Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Felhasználó-azonosítás alternatívái eLearning rendszerekben Bodnár Károly, Dr. Ködmön József, Kristóf Zsolt Debreceni Egyetem Egészségügyi Kar Nyíregyháza.

KiadtaAlfréd Török Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "Felhasználó-azonosítás alternatívái eLearning rendszerekben Bodnár Károly, Dr. Ködmön József, Kristóf Zsolt Debreceni Egyetem Egészségügyi Kar Nyíregyháza."— Előadás másolata:

1 Felhasználó-azonosítás alternatívái eLearning rendszerekben Bodnár Károly, Dr. Ködmön József, Kristóf Zsolt Debreceni Egyetem Egészségügyi Kar Nyíregyháza

2 Tartalom 1. Bevezetés 2. A jelszavak tulajdonságai 3. Kriptográfiai alapok 4. A jelszó helyes működése 5. A jelszavas azonosítás kompromittálódásának lehetőségei 6. Gyakori problémák a jelszavakkal 7. A jelszavas felhasználó-azonosítás alternatívái

3 1. Bevezetés a hálózatban működő megoldások térnyerése miatt, megnőtt a felhasználó-azonosítási hibákból eredő károkozás lehetősége nagy tömegű személyes adatot mindössze egyetlen jelszó véd még informatikai szakemberek körében is előfordulnak téves elképzelések a jelszó használatáról, még több gondot okoz a felhasználók képzetlenségből eredő felelőtlensége

4 2. A jelszavak tulajdonságai titkosság - könnyű megjegyezhetőség (Itt kezdődnek a problémák.) Az ideálisan jó jelszó tulajdonságai legalább 8-10 karakter hosszúak, nem tartalmaznak értelmes szavakat, kifejezéseket, tartalmaznak különféle betűket, számokat és egyéb jeleket is, könnyen megjegyezhetők, rendszeresen megváltoztatják őket. egyik megoldás a jelszó megjegyzésére „Még nyílnak a völgyben a kerti virágok” – MNaVaKV?159 a keresztnevekből és dátumokból álló jelszavak, az elfogadhatatlanul rossz kategóriába tartoznak a jelszavas azonosítás gyengeségeit kihasználó szoftverek

5 Mi lehet a megfelelő megoldás a felhasználók azonosítására? A jó megoldás három elemű: Komplex szemlélet: fizikai, algoritmusos és ügyviteli védelem együttes alkalmazása. A felhasználók és üzemeltetők megfelelő tájékoztatása, képzése. A „valamivel rendelkezik, és valamit tud” elv alkalmazása a felhasználó-azonosításban.

6 3. Kriptográfiai alapok Legfontosabb elemek: Az f egyirányú függvény (lavina hatás, f(x) hossz) Véletlenszám generátor Bizonyítási módszer (Nullaismeretű bizonyítás - ZKP)

7 4. Jelszó működése 1. f(x + s) = h f egyirányú függvény s véletlen szám (salt) SAM... hsbodnark h4h4 s4s4 Dave h3h3 s3s3 Carol h2h2 s2s2 Bob h1h1 s1s1 Alice HSALTNÉV Jelszó tárolása

8 4. Jelszó működése 2. SAM... hsbodnark h4h4 s4s4 Dave h3h3 s3s3 Carol h2h2 s2s2 Bob h1h1 s1s1 Alice HSALTNÉV Jelszó ellenőrzése f(x + s) = h 1 Ha h 1 = h, jelszó elfogadva.

9 4. Jelszó működése 3. - nyilvánosság Mivel a jelszó működésének leírása általában nem nyilvános, ezért nem lehetünk biztosak abban, hogy az egyes informatikai alkalmazásokban a fent ismertetett módszert használják. Különösen problémás lehet a speciális fájlok (például Office csomag fájljai, Acrobat pdf fájlok ) felhasználási jogosultságát kezelő jelszavak konstrukciója, ahol az üzenetkivonat és a salt tárolása – a hordozhatóság miatt – kizárólag magában a fájlban lehetséges. Nagy biztonsági kockázatot jelenthet az egyedi gyártók által készített eLearning rendszerek és egyéb más alkalmazott szoftverek jelszóellenőrző megoldásainak működése, amelyek általában szintén nem nyilvánosak. Egy információbiztonsági megoldás akkor számít kielégítő minőségűnek, ha ismert, hosszú időn keresztül kifogástalanul működő módszereket és algoritmusokat alkalmaz. Ha egy biztonsági megoldás működését senki sem ismeri, akkor megengedhetetlenül nagy kockázatot jelenthet számukra. Mivel tökéletes biztonság nem létezik, csak a szakmai nyilvánosság jelenthet kielégítő biztonsági garanciát.

10 5. A jelszavas azonosítás kompromittálódásának lehetőségei könnyű?! Megszerezhető a jelszót birtokló személytől (könnyű?!). könnyűnek látszik! Megszerezhető az azonosítást végző rendszerből (könnyűnek látszik!). Billentyűzet figyelése (szoftver, szem). Próbálgatás Kimerítő (primitív) próbálgatás,

11 Kimerítő (primitív) próbálgatás 95 nyomtatható karakterből álló „jó”, 8 hosszúságú jelszó feltörése 6,6·10 15 összehasonlítás, ami 210 év (10 6 összehasonlítás/sec.) 5 karakteres jelszó  2,1 óra 26 kisbetűből álló, 8 betűs jelszó  2,4 nap 26 kisbetűből álló, 5 betűs jelszó  12 sec.

12 5. A jelszavas azonosítás kompromittálódásának lehetőségei könnyű!? Megszerezhető a jelszót birtokló személytől (könnyű!?). könnyűnek látszik! Megszerezhető az azonosítást végző rendszerből (könnyűnek látszik!). Billentyűzet figyelése (szoftver, szem). Próbálgatás Kimerítő (primitív) próbálgatás, Szótáras próbálgatás.Feltételek:  SAM fájl birtoklása és szerkezetének ismerete,  A használt egyirányú függvény ismerete.

13 A SAM fájl 1.

14 A SAM fájl 2.

15 Kockázatos a jelszó!? A jelszó feltörését gyakran a legnagyobb biztonsági kockázatnak tartják. A fentiekből azonban látható, hogy ez nem így van, hiszen ehhez igen jelentős szakértelem, naprakész ismeretanyag szükséges, nem elegendő beszerezni egy kellően nagy teljesítményű szoftvert, ahogyan azt egyes szoftvergyártók állítják. Az igazi nagy kockázatot a felhasználók, és üzemeltetők felelőtlensége, hanyagsága és képzetlensége, röviden az emberi tényező jelenti.

16 6. Gyakori problémák a jelszavakkal komoly kockázatot jelent a túl rövid vagy értelmes szavakat is tartalmazó jelszó az üzemeltető rendszergazdák lehetőségei és felelősségük a rossz megoldások kezelésére ki lehetne egészíteni a beléptető rendszert egy jelszóminősítő résszel, ami kikényszerítené a minimális jelszó feltételeket Egy 2006-ban készült reprezentatív felmérés eredménye: az átlagos jelszavak 7-8 karakter hosszúak, 57,9 százalékuk tartalmaz személynevet vagy értelmes szót, 77,6 százalékuk számot, 14,1 százalékuk kis- és nagybetűket is, csak 2,1 százalékukban van az előző kategóriáktól eltérő karakter mindössze 1 százalékot tett ki azoknak a száma, akik a jelszóadás alapszabályai szerint jártak el az irodai alkalmazottak negyede feljegyzi jelszavát, 15,5 százalékuk valahol a számítógépén, 13,9 százalékuk külső eszközön több, mint harmada igenis használja a különféle hálózati alkalmazások jelszómegjegyző funkcióját.

17 7. A jelszavas felhasználó-azonosítás alternatívái Jelmondat (passphrase)? „Valamit tud és valamivel rendelkezik” elv alkalmazása (pl. PIN+bankkártya) Az előbbi elv és a ZKP módszer alkalmazása (Dinamikus jelszó) Felhasználó (kif. vagy képlet) Szerver (kif. vagy képlet) Felhasználó azonosítás 1. jelszó 2. véletlen szám 3. eredmény Intelligens kártya

18 7. A jelszavas felhasználó-azonosítás alternatívái A mobiltelefonok tartalmaznak intelligens kártyát (SIM) - a dinamikus jelszó egy változata a mobil aláírás Biometrikus azonosítás: felhasználónév + biometrikus adat (Ujjlenyomat, stb.) Viszonylag magas költségek, Bizonytalanságok a biometrikus jelek olvasásában, összehasonlításában Előny: elkerülhető a jelszó vagy PIN. Tokenes azonosítás: Két komponensű azonosítás PIN és TOKEN használata Azonosítás: Felhasználó név és PASSKÓD (maximum 1 percig!) PASSKÓD = PIN + TOKENKÓD A TOKEN lehet mobil eszköz: telefon, PDA, …! Pénzügyi szféra

Letölteni ppt "Felhasználó-azonosítás alternatívái eLearning rendszerekben Bodnár Károly, Dr. Ködmön József, Kristóf Zsolt Debreceni Egyetem Egészségügyi Kar Nyíregyháza."

Hasonló előadás

Közérdekből közkedvelt közreműködést Avagy közreműködői szerződés és szakmai felelősség.

Közérdekből közkedvelt közreműködést Avagy közreműködői szerződés és szakmai felelősség.
DIGITÁLIS PÉNZ.

DIGITÁLIS PÉNZ.
A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia 2011. szeptember 26.

A biztonságos netes bankolás Pap Gyula Gyermekmentő szolgálat, Médiakonferencia szeptember 26.
Az internet veszélyei KÉSZÍTETTE: Román Róbert

Az internet veszélyei KÉSZÍTETTE: Román Róbert
Biztosítók. Bevezetés  Biztonság  A biztosítások célja, hogy előre nem látható, esetleg- vagy biztosan bekövetkező, anyagi következményekkel is járó.

Biztosítók. Bevezetés  Biztonság  A biztosítások célja, hogy előre nem látható, esetleg- vagy biztosan bekövetkező, anyagi következményekkel is járó.
A BIZTONSÁGTECHNIKA ALAPJAI

A BIZTONSÁGTECHNIKA ALAPJAI
Hardver alapok I. 10. osztály.

Hardver alapok I. 10. osztály.
1 ICEG Európai Központ 1118 Budapest, Dayka G. u 6/B. Telefon: (1) 248-1160 Fax: (1) 248-1161 honlap:www.icegec.hu „Klaszterek”

1 ICEG Európai Központ 1118 Budapest, Dayka G. u 6/B. Telefon: (1) Fax: (1) honlap: „Klaszterek”
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
A szoftverek.

A szoftverek.
Hálózati alapfogalmak, topológiák

Hálózati alapfogalmak, topológiák
ILBK451, 2013/2014. I. félév, ea: Kovács Zita 4.Azonosítás AZ INFORMATIKAI BIZTONSÁG ALAPJAI.

ILBK451, 2013/2014. I. félév, ea: Kovács Zita 4.Azonosítás AZ INFORMATIKAI BIZTONSÁG ALAPJAI.
Microsoft Üzleti Megoldások Konferencia 2005. Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.

Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! 2012. január 16.

Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák

Hálózati architektúrák
Nem számít!. Nem számít! Lezárás Lényegi Részei HATÁRIDŐ BEMUTATKOZÁS JÓ STRATÉGIA, ÉS TAKTIKA TERMÉKLÉTRA KIFOGÁSKEZELÉS.

Nem számít!. Nem számít! Lezárás Lényegi Részei HATÁRIDŐ BEMUTATKOZÁS JÓ STRATÉGIA, ÉS TAKTIKA TERMÉKLÉTRA KIFOGÁSKEZELÉS.
10 állítás a gyerekek internethasználatáról

10 állítás a gyerekek internethasználatáról
Titkosítás Digitális aláírás Szabványosított tanúsítványok

Titkosítás Digitális aláírás Szabványosított tanúsítványok
A magyar háztartások fizetési szokásai

A magyar háztartások fizetési szokásai
Sztringek.

Sztringek.

Hasonló előadás

Google Hirdetések