information system security wk5-1-pki
DESCRIPTION
If you have question Message me!TRANSCRIPT
Faculty of Information Technology Page
IT346 Information System Security
Week 5-1: PKIอ.พงษ์�ศั�กดิ์� ไผ่�แดิ์ง
Faculty of Information Technology Page
Digital Certificate ในการใช้� Secret Key น��น การแจกจ�าย Key
เป็�นส่�วนส่�าคั�ญมาก ดิ์�งน��นจ#งม$ระบบที่$(ใช้�ส่�าหร�บการแจก Key เร$ยกว�า KDC (Key Distribution Center)
ในการใช้� Public Key ก*จะใช้� Certificate Authority (CA) เป็�นตั�วกลางการแจกจ�ายพ�บ Public Key โดิ์ยที่$( CA จะร�บรองว�า Public Key น$�เป็�นของใคัร
หน�าที่$(ของ CA‣ ตัรวจส่อบคัวามม$ตั�วตันของบ/คัคัลหร0อระบบน��นๆ‣ เม0(อ CA ตัรวจส่อบว�าม$ตั�วตันแล�ว CA ก*จะส่ร�างใบร�บ
รองอ$เล*กที่รอนกส่� (Digital Certificate) ให�ก�บผ่2�ร�องขอ
2
Faculty of Information Technology Page 3
Digital Certificate Digital Certificate ป็ระกอบดิ์�วย Public
Key ของบ/คัคัลน��นๆ พร�อมหมายเลขเฉพาะที่$(ใช้�ระบ/บ/คัคัลหร0อระบบน��นๆ (เช้�น ช้0(อ-นามส่ก/ลและหน�วยงาน หร0อช้0(อเว*บไซตั�) แล�วข�อม2ลดิ์�งกล�าวน$� จะถู2กเข�าเซ*นดิ์�วย Digital Signature ของ CA
เม0(อม$การส่0(อส่ารก�น แที่นที่$(คั2�ส่นที่นาจะแลกเป็ล$(ยน Public Key ก�น ที่��งส่องก*จะแลกเป็ล$(ยน Digital Certificate แที่น ซ#(งเม0(อฝ่7ายใดิ์ฝ่7ายหน#(งไดิ์�ร�บ Digital Certificate ของอ$กฝ่7ายหน#(งมา ก*จะตัรวจส่อบ Digital Certificate น��นโดิ์ยใช้� Public Key ของ CA เพ0(อตัรวจส่อบว�าเป็�นคั$ย�ที่$(ไดิ์�มาเป็�นของคั2�ส่นที่นาจรง
Owner’s Info
Issuer’s Info
Issuer’s signature
Owner’s public key
Digital Certificate
Faculty of Information Technology Page
Public Key Infrastructure (PKI) ระบบ public key cryptosystem จะเช้0(อถู0อ
ไดิ์�ก*ตั�อเม0(อเราส่ามารถูผ่2ก public/private key pair เข�าก�บตั�วบ/คัคัลที่$(ถู2กตั�องไดิ์�
เราใช้� certificate ซ#(งออกโดิ์ย Trusted Third Party (TTP) เป็�นเคัร0(องม0อในการผ่2ก public/private key pair เข�าก�บ identity ของตั�วบ/คัคัล โดิ์ยใน certificate จะระบ/ข�อม2ลเก$(ยวก�บเจ�าของ certificate พร�อมที่��ง public key ของเจ�าจอง certificate น��นๆ
จากน��น TTP ที่�าการ sign ตั�ว certificate ดิ์�วย private key ของ TTP เอง เพ0(อร�บรองข�อม2ลดิ์�งกล�าว
เราส่ามารถูหา public key ของบ/คัคัลตั�างๆไดิ์�จาก public directory หร0อบ/คัคัลน��นๆอาจส่�ง certificate ของตันมาให�โดิ์ยตัรง
4
Subject ID
Public Key
Expiration Date
Issuer (TTP ID)
… TTP Signatur
eCertificate Structure
Faculty of Information Technology Page
Public Key Infrastructure (PKI) Certificate Authority (CA) คั0อ TTP ที่$(
ออก certificate ให�ก�บบ/คัคัลหร0อองคั�กรตั�างๆ เน0(องจากจ�านวน certificate ม$มากเกนกว�าที่$(
CA 1 หน�วยงานจะให�บรการไดิ์� และหากม$ CA จ�านวนมาก ผ่2�ที่$(ตั�องการ verify certificate ที่$(ไดิ์�ร�บมาจะตั�องม$ public key ของ CA แตั�ละอ�น ที่�าให�ยากตั�อการจ�ดิ์การ เราจ#งจ�ดิ์การ CA ให�ม$โคัรงส่ร�างแบบล�าดิ์�บช้��น (hierarchy) เร$ยกว�า Public Key Infrastructure (PKI)‣ ส่�วนบนส่/ดิ์คั0อ Root CA ที่�าหน�าที่$(ออก certificate
ให�ก�บ CA อ0(นๆในระบบ‣ ผ่2�ใช้�ในระบบตั�องการแคั�ถู0อ public key ของ Root
CA แล�วเม0(อตั�องการมอบ certificate ของตันให�คันอ0(น ก*ส่�ง certificate ของ CA ที่��งหมดิ์ที่$(อย2�ใน path ระหว�าง CA ที่$(ออก certificate ของตันข#�นไป็ถู#ง Root CA ไป็ดิ์�วย
5
Faculty of Information Technology Page
Public Key Infrastructure (PKI)
Alice Bob: message || CertAlice || CertCA1
Bob Alice: message || CertBob || CertCA2.2 || CertCA2
หาก tree ส่2ง การส่�งรายการ certificate ของ CA ระหว�างที่างที่��งหมดิ์อาจที่�าไดิ์�ยาก อาจแก�ป็8ญหาโดิ์ยในแตั�ละฝ่7ายเก*บ copy ของ certificate ของ CA ที่$(เคัยไดิ์�ร�บแล�วไว� ดิ์�งน��นคันส่�งก*ส่�งแตั� hash ของ certificate ของ CA แล�วให�ผ่2�ร�บหา certificate ที่$( match เอง ผ่2�ร�บจะขอ certificate ของ CA เพ(มจากผ่2�ส่�งก*ตั�อเม0(อพบว�าตันเองไม�เคัยม$ certificate ดิ์�งกล�าวมาก�อน
6
Root CA
CA1
CA2.1
CA2.2
CA2
Alice
PKA
lice
SigCA1
CertA
lice
Bob
PKB
ob
SigC
A2.2
CA2.2
PKC
A2.2
SigC
A2
CA2
PKC
A2
Sigroot
CA1
PKC
A1
Sigroot
CertB
ob
CertC
A1
CertC
A2.2
CertC
A2
Faculty of Information Technology Page
การใช้�งาน Certificate โดิ์ยป็กตัแล�ว เราใช้� Certificate ในการร�บรอง
ตั�วตันของผ่2�ถู0อ และใช้�เป็�นองคั�ป็ระกอบส่�าคั�ญในการพส่2จน�ตั�วตัน (Authentication) และการเข�ารห�ส่ (Encryption) เพ0(อส่ร�างช้�องที่างการส่0(อส่ารที่$(ป็ลอดิ์ภั�ย‣ Web Site Certificate: หากผ่2�ให�บรการเว*บไซตั�
ตั�องการส่ร�างคัวามม�(นใจให�ก�บผ่2�ใช้� ว�าเว*บไซตั�น��นๆ เป็�นเว*บจรงและมาจากโดิ์เมนดิ์�งกล�าวจรง และตั�องการส่ร�าง secure connection ส่�าหร�บส่0(อส่ารก�บผ่2�เข�าช้ม ที่างผ่2�ให�บรการเว*บไซตั� ส่ามารถูขอ Certificate ร�บรองตั�วตันของเว*บไซตั� โดิ์ยตัดิ์ตั��งลงที่างฝ่8( ง Server ของผ่2�ให�บรการ
‣ Personal Certificate: หากบ/คัคัลใดิ์ ตั�องการส่ร�างคัวามม�(นใจให�ก�บผ่2�ตัดิ์ตั�อ ส่ามารถูขอ Certificate ร�บรองตั�วตันของตันเอง และใช้� Certificate – Private Key ในการเข�าระบบ หร0อส่ร�าง Digital Signature เพ0(อร�บรองเอกส่ารตั�างๆ เช้�น E-Mail ที่$(ส่�งจากตันเอง
Faculty of Information Technology Page
การจ�ดิ์การ Certificates ใน Windows
Internet Explorer (IE) เก*บและจ�ดิ์การ Certificates ส่�าหร�บ Microsoft Applications ที่��งหลาย‣ ส่ามารถูตัรวจส่อบ Certificates ที่$(
เคัร0(องเราเก*บอย2� โดิ์ยเป็:ดิ์ IE ไป็ที่$( Tools Internet Options
Faculty of Information Technology Page
การจ�ดิ์การ Certificates ใน Windows
ในส่�วนของ Trusted Root CA จะเก*บ Certificate ของ Root CA ที่$(เราเช้0(อถู0อ ‣ หาก Certificate ที่$(เราไดิ์�ร�บจาก
Web Site ถู2ก Sign โดิ์ย Root CA เหล�าน$� เป็�นการร�บรองว�า Web Site น��น เป็�น Web Site ที่$(เราตั�องการเข�าถู#งจรง
CA ที่$(เป็�นที่$(ยอมร�บโดิ์ยที่�(วไป็ เช้�น‣ Verisign‣ GeoTrust‣ Thawte Consulting
9
Faculty of Information Technology Page
การจ�ดิ์การ Certificates ใน Windows รายการ Certificate ที่$(เก*บอย2�ใน IE จะถู2กใช้�ใน
การตัรวจส่อบ Certificate เม0(อในระหว�างการที่�างานของ IE น��น ม$ข��นตัอนที่$(ตั�องเก$(ยวข�องก�บการใช้� Certificate เช้�น เม0(อไดิ์�ร�บ Web Site Certificate จากเว*บที่$(ผ่2�ใช้�ก�าล�งจะเข�าช้ม‣ หาก Certificate ดิ์�งกล�าวออกหร0อร�บรองโดิ์ย
หน�วยงานที่$(ม$อย2�ในรายการแล�ว โป็รแกรม IE ก*จะยอมร�บ Certificate น��นว�าม$คัวามถู2กตั�อง และที่�างานตั�อไป็ (เช้�น อน/ญาตัให�ผ่2�ใช้�เข�าช้มไดิ์�)
‣ แตั�หาก Certificate ออกโดิ์ยหน�วยงานอ0(นที่$(ไม�อย2�ในรายการ โป็รแกรม IE จะฟ้<องว�า CA ที่$(ร�บรองน��น โป็รแกรมไม�ร2�จ�ก และจะแจ�งให�ผ่2�ใช้�ตั�ดิ์ส่นใจว�าจะเช้0(อถู0อ Certificate น��น ๆ หร0อไม�
10
Faculty of Information Technology Page
Certificate Revocation List (CRL) ในการใช้�งาน Certificate อาจตั�องม$การยกเลก
(Revoke) Certificate อ�นเน0(องมาจากส่าเหตั/ตั�างๆ‣ Certificate หมดิ์อาย/ โดิ์ยที่$(ไม�ม$การขอตั�ออาย/‣ การเลกใช้� Certificate เช้�น เม0(อพน�กงานลาออก
จากองคั�กร‣ ผ่2�ใช้�ที่�า Private Key ที่$(คั2�ก�บ Certificate น��นๆ
หาย หร0อ Private Key ถู2กขโมย หร0อถู2กเป็:ดิ์เผ่ย ที่�าให�ตั�องยกเลก Private Key และ Certificate ที่$(คั2�ก�น เพ0(อป็<องก�นการแอบอ�างเป็�นผ่2�ใช้�
CA ตั�องม$การจ�ดิ์ที่�า Certificate Revocation List (CRL) ซ#(งจะเก*บรายการ Certificate ที่$(ถู2กยกเลกไว�ใน Directory และ Sign โดิ์ย CA ‣ ผ่2�ที่$(ตั�องการตัรวจส่อบ Certificate ว�าเป็�น
Certificate ที่$(ไม�ใช้�งานแล�วหร0อไม� ตั�องขอ CRL จาก CA
Faculty of Information Technology Page
มาตัรฐาน X.509 X.509 เป็�นมาตัรฐาน ITU-T (International
Telecommunication Union – Telecommunication Standardization Sector) ส่�าหร�บ Public Key Infrastructure (PKI)‣ ระบ/ร2ป็แบบองคั�ป็ระกอบตั�างๆของ PKI เช้�น ร2ป็แบ
บ Certificate, ร2ป็แบบ Certificate Revocation List, และกระบวนการตัรวจส่อบ Certificate
12
Faculty of Information Technology Page
X.509 Certificate
13
หมายเลขเวอร�ช้�(นของมาตัรฐาน X.509ป็8จจ/บ�น เวอร�ช้�(นล�าส่/ดิ์เป็�น Version 3หมายเลข certificate ที่$(ตั�อง
ไม�ซ��าก�นใน CA เดิ์$ยวก�นอ�ลกอรที่#มที่$(ใช้�ในการ Sign Certificate พร�อมดิ์�วยพารามเตัอร�ที่$(ใช้�
ช้0(อของ CA ที่$(ส่ร�างและ Sign Certificate ใบน$�
ใช้� Certificate น$�ตั��งแตั�เม0(อไร ถู#งเม0(อไร
ช้0(อของบ/คัคัลที่$( Certificate ใบน$�อ�างถู#ง
ข�อม2ลเก$(ยวก�บ Public Key- อ�ลกอรที่#มที่$(ใช้�ที่$(ใช้�ก�บ Key- คั�าของ Pubic Key
ช้0(อหร0อข�อม2ลอ0(นที่$(ระบ/ถู#ง CAช้0(อหร0อข�อม2ลอ0(นที่$(ระบ/ถู#งบ/คัคัลที่$( Certificate ใบน$�อ�างถู#ง
Hash ของข�อม2ลในที่/กฟ้:ลดิ์� จากน��นเข�ารห�ส่ดิ์�วย Private Key ของ CA เพ0(อเป็�นการย0นย�นว�า Certificate น$�ส่ร�างมาจาก CA จรง ๆ โดิ์ยจะระบ/วธี$การ Hash และวธี$การเข�ารห�ส่ดิ์�วย
Faculty of Information Technology Page
X.509 PKI
X.509 แนะน�าโคัรงส่ร�าง PKI แบบเป็�นล�าดิ์�บช้��น โดิ์ยม$ Root CA อย2�ล�าดิ์�บบนส่/ดิ์ แตั�อย�างไรก*ตัามโคัรงส่ร�าง PKI ไม�จ�าเป็�นตั�องอย2�ในร2ป็แบบน$�เส่มอไป็‣ ที่��งระบบ อาจไม�ไดิ์�ม$ Root CA เดิ์$ยว ‣ CA ตั�างๆในระบบอาจเช้0(อถู0อก�นและก�น โดิ์ยไม�ตั�อง
ผ่�าน Root CA
14
Root CA
CA1
CA2.1
CA2.2
CA2
CertAlice
CertCA1
CertBob
CertCA2.2
CertCA2
Faculty of Information Technology Page
X.509 Certification Signature Chain
แที่นการออก Certificate ดิ์�วยส่�ญล�กษ์ณ์� ตั�อไป็น$�
CA ออก Certificate ให�ก�บ Subject
ตั�วอย�าง‣ Cathy<<Alice>> Cathy ออก
Certificate ให�ก�บ Alice ‣ Dan<<Bob>> Dan ออก Certificate
ให�ก�บ Bob
เราเร$ยกว�า CA 2 คัน ไดิ์� cross-certified (ร�บรองซ#(งก�นและก�น) ก*ตั�อเม0(อ CA คั2�น��น ไดิ์�ออก certificate ให�ก�นและก�นจากตั�วอย�างดิ์�านบน‣ ถู�า Cathy<<Dan>> และ Dan<<Cathy>>
จะเร$ยกไดิ์�ว�า Cathy และ Dan ไดิ์� cross-certify ก�น ดิ์�งน��น ที่��งคั2�เช้0(อถู0อ (trust) ก�นและก�น
15
CA<<Subject>>
Faculty of Information Technology Page
X.509 Certification Signature Chain
เราส่ามารถูใช้� Certification Signature Chain ในการอ�างอง trust ระหว�างผ่2�ใช้� ผ่�าน cross-certified ของ CA ไดิ์� ดิ์�งน$�จากตั�วอย�างที่$(ผ่�านมา
‣ หาก Alice เช้0(อถู0อ Cathy แล�ว Alice ส่ามารถูส่ร�าง certificate signature chain และเช้0(อในการร�บรองตั�วตัน Bob ไดิ์� ดิ์�งน$�
Cathy<<Dan>> Dan<<Bob>>• Alice ตัรวจส่อบ Certificate ของ Bob และพบว�า
ร�บรองโดิ์ย Dan จากน��นจ#งตัรวจส่อบ Certificate ของ Dan พบว�าร�บรองโดิ์ย Cathy และ ถู�าหาก Alice เช้0(อถู0อ Cathy จ#งถู0อว�า Bob ผ่�านการตัรวจส่อบ
16
Faculty of Information Technology Page
X.509 Certification Signature Chain
ในล�กษ์ณ์ะเดิ์$ยวก�น‣ หาก Bob เช้0(อถู0อ Dan แล�ว Bob ส่ามารถูส่ร�าง
certificate signature chain และเช้0(อในการร�บรองตั�วตัน Alice ไดิ์� ดิ์�งน$�
Dan<<Cathy>> Cathy<<Alice>>• Bob ตัรวจส่อบ Certificate ของ Alice และพบว�า
ร�บรองโดิ์ย Cathy จากน��นจ#งตัรวจส่อบ Certificate ของ Cathy พบว�าร�บรองโดิ์ย Dan และ ถู�าหาก Bobเช้0(อถู0อ Dan จ#งถู0อว�า Alice ผ่�านการตัรวจส่อบ
17
Faculty of Information Technology Page
การพส่2จน�ตั�วตันของผ่2�ใช้�(User
Authentication)
18
Faculty of Information Technology Page
การพส่2จน�ตั�วตันของผ่2�ใช้� การพส่2จน�ตั�วตัน (Authentication)
‣ Authentication มาจากภัาษ์ากร$ก คั�าว�า “authenticus (αὐθεντικός)”, ซ#(งแป็ลว�า จรง, ของแที่�, ซ#(งมาจากผ่2�ส่ร�างจรง
‣ Authentication เป็�นการดิ์�าเนนการที่$(ป็ระกอบไป็ดิ์�วยการกระที่�าที่$(ย0นย�นคัวามแที่�ของส่(งตั�างๆ เช้�น ข�อม2ล คั/ณ์ส่มบ�ตั บ/คัคัล ฯลฯ
‣ Authentication เป็�นการดิ์�าเนนการที่$(ส่�งเส่รม Security Goal(s) ใดิ์?
การพส่2จน�ตั�วตันของผ่2�ใช้� (User Authentication):‣ กระบวนการที่$(ตัรวจส่อบ (verify) เอกล�กษ์ณ์�
(identity)ที่$(กล�าวอ�างโดิ์ยหร0อส่�าหร�บส่(งหน#(งส่(งใดิ์ (entity) ในระบบ
19
Faculty of Information Technology Page
Authentication Process
Authentication เป็�นองคั�ป็ระกอบพ0�นฐานหล�กของการร�กษ์าคัวามม�(นคังและเป็�นแนวป็<องก�นเบ0�องตั�นส่�าหร�บระบบ
Authentication เป็�นพ0�นฐานส่�าหร�บการคัวบคั/มการเข�าถู#ง (access control) และการส่ร�างรายงานการใช้�งานเพ0(อส่ร�างคัวามร�บผ่ดิ์ช้อบของผ่2�ใช้� (user accountability)
20
Faculty of Information Technology Page
Authentication Process
ข��นตัอนของกระบวนการพส่2จน�ตั�วตัน: Identification = การระบ/เอกล�กษ์ณ์�
‣ เส่นอเอกล�กษ์ณ์�ตั�วตัน (identifier) ตั�อระบบร�กษ์าคัวามม�(นคัง
‣ Identity ถู0อเป็�นข�อม2ลพ0�นฐานส่�าหร�บ security service อ0(นๆ เช้�น access control และคัวรก�าหนดิ์ให�ก�บผ่2�ใช้�ดิ์�วยคัวามระม�ดิ์ระว�ง
Verification = การตัรวจส่อบตั�วตัน‣ การเส่นอหร0อส่ร�างข�อม2ลเพ0(อนการพส่2จน�ตั�วตัน
(authentication information) ซ#(งส่น�บส่น/นการผ่2กโยงระหว�างส่(งที่$(ก�าล�งร�บการพส่2จน�ตั�วตันก�บ identity ที่$(ให�มาในข��นตัอนแรก 2
1
Faculty of Information Technology Page
User VS Message Authentication
Message Authentication‣ กระบวนการที่$(ที่�าให�บ/คัคัลที่$(ก�าล�งส่0(อส่ารก�นส่ามารถู
ตัรวจส่อบไดิ์�ว�าเน0�อหาข�อม2ลที่$(ไดิ์�ร�บไม�ถู2กเป็ล$(ยนแป็ลง และตัรวจส่อบไดิ์�ว�าแหล�งที่$(มาเป็�นแหล�งข�อม2ลที่$(แที่�จรง
User Authentication ‣ ข��นตัอนวธี$การในการพส่2จน�คัวามถู2กตั�องของ
identity ที่$(กล�าวอ�าง ซ#(งผ่2�ใช้�ให�ก�บระบบ
22
Faculty of Information Technology Page
อภัป็รายย�อย: User Authentication วธี$การพส่2จน� identity ของผ่2�ใช้�แบ�ง
ไดิ์�ร2ป็แบบตั�างๆจงยกตั�วอย�างแนวที่างการพส่2จน�ตั�ว
ตันในแตั�ละร2ป็แบบส่(งที่$(ผ่2�ใช้�ร2� (What you know)
ส่(งที่$(ผ่2�ใช้�ม$ (What you have) (token)
ส่(งที่$(ผ่2�ใช้�เป็�น (static biometrics)
ส่(งที่$(ผ่2�ใช้�ที่�า (dynamic biometrics)
23
Faculty of Information Technology Page
Password Authentication
แนวที่างการป็<องก�นผ่2�บ/กร/กที่$(ไดิ์�ร�บการใช้�งานอย�างแพร�หลาย‣ User ให� name/login และ password เช้�นใน
ระบบที่$(รองร�บผ่2�ใช้�งานหลายคัน (multiuser systems), ระบบ network-based servers, และระบบ Web-based e-commerce sites) เป็�นตั�น
‣ ระบบเป็ร$ยบเที่$ยบ password ก�บ password ที่$(บ�นที่#กไว�ส่�าหร�บแตั�ละ login
User ID:‣ ใช้�ในการพจารณ์าว�าผ่2�ใช้�น��นๆไดิ์�ร�บส่ที่ธี�
(Authorized) ให�เข�าถู#งระบบไดิ์�‣ ใช้�ในการพจารณ์า Privilege ของผ่2�ใช้� (root,
superuser, anonymous)‣ User ID ใช้�ในการคัวบคั/มการเข�าถู#งแบบ
discretionary access control (เช้�น การไดิ์�ร�บอน/ญาตัให�เข�าถู#งที่ร�พยากรของผ่2�ใช้�คันอ0(นไดิ์�)
24
Faculty of Information Technology Page
Electronic
monitoring
Password
guessing
against
single user
Password Vulnerabilities
Offline dictionary
attack
Specific
account
attack
Popular
password
attack
Workstation hijacki
ng
Exploiting user
mistakes
Exploiting
multiple
password use
25
Faculty of Information Technology Page
Password Vulnerabilities Offline dictionary attack:
‣ น�กโจมตั$ที่$(ม/�งม�(นม�กจะส่ามารถูผ่�านกลไกการคัวบคั/มการเข�าถู#งที่$(แข*งแกร�งไดิ์� และเข�าถู#งระบบไฟ้ล�ไดิ์�
‣ น�กโจมตั$เข�าถู#ง password file ของระบบและเป็ร$ยบเที่$ยบ password hashes ก�บ hash ของ password ที่$(ม�กไดิ์�ร�บการใช้�งานบ�อยๆ หากพบการ match แล�ว น�กโจมตั$ก*จะส่ามารถูเข�าถู#งระบบผ่�าน ID และ password น��นๆไดิ์�
Specific account attack: ‣ ม/�งเจาะ account เป็<าหมาย และเดิ์าป็<อน
password จนกว�าจะไดิ์� password ที่$(ถู2กตั�อง Popular password attack:
‣ ใช้� password ที่$(ม�กใช้�งานบ�อยๆ และเดิ์าใช้�ก�บ user ID ตั�างๆ
‣ อาศั�ยแนวโน�มที่$(ผ่2�ใช้�จะใช้� password ที่$(จ�าง�าย
26
Faculty of Information Technology Page
Password Vulnerabilities
Password guessing against single user: ‣ Attacker คั�นหาข�อม2ลเก$(ยวก�บผ่2�ใช้�น��นๆ และ
password policies ของระบบ จากน��นจ#งใช้�ข�อม2ลดิ์�งกล�าวในการช้�วยเดิ์า password.
Workstation hijacking:‣ Attacker รอจนกว�าเคัร0(องจะถู2กป็ล�อย log-in ที่�ง
ไว�
Exploiting multiple password use: ‣ Attack ส่ามารถูที่�างานไดิ์�อย�างม$ป็ระส่ที่ธีภัาพมาก
ข#�นและก�อคัวามเส่$ยหายมากข#�น เม0(อ network device ตั�างๆใช้� password เดิ์$ยวก�นส่�าหร�บแตั�ละ user
27
Faculty of Information Technology Page
Password Vulnerabilities Exploiting user mistakes:
‣ เม0(อระบบเป็�นฝ่7ายก�าหนดิ์ password, ผ่2�ใช้�ม�กจะเข$ยนโน�ตัไว�เน0(องจากจ�าไดิ์�ยากในกรณ์$น$�เป็:ดิ์โอกาส่ให�เกดิ์การโจมตั$ไดิ์�ง�าย
‣ ผ่2�ใช้�ให� password แก�เพ0(อนร�วมงานเพ0(อแช้ร�ไฟ้ล�ก�น
‣ Attacker ม�กจะป็ระส่บคัวามส่�าเร*จในการล�วง passwords ดิ์�วยเที่คันคั social engineering ซ#(งล�อลวงให� user หร0อ account manager เป็:ดิ์เผ่ย password
‣ ระบบคัอมพวเตัอร�จ�านวนมากที่$(ขายออกไป็พร�อม passwords ที่$(ตั��งไว�ล�วงหน�าส่�าหร�บ system administrators หากไม�ม$การเป็ล$(ยน password น$�ก*จะที่�าให�เดิ์าไดิ์�ง�าย
28
Faculty of Information Technology Page
Password Vulnerabilities Electronic monitoring
‣ Password ที่$(ถู2กส่0(อส่ารข�ามเคัร0อข�ายระหว�างการ log on ไป็ย�ง remote system น��นเป็ราะบางตั�อการถู2กดิ์�กฟ้8ง (eavesdropping)
‣ Encryption ธีรรมดิ์าไม�แก�ป็8ญหาดิ์�งกล�าว เน0(องจาก encrypted password ก*คั0อ password ในอ$กร2ป็หน#(ง และส่ามารถูถู2กดิ์�กฟ้8งและน�าไป็ใช้�โดิ์ย Attacker ไดิ์�อ$ก
29
Faculty of Information Technology Page
การป็<องก�น (Countermeasures) โดิ์ยป็กตัแล�ว ระบบที่$(ใช้� password-based
authentication จะม$ password file ที่$(จ�ดิ์ล�าดิ์�บข�อม2ลโดิ์ยใช้� user ID. ‣ ระบบไม�คัวรบ�นที่#ก password แตั�บ�นที่#ก one-
way hash function ของ password Against offline dictionary attack
‣ เพ(มการคัวบคั/มการเข�าถู#งเพ0(อป็<องก�นการเข�าถู#ง password file
‣ การเพ(มมาตัรการตัรวจจ�บการบ/กร/ก (intrusion detection)
‣ การก�าหนดิ์ password ใหม�ให�ผ่2�ใช้�ไดิ์�อย�างรวดิ์เร*วเม0(อพบ compromised passwords
Against specific account attack‣ กลไกการที่�า account lockout
30
Faculty of Information Technology Page
การป็<องก�น (Countermeasures) Against popular password attack
‣ Policies ที่$(ห�ามไม�ให�ผ่2�ใช้�เล0อกใช้� password ที่$(นยมใช้�บ�อยๆ
‣ Scan ตัรวจส่อบ IP addresses ที่$(มาของ authentication requests และcookies บนเคัร0(อง client เพ0(อจ�บ pattern ของการป็<อน password
Against password guessing against single user‣ อบรมและบ�งคั�บใช้� password policies‣ policies ที่$(ย��าการป็:ดิ์ password ให�เป็�นคัวามล�บ,
คัวามยาวข��นตั�(าของpassword, set ของอ�กขระที่$(ใช้�, การห�ามใช้�ข�อม2ลเก$(ยวก�บผ่2�ใช้�ที่$(ร2�จ�กโดิ์ยที่�(วไป็, และระยะเวลาที่$(ตั�องเป็ล$(ยน password
Against workstation hijacking‣ automatic workstation logout‣ การตัรวจจ�บการบ/กร/ก (Intrusion detection)
ที่$(ตัรวจจ�บพฤตักรรมของผ่2�ใช้�ที่$(เป็ล$(ยนไป็
31
Faculty of Information Technology Page
การป็<องก�น (Countermeasures) Against exploiting user mistakes
‣ การอบรม, กลไก intrusion detection‣ การใช้� passwords ร�วมก�บกลไกการที่�า
authentication อ0(น
Against exploiting multiple password use‣ policies ที่$(ห�ามใช้� password ที่$(ใกล�เคั$ยงก�นบน
หลาย network device
Against electronic monitoring‣ กลไกการป็<องการ Replay Attack
(nonce, timestamp) 32