Usuari:Mcapdevila/Autenticació

De la Viquipèdia, l'enciclopèdia lliure

Autenticació [1] o autenticació [2] és l'acte d'establiment o confirmació d'alguna cosa ( o algú) com a autèntic. L'autenticació d'un objecte pot significar (pensar) la confirmació de la seva procedència, mentre que l'autenticació d'una persona sovint consisteix a verificar la seva identitat. L'autenticació depèn d'un o diversos factors.

Definicions[modifica]

Autenticació , autenticació (no recomanat) o millor dit acreditació , en termes de seguretat de xarxes de dades, es pot considerar un dels tres passos fonamentals (AAA). Cada un d'ells és, de forma ordenada:

#Autenticació En la seguretat d'ordinador, l'autenticació és el procés d'intent de verificar la identitat digital del remitent d'una comunicació com una petició per connectar. El remitent és autenticat pot ser una persona que fa servir un ordinador, un ordinador per si mateix o un programa de l'ordinador. En un web de confiança, "autenticació" és una manera d'assegurar que els usuaris són qui ells diuen que ells són - que l'usuari que intenta realitzar funcions en un sistema és de fet l'usuari que té l'autorització per fer així.
# Autorització Procés pel qual la xarxa de dades autoritza a l'usuari identificat a accedir a determinats recursos d'aquesta.
# Auditoria Mitjançant la qual la xarxa o sistemes associats registren tots i cada un dels accessos als recursos que realitza l'usuari autoritzats o no.

El problema de l'autorització sovint, és idèntic a la d'autenticació; molts protocols de seguretat extensament adoptats estàndard, regulacions obligatòries, i fins estatuts estan basats en aquesta assumpció. No obstant això, l'ús més exacte descriu l'autenticació com el procés de verificar la identitat d'una persona, mentre l'autorització és el procés de verificació que una persona coneguda té l'autoritat per realitzar una certa operació. L'autenticació, per tant, ha de precedir l'autorització. Per distingir l'autenticació de l'autorització de terme estretament relacionada, existeixen unes notacions de taquigrafia que són: A1 per a l'autenticació i A2 per l'autorització que de tant en tant són usades, també existeixen els termes AuthN i AuthZ que són usats en algunes comunitats .

Mètodes d'autenticació[modifica]

Els mètodes d'autenticació estan en funció del que utilitzen per a la verificació i aquests es divideixen en tres categories:

* Sistemes basats en algun objecte conegut. Exemple, un password (Unix) o passphrase (PGP).
* Sistemes basats en algun objecte posseït. Exemple, una targeta d'identitat, una targeta intel·ligent ( smartcard ), dispositiu usb tipus epass token, smartcard o dongle criptogràfic.
* Sistemes basats en una característica física de l'usuari o un acte involuntari del mateix: Exemple, verificació de veu, d'escriptura, d'empremtes, de patrons oculars.

Característiques d'autenticació[modifica]

Qualsevol sistema d'identificació ha de posseir unes determinades característiques per ser viable:

* Ha de ser fiable amb una probabilitat molt elevada (podem parlar de taxes de fallada d'en els sistemes menys segurs).
* Econòmicament factible per a l'organització (si el seu preu és superior al valor del que s'intenta protegir, tenim un sistema incorrecte).
* Suportar amb èxit cert tipus d'atacs.
* Ser acceptable per als usuaris, que seran al cap ia la fi qui l'utilitzin.

Mecanisme general d'autenticació[modifica]

La major part dels sistemes informàtics i xarxes mantenen d'una manera o altra una relació d'identitats personals (usuaris) associades normalment amb un perfil de seguretat, rols i permisos. L'autenticació d'usuaris permet a aquests sistemes assumir amb una seguretat raonable que qui s'està connectant és qui diu ser perquè després les accions que s'executin en el sistema puguin ser referides després a aquesta identitat i aplicar els mecanismes de autorització i/o auditoria oportuns.

El primer element necessari (i suficient estrictament parlant) per tant per a la autenticació és l'existència d'identitats biunívocament identificades amb un identificador únic (valgui la redundància). Els identificadors d'usuaris poden tenir moltes formes sent la més comuna una successió de caràcters coneguda comunament com login .

El procés general d'autenticació consta dels següents passos:

#L'usuari sol·licita accés a un sistema.
#El sistema demanarà que s'autentiqui.
#L'usuari aporta les credencials que l'identifiquen i permeten verificar l'autenticitat de la identificació.
#El sistema valida segons les seves regles si les credencials aportades són suficients per donar accés a l'usuari o no.

Control d'accés[modifica]

Un exemple familiar és el control d'accés. Un sistema informàtic supòsit per ser utilitzat només per aquells autoritzats, ha de procurar detectar i excloure el desautoritzat. L'accés a ell per tant és controlat generalment insistint en un procediment de l'autenticació per establir amb un cert grau establert de confiança la identitat de l'usuari, per tant concedint aquests privilegis com pot ser autoritzat a aquesta identitat. Els exemples comuns del control d'accés que impliquen l'autenticació inclouen:

* Retirar de diners d'un caixer automàtic.
* Control d'un ordinador remot sense Internet.
* Ús d'un sistema Internet banking.

No obstant això, observar que molta de la discussió sobre aquests assumptes és enganyosa perquè els termes s'utilitzen sense la precisió. Part d'aquesta confusió pot ser degut "al to de l'aplicació de llei" de molta de la discussió. Cap ordinador, programa d'ordinador, o poder de l'usuari de l'ordinador "confirmen la identitat" d'un altre partit. No és possible "estableix" o "provar" una identitat, qualsevol. Hi ha edicions difícils que estan a l'aguait sota quines apareix ser una superfície directa.

És només possible aplicar una o més proves que, si estan passades, s'han declarat prèviament per ser suficients procedir. El problema és determinar quines proves són suficients, i molts tals són inadequades. Tenen estat molts casos de tals proves que són spoofed amb èxit, tenen per la seva falta demostrada, ineludible, ser inadequades. Molta gent continua mirant les proves - i la decisió per mirar èxit a passar-com a acceptable, i per culpar la seva falta en "sloppiness" o "incompetència" de part algú. El problema és que la prova va ser suposada per treballar en la pràctica - no sota condicions ideals de cap sloppiness o incompetència-i no. És la prova que ha fallat en aquests casos. Considerar la caixa molt comuna d'un email de la confirmació a què hagi de ser contestat per activar un compte en línia d'una certa classe. Com que l'email es pot arreglar fàcilment per anar ao per venir d'adreces falses i untraceable, aquest és just sobre la menys autenticació robusta possible. L'èxit en passar aquesta prova significa poc, sense cap consideració cap sloppiness o incompetència.

Autenticació per multifactor[modifica]

Els factors de l'autenticació per als éssers humans es classifiquen, generalment, en quatre casos:

* Una cosa que l'usuari és (exemple, l'empremta digital o el patró retiniano), la seqüència d'ADN (hi ha definicions classificades de quin és suficient), el patró de la veu (una altra vegada diverses definicions), el reconeixement de la signatura, els senyals bio-elèctriques úniques produïdes pel cos viu, o un altre identificador biomètric).
* Una cosa que l'usuari (exemple, targeta de la identificació, símbol de la seguretat, símbol del programari o telèfon mòbil)
* Una cosa que l'usuari sap (exemple, una contrasenya, una frase o un número d'identificació personal (el PIN) del pas).
* Una cosa que l'usuari fa (exemple, reconeixement de veu, signatura, o el pas).
I
* Autenticació mitjançant dos factors "alguna cosa que tinc" la clau+" quelcom que sé "un nombre de PIN (token criptogràfic)
* Autenticació triple factor "alguna cosa que tinc" el dispositiu criptogràfic+" quelcom que sé "una clau d'autenticació tipus PIN (al token criptogràfic)+"qui sóc" l'empremta dactilar que em permet iniciar la sessió al dispositiu de forma unívoca.


Una combinació de mètodes s'utilitza de vegades, exemple, una targeta de banc i un PIN, en aquest cas s'utilitza el terme "autenticació de dos factors". Històricament, les empremtes digitals s'han utilitzat com el mètode més autoritari d'autenticació, però processos legals recents en els EUA ja altra banda han aixecat dubtes fonamentals sobre fiabilitat de l'empremta digital. Altres mètodes biomètrics són prometedors (les exploracions retinianes i de l'empremta digital són un exemple), però han demostrat ser fàcilment enganyats en la pràctica. En un context de les dades de l'ordinador, s'han desenvolupat protocols de repte-resposta que permeten l'accés si el que es vol autenticar respon correctament a un desafiament proposat pel verificador. Hi ha protocols desafiament-resposta basats en algorismes criptogràfics cridant protocols criptogràfics de desafiament-resposta. La seguretat dels protocols criptogràfics de desafiament-resposta es basa en la seguretat dels algoritmes criptogràfics que utilitza.

Autenticació[modifica]

El Authentication va ser definit per Arnnei Speiser el 2003 mentre que la Web va basar el servei que proporciona en l'autenticació d'usuaris finals que tenen accés (Login) a un servei d'Internet. La Autenticació és similar a la verificació de la targeta de crèdit per als llocs web de l'eCommerce. La verificació és feta per un servei dedicat que rebi l'entrada i torni la indicació de l'èxit o de fallada. Per exemple, un usuari final per entrar en el seu lloc web. Ell aconsegueix entrar en una pàgina web de la connexió que requereix per a accés, el seu user-id i una contrasenya o als llocs assegurats i la seva contrasenya alhora. La informació es transmet al servei del eAuthentication com a pregunta. Si el servei torna èxit, permeten a l'usuari final entrar al servei d'aquesta pàgina web amb els seus privilegis com a usuari.

Autenticació d'usuaris en Unix[modifica]

Autenticació clàssica[modifica]

En sistemes Unix habitual cada usuari té un nom d'entrada al sistema o login i una clau o password, dues dades s'emmagatzemen generalment en el fitxer/etc/passwd. Aquest fitxer conté una línia per usuari on s'indica la informació necessària perquè els usuaris puguin connectar al sistema i treballar-hi, separant els diferents camps mitjançant+: '.

Al contrari del que molta gent creu, Unix no és capaç de distingir als seus usuaris pel seu nom d'entrada al sistema. Per al sistema operatiu el que realment distingeix a una persona d'una altra (o almenys a un usuari d'un altre) és l'UID de l'usuari en qüestió, la connexió és una cosa que és útil sobretot per comoditat de les persones (òbviament és més fàcil acordar d'un nom d'entrada com toni que d'un UID com 2643 , sobretot si es tenen comptes en diverses màquines, cadascuna amb un UID diferent).

Per xifrar les claus d'accés dels seus usuaris, el sistema operatiu Unix empra un criptosistema irreversible que utilitza la funció estàndard de C crypt, basada en l'algoritme DES. Per a una descripció exhaustiva del funcionament de crypt. Aquesta funció pren com a clau els vuit primers caràcters de la contrasenya triada per l'usuari (si la longitud d'aquesta és menor, es completa amb zeros) per xifrar un bloc de text en clar de 64 bits posats a zero, per evitar que dos passwords iguals resultin en un mateix text xifrat, es realitza una permutació durant el procés de xifrat triada de forma automàtica i aleatòria per a cada usuari, basada en un camp format per un nombre de 12 bits (amb el que aconseguim 4096 permutacions diferents) anomenat salt. El xifrat resultant es torna a xifrar utilitzant la contrasenya de l'usuari de nou com a clau, i permutant amb el mateix salt, repetint-se el procés 25 vegades. El bloc xifrat final, de 64 bits, es concatena amb dos bits zero, obtenint 66 bits que es fan representables en 11 caràcters de 6 bits cadascun i que, juntament amb el salt, passen a constituir el camp password del fitxer de contrasenyes, usualment/etc/passwd. Així, els dos primers caràcters d'aquest camp estaran constituïts pel salt i els 11 restants per la contrasenya xifrada

Problemes del model clàssic[modifica]

Els atacs de text xifrat escollit constitueixen la principal amenaça al sistema d'autenticació d'Unix, a diferència del que molta gent creu, no és possible desxifrar una contrasenya, però és molt fàcil xifrar una paraula al costat d'un determinat salt, i comparar el resultat amb la cadena emmagatzemada en el fitxer de claus. D'aquesta manera, un atacant llegirà el fitxer/etc/passwd (aquest fitxer ha de tenir permís de lectura per a tots els usuaris si volem que el sistema funcioni correctament), i mitjançant un programa endevinador (o crackeador) xifrarà totes les paraules d'un fitxer denominat diccionari (un fitxer ASCII amb un gran nombre de paraules de qualsevol idioma o camp de la societat: història clàssica, esport, cantants ...), comparant el resultat obtingut en aquest procés amb la clau xifrada del fitxer de contrasenyes, si tots dos coincideixen, ja ha obtingut una clau per accedir al sistema de forma no autoritzada.

Shadow Password[modifica]

Un altre mètode cada dia més utilitzat per protegir les contrasenyes dels usuaris el denominat Shadow Password o enfosquiment de contrasenyes. La idea bàsica d'aquest mecanisme és impedir que els usuaris sense privilegis puguin llegir el fitxer on s'emmagatzemen les claus xifrades.

Envelliment de contrasenyes[modifica]

En gairebé totes les implementacions de Shadow Password actuals se sol incloure la implementació per a un altre mecanisme de protecció de les claus denominat envelliment de contrasenyes (Password Aging). La idea bàsica d'aquest mecanisme és protegir els passwords dels usuaris donant-los un determinat període de vida: una contrasenya només serà vàlida durant un cert temps, passat el qual expirarà i l'usuari haurà de canviar-la.

Realment, l'envelliment prevé més que problemes amb les claus problemes amb la transmissió d'aquestes per la xarxa: quan connectem mitjançant mecanismes com telnet, ftp o rlogin a un sistema Unix, qualsevol equip entre el nostre i el servidor pot llegir els paquets que enviem per la xarxa, incloent aquells que contenen el nostre nom d'usuari i la nostra contrasenya.

Altres mètodes[modifica]

Una cosa pel que s'ha criticat l'esquema d'autenticació d'usuaris de Unix és la longitud, per a propòsits d'alta seguretat, massa curta de les seves claus, el que fa anys era poc més que un plantejament teòric, actualment és alguna cosa factible: sense ni tan sols entrar en temes de maquinari dedicat, segurament massa car per a la majoria d'atacants, amb un supercomputador és possible trencar claus d'Unix en menys de dos dies.

Un mètode que augmenta la seguretat de les nostres claus enfront d'atacs d'intrusos és el xifrat mitjançant la funció coneguda com bigcrypt () o crypt16 (), que permet longituds per les claus i els salts més llargues que crypt i no obstant això, encara que s'augmenta la seguretat de les claus, el problema que es presenta aquí és la incompatibilitat amb les claus de la resta de Unices que segueixin utilitzant crypt; aquest és un problema comú amb altres aproximacions que també es basen en modificar l'algoritme de xifrat, quan no a utilitzar un de nou.

PAM[modifica]

PAM (Pluggable Authentication Module) no és un model d'autenticació en si, sinó que es tracta d'un mecanisme que proporciona una interfície entre les aplicacions d'usuari i diferents mètodes d'autenticació, tractant d'aquesta manera de solucionar un dels problemes clàssics de la autenticació d'usuaris: el fet que una vegada que s'ha definit i implantat cert mecanisme en un entorn, és difícil canviar-lo. Mitjançant PAM podem comunicar a la nostra aplicacions amb els mètodes d'autenticació que desitgem d'una manera transparent, la qual cosa permet integrar les utilitats d'un sistema Unix clàssic (login, ftp, telnet ...) amb esquemes diferents de l'habitual password: claus d'un sol ús, biomètrics, targetes intel·ligents ...

La gran majoria de les aplicacions de linux usen aquests mètodes (PAM) per autenticar davant del sistema, ja que una aplicació preparada per PAM (PAM-aware) pot canviar el mecanisme d'autenticació que utilitza sense necesidade de recompilar els fonts. Fins i tot es pot arribar a canviar el sistema d'autenticació local sense si més no tocar les aplicacions existents.

PAM ve+de sèrie 'en diferents sistemes Unix, tant lliures com comercials, i el nivell d'abstracció que proporciona permet coses tan interessants com kerberizar nostra autenticació (almenys la part servidora) sense més que canviar la configuració de PAM, que es troba bé en el fitxer/etc/pam.conf o bé en diferents fitxers dins del directori/etc/pam.d/

PAM treballa amb quatre tipus separats de tasques d'administració: authentication, account, session, i password. L'associació de l'esquema d'administració preferit amb el comportament de l'aplicació es fa mitjançant fitxers de configuració. Les funcions d'administració les fan mòduls que s'especifiquen a l'fitxer de configuració. Més endavant s'expliqués breument la sintaxi de l'fitxer de configuració ja que es va fora de l'abast d'aquest article.

Quan una aplicació preparada per PAM inicia, s'activa la seva comunicació amb l'API de PAM. Entre altres coses això força la lectura de l'fitxer de configuració:/etc/pam.conf. Alternativament pot ser que s'iniciï la lectura dels fitxers de configuració sota/etc/pam.d/(quan hi ha un fitxer de configuració correcte sota aquest directori, s'ignora l'fitxer/etc/pam.conf)

Sintaxi de l'fitxer de configuració[modifica]

L'fitxer (/etc/pam.conf) està format per una llista de regles (típicament una per línia). Cada regla és un conjunt de camps separats per espais (els tres primers són quasi-sensitives):

service type control module-path module-arguments

La sintaxi dels fitxers sota/etc/pam.d/és igual tret que no existeix el camp "service". En aquest cas "service" és el nom del fitxer en el directori/etc/pam.d/(el nom del fitxer ha d'estar en minúscules) Usualment service és el nom del servei o aplicació comunament usat, exemple d'això són login, el seu i ssh.

type especifica a quin grup d'administració està associada la regla. Les entrades vàlides són:

* Account: aquest mòdul maneja el compte sense basar-se en autenticació. Típicament s'usa per restringir/permetre l'accés a un servei basat en l'hora o potser des d'on es loguea l'usuari (ex.: root només es pot loguear des de consola
* Auth: proveeix mecanisme d'accés (l'usuari és qui diu ser).
* Password: aquest mòdul és requerit per modificar la contrasenya de l'usuari.
* Session: aquest mòdul està associat amb fer tasques prèvies i/o posteriors a l'inici del servei mateix (poden ser coses com muntar un directori, activar logueos, etc).

El tercer camp control especifica que fer si falla el control aplicat. Hi ha dos sintaxi per aquest camp, una senzilla d'un camp i una altra que especifica més d'un camp dins de claudàtors rectes [] Per a la bàsica, les opcions són:

* Required: indica que aquesta regla ha de ser reeixida, en cas contrari l'usuari no és autoritzat a córrer el servei. Si falla es retorna el control al programa, però abans s'executen tots els mòduls.
* Requisite: és com el required, però retorna el control al programa de seguida de fallar.
* Sufficient: Si aquest mòdul es verifica, llavors (es retorna) se li dóna l'ok al programa i no se segueix verificant els altres mòduls.
* Optional: la falla o no d'aquest mòdul és només important si és l'únic existent.

El quart camp module-path especifica el path al mòdul PAM associat amb la regla. Els mòduls es troben en/lib/security.

El cinquè camp module-arguments és un conjunt de zero o més arguments passats al mòdul durant la seva invocació. Els arguments varien segons el mòdul.

La configuració dels fitxers de configuració sota/etc/pam.d/resulta ser més flexible (s'evita tenir una fitxer únic enorme). Sota aquest directori es pot trobar l'fitxer de confiuración personal d'un servei particular com ser ssh. L'única diferència entre la sintaxi de l'fitxer/etc/pam.conf és que no existeix el camp service.

Vegeu també[modifica]

Enllaços externs[modifica]

Referències[modifica]

  1. Grec: αυθεντικός = veritable o genuí, de 'els authentes' = l'autor
  2. Amb aquest mateix sentit s'ha creat modernament el verb autentificar , que es considera també vàlid; Diccionari panhispánico de dubtes, autenticar