Lecture_05_User_Authentication_part2-ar.pdf

Computer Security CS433 Chapter 3 User Authentication (Part2) Lecture 05 College of Computer Science and Engineering Course Coordinator: Prof. Fatemah Alharbi Instructor: Prof. Fatemah Alharbi Computer Security CS433 Chapter 3 User Authentication (Part2) Lecture 05 05 ‫ الفصل الثالث مصادقة المستخدم (الجزء الثاني) المحاضرة‬CS433 ‫أمن الكمبيوتر‬ College of Computer Science and Engineering Course Coordinator: Prof. Fatemah Alharbi Instructor: Prof. Fatemah Alharbi ‫ فاطمة الحربي‬.‫د‬.‫ أ‬:‫ فاطمة الحربي المدرب‬.‫د‬.‫ أ‬:‫كلية علوم وهندسة الحاسوب منسق المقرر‬ @xFxBot ‫) | ُترجمت بواسطة‬1( ‫صفحة‬ Objectives Explain the mechanism by which hashed passwords are used for user authentication. Discuss the issues involved and the approaches for remote user authentication. 2/13 Computer Security 433 – Lecture_05 Objectives ‫أهداف‬ Explain the mechanism by which hashed passwords are used for user authentication..‫ شرح اآللية التي يتم من خاللها استخدام كلمات المرور المجزأة لمصادقة المستخدم‬ Discuss the issues involved and the approaches for remote user authentication..‫ مناقشة القضايا المعنية وأساليب مصادقة المستخدم عن بعد‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬2( ‫صفحة‬ Password-Based Authentication Virtually all multiuser systems, network-based servers, Web-based e-commerce sites, and other similar services require that a user provide not only a name or identifier (ID) but also a password. The system compares the password to a previously stored password for that user ID, maintained in a system password file. The password serves to authenticate the ID of the individual logging on to the system. The ID provides security in the following ways: The ID determines whether the user is authorized to gain access to a system. The ID determines the privileges accorded to the user. The ID is used in what is referred to as discretionary access control. For example, by listing the IDs of the other users, a user may grant permission to them to read files owned by that user. 3/13 Computer Security 433 – Lecture_05 ‫‪Password-Based Authentication‬‬ ‫المصادقة المستندة إلى كلمة المرور‬ ‫‪ Virtually all multiuser systems, network-based servers, Web-based e-commerce sites, and‬‬ ‫‪other similar services require that a user provide not only a name or identifier (ID) but also a‬‬ ‫‪password.‬‬ ‫ تتطلب جميع األنظمة متعددة المستخدمين تقريًبا والخوادم المستندة إلى الشبكة ومواقع التجارة اإللكترونية المستندة إلى‬ ‫الويب والخدمات المماثلة األخرى أال يقدم المستخدم اسًم ا أو معرًفا (‪ )ID‬فحسب‪ ،‬بل كلمة مرور أيًض ا‪.‬‬ ‫‪ The system compares the password to a previously stored password for that user ID,‬‬ ‫‪maintained in a system password file.‬‬ ‫ يقوم النظام بمقارنة كلمة المرور بكلمة المرور المخزنة مسبًقا لمعرف المستخدم هذا‪ ،‬والمحفوظة في ملف كلمة مرور‬ ‫النظام‪.‬‬ ‫‪The password serves to authenticate the ID of the individual logging on to the system.‬‬ ‫تعمل كلمة المرور على مصادقة هوية الفرد الذي يقوم بتسجيل الدخول إلى النظام‪.‬‬ ‫صفحة (‪ُ | )3‬ترجمت بواسطة ‪@xFxBot‬‬ The ID provides security in the following ways: :‫ يوفر المعرف األمان بالطرق التالية‬ The ID determines whether the user is authorized to gain access to a system..‫ يحدد المعرف ما إذا كان المستخدم مخوًال بالوصول إلى النظام أم ال‬ The ID determines the privileges accorded to the user..‫ يحدد المعرف االمتيازات الممنوحة للمستخدم‬ The ID is used in what is referred to as discretionary access control..‫ يتم استخدام المعرف فيما يشار إليه بالتحكم في الوصول التقديري‬ For example, by listing the IDs of the other users, a user may grant permission to them to read files owned by that user. ‫ قد يمنح المستخدم اإلذن لهم بقراءة الملفات المملوكة لهذا‬،‫ من خالل سرد معرفات المستخدمين اآلخرين‬،‫على سبيل المثال‬.‫المستخدم‬ @xFxBot ‫) | ُترجمت بواسطة‬3( ‫صفحة‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )3‬ترجمت بواسطة ‪@xFxBot‬‬ Password Vulnerabilities Offline Exploiting Popular Workstation dictionary password attack hijacking multiple attack password use Password Specific account Exploiting user Electronic guessing against attack mistakes monitoring single user 4/13 Computer Security 433 – Lecture_05 Password Vulnerabilities ‫نقاط الضعف في كلمة المرور‬ Offline Popular Workstation Exploiting dictionary ‫غير متصل محطة العمل الشعبية استغالل القاموس‬ multiple ‫عديد‬ password attack ‫هجوم كلمة المرور‬ hijacking ‫اختطاف‬ password use ‫استخدام كلمة المرور‬ @xFxBot ‫) | ُترجمت بواسطة‬4( ‫صفحة‬ attack ‫هجوم‬ Specific account Password Exploiting user Electronic ‫استغالل كلمة مرور حساب محدد للمستخدم اإللكتروني‬ guessing against ‫التخمين ضد‬ mistakes ‫أخطاء‬ monitoring ‫يراقب‬ single user ‫مستخدم واحد‬ @xFxBot ‫) | ُترجمت بواسطة‬4( ‫صفحة‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )4‬ترجمت بواسطة ‪@xFxBot‬‬ Hashed Passwords It prevents duplicate passwords from being visible in the password file. It greatly increases the difficulty of offline dictionary attacks. For a salt of length b bits, the number of possible passwords is increased by a factor of 2b. It becomes nearly impossible to find out whether a person with passwords on two or more systems has used the same password on all of them. 5/13 Computer Security 433 – Lecture_05 Hashed Passwords ‫كلمات المرور المجزأة‬ It prevents duplicate passwords from being visible in the password file..‫ يمنع ظهور كلمات المرور المكررة في ملف كلمة المرور‬ It greatly increases the difficulty of offline dictionary attacks..‫ يزيد بشكل كبير من صعوبة هجمات القاموس دون اتصال باإلنترنت‬ For a salt of length b bits, the number of possible passwords is increased by a factor of 2b..2b ‫ يتم زيادة عدد كلمات المرور المحتملة بعامل‬،‫ بت‬b ‫بالنسبة لملح بطول‬ It becomes nearly impossible to find out whether a person with passwords on two or more systems has used the same password on all of them. ‫ يصبح من المستحيل تقريًبا معرفة ما إذا كان الشخص الذي لديه كلمات مرور على نظامين أو أكثر قد استخدم نفس كلمة‬.‫المرور على جميع هذه األنظمة‬ @xFxBot ‫) | ُترجمت بواسطة‬5( ‫صفحة‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )5‬ترجمت بواسطة ‪@xFxBot‬‬ Password Cracking Dictionary attacks: Develop a large dictionary of possible passwords and try each against the password file Each password must be hashed using each salt value and then compared to stored hash values Rainbow table attacks Pre-compute tables of hash values for all salts A mammoth table of hash values Can be countered by using a sufficiently large salt value and a sufficiently large hash length 6/13 Computer Security 433 – Lecture_05 Password Cracking ‫تكسير كلمة المرور‬ Dictionary attacks: :‫ هجمات القاموس‬ Develop a large dictionary of possible passwords and try each against the password file ‫ قم بتطوير قاموس كبير لكلمات المرور المحتملة وجرب كل كلمة منها مقابل ملف كلمة المرور‬ Each password must be hashed using each salt value and then compared to stored hash values ‫ يجب تجزئة كل كلمة مرور باستخدام كل قيمة ملحة ومن ثم مقارنتها بقيم التجزئة المخزنة‬ Rainbow table attacks ‫ هجمات طاولة قوس قزح‬ Pre-compute tables of hash values for all salts ‫ حساب مسبق لجداول قيم التجزئة لجميع األمالح‬ @xFxBot ‫) | ُترجمت بواسطة‬6( ‫صفحة‬ A mammoth table of hash values ‫ جدول ضخم لقيم التجزئة‬ Can be countered by using a sufficiently large salt value and a sufficiently large hash length ‫ يمكن مواجهتها باستخدام قيمة ملح كبيرة بما فيه الكفاية وطول تجزئة كبير بما فيه الكفاية‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬6( ‫صفحة‬ Password Cracking Password crackers exploit the fact that people choose easily guessable passwords Shorter password lengths are also easier to crack John the Ripper Open-source password cracker first developed in in 1996 Uses a combination of brute-force and dictionary techniques 7/13 Computer Security 433 – Lecture_05 Password Cracking ‫تكسير كلمة المرور‬ Password crackers exploit the fact that people choose easily guessable passwords ‫ يستغل مخترقو كلمات المرور حقيقة أن األشخاص يختارون كلمات مرور يمكن تخمينها بسهولة‬ Shorter password lengths are also easier to crack ‫ من السهل أيًض ا اختراق كلمات المرور ذات األطوال األقصر‬ John the Ripper ‫ جون السفاح‬ Open-source password cracker first developed in in 1996 1996 ‫ تم تطوير برنامج كسر كلمات المرور مفتوح المصدر ألول مرة في عام‬ Uses a combination of brute-force and dictionary techniques ‫ يستخدم مزيًج ا من تقنيات القوة الغاشمة والقاموس‬ @xFxBot ‫) | ُترجمت بواسطة‬7( ‫صفحة‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )7‬ترجمت بواسطة ‪@xFxBot‬‬ Countermeasures Controls to prevent unauthorized access to password file Intrusion detection measures Rapid reissuance of compromised passwords Account lockout mechanisms Policies to inhibit users from selecting common passwords Training in and enforcement of password policies Automatic workstation logout Policies against similar passwords on network devices 8/13 Computer Security 433 – Lecture_05 Countermeasures ‫التدابير المضادة‬ Controls to prevent unauthorized access to password file ‫ ضوابط لمنع الوصول غير المصرح به إلى ملف كلمة المرور‬ Intrusion detection measures ‫ تدابير كشف التسلل‬ Rapid reissuance of compromised passwords ‫ إعادة إصدار سريع لكلمات المرور المخترقة‬ Account lockout mechanisms ‫ آليات تأمين الحساب‬ Policies to inhibit users from selecting common passwords ‫ سياسات لمنع المستخدمين من تحديد كلمات المرور الشائعة‬ @xFxBot ‫) | ُترجمت بواسطة‬8( ‫صفحة‬ Training in and enforcement of password policies ‫ التدريب على سياسات كلمة المرور وتنفيذها‬ Automatic workstation logout ‫ تسجيل الخروج التلقائي من محطة العمل‬ Policies against similar passwords on network devices ‫ سياسات ضد كلمات المرور المماثلة على أجهزة الشبكة‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬8( ‫صفحة‬ Modern Approaches Complex password policy Forcing users to pick stronger passwords However, password-cracking techniques have also improved The processing capacity available for password cracking has increased dramatically The use of sophisticated algorithms to generate potential passwords Studying examples and structures of actual passwords in use 9/13 Computer Security 433 – Lecture_05 Modern Approaches ‫النهج الحديثة‬ Complex password policy ‫ سياسة كلمة المرور المعقدة‬ Forcing users to pick stronger passwords ‫ إجبار المستخدمين على اختيار كلمات مرور أقوى‬ However, password-cracking techniques have also improved ‫ فقد تحسنت أيًض ا تقنيات اختراق كلمات المرور‬،‫ ومع ذلك‬ The processing capacity available for password cracking has increased dramatically ‫ زادت قدرة المعالجة المتاحة الختراق كلمات المرور بشكل كبير‬ The use of sophisticated algorithms to generate potential passwords ‫ استخدام خوارزميات متطورة لتوليد كلمات المرور المحتملة‬ @xFxBot ‫) | ُترجمت بواسطة‬9( ‫صفحة‬ Studying examples and structures of actual passwords in use ‫ دراسة أمثلة وهياكل كلمات المرور الفعلية المستخدمة‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬9( ‫صفحة‬ Password File Access Control can block offline guessing attacks by denying access to encrypted passwords make available only vulnerabilities to privileged users shadow users with weakness in accident with sniff password file same access from the OS that permissions passwords in a separate file password on backup allows access making it network from the user other media IDs where the to the file readable traffic systems hashed passwords are kept 10/13 Computer Security 433 – Lecture_05 ‫‪Password File Access Control can block offline guessing attacks by denying access to‬‬ ‫‪encrypted passwords‬‬ ‫يمكن للتحكم في الوصول إلى ملف كلمة المرور منع هجمات التخمين في وضع عدم االتصال عن طريق رفض الوصول‬ ‫إلى كلمات المرور المشفرة‬ ‫‪make available only vulnerabilities‬‬ ‫إتاحة نقاط الضعف فقط‬ ‫‪to privileged users‬‬ ‫للمستخدمين المميزين‬ ‫‪shadow weakness in accident with users with access from sniff password file‬‬ ‫ضعف الظل في حادث مع المستخدمين الذين لديهم إمكانية الوصول من ملف كلمة المرور شم‬ ‫‪same‬‬ ‫نفس‬ ‫صفحة (‪ُ | )10‬ترجمت بواسطة ‪@xFxBot‬‬ ‫‪the OS that permissions‬‬ ‫نظام التشغيل الذي األذونات‬ ‫‪passwords in‬‬ ‫كلمات المرور في‬ ‫‪password on backup‬‬ ‫كلمة المرور على النسخة االحتياطية‬ ‫‪ a separate file allows access making it‬‬ ‫ ملف منفصل يسمح بالوصول إليه‬ ‫‪network‬‬ ‫شبكة‬ ‫‪other media‬‬ ‫وسائل اإلعالم األخرى‬ ‫صفحة (‪ُ | )10‬ترجمت بواسطة ‪@xFxBot‬‬ ‫‪from the user‬‬ ‫من المستخدم‬ ‫‪to the file‬‬ ‫إلى الملف‬ ‫‪readable‬‬ ‫قابلة للقراءة‬ ‫‪traffic‬‬ ‫مرور‬ ‫‪IDs where the‬‬ ‫معرفات حيث‬ ‫‪systems‬‬ ‫أنظمة‬ ‫صفحة (‪ُ | )10‬ترجمت بواسطة ‪@xFxBot‬‬ ‫‪hashed‬‬ ‫مجزأة‬ ‫‪passwords are kept‬‬ ‫يتم االحتفاظ بكلمات المرور‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )10‬ترجمت بواسطة ‪@xFxBot‬‬ Password Selection Users can be told the importance of using hard to guess passwords and can be provided with guidelines for selecting strong passwords Techniques Users have trouble remembering them System periodically runs its own password cracker to find guessable passwords User is allowed to select their own password, Goal is to eliminate guessable passwords while however the system checks to see if the password allowing the user to select a password that is is allowable, and if not, rejects it memorable 11/13 Computer Security 433 – Lecture_05 ‫‪Password Selection Techniques‬‬ ‫تقنيات اختيار كلمة المرور‬ ‫‪Users can be told the importance of using hard to guess passwords and can be provided with‬‬ ‫‪guidelines for selecting strong passwords‬‬ ‫يمكن إخبار المستخدمين بأهمية استخدام كلمات مرور يصعب تخمينها ويمكن تزويدهم بإرشادات الختيار كلمات مرور‬ ‫قوية‬ ‫‪Users have trouble remembering them‬‬ ‫يواجه المستخدمون صعوبة في تذكرها‬ ‫‪System periodically runs its own password cracker to find guessable passwords‬‬ ‫يقوم النظام بشكل دوري بتشغيل برنامج فك كلمات المرور الخاص به للعثور على كلمات المرور التي يمكن تخمينها‬ ‫‪User is allowed to select their own password, Goal is to eliminate guessable passwords while‬‬ ‫ُيسمح للمستخدم بتحديد كلمة المرور الخاصة به‪ ،‬والهدف هو إزالة كلمات المرور التي يمكن تخمينها أثناء ذلك‬ ‫صفحة (‪ُ | )11‬ترجمت بواسطة ‪@xFxBot‬‬ however the system checks to see if the password allowing the user to select a password that is ‫ يقوم النظام بالتحقق لمعرفة ما إذا كانت كلمة المرور تسمح للمستخدم بتحديد كلمة المرور‬،‫ومع ذلك‬ is allowable, and if not, rejects it ‫ وإذا لم يكن كذلك يرفضه‬،‫يجوز‬ memorable ‫ال تنسى‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬11( ‫صفحة‬ Proactive Password Checking Rule enforcement Specific rules that passwords must adhere to Password cracker Compile a large dictionary of passwords not to use Bloom filter Used to build a table based on dictionary using hashes Check desired password against this table 12/13 Computer Security 433 – Lecture_05 ‫‪Proactive Password Checking‬‬ ‫التحقق االستباقي من كلمة المرور‬ ‫‪ Rule enforcement‬‬ ‫ إنفاذ القواعد‬ ‫‪ Specific rules that passwords must adhere to‬‬ ‫ القواعد المحددة التي يجب أن تلتزم بها كلمات المرور‬ ‫‪ Password cracker‬‬ ‫ تكسير كلمة المرور‬ ‫‪ Compile a large dictionary of passwords not to use‬‬ ‫ قم بتجميع قاموس كبير لكلمات المرور التي ال تستخدمها‬ ‫‪ Bloom filter‬‬ ‫ مرشح بلوم‬ ‫صفحة (‪ُ | )12‬ترجمت بواسطة ‪@xFxBot‬‬ ‫‪ Used to build a table based on dictionary using hashes‬‬ ‫ يستخدم لبناء جدول يعتمد على القاموس باستخدام التجزئة‬ ‫‪ Check desired password against this table‬‬ ‫ تحقق من كلمة المرور المطلوبة مقابل هذا الجدول‬ ‫‪Computer Security 433 – Lecture_05‬‬ ‫أمن الحاسوب ‪ – 433‬محاضرة_‪05‬‬ ‫صفحة (‪ُ | )12‬ترجمت بواسطة ‪@xFxBot‬‬ Remote User Authentication Authentication over a network, the Internet, or a communications link is more complex: additional security threats such as: Eavesdropping, capturing a password, replaying an authentication sequence that has been observed Generally, relying on some form of a challenge-response protocol to counter threats 13/13 Computer Security 433 – Lecture_05 Remote User Authentication ‫مصادقة المستخدم عن بعد‬ Authentication over a network, the Internet, or a communications link is more complex: :‫ تعتبر المصادقة عبر الشبكة أو اإلنترنت أو رابط االتصاالت أكثر تعقيًد ا‬ additional security threats such as: :‫ تهديدات أمنية إضافية مثل‬ Eavesdropping, capturing a password, replaying an authentication sequence that has been observed ‫ وإعادة تشغيل تسلسل المصادقة الذي تمت مالحظته‬،‫ والتقاط كلمة المرور‬،‫ التنصت‬ Generally, relying on some form of a challenge-response protocol to counter threats ‫ االعتماد على شكل ما من أشكال بروتوكول االستجابة للتحدي لمواجهة التهديدات‬،‫ بشكل عام‬ Computer Security 433 – Lecture_05 05_‫ – محاضرة‬433 ‫أمن الحاسوب‬ @xFxBot ‫) | ُترجمت بواسطة‬13( ‫صفحة‬

Lecture_05_User_Authentication_part2-ar.pdf

Document Details

Related

Full Transcript

Upgrade to continue