التحقق من الهوية (المصادقة) PDF
Document Details
Uploaded by RestfulMilwaukee
Tags
Related
- Information & Computer Security 2024 PDF
- Information & Computer Security (352ISM) 2024 PDF
- IAAA (Identification and Authentication, Authorization and Accountability) PDF
- SSI T2 Seguridad en Sistemas Informáticos PDF
- Password Management and 2FA for Gmail Security PDF
- Information Security - User Authentication PDF
Summary
This document provides a summary of authentication (verification of identity). It explains the process of verifying a user's identity to a system. Authentication is considered the fundamental basis for security and the first line of defense. The process consists of two steps: identification and verification. Identification is the user presenting their claimed identity to the system, while verification confirms the association between the entity and the identifier.
Full Transcript
التحقق من الهوية (المصادقة) ملخص - 5الشيت السادس تعريف التحقق من الهوية :هو عملية التحقق من الهوية المدعى بها كيان ما للنظام أو لصالحه. يعتبر التحقق من الهوية (المصادقة) هو اللبنة األساسية لألمن وخط الدفاع األو...
التحقق من الهوية (المصادقة) ملخص - 5الشيت السادس تعريف التحقق من الهوية :هو عملية التحقق من الهوية المدعى بها كيان ما للنظام أو لصالحه. يعتبر التحقق من الهوية (المصادقة) هو اللبنة األساسية لألمن وخط الدفاع األول. تتكون عملية المصادقة (التحقق من الهوية) من خطوتين: .1التعريف :تقديم المعرف لنظام األمان. ○ علل :يجب تعيين معرف نظام األمان بعناية؟ ألن الهويات المصادق عليها ،هي أساس خدمات األمان األخرى ،مثل خدمة التحكم في الوصول .2التحقق :تقديم أو إنشاء معلومات المصادقة التي تؤكد االرتباط بين الكيان والمعرف. المعرف :هو الوسيلة التي يقدم المستخدم من خاللها هويته المزعومة للنظام. مصادقة المستخدم :هي وسيلة إثبات صحة االدعاء وسائل التحقق من المستخدم: .1يعرفه ،على سبيل المثال كلمة المرور .2يمتلكه ،على سبيل المثال البطاقات الذكية. .3منك ،وهي القياسات الحيوية لجسم المستخدم ،وأساسها هو شيء الشخص: ○ بجسده (القياسات الحيوية الثابتة) على سبيل المثال بصمات األصابع. ○ يقوم به (القياسات الحيوية المتغيرة) على سبيل المثال التعرف عن طريق الصوت. يمكن استخدامها بمفردها أو مجتمعة لتحقيق هوية المستخدم. -1كلمة المرور (شيء تعرفه) وهي: أقدم وأبسط طريقة وهي الطريقة المنتشرة على نطاق واسع. علل :تستخدم كلمات المرور على نطاق واسع؟ ألنها ال تحتاج إلى أجهزة وال إلى برمجيات لتطبيقها. نقاط ضعف كلمة المرور: .1هجوم القاموس :تستخدم هذه الهجمات قواميس ضخمة تحتوي على كلمات مرور شائعة ومتغيراتها. .2هجوم القوة الغاشمة :تتضمن محاولة تجربة جميع التخمينات الممكنة لكلمة المرور حتى يتم العثور على الصحيحة. .3اختطاف محطة العمل :يتم استغالل محطة عمل مفتوحة بدون وجود مستخدم نشط لسرقة المعلومات. .4استغالل استخدام كلمة مرور متعددة :عندما تشترك أجهزة شبكة مختلفة في نفس كلمة المرور أو كلمة مرور متماثلة لمستخدم معين. .5المراقبة اإللكترونية :كلمة المرور المرسلة عبر الشبكة يمكن أن تتعرض للتنصت أثناء انتقالها. .6الهندسة االجتماعية :تتضمن التقنيات مثل التصيد االحتيالي والتصفح على الكتف الستغالل أخطاء المستخدم وكشف كلمات المرور. .7االلتقاط :يمكن التقاط كلمات المرور باستخدام برامج راصدة لوحة المفاتيح أو هجمات الرجل في المنتصف. .8إعادة الضبط :إذا كان لدى المهاجم وصول فعلي للجهاز ،يمكنه مسح وإعادة تعيين كلمة المرور باستخدام أدوات متخصصة. .9تخمين كلمة المرور لمستخدم واحد :يحاول المهاجم اكتساب معلومة حول صاحب الحساب وسياسات كلمة مرور النظام ويستخدم هذه المعلومة لتخمين كلمة المرور. هجوم كلمة المرور الشائعة :تشمل هجمات تستخدم كلمات مرور افتراضية .10 ومعروفة؛ تأتي األجهزة مصممة لتكون متصلة عادة من المصنع بكلمة مرور افتراضية. جداول قوس قزح :هذه الجداول تُستخدم لتسريع عمليات تكسير كلمات المرور عن .11 طريق إنشاء مجموعة كبيرة من القيم المختزلة المرتبطة بكلمات مرور محتملة. اإلجراءات المضادة الختراقات كلمات المرور: .1منع الوصول غير المصرح به .2تدابير كشف التسلل لتحديد االختراق .3آلية قفل الحساب بعد عدد محدد من محاوالت تسجيل الدخول الفاشلة .4سياسات ضد استخدام كلمات مرور شائعة .5تدريب المستخدمين على اختيار كلمات مرور قوية وفرض سياسات صارمة لهذا الغرض .6تسجيل خروج تلقائي من محطة العمل بعد فترة من عدم النشاط .7سياسة تحظر نفس كلمة المرور أو كلمة مرور مشابهة على أجهزة شبكة معينة .8تشفير االتصاالت ○ علل :من المفيد دراسة /البحث عن نقاط ضعف كلمات المرور؟ ألن طريقة كلمات المرور تعتبر األكثر انتشارا وال تزال األكثر كفاءة . نصائح لكلمات مرور جيدة :الطول ،التعقيد ،التغيير ،التنويع. مستقبل كلمات المرور :تم اقتراح العديد من آليات المصادقة الستبدال كلمات المرور. .1آلية "تمرير وجه" :اختيار مجموعة من الوجوه البشرية واختيار أحدها أثناء تسجيل الدخول. .2آلية "النمط السري" :رسم خط متواصل عبر شبكة من المربعات كبديل لكلمة المرور. استخدام كلمات المرور المختزلة: ○ يتضمن تخزين كلمة المرور المختزلة مع نسخة نصية من القيمة المضافة في ملف كلمة المرور بجانب معرف المستخدم. ○ طريقة كلمات المرور المختزلة آمنة ضد هجمات تحليل التشفير. ○ عند إدخال كلمة المرور ،يتم حساب دالة االختزال ومقارنتها مع الدالة المخزنة؛ إذا تطابقت ،يتم قبول كلمة المرور. ○ التقنية تستخدم بشكل واسع في أنظمة التشغيل مثل يونيكس وغيره من أنظمة التشغيل ،حيث يتم دمج كلمة المرور مع قيمة مضافة لتوليد قيمة مختزلة متعددة ،مما يزيد من صعوبة الهجمات. ○ خوارزمية االختزال مصممة لتكون بطيئة إلحباط الهجمات. التهديدات: .1قد يتمكن المستخدم من الوصول إلى الجهاز عبر حساب ضيف أو وسيلة أخرى وتشغيل برنامج تكسير كلمة المرور. .2إذا تمكن الخصم من الحصول على نسخة من ملف كلمات المرور ،يمكنه تشغيل برنامج تكسير على جهاز آخر لتجربة العديد من كلمات المرور المحتملة في وقت معقول. لماذا القيمة المضافة ()value salt؟ منع تكرار كلمات المرور زيادة صعوبة هجمات القاموس صعوبة معرفة ما إذا كان شخص ما يستخدم نفس كلمة المرور على أنظمة متعددة كلمة المرور لمرة واحدة؛ هناك ثالث طرق لتطبيق كلمات المرور لمرة واحدة: .1يتفق المستخدم والنظام على قائمة كلمات مرور.يمكن استخدام كل كلمة مرور مرة واحدة فقط. .2يتفق المستخدم والنظام على تحديث كلمة المرور بشكل تسلسلي.كلمة المرور األصلية تُستخدم لتوليد كلمات مرور جديدة عبر التشفير. .3يتفق المستخدم والنظام على كلمة مرور أصلية و يستخدمان دالة التجزئة إلنشاء كلمة مرور محدثة تسلسليًا. توصيات إدارة كلمات المرور: تحديد سياسات لكلمات المرور استخدام تقنية آمنة لتقليل تخمين كلمات المرور وتكسيرها جعل كلمات المرور معقدة وغلق الحسابات بعد محاوالت تسجيل دخول فاشلة متعددة تحديد مدة صالحية لكلمة المرور. التقنيات نحو كلمة مرور أفضل .1تعليم المستخدم :توجيه المستخدمين الختيار كلمات مرور قوية ،لكن العديد من المستخدمين سيتجاهلون اإلرشادات. .2كلمات مرور منشأة من النظام :قد تكون صعبة التذكر أو تدفع المستخدمين لتدوينها. .3التحقق التفاعلي (فحص دوري) :استخدام أداة تكسير كلمات المرور دوريًا للكشف عن كلمات مرور قابلة للتخمين. .4التحقق االستباقي (في وقت اإلنشاء) :فحص كلمات المرور أثناء إنشائها لضمان قوتها وقبولها. -2المصادقة القائمة على االدوات الرمزية (شيء تملكه) االدوات الرمزية البرمجية :شفرة برمجية تُستخدم إلثبات هوية المستخدم من خالل تقديمها. أنواع األدوات الرمزية: .1بطاقة منقوشة :أحرف مرفوعة في المقدمة. .2شريط مغناطيسي :شريط مغناطيسي في الخلف وأحرف في المقدمة. .3قطع مميزة :أدوات إلكترونية صغيرة. .4بطاقة ذاكرة :بها ذاكرة إلكترونية بداخلها. .5البطاقة الذكية :بها ذاكرة إلكترونية ومعالج بالداخل. .6الهاتف المحمول :يمكن إرسال الرمز إلى الهاتف عبر تطبيق أو رسالة نصية. بطاقة الذاكرة :تخزين البيانات بدون معالجتها ،مثال :البطاقات المصرفية. ً استبداال ،استياء المستخدم. ○ العيوب :تتطلب قارئًا خا ً صا ،فقدانها يتطلب القطع المميزة :تولد سلسلة أرقام تُدخل ككلمة مرور لمرة واحدة. ○ أنواع :المعتمدة على الوقت أو الحدث ،أمثلة :أدوات Google ،RSA .Authenticator البطاقات الذكية :تحفظ رقم الهوية بشكل فريد. .1أنواع الذاكرة. RAM، EEPROM،ROM : .2تطبيقاتeSign.، eID،ePass : .3بديل :دونجل فالش. -3القياسات الحيوية :التحقق الحيوي (شيء منك) تحليل خصائص جسدية وسلوكية لتحديد الهوية. خصائص :العمومية ،التفرد ،الدوام ،التحصيل ،األداء ،القبول ،التالعب. تقنيات :الوجه ،اليد ،بصمات األصابع ،شبكية العين ،القزحية ،الصوت ،الحمض النووي ،نقر المفاتيح ،التوقيع. تطبيقات :بوابات الدخول ،أنظمة المعلومات ،المعامالت ،إنفاذ القانون. التحقق مقابل تحديد الهوية :التحقق يتطلب رقم تعريف شخصي باإلضافة إلى ميزة حيوية ،تحديد الهوية يقارن الميزة مع مجموعة النماذج المخزنة. هجمات :هجمات العميل ،هجمات المضيف ،التنصت ،هجمات إعادة التشغيل ،حصان طروادة ،منع الخدمة. نظام تسجيل الدخول األحادي (:)SSO المزايا :تجربة مستخدم أفضل ،حفظ بيانات المصادقة ،تنفيذ المصادقة الثنائية ،تقليل كلمات المرور والدعم الفني. العيوب :اختراق بيانات االعتماد ،هجمات االحتيال ،نقطة فشل واحدة ،تعقيد النظام. تقنيات أخرى :المصادقة المعتمدة على الرموز ،بروتوكول خدمة المصادقة المركزية ،نظام االرتباط االتحادي ،بروتوكول .OpenID مزامنة كلمات المرور :تطابق كلمات المرور عبر األنظمة ،أقل أمانًا من ،SSOيتطلب إدخال بيانات المصادقة وتحديث كلمات المرور في جميع األنظمة.