Autenticacion Doble Factor

2,637 views
2,471 views

Published on

Charla impartida por Carles Martín de Quest Sofware en el Asegúr@IT V que tuvo lugar en Zaragoza el 3 de Marzo de 2009 en las instalaciones del ITA.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,637
On SlideShare
0
From Embeds
0
Number of Embeds
491
Actions
Shares
0
Downloads
69
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Autenticacion Doble Factor

  1. 2. Quest Software AUTENTICACIÓN DOBLE FACTOR CARLES MARTIN & DINO!
  2. 3. http://www.laflecha.net/canales/seguridad/200406161 CONTRASEÑAS / PASSWORDS Te cambio tu password por una chocolatina Hace poco conocíamos un estudio que ponía sobre la mesa el poco recelo que tenemos a la hora de guardar nuestras contraseñas; el 70% de las personas ofrecería su contraseña sin titubear a cambio de una tableta de chocolate, y de estas, el 35% lo haría por nada. Sin duda da qué pensar. ¿No somos conscientes de la seguridad de nuestras claves? 16 Jun 2004 | REDACCIÓN, LAFLECHA Con seguridad, tal y como se plantea en Security Focus , necesitamos educar mejor a las masas sobre la importancia de guardar con celo nuestras contraseñas. Para empezar, utilizar contraseñas menos obvias puede ser un buen paso. No es de extrañar que muchos problemas se produzcan por contraseñas tan poco originales como “ dios ”, “ cerveza ”, “ password ” o “ 123456 ”. La sugerencia que nos plantean es difundir información sencilla y útil sobre las contraseñas. Las tres reglas de oro son: Primera regla: una buena contraseña es aquella que tiene ocho caracteres o más. Cuanto más larga sea esta, más complicado será dar con ella. Con ocho caracteres sería suficiente, pero no menos. Segunda regla: debes usar una mezcla de tres o cuatro cosas en la contraseña en vez de una única temática; esto es, mezclar letras, números y símbolos; todo combinado. 70% de las personas DIOS CERVEZA PASSWORD 123456 16-Jun-2004
  3. 4. http://www.physorg.com/news153650514.html Favorite passwords: "1234" and "password" February 12th, 2009 in Technology / Internet Passwords that show no imagination or distinctiveness are easy prey for information pirates, a new US study says. A statistical analysis of 28,000 passwords recently stolen from a popular US website and posted on the Internet reveals that people often do the easy thing. It found that 16 percent took a first name as a password, often their own or one of their children, according to the study published by Information Week. Another 14 percent relied on the easiest keyboard combinations to remember such as " 1234 " or "12345678." For those using English keyboards, " QWERTY ", was popular. Likewise, "AZERTY" scored with people with European keyboards. Five percent of the stolen passwords were names of television shows or stars popular with young people like " hannah ," inspired by singer Hannah Montana. " Pokemon ," "Matrix," and "Ironman" were others. The word " password “, or easy to guess variations like "password1," accounted for four percent. Three percent of the passwords expressed attitudes like "I don't care," "Whatever," " Yes " or " No ." There were sentimental choices -- " Iloveyou " -- and their opposite -- "Ihateyou." 16% “MI_NOMBRE” 12-Feb-2009 14% “1234” 5% “Show_TV” 4% “PASSWORD” 3% “SI / NO” 1% “TEAMO”
  4. 5. Favorite passwords: "1234" and "password" February 12th, 2009 in Technology / Internet 16% “MI_NOMBRE” 12-Feb-2009 14% “1234” 5% “Show_TV” 4% “PASSWORD” 3% “SI / NO” 1% “TEAMO”
  5. 6. HISTORIA DE UNA PASSWORD… <ul><li>La autenticación mediante contraseñas no es “del todo” segura </li></ul><ul><li>La vida útil de las contraseñas es demasiado larga (meses) </li></ul><ul><li>Las passwords NO se almacenan en texto plano … </li></ul><ul><ul><li>Se utiliza un algoritmo de codificación para crear un HASH </li></ul></ul><ul><ul><li>Los HASHES son, en principio, únicos y unidireccionales </li></ul></ul><ul><ul><li>La seguridad depende del algoritmo de codificación </li></ul></ul><ul><li>Las métodos más habituales para “ crackear ” un HASH son: </li></ul><ul><ul><li>Ataque a través de Diccionario (con heuristica) </li></ul></ul><ul><ul><li>Ataque por fuerza bruta </li></ul></ul><ul><ul><li>Ataque usando las “rainbow tables” </li></ul></ul>Y... las passwords se pueden olvidar, las puede conocer más de una persona o... cosas mucho peores!! Alice:root:b4ef21:3ba4303ce24a83fe0317608de02bf38d
  6. 9. Consideraciones del MD5 HASH <ul><li>Es el algoritmo usado por Unix/Linux </li></ul><ul><li>MD5 obtiene un hash de 128 bits de largo, sin importar el largo de la entrada. </li></ul><ul><li>En 1996 se anuncia una colisión : dos entradas distintas producen el mismo Hash! </li></ul><ul><li>Ataques contra MD5: </li></ul><ul><ul><li>Ataque de cumpleaños en 2004 </li></ul></ul><ul><ul><li>Ataque de Wang y Yu en 2005 </li></ul></ul><ul><ul><li>Google su “peor” enemigo en la actualidad… </li></ul></ul><ul><li>MD5 usa salting , para alterar con un string alteatorio el valor original del hash. </li></ul>
  7. 10. Key Constante Seattle1 SEATTLE 1****** = + Hash LM Key Constante Concatena DES DES Generación del “Hash” LM <ul><li>Se rellena hasta 14 caracteres con Nulos </li></ul><ul><li>Se convierte a Mayúsculas . </li></ul><ul><li>Se separa en 2 strings de 7 caracteres </li></ul>
  8. 11. Consideraciones del LM HASH <ul><li>En realidad no es un único hash (son dos!) </li></ul><ul><li>Tiene un Set de Caracteres Limitado </li></ul><ul><ul><li>Solo se utilizan caracteres alfanuméricos comunes </li></ul></ul><ul><ul><li>No distingue Mayúsculas y Minúsculas </li></ul></ul><ul><ul><li>142 símbolos </li></ul></ul><ul><li>Se rellena hasta 14 caracteres con Nulos </li></ul><ul><ul><li>2 contraseñas de siete caracteres </li></ul></ul><ul><li>El Nº Máximo de contraseñas posibles es ≈ 6.8*10 12 (muy poquitas…) </li></ul><ul><li>Unsalted -Sin aliñar- </li></ul>
  9. 12. Generación de un Hash NT <ul><li>Se calcula el Hash de la contraseña </li></ul><ul><li>Se almacena. </li></ul>unicode Pwd Seattle1 MD4
  10. 13. Consideraciones del NT HASH <ul><li>Preserva las Mayúsculas y Minúsculas </li></ul><ul><ul><ul><li>65,535 símbolos (Todo el Set Unicode) </li></ul></ul></ul><ul><li>Máxima longitud = 127 caracteres </li></ul><ul><li>Si Nº Caracteres de la contraseña ≤14 ( set de Caracteres LM) ≈ 4.6*10 25 </li></ul><ul><li>Si Nº Caracteres de la contraseña ≤14 (full char set) ≈ 2.7*10 67 </li></ul><ul><li>Si se utilizan contraseñas de 127 caracteres ≈ 4.9*10 611 </li></ul><ul><li>Unsalted -Sin aliñar- </li></ul>
  11. 14. Atacando LMHASH/NTHASH
  12. 15. Vulnerabilidad Kerberos <ul><li>Casi todo el mundo conoce las debilidades de LM/NTLM. </li></ul><ul><li>El Sniffing de Kerberos es menos conocido, pero existe. </li></ul><ul><li>Muchos administradores todavía piensan que KERBEROS es inexpugnable, cuando realmente no es así... </li></ul><ul><li>El ataque lo explicó por primera vez Frank O’Dwyer en 2002 </li></ul><ul><li>www.frankodwyer.com/papers/feasibility_of_w2k_kerberos_attack.htm </li></ul><ul><li>El problema radica en un único paquete de pre-autenticación </li></ul><ul><li>En este paquete se envía el timestamp cifrado con una clave derivada de la contraseña del usuario, durante la comunicación inicial con el DC. </li></ul>
  13. 16. ¿Quien tiene la IP 1.1.1.2? 1.1.1.2 esta en 99:88:77:66:55:44 La 1.1.1.2 soy YO y esta es mi MAC 00:11:22:33:44:55:66 1.1.1.1 1.1.1.2 1.1.1.1 esta en 99:88:77:66:55:44 Usando Man In The Middle para &quot;sniffing&quot; de passwords Kerberos
  14. 17. Consejos y Recomendaciones <ul><li>NO &quot;distribuir&quot; o apuntar tu Password </li></ul><ul><li>Passwords largas, de más de 15 caracteres o con caracteres Unicode (0128 al 0159) </li></ul><ul><li>Deshabilitar la “cache” de passwords en local </li></ul><ul><li>Deshabilitar LMHash en Directorio Activo </li></ul><ul><li>http://support.microsoft.com/kb/299656/en-us </li></ul><ul><li>Usar IPSEC para encriptar el trafico en AD </li></ul><ul><li>Que VIVA ESPAÑA !!! </li></ul>ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|:;&quot;'<>,.?/
  15. 18. Autenticación Multi-factor <ul><li>Métodos para probar la identidad y confianza: </li></ul><ul><li>“ Algo que conoces”: TU PASSWORD </li></ul><ul><li>“ Algo sobre ti”: HUELLA, IRIS, VOZ… </li></ul><ul><li>“ Algo que tienes”: DISPOSITIVO FISICO </li></ul>
  16. 19. Autenticación Doble-Factor <ul><li>Quest Defender eleva los niveles de seguridad proporcionando un sistema de autenticación de doble factor mediante el uso de “ tokens ”, hardware o software, generando un código de acceso único cada 55 segundos. </li></ul><ul><li>Quest Defender aprovecha toda la potencia y funcionalidad del Directorio Activo ya existente, para almacenar toda la información. </li></ul><ul><li>Quest Defender se integra con cualquier sistema o aplicación que soporte RADIUS y con sistemas tradicionales como Windows o Unix/Linux </li></ul>
  17. 20. Autenticación Doble-Factor <ul><li>Basado en Directorio Activo y su replicación </li></ul><ul><li>Administración sencilla a través de la ADUC </li></ul><ul><li>Compatible con el estándar RADIUS </li></ul><ul><li>Soporte para autenticación con PIN y/o password </li></ul><ul><li>Soporte para tokens síncronos y asíncronos </li></ul><ul><li>“ Agnóstico” a nivel de token hardware </li></ul><ul><li>Servicio vía web de auto-registro de tokens </li></ul><ul><li>Módulo de Reporting basado en WEB </li></ul>
  18. 21. Autenticación Doble-Factor
  19. 22. Autenticación Doble-Factor
  20. 23. DINO [email_address] CARLES MARTIN [email_address]

×