ร�บจะขอ certificate ของ CA เพ(มจากผ่2�ส่�งก*ตั�อเม0(อพบว�าตันเองไม�เคัยม$ certificate ดิ์�งกล�าวมาก�อน

6

Root CA

CA1

CA2.1

CA2.2

CA2

Alice

PKA

lice

SigCA1

CertA

lice

Bob

PKB

ob

SigC

A2.2

CA2.2

PKC

A2.2

SigC

A2

CA2

PKC

A2

Sigroot

CA1

PKC

A1

Sigroot

CertB

ob

CertC

A1

CertC

A2.2

CertC

A2


การใช้�งาน Certificate โดิ์ยป็กตัแล�ว เราใช้� Certificate ในการร�บรอง

ตั�วตันของผ่2�ถู0อ และใช้�เป็�นองคั�ป็ระกอบส่�าคั�ญในการพส่2จน�ตั�วตัน (Authentication) และการเข�ารห�ส่ (Encryption) เพ0(อส่ร�างช้�องที่างการส่0(อส่ารที่$(ป็ลอดิ์ภั�ย‣ Web Site Certificate: หากผ่2�ให�บรการเว*บไซตั�

ตั�องการส่ร�างคัวามม�(นใจให�ก�บผ่2�ใช้� ว�าเว*บไซตั�น��นๆ เป็�นเว*บจรงและมาจากโดิ์เมนดิ์�งกล�าวจรง และตั�องการส่ร�าง secure connection ส่�าหร�บส่0(อส่ารก�บผ่2�เข�าช้ม ที่างผ่2�ให�บรการเว*บไซตั� ส่ามารถูขอ Certificate ร�บรองตั�วตันของเว*บไซตั� โดิ์ยตัดิ์ตั��งลงที่างฝ่8( ง Server ของผ่2�ให�บรการ

‣ Personal Certificate: หากบ/คัคัลใดิ์ ตั�องการส่ร�างคัวามม�(นใจให�ก�บผ่2�ตัดิ์ตั�อ ส่ามารถูขอ Certificate ร�บรองตั�วตันของตันเอง และใช้� Certificate – Private Key ในการเข�าระบบ หร0อส่ร�าง Digital Signature เพ0(อร�บรองเอกส่ารตั�างๆ เช้�น E-Mail ที่$(ส่�งจากตันเอง


การจ�ดิ์การ Certificates ใน Windows

Internet Explorer (IE) เก*บและจ�ดิ์การ Certificates ส่�าหร�บ Microsoft Applications ที่��งหลาย‣ ส่ามารถูตัรวจส่อบ Certificates ที่$(

เคัร0(องเราเก*บอย2� โดิ์ยเป็:ดิ์ IE ไป็ที่$( Tools Internet Options


การจ�ดิ์การ Certificates ใน Windows

ในส่�วนของ Trusted Root CA จะเก*บ Certificate ของ Root CA ที่$(เราเช้0(อถู0อ ‣ หาก Certificate ที่$(เราไดิ์�ร�บจาก

Web Site ถู2ก Sign โดิ์ย Root CA เหล�าน$� เป็�นการร�บรองว�า Web Site น��น เป็�น Web Site ที่$(เราตั�องการเข�าถู#งจรง

CA ที่$(เป็�นที่$(ยอมร�บโดิ์ยที่�(วไป็ เช้�น‣ Verisign‣ GeoTrust‣ Thawte Consulting

9


การจ�ดิ์การ Certificates ใน Windows รายการ Certificate ที่$(เก*บอย2�ใน IE จะถู2กใช้�ใน

การตัรวจส่อบ Certificate เม0(อในระหว�างการที่�างานของ IE น��น ม$ข��นตัอนที่$(ตั�องเก$(ยวข�องก�บการใช้� Certificate เช้�น เม0(อไดิ์�ร�บ Web Site Certificate จากเว*บที่$(ผ่2�ใช้�ก�าล�งจะเข�าช้ม‣ หาก Certificate ดิ์�งกล�าวออกหร0อร�บรองโดิ์ย

หน�วยงานที่$(ม$อย2�ในรายการแล�ว โป็รแกรม IE ก*จะยอมร�บ Certificate น��นว�าม$คัวามถู2กตั�อง และที่�างานตั�อไป็ (เช้�น อน/ญาตัให�ผ่2�ใช้�เข�าช้มไดิ์�)

‣ แตั�หาก Certificate ออกโดิ์ยหน�วยงานอ0(นที่$(ไม�อย2�ในรายการ โป็รแกรม IE จะฟ้<องว�า CA ที่$(ร�บรองน��น โป็รแกรมไม�ร2�จ�ก และจะแจ�งให�ผ่2�ใช้�ตั�ดิ์ส่นใจว�าจะเช้0(อถู0อ Certificate น��น ๆ หร0อไม�

10


Certificate Revocation List (CRL) ในการใช้�งาน Certificate อาจตั�องม$การยกเลก

(Revoke) Certificate อ�นเน0(องมาจากส่าเหตั/ตั�างๆ‣ Certificate หมดิ์อาย/ โดิ์ยที่$(ไม�ม$การขอตั�ออาย/‣ การเลกใช้� Certificate เช้�น เม0(อพน�กงานลาออก

จากองคั�กร‣ ผ่2�ใช้�ที่�า Private Key ที่$(คั2�ก�บ Certificate น��นๆ

หาย หร0อ Private Key ถู2กขโมย หร0อถู2กเป็:ดิ์เผ่ย ที่�าให�ตั�องยกเลก Private Key และ Certificate ที่$(คั2�ก�น เพ0(อป็<องก�นการแอบอ�างเป็�นผ่2�ใช้�

CA ตั�องม$การจ�ดิ์ที่�า Certificate Revocation List (CRL) ซ#(งจะเก*บรายการ Certificate ที่$(ถู2กยกเลกไว�ใน Directory และ Sign โดิ์ย CA ‣ ผ่2�ที่$(ตั�องการตัรวจส่อบ Certificate ว�าเป็�น

Certificate ที่$(ไม�ใช้�งานแล�วหร0อไม� ตั�องขอ CRL จาก CA


มาตัรฐาน X.509 X.509 เป็�นมาตัรฐาน ITU-T (International

Telecommunication Union – Telecommunication Standardization Sector) ส่�าหร�บ Public Key Infrastructure (PKI)‣ ระบ/ร2ป็แบบองคั�ป็ระกอบตั�างๆของ PKI เช้�น ร2ป็แบ

บ Certificate, ร2ป็แบบ Certificate Revocation List, และกระบวนการตัรวจส่อบ Certificate

12


X.509 Certificate

13

หมายเลขเวอร�ช้�(นของมาตัรฐาน X.509ป็8จจ/บ�น เวอร�ช้�(นล�าส่/ดิ์เป็�น Version 3หมายเลข certificate ที่$(ตั�อง

ไม�ซ��าก�นใน CA เดิ์$ยวก�นอ�ลกอรที่#มที่$(ใช้�ในการ Sign Certificate พร�อมดิ์�วยพารามเตัอร�ที่$(ใช้�

ช้0(อของ CA ที่$(ส่ร�างและ Sign Certificate ใบน$�

ใช้� Certificate น$�ตั��งแตั�เม0(อไร ถู#งเม0(อไร

ช้0(อของบ/คัคัลที่$( Certificate ใบน$�อ�างถู#ง

ข�อม2ลเก$(ยวก�บ Public Key- อ�ลกอรที่#มที่$(ใช้�ที่$(ใช้�ก�บ Key- คั�าของ Pubic Key

ช้0(อหร0อข�อม2ลอ0(นที่$(ระบ/ถู#ง CAช้0(อหร0อข�อม2ลอ0(นที่$(ระบ/ถู#งบ/คัคัลที่$( Certificate ใบน$�อ�างถู#ง

Hash ของข�อม2ลในที่/กฟ้:ลดิ์� จากน��นเข�ารห�ส่ดิ์�วย Private Key ของ CA เพ0(อเป็�นการย0นย�นว�า Certificate น$�ส่ร�างมาจาก CA จรง ๆ โดิ์ยจะระบ/วธี$การ Hash และวธี$การเข�ารห�ส่ดิ์�วย


X.509 PKI

X.509 แนะน�าโคัรงส่ร�าง PKI แบบเป็�นล�าดิ์�บช้��น โดิ์ยม$ Root CA อย2�ล�าดิ์�บบนส่/ดิ์ แตั�อย�างไรก*ตัามโคัรงส่ร�าง PKI ไม�จ�าเป็�นตั�องอย2�ในร2ป็แบบน$�เส่มอไป็‣ ที่��งระบบ อาจไม�ไดิ์�ม$ Root CA เดิ์$ยว ‣ CA ตั�างๆในระบบอาจเช้0(อถู0อก�นและก�น โดิ์ยไม�ตั�อง

ผ่�าน Root CA

14

Root CA

CA1

CA2.1

CA2.2

CA2

CertAlice

CertCA1

CertBob

CertCA2.2

CertCA2


X.509 Certification Signature Chain

แที่นการออก Certificate ดิ์�วยส่�ญล�กษ์ณ์� ตั�อไป็น$�

CA ออก Certificate ให�ก�บ Subject

ตั�วอย�าง‣ Cathy<<Alice>> Cathy ออก

Certificate ให�ก�บ Alice ‣ Dan<<Bob>> Dan ออก Certificate

ให�ก�บ Bob

เราเร$ยกว�า CA 2 คัน ไดิ์� cross-certified (ร�บรองซ#(งก�นและก�น) ก*ตั�อเม0(อ CA คั2�น��น ไดิ์�ออก certificate ให�ก�นและก�นจากตั�วอย�างดิ์�านบน‣ ถู�า Cathy<<Dan>> และ Dan<<Cathy>>

จะเร$ยกไดิ์�ว�า Cathy และ Dan ไดิ์� cross-certify ก�น ดิ์�งน��น ที่��งคั2�เช้0(อถู0อ (trust) ก�นและก�น

15

CA<<Subject>>



เราส่ามารถูใช้� Certification Signature Chain ในการอ�างอง trust ระหว�างผ่2�ใช้� ผ่�าน cross-certified ของ CA ไดิ์� ดิ์�งน$�จากตั�วอย�างที่$(ผ่�านมา

‣ หาก Alice เช้0(อถู0อ Cathy แล�ว Alice ส่ามารถูส่ร�าง certificate signature chain และเช้0(อในการร�บรองตั�วตัน Bob ไดิ์� ดิ์�งน$�

Cathy<<Dan>> Dan<<Bob>>• Alice ตัรวจส่อบ Certificate ของ Bob และพบว�า

ร�บรองโดิ์ย Dan จากน��นจ#งตัรวจส่อบ Certificate ของ Dan พบว�าร�บรองโดิ์ย Cathy และ ถู�าหาก Alice เช้0(อถู0อ Cathy จ#งถู0อว�า Bob ผ่�านการตัรวจส่อบ

16



ในล�กษ์ณ์ะเดิ์$ยวก�น‣ หาก Bob เช้0(อถู0อ Dan แล�ว Bob ส่ามารถูส่ร�าง

certificate signature chain และเช้0(อในการร�บรองตั�วตัน Alice ไดิ์� ดิ์�งน$�

Dan<<Cathy>> Cathy<<Alice>>• Bob ตัรวจส่อบ Certificate ของ Alice และพบว�า

ร�บรองโดิ์ย Cathy จากน��นจ#งตัรวจส่อบ Certificate ของ Cathy พบว�าร�บรองโดิ์ย Dan และ ถู�าหาก Bobเช้0(อถู0อ Dan จ#งถู0อว�า Alice ผ่�านการตัรวจส่อบ

17


การพส่2จน�ตั�วตันของผ่2�ใช้�(User

Authentication)

18


การพส่2จน�ตั�วตันของผ่2�ใช้� การพส่2จน�ตั�วตัน (Authentication)

‣ Authentication มาจากภัาษ์ากร$ก คั�าว�า “authenticus (αὐθεντικός)”, ซ#(งแป็ลว�า จรง, ของแที่�, ซ#(งมาจากผ่2�ส่ร�างจรง

‣ Authentication เป็�นการดิ์�าเนนการที่$(ป็ระกอบไป็ดิ์�วยการกระที่�าที่$(ย0นย�นคัวามแที่�ของส่(งตั�างๆ เช้�น ข�อม2ล คั/ณ์ส่มบ�ตั บ/คัคัล ฯลฯ

‣ Authentication เป็�นการดิ์�าเนนการที่$(ส่�งเส่รม Security Goal(s) ใดิ์?

การพส่2จน�ตั�วตันของผ่2�ใช้� (User Authentication):‣ กระบวนการที่$(ตัรวจส่อบ (verify) เอกล�กษ์ณ์�

(identity)ที่$(กล�าวอ�างโดิ์ยหร0อส่�าหร�บส่(งหน#(งส่(งใดิ์ (entity) ในระบบ

19


Authentication Process

Authentication เป็�นองคั�ป็ระกอบพ0�นฐานหล�กของการร�กษ์าคัวามม�(นคังและเป็�นแนวป็<องก�นเบ0�องตั�นส่�าหร�บระบบ

Authentication เป็�นพ0�นฐานส่�าหร�บการคัวบคั/มการเข�าถู#ง (access control) และการส่ร�างรายงานการใช้�งานเพ0(อส่ร�างคัวามร�บผ่ดิ์ช้อบของผ่2�ใช้� (user accountability)

20

http://www.google.co.th/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=rCiDKuAikdRf9M&tbnid=ro9HaIJuG4ZxDM:&ved=0CAUQjRw&url=http://digitaliy.wordpress.com/2011/08/08/who-is-responsible-for-the-persistently-weak-marketing-accountability/&ei=pYojUvjeDcS3rgfa54HADQ&bvm=bv.51495398,d.bmk&psig=AFQjCNHPCkoINXQlTE0nllWtwtOzjcaXOg&ust=1378147357410187


Authentication Process

ข��นตัอนของกระบวนการพส่2จน�ตั�วตัน: Identification = การระบ/เอกล�กษ์ณ์�

‣ เส่นอเอกล�กษ์ณ์�ตั�วตัน (identifier) ตั�อระบบร�กษ์าคัวามม�(นคัง

‣ Identity ถู0อเป็�นข�อม2ลพ0�นฐานส่�าหร�บ security service อ0(นๆ เช้�น access control และคัวรก�าหนดิ์ให�ก�บผ่2�ใช้�ดิ์�วยคัวามระม�ดิ์ระว�ง

Verification = การตัรวจส่อบตั�วตัน‣ การเส่นอหร0อส่ร�างข�อม2ลเพ0(อนการพส่2จน�ตั�วตัน

(authentication information) ซ#(งส่น�บส่น/นการผ่2กโยงระหว�างส่(งที่$(ก�าล�งร�บการพส่2จน�ตั�วตันก�บ identity ที่$(ให�มาในข��นตัอนแรก 2

1


User VS Message Authentication

Message Authentication‣ กระบวนการที่$(ที่�าให�บ/คัคัลที่$(ก�าล�งส่0(อส่ารก�นส่ามารถู

ตัรวจส่อบไดิ์�ว�าเน0�อหาข�อม2ลที่$(ไดิ์�ร�บไม�ถู2กเป็ล$(ยนแป็ลง และตัรวจส่อบไดิ์�ว�าแหล�งที่$(มาเป็�นแหล�งข�อม2ลที่$(แที่�จรง

User Authentication ‣ ข��นตัอนวธี$การในการพส่2จน�คัวามถู2กตั�องของ

identity ที่$(กล�าวอ�าง ซ#(งผ่2�ใช้�ให�ก�บระบบ

22

http://www.google.co.th/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=q1BBClrPWRPohM&tbnid=z8yixri51S8BnM:&ved=0CAUQjRw&url=http://www.beatthestruggle.com/how-to-succeed-and-remain-authentic-in-life/&ei=UBAIUev3M8bQrQfKwIGoDw&bvm=bv.41524429,d.bmk&psig=AFQjCNEFPkKIErb7_YwIXOFb0bKrZ8oWyA&ust=1359569361269577


อภัป็รายย�อย: User Authentication วธี$การพส่2จน� identity ของผ่2�ใช้�แบ�ง

ไดิ์�ร2ป็แบบตั�างๆจงยกตั�วอย�างแนวที่างการพส่2จน�ตั�ว

ตันในแตั�ละร2ป็แบบส่(งที่$(ผ่2�ใช้�ร2� (What you know)

ส่(งที่$(ผ่2�ใช้�ม$ (What you have) (token)

ส่(งที่$(ผ่2�ใช้�เป็�น (static biometrics)

ส่(งที่$(ผ่2�ใช้�ที่�า (dynamic biometrics)

23


Password Authentication

แนวที่างการป็<องก�นผ่2�บ/กร/กที่$(ไดิ์�ร�บการใช้�งานอย�างแพร�หลาย‣ User ให� name/login และ password เช้�นใน

ระบบที่$(รองร�บผ่2�ใช้�งานหลายคัน (multiuser systems), ระบบ network-based servers, และระบบ Web-based e-commerce sites) เป็�นตั�น

‣ ระบบเป็ร$ยบเที่$ยบ password ก�บ password ที่$(บ�นที่#กไว�ส่�าหร�บแตั�ละ login

User ID:‣ ใช้�ในการพจารณ์าว�าผ่2�ใช้�น��นๆไดิ์�ร�บส่ที่ธี�

(Authorized) ให�เข�าถู#งระบบไดิ์�‣ ใช้�ในการพจารณ์า Privilege ของผ่2�ใช้� (root,

superuser, anonymous)‣ User ID ใช้�ในการคัวบคั/มการเข�าถู#งแบบ

discretionary access control (เช้�น การไดิ์�ร�บอน/ญาตัให�เข�าถู#งที่ร�พยากรของผ่2�ใช้�คันอ0(นไดิ์�)

24


Electronic

monitoring

Password

guessing

against

single user

Password Vulnerabilities

Offline dictionary

attack

Specific

account

attack

Popular

password

attack

Workstation hijacki

ng

Exploiting user

mistakes

Exploiting

multiple

password use

25


Password Vulnerabilities Offline dictionary attack:

‣ น�กโจมตั$ที่$(ม/�งม�(นม�กจะส่ามารถูผ่�านกลไกการคัวบคั/มการเข�าถู#งที่$(แข*งแกร�งไดิ์� และเข�าถู#งระบบไฟ้ล�ไดิ์�

‣ น�กโจมตั$เข�าถู#ง password file ของระบบและเป็ร$ยบเที่$ยบ password hashes ก�บ hash ของ password ที่$(ม�กไดิ์�ร�บการใช้�งานบ�อยๆ หากพบการ match แล�ว น�กโจมตั$ก*จะส่ามารถูเข�าถู#งระบบผ่�าน ID และ password น��นๆไดิ์�

Specific account attack: ‣ ม/�งเจาะ account เป็<าหมาย และเดิ์าป็<อน

password จนกว�าจะไดิ์� password ที่$(ถู2กตั�อง Popular password attack:

‣ ใช้� password ที่$(ม�กใช้�งานบ�อยๆ และเดิ์าใช้�ก�บ user ID ตั�างๆ

‣ อาศั�ยแนวโน�มที่$(ผ่2�ใช้�จะใช้� password ที่$(จ�าง�าย

26


Password Vulnerabilities

Password guessing against single user: ‣ Attacker คั�นหาข�อม2ลเก$(ยวก�บผ่2�ใช้�น��นๆ และ

password policies ของระบบ จากน��นจ#งใช้�ข�อม2ลดิ์�งกล�าวในการช้�วยเดิ์า password.

Workstation hijacking:‣ Attacker รอจนกว�าเคัร0(องจะถู2กป็ล�อย log-in ที่�ง

ไว�

Exploiting multiple password use: ‣ Attack ส่ามารถูที่�างานไดิ์�อย�างม$ป็ระส่ที่ธีภัาพมาก

ข#�นและก�อคัวามเส่$ยหายมากข#�น เม0(อ network device ตั�างๆใช้� password เดิ์$ยวก�นส่�าหร�บแตั�ละ user

27


Password Vulnerabilities Exploiting user mistakes:

‣ เม0(อระบบเป็�นฝ่7ายก�าหนดิ์ password, ผ่2�ใช้�ม�กจะเข$ยนโน�ตัไว�เน0(องจากจ�าไดิ์�ยากในกรณ์$น$�เป็:ดิ์โอกาส่ให�เกดิ์การโจมตั$ไดิ์�ง�าย

‣ ผ่2�ใช้�ให� password แก�เพ0(อนร�วมงานเพ0(อแช้ร�ไฟ้ล�ก�น

‣ Attacker ม�กจะป็ระส่บคัวามส่�าเร*จในการล�วง passwords ดิ์�วยเที่คันคั social engineering ซ#(งล�อลวงให� user หร0อ account manager เป็:ดิ์เผ่ย password

‣ ระบบคัอมพวเตัอร�จ�านวนมากที่$(ขายออกไป็พร�อม passwords ที่$(ตั��งไว�ล�วงหน�าส่�าหร�บ system administrators หากไม�ม$การเป็ล$(ยน password น$�ก*จะที่�าให�เดิ์าไดิ์�ง�าย

28

http://www.google.co.th/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=MQxJ6o1yhWJx9M&tbnid=P9BPjxjlxZGsKM:&ved=&url=http://www.allspammedup.com/2012/09/phishing-a-look-inside-the-statistics/&ei=Lh4IUZPQG4f9rAfyuYCADQ&bvm=bv.41524429,d.bmk&psig=AFQjCNHoRjsJY2jNmYNy20Jh6wtEo7RW-Q&ust=1359572911018106

http://www.google.co.th/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=OyiyRaPH7YHGKM&tbnid=BMja-Wnct1YBuM:&ved=0CAUQjRw&url=http://www.confidenttechnologies.com/news_events/strong-password-isn%E2%80%99t-strongest-security&ei=-mAIUdKqEoPJrQf8poCYBg&bvm=bv.41642243,d.bmk&psig=AFQjCNGnmmniIC7_BeD9JW0VetHwH6iLdw&ust=1359589993424724


Password Vulnerabilities Electronic monitoring

‣ Password ที่$(ถู2กส่0(อส่ารข�ามเคัร0อข�ายระหว�างการ log on ไป็ย�ง remote system น��นเป็ราะบางตั�อการถู2กดิ์�กฟ้8ง (eavesdropping)

‣ Encryption ธีรรมดิ์าไม�แก�ป็8ญหาดิ์�งกล�าว เน0(องจาก encrypted password ก*คั0อ password ในอ$กร2ป็หน#(ง และส่ามารถูถู2กดิ์�กฟ้8งและน�าไป็ใช้�โดิ์ย Attacker ไดิ์�อ$ก

29


การป็<องก�น (Countermeasures) โดิ์ยป็กตัแล�ว ระบบที่$(ใช้� password-based

authentication จะม$ password file ที่$(จ�ดิ์ล�าดิ์�บข�อม2ลโดิ์ยใช้� user ID. ‣ ระบบไม�คัวรบ�นที่#ก password แตั�บ�นที่#ก one-

way hash function ของ password Against offline dictionary attack

‣ เพ(มการคัวบคั/มการเข�าถู#งเพ0(อป็<องก�นการเข�าถู#ง password file

‣ การเพ(มมาตัรการตัรวจจ�บการบ/กร/ก (intrusion detection)

‣ การก�าหนดิ์ password ใหม�ให�ผ่2�ใช้�ไดิ์�อย�างรวดิ์เร*วเม0(อพบ compromised passwords

Against specific account attack‣ กลไกการที่�า account lockout

30


การป็<องก�น (Countermeasures) Against popular password attack

‣ Policies ที่$(ห�ามไม�ให�ผ่2�ใช้�เล0อกใช้� password ที่$(นยมใช้�บ�อยๆ

‣ Scan ตัรวจส่อบ IP addresses ที่$(มาของ authentication requests และcookies บนเคัร0(อง client เพ0(อจ�บ pattern ของการป็<อน password

Against password guessing against single user‣ อบรมและบ�งคั�บใช้� password policies‣ policies ที่$(ย��าการป็:ดิ์ password ให�เป็�นคัวามล�บ,

คัวามยาวข��นตั�(าของpassword, set ของอ�กขระที่$(ใช้�, การห�ามใช้�ข�อม2ลเก$(ยวก�บผ่2�ใช้�ที่$(ร2�จ�กโดิ์ยที่�(วไป็, และระยะเวลาที่$(ตั�องเป็ล$(ยน password

Against workstation hijacking‣ automatic workstation logout‣ การตัรวจจ�บการบ/กร/ก (Intrusion detection)

ที่$(ตัรวจจ�บพฤตักรรมของผ่2�ใช้�ที่$(เป็ล$(ยนไป็

31


การป็<องก�น (Countermeasures) Against exploiting user mistakes

‣ การอบรม, กลไก intrusion detection‣ การใช้� passwords ร�วมก�บกลไกการที่�า

authentication อ0(น

Against exploiting multiple password use‣ policies ที่$(ห�ามใช้� password ที่$(ใกล�เคั$ยงก�นบน

หลาย network device

Against electronic monitoring‣ กลไกการป็<องการ Replay Attack

(nonce, timestamp) 32

http://www.google.co.th/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=sioGHjON7NZqbM&tbnid=Lfx0NewU5KRQeM:&ved=0CAUQjRw&url=http://www.technologyreview.com/news/429264/more-passwords-more-problems/&ei=DmMIUa3zMMWJrAfkroGoBA&bvm=bv.41642243,d.bmk&psig=AFQjCNFTlw00U6LyQ-ttbTPUCbDM-vPiTA&ust=1359590169898979

information system security wk5-1-pki

Technology

pki root ca cert ca

pkc sigc ca

alice bob

user page

certc ca2 ca2 a2

attacker password policies

message certbob certca2

a1 oot