Güçlü kimlik doğrulama

Güçlü kimlik olduğu bilgisayar güvenliği , bir sürecin içinde tanımlanması gerektirir birleştirme iki -faktör kimlik doğrulama .

2018 ve 2019'da yürürlüğe giren Avrupa DSP2 direktifi, özellikle alanında etkili bir sektör olan bankacılık sektöründe “güçlü kimlik doğrulama” kurallarını belirlemektedir.

Kimlik doğrulama ve tanımlama ile ilgili notlar

Kavramı kimlik doğrulaması olduğu bu karşıt kimlik a doğal veya tüzel kişi (yönetici ve herhangi yetkili kişi). Bu ayrım önemlidir, çünkü dilin kötüye kullanılmasıyla, bir kimlik belirleme sorunu olduğunda kimlik doğrulamasından söz ederiz. Bir kişi kontrol sırasında kimlik belgesini sunduğunda, resmi bir belge ile kimliği tespit edilir ancak kimlik belgesi ile kişi arasındaki bağ kurulmadığı için kimliği doğrulanmaz. Tartışılmaz, geri dönülmez ve olayda mahkemeler tarafından tanınır. bir anlaşmazlık.

Bunun aksine, bir kişinin kimliği doğrulandığında, bu kimlik doğrulama, güvenilir bir üçüncü şahıs tarafından ve yasal anlamda mahkemede tanınan bir kanıtla ( örneğin: banka kartının elektronik imzası) sağlanmalıdır.

Böylece, için e-ticaret , satın alma şifre ya onaylayarak yapılan SMS onun üzerine alınan cep telefonu sadece bu mesajın bir kopyalanmış olan telefon hattının sahibine görüntülenen belirtir web sayfasının bir tüccar sitesinde (bile telefon biyometri kullanılarak oturum açıldı ). Ancak hat sahibinin taahhüdünü hiçbir şekilde üstlenmez, çünkü ikincisi doğrulanmamıştır (bir dizüstü bilgisayarın çalınması ve üçüncü bir şahıs tarafından kullanılması durumunda). Başka bir deyişle, işleme olan bağlılığını sağlayacak hiçbir maddi kanıt yoktur.

Özetle, güvenilir bir üçüncü taraftan kaynaklanan ispat yükü, bir anlaşmazlık veya ihtilaf durumunda kimlik ile kimlik doğrulamasını birbirinden ayırır.

Güçlü kimlik doğrulamanın faktörleri

Basit kimlik doğrulama sistemleri tek bir faktör kullanır (genellikle şifre gibi bir bellek faktörü ).

Güçlü kimlik doğrulamanın ilkesi, görevi olası bir saldırgan için daha karmaşık hale getirmek için farklı nitelikte en az iki faktör kullanmaktır .

Kimlik doğrulama faktörleri aşağıdaki gibi geleneksel sunulmaktadır:

• hafıza faktörü; Ne varlık (bir bilen şifre , gizli kod , parola ,  vb );
• malzeme faktörü; varlığın elinde tuttuğu şey (çok işlevli bir mobil , bir manyetik kart, bir radyo kimliği , bir USB anahtarı , kişisel bir dijital yardımcı , bir akıllı kart , vb.), yani jeton kimlik doğrulaması , "kimlik doğrulayıcı" veya "  jeton  "  ;
• varlık ne
  • dır-dir ; bedensel faktör (ya gerçek bir kişi için , parmak izi , retina izi , elinin yapısı, yüzünün kemik yapısı ya da başka herhangi bir biyometrik unsur );
  • nasıl yapılacağını veya yapılacağını bilir; tepki faktörü (ya gerçek bir kişi için el yazısı imzası, sesinin tanınması, yalnızca kendisinin bildiği bir hesaplama türü, davranış vb. gibi davranışsal bir  biyometri );
• varlığın, yani başarılı bir kimlik ve kimlik doğrulamasının ardından yetkilendirildiği bir konum olduğu durumlarda (mantıksal bir sisteme önceden belirlenmiş bir konumdan erişim).

Çoğu durumda, varlık bir bireydir (gerçek veya tüzel kişi ), ancak bir nesne olabilir (örneğin, güvenli SSL protokolü kullanan bir web uygulaması , bir SSH şifreleme sunucusu , lüks bir nesne, bir emtia vb.) .) veya bir hayvan.

Bir bilgisayar sistemini güvence altına almak için beş temel mekanizma veya ilke, artan optimizasyon sırasındadır:

1. izlenebilirlik ( "kim yaptı bunu?");
2. bütünlük ( "kim değiştirebilir?");
3. gizlilik ( "Kim görebilir?");
4. yetkilendirme veya erişim kontrolü ("buna kim erişebilir?");
5. kimlik doğrulama ("kim, kimdir?").

Bazı insanlar "güçlü kimlik doğrulama" prosedürünün bu beş ilkeyi destekleyen "temel taş" olduğunu düşünüyor.

Bununla birlikte, bu yaklaşım, Ulusal Bilgi Sistemleri Güvenlik Ajansı (ANSSI) tarafından, kullanıcılar için "güçlü kimlik doğrulama" prosedürünün uygulanmasının gereksinimlerine göre tanımlanması gerektiğini belirten genel güvenlik referans sisteminde (RGS) resmi olarak modüle edilmiştir . servis sağlayıcılar tarafından kullanıma sunulan uygulamalar . Diğer bir deyişle, bu kimlik doğrulama derecesi kural değildir.

Güçlü kimlik doğrulamanın gerekçesi

Parola henüz kullanıcının kimliğini doğrulamak için kullanılan en yaygın sistemdir. Çeşitli saldırı teknikleri bulmayı kolaylaştırdığından, artık hassas BT varlıklarını korumak için gereken güvenlik düzeyini sunmamaktadır. Bir şifre elde etmek için birkaç bilgisayar saldırısı kategorisi vardır:

• Kaba kuvvet saldırısı  ;
• Sözlük saldırısı  ;
• dinlerken bilgisayar klavyesi ( keylogger veya keylogger yazılımı tarafından), ( Truva atı ...) veya uzaktan dinleme (kablolu klavyeler veya kablosuz klavyeler için zayıf şifreli radyo dalgalarının elektrik alanı) tarafından;
• ağ (dinleme şifre algılayıcı veya şifre dinleyicisi ) daha kolay olan ağ protokolleri olmayan şifreleme gibi, HTTP , Telnet , FTP , LDAP , vb;
• İngilizce kimlik avı olarak adlandırılan kimlik avı (veya adres sahteciliği )  ;
• Orta adam veya ortadaki adam saldırısı (MITM) saldırısı  , örneğin SSL veya SSH protokolleriyle  ;
• Dolandırıcılık amacıyla psikolojik manipülasyondan oluşan sosyal mühendislik ;
• işkence, şantaj veya tehditler yoluyla bilgilerin gasp edilmesi.

İlke tüm yöntemler için geçerli olduğundan kaba kuvvet saldırısı gerçekten bir kırma yöntemi değildir. Ancak ilginçtir çünkü bir şifreleme yöntemine yönelik bir saldırının alması gereken maksimum süreyi tanımlamayı mümkün kılar. Kriptografinin amacı, bu yönteme karşı direnç süresini artırarak kaba kuvvet kullanımını imkansız hale getirmektir. Teoride, direnç süresinin korunacak bilginin faydalı ömründen büyük olması yeterlidir. Bu süre korunacak bilginin önemine göre değişmektedir.

Güçlü kimlik doğrulama teknolojileri

Üç "kimlik doğrulayıcı" aile vardır:

Tek seferlik şifre

Teknoloji tek kullanımlık şifre ( - OTP Tek Kullanımlık Şifre kullanıcıların kimlik doğrulaması sağlayan,) şifre tek kullanım için veya bir matris kimlik kartı kullanımında. Bu nedenle, gerçek bir inkar etmemeyi garanti etmek mümkün değildir . Paylaşılan bir sır ( simetrik kriptografi ) kullanımına dayanır . Kimlik doğrulayıcı sırrı içerir. Kimlik doğrulama sunucusu aynı sırrı içerir. Bu ortak paydayı paylaşarak, tek seferlik şifreler (veya OTP ) oluşturmak mümkündür . OTP tipi çözüm örnekleri  :

• SMS kullanımı . Bu sistem SMS teknolojisini kullanır . Kullanıcı doğrudan cep telefonuna bir OTP alır . Cep telefonu kimlik doğrulayıcı olarak kabul edilir.
• Çaprazlanacak liste (veya İşlem Doğrulama Numarası - TAN ). Bu, örneğin banka tarafından sağlanan kodlar listesinden bir OTP girilmesini içerir . Bu liste bir kimlik doğrulayıcı olarak kabul edilir.
• Kimlik doğrulama matris kartı (veya Matrix kart kimlik doğrulaması ). Bu, sağlanan bir matris kartından bir OTP girmeyi içerir . Bu sistem, Y ve X'teki koordinatları kullanır. Matris kartı bir kimlik doğrulayıcı olarak kabul edilir.

Güçlü kimlik doğrulama elde etmek için, paylaşılan sırra ek olarak, kimlik doğrulama sunucusuna ikinci bir ortak payda dahil edilmelidir. Bu payda eşzamanlı veya eşzamansızdır:

• eşzamanlı kimlik doğrulayıcılar:
  • zaman tabanlı kimlik doğrulayıcı. Bu kimlik doğrulayıcılar, paylaşılan sırra ek olarak , zaman olan ortak bir payda kullanır . Her bölüm Eşgüdümlü Evrensel Saat'e ( UTC ) senkronize edilir . Daha sonra ikinci kimlik doğrulama faktörü olarak bir PIN kodu kullanılır . Bu doğrulayıcılar, sözde eşzamanlı teknoloji olarak tanımlanır. Örneğin, bu kimlik doğrulayıcılar her dakika yeni bir "  jeton  " , Tek Kullanımlık Parola görüntüler . En iyi bilinen örnektir SecureID dan RSA Security .
  • sayaç tabanlı kimlik doğrulayıcı. Bu kimlik doğrulayıcılar, paylaşılan sırra ek olarak, bir sayaç olan ortak bir payda kullanır. Her parça sayaçta senkronize edilir. Daha sonra ikinci kimlik doğrulama faktörü olarak bir PIN kodu kullanılır . PIN kodu bir mini tuş takımıyla girilebilir. Zamana dayalı teknoloji gibi, bu kimlik doğrulayıcılar da inkar etmeme sağlayamazlar .

• eşzamansız kimlik doğrulayıcılar: bu kimlik doğrulayıcılar , kimlik doğrulama sunucusu tarafından oluşturulan rastgele bir sayı ( nonce olarak adlandırılır ) paylaşılan gizli sırrın yanı sıra bir sınama-yanıtı veya "meydan okuma-yanıt" kimlik doğrulama kullanımına dayanır . İstemci bu notu alır ve sunucuya yanıt verir. Daha sonra ikinci kimlik doğrulama faktörü olarak bir PIN kodu kullanılır . PIN kodu bir mini tuş takımıyla girilebilir. Bu teknoloji paylaşılan bir sır kullandığından, bu kimlik doğrulayıcılar inkar edilemezlik sunamazlar . Bu kimlik doğrulayıcılar, standartlar açık güçlü kimlik doğrulaması geliştirmek için OATH (en) konsorsiyumu tarafından standartlaştırılan asenkron OCRA ( OATH Zorluk-Yanıt Algoritması için ) olarak adlandırılan bir teknoloji olarak tanımlanır ; 

Bu tür teknoloji ortak bir sır kullandığından, inkar etmemeyi sağlamak mümkün değildir . Dijital sertifika teknolojisi, tersine inkar etmemeyi sağlamaya izin verir .

Dijital sertifika

Dijital sertifika asimetrik kriptografi kullanımı ve bir meydan okuma (kullanımına dayanmaktadır meydan ). Reddedilmemeyi garanti etmek mümkündür, çünkü sadece kimlik özel anahtara sahiptir. Bunlar örneğin:

• genel anahtar altyapısı ( Açık Anahtar Altyapısı - PKI );
• RSA şifreleme (Amerikan tarafından icat Rivest, Shamir ve Adleman kriptologlar)
• PKINIT protokolü arasında Kerberos'da ( Cerbère ).

Dijital sertifika bir akıllı kartta veya bir USB anahtarında veya bir hibrit doğrulayıcıda bulunur:

• Akıllı kart. Özel anahtarı korumak ve dijital sertifikayı saklamak için akıllı kart çok etkili bir çözümdür. Bu teknoloji aynı zamanda bina güvenliği, rozet okuyucuların kullanımı vb. Gibi diğer işlevlerin de uygulanmasını mümkün kılar . Genellikle akıllı kart, bir PIN kodu veya biyometri kullanımı yoluyla bağlanır . Biyometrikler PIN kodunu değiştirdiğinde, sistem kart sahibinin "neredeyse mutlak" kanıtını sunar (bkz Kart Üzerinde Eşleştirme teknolojisi ) .

• USB kimlik doğrulayıcı . Bu doğrulayıcılar, akıllı kartlarla aynı şifreleme teknolojisini kullanır. Bu tür bir kimlik doğrulayıcı, kriptografik materyali çok güvenli bir şekilde depolayabilir ve üretebilir. Bu kimlik doğrulayıcılar, sözde bağlantılı teknoloji olarak tanımlanır. Başka bir deyişle, bu doğrulayıcıyı USB bağlantı noktası üzerinden bilgisayara "takmak" gerekir . Bu teknolojinin en büyük dezavantajı, gerçekten taşınabilir olmamasıdır. Örneğin, USB doğrulayıcınızı bir internet terminalinde (bir “kiosk”, bir otel vb.) Kullanmak zordur .

• Hibrit tip doğrulayıcı. Bu doğrulayıcılar, her iki dünyanın da en iyisini sunar. OTP teknolojisi ile dijital sertifikaları yönetebilir ve göçebeler için çok taşınabilir bir çözüm sunabilirler .

Biyometri

Biyometrik karakteristik veya benzersiz davranış tanıma göre. Örnek: Bir Kartta Eşleştirme (MOC) akıllı kartında biyometrik kimlik doğrulama teknolojisi .

Notlar ve referanslar

Notlar

1. Bir bilginin yararlı ömrü, bu bilginin herhangi bir hileli kullanımdan korumak istediği bir avantaj veya gizlilik sunduğu süredir.
2. Başlıca olanlar parmak izinin, gözün irisinin veya yüz tanımanın (3D kamera) tanınmasına dayanır.

Referanslar

1. http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32015L2366&from=FR .
2. "  Güçlü kimlik  " üzerine, Futura (erişilen Temmuz 31, 2018'i )
3. Marc Barbezat, “  Güçlü kimlik doğrulama nedir?  » , Ledecodeur.ch adresinde ,25 Ekim 2014(erişim tarihi 31 Temmuz 2018 )
4. Sylvain Maret, “  Neden güçlü kimlik doğrulama?  » , Fr.slideshare.net adresinde ,21 Mayıs 2009(erişim tarihi 23 Mayıs 2020 ) ,s.  2/13
5. Kimlik doğrulama mekanizmalarına ilişkin kurallar ve öneriler (Genel Güvenlik Referansı - RGS, Ek B3), ANSII,13 Ocak 2010, 29  p. ( çevrimiçi okuyun ) , s.  22
6. Geçen yaz ne yazdığınızı biliyoruz .
7. http://www.chambersign.fr/ .
8. "  Biyometri: Kullanıcının fiziksel özellikleri sayesinde BT güvenliği  " , securiteinfo.com ( 30 Eylül 2020'de erişildi ) .

Ekler

İlgili Makaleler

• Çift kimlik doğrulama
• ARP zehirlenmesi
• ASK akıllı kartlar
• Doğrulama
• Biyometri
• Cain & Abel , şifre kurtarma aracı
• dSniff
• Europay Mastercard Visa ve CAP standardı
• Gemalto akıllı kartlar
• Sayısal kimlik
• Genel anahtar altyapısı (PKI)
• Özgürlük İttifakı
• multiOTP (herhangi bir işletim sisteminden bağımsız olarak PHP'de güçlü kimlik doğrulaması için açık kaynak kitaplığı)
• PKCS
• OneSpan
• OpenID
• Bir parolanın gücü
• RSA Güvenliği
• SecurID
• Masa gökkuşağı gökyüzü ( Gökkuşağı tablosu )
• Evrensel İkinci Faktör
• Web kimlik doğrulama hizmetlerinin güvenlik açığı
• YubiKey

Dış bağlantılar

• Moneticien: Kimlik ve kimlik doğrulamanın tanımına ilişkin makale - Ekim 2015
• A'dan Z'ye Kimlik Doğrulama - Eylül 2003 - Beyaz Kitap
• (tr) ABD'deki finans kuruluşları için güçlü kimlik doğrulama zorunlu - Ekim 2005
• Biyometri Başlıca olanlar parmak izinin, gözün irisinin veya yüz tanımanın (3D kamera) tanınmasına dayanır. https://www.securiteinfo.com/conseils/biometrie.shtml