что такое сеансовый пароль
сеансовый пароль
Смотреть что такое «сеансовый пароль» в других словарях:
Криптосистема с открытым ключом — Криптографическая система с открытым ключом (или асимметричное шифрование, асимметричный шифр) система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному … Википедия
Криптографическая система с открытым ключом — (или Асимметричное шифрование, Асимметричный шифр) система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для… … Википедия
Открытый ключ — Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для… … Википедия
Шифрование с открытым ключом — Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для… … Википедия
FTP — У этого термина существуют и другие значения, см. FTP (значения). FTP Название: File Transfer Protocol Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 1971 г. Порт/ID: 21/TCP для команд, 20/TCP для данных, 49152 65534/TCP… … Википедия
POP3 — У этого термина существуют и другие значения, см. Pop. POP3 Название: Post Office Protocol 3 Уровень (по модели OSI): Прикладной Семейство: TCP/IP Порт/ID: 110/TCP Назначение протокола: Получение электронной почты Спецификация … Википедия
IMAP — Название: Internet Message Access Protocol Уровень (по модели OSI): Прикладной Семейство: TCP/IP, E Mail Создан в: 1986 г. Порт/ID: 143/TCP, 993/TCP (IMAP over SSL) Назначение протокола: Доступ к почтовым ящикам … Википедия
IRC — У этого термина существуют и другие значения, см. IRC (значения). Об IRC в Википедии смотрите страницу Википедия:IRC. IRC Название: Internet Relay Chat Уровень (по модели OSI): Прикладной Семейство: TCP/IP Создан в: 1988 г. Порт/ID … Википедия
SSH — Название: Secure Shell Уровень (по модели OSI): Прикладной Семейство: TCP/IP Порт/ID: 22/TCP Назначение протокола: Удалённый доступ Спецификация: RFC 4251 Основные реализации (клиенты) … Википедия
SNMP — Название: Simple Network Management Protocol Уровень (по модели OSI): Прикладной Семейство: UDP Порт/ID: 161/UDP,162/UDP Назначение протокола: Управление сетевыми устройствами Спецификация … Википедия
Kerberos за 5 минут: знакомство с сетевой аутентификацией
Протокол безопасности Kerberos стал основой современной кибербезопасности. Фактически, он настолько хорошо интегрирован, что большинство пользователей или даже разработчиков вообще забывают о нем. Этот скрытый статус может затруднить получение информации о том, что такое Kerberos и как он работает, особенно со всеми различными формами, которые этот протокол принимает сегодня.
В этой статье мы ответим, что такое Kerberos, как он работает, и рассмотрим типичные атаки, которые инженеры безопасности Kerberos должны преодолевать ежедневно.
К концу вы получите новую оценку современной сетевой безопасности и, надеюсь, пик интереса к кибербезопасности!
Что такое Kerberos?
Kerberos — это протокол проверки подлинности компьютерной сети, предназначенный для упрощения и безопасности проверки подлинности.
Основная идея Kerberos вращается вокруг использования локальной формы личной идентификации, называемой билетами, которые предоставляются сервером аутентификации. Каждый билет принадлежит определенным областям, которые определяют, к каким службам он предоставляет доступ. Эти билеты зашифрованы, и для их использования требуется несколько уровней дешифрования. Эта система билетов гарантирует, что конфиденциальная информация, такая как пароли, никогда не будет отправлена по сети.
Протокол Kerberos получил широкое признание с момента его создания в Массачусетском технологическом институте в 1980-х годах. Теперь он встроен в бесчисленное количество зависимых от безопасности реализаций в Интернете, и почти все компании ежедневно взаимодействуют по крайней мере с одной системой Kerberos.
Наиболее известное использование Kerberos — это Microsoft Active Directory, служба каталогов по умолчанию, включенная в Windows 2000 и более поздних версий для управления доменами и аутентификации пользователей.
Другие известные применения — Apple, НАСА, Google, Министерство обороны США и университеты по всей территории Соединенных Штатов.
Преимущества Kerberos
Kerberos так широко используется из-за его простоты и непревзойденной безопасности данных. Вот лишь некоторые из его преимуществ:
Надежная третья сторона: Kerberos использует централизованный сервер аутентификации, известный как Центр распространения ключей (KDC), которому по умолчанию доверяют все другие устройства в сети. Все запросы аутентификации, такие как криптографические сообщения, маршрутизируются через этот сервер. Такой аутсорсинг гарантирует, что конфиденциальная информация не будет храниться на локальном компьютере.
Пример взаимной аутентификации:
Пользователь в сети, использующий Kerberos, может пройти аутентификацию на почтовом сервере, чтобы доказать, что он тот, за кого себя выдает. С другой стороны, почтовый сервер также должен подтвердить, что он действительно является почтовым сервером, а не какой-либо другой службой в сети, претендующей на роль почтового сервера. Если обе стороны аутентифицированы, соединение устанавливается.
Основные компоненты Kerberos
Центр распространения ключей
Центр распространения ключей (KDC) — это центральный процесс Kerberos, содержащий сервер аутентификации (AS) и службу выдачи билетов (TGS). Его основная функция — быть посредником между этими двумя, ретранслируя сообщения от AS, выдает билет на выдачу билетов (TGT), а затем передает его для шифрования с помощью TGS. После этого KDC мало влияет на процесс аутентификации.
Билет на выдачу билетов
Этот билет выдается KDC после успешной аутентификации клиента. TGT зашифрован и содержит разрешения на то, к каким службам может получить доступ клиент, как долго предоставляется доступ, а также ключ сеанса, используемый для связи с клиентом.
Клиенты не могут расшифровать TGT, так как у них нет ключа TGS. Следовательно, они должны слепо представить TGT желаемым службам (которые могут получить доступ к TGS) и позволить службам решить, может ли клиент получить к нему доступ.
Скрывая TGT от клиента, Kerberos предотвращает мошенническое копирование или изменение разрешений клиентом.
Сервер аутентификации
Сервер аутентификации — это первая остановка при аутентификации с помощью Kerberos. Сначала клиент должен аутентифицироваться в AS, используя имя пользователя и пароль для входа.
После этого AS перенаправляет имя пользователя в KDC, который, в свою очередь, предоставляет TGT. Без выполнения этого первого шага клиент не сможет взаимодействовать с какой-либо другой частью системы Kerberos.
Служба выдачи билетов
Служба предоставления билетов действует как привратник между клиентами, владеющими TGT, и различными службами в сети. Когда клиент хочет получить доступ к услуге, он должен представить свой TGT в TGS.
Затем TGS аутентифицирует TGT и устанавливает сеансовый ключ, совместно используемый сервером и клиентом. Если TGS подтверждает, что клиентский TGT включает доступ к желаемой службе, клиенту предоставляется доступ для запроса услуги.
Как работает Kerberos?
Проверка подлинности Kerberos состоит из 4 этапов, в зависимости от того, какие компоненты взаимодействуют между собой:
Пример процесса Kerberos
Каждый из этих этапов состоит из нескольких этапов, но в режиме реального времени процесс происходит очень быстро. Чтобы поместить то, что мы узнали выше, в контекст, давайте рассмотрим пример из реальной жизни.
В начале рабочего дня вы вводите пароль в свой клиент. Пароль аутентифицируется AS, а затем KDC предоставляет вам TGT. В этом билете есть набор ключей от dataScienceкоролевства.
Затем TGT кэшируется на вашем компьютере для дальнейшего использования. Этот доступ позволяет вам использовать любые услуги в dataScienceобласти, например, доступ к покупательскому поведению клиентов.
Затем вы можете получить доступ к этой службе в любое время без необходимости каждый раз аутентифицировать свои разрешения. Однако, если вы попытаетесь получить доступ к любой из служб из financesобласти, вам будет отказано, потому что ваш TGT не имеет ключей к этой области.
В конце рабочего дня срок действия вашего TGT истекает, и вы не сможете снова получить доступ к этим службам, пока не получите новый билет при входе в систему на следующий день.
Разбивка процесса Kerberos (16 шагов)
Теперь мы разберем каждый этап процесса, чтобы вы лучше понимали, что происходит за кулисами:
1. Войти
Пользователь вводит свое имя пользователя и пароль. Затем клиент с поддержкой Kerberos преобразует этот пароль в секретный ключ клиента.
2. Запросы клиентов на сервер выдачи билетов
Затем клиент отправляет серверу аутентификации текстовое сообщение, содержащее:
3. Сервер проверяет имя пользователя.
Имя пользователя проверяется на соответствие проверенным именам пользователей, хранящимся в KDC. Если имя пользователя знакомо, программа продолжится.
4. Выдача билета. Билет возвращается клиенту.
Сервер аутентификации отправляет клиенту два зашифрованных сообщения:
5. Клиент получает сеансовый ключ TGS.
Теперь клиент расшифровывает, message Aиспользуя секретный ключ клиента, предоставляя клиенту доступ к ключу сеанса TGS. Message Bхранится локально в зашифрованном состоянии.
6. Клиент запрашивает доступ к службе с сервера
Теперь клиент отправляет обратно два сообщения:
7. Сервер проверяет службу.
Затем TGS проверяет, существует ли служба запросов в KDC. Если это так, программа продолжается.
8. Сервер получает сеансовый ключ TGS.
Теперь сервер получает все еще зашифрованные message Bотправленные message C. Message B(TGT) затем расшифровывается с использованием секретного ключа TGS сервера, давая серверу сеансовый ключ TGS.
Теперь с помощью этого сеансового ключа TGS сервер может расшифровать message D.
Теперь у сервера есть отметка времени и имя из message Bи message D(сообщения аутентификатора). Сервер следит за тем, чтобы имена и временные метки совпадали, чтобы предотвратить мошеннические сообщения. Он также проверяет метку времени на соответствие времени жизни билета, чтобы убедиться, что время ожидания не истекло.
9. Сервер генерирует служебный сеансовый ключ.
Затем сервер генерирует случайный ключ сеанса службы и еще два сообщения.
10. Клиент получает ключ сеанса обслуживания.
Используя ключ сеанса TGS, кэшированный на шаге 5, клиент расшифровывает, message Fчтобы получить ключ сеанса службы.
11. Клиент связывается с Сервисом
Теперь клиент отправляет еще два сообщения, на этот раз службе:
12. Расшифровка сервисов Message G
Затем служба расшифровывает message Hсвой секретный ключ службы, чтобы получить ключ сеанса службы изнутри. С помощью этого ключа сервис расшифровывает message G.
13. Сервис проверяет запрос
Затем служба проверяет запрос, сравнивая имена пользователей, временные метки и время жизни из messages Gи H.
14. Сервис аутентифицируется для клиента.
Затем служба отправляет message Iзашифрованные с помощью сеансового ключа службы, хранимого как службой, так и клиентом. Message I- аутентификатор, содержащий идентификатор службы и временную метку.
15. Клиент проверяет услугу.
Затем клиент расшифровывает, message Iиспользуя ключ сеанса службы, кэшированный с шага 10. Затем клиент проверяет идентификатор и временные метки, содержащиеся в нем. Если оба соответствуют ожидаемым результатам, услуга считается безопасной.
16. Свободное общение между клиентом и службой
Уверенный в том, что и клиент, и служба взаимно аутентифицированы, Kerberos позволяет клиенту связываться со службой.
Можно ли взломать Kerberos?
Хотя Kerberos по-прежнему является самым безопасным протоколом, его можно взломать, как и любой другой. Kerberos, долгое время выступавший в качестве отраслевого стандарта, дал хакерам достаточно времени для преодоления системы.
Хакеры нашли 5 основных способов обойти систему Kerberos, основанных на нацеливании на уязвимые системные настройки, слабые пароли или распространение вредоносного вредоносного ПО. Давайте рассмотрим каждый из 5 типов атак:
Что изучать дальше
Поздравляю! Сегодня вы узнали, что такое Kerberos, для чего он используется и какие шаги необходимо предпринять для аутентификации действий.
Поскольку все больше компаний используют протоколы безопасности Kerberos, чем когда-либо прежде, это понимание откроет двери для новых карьерных путей и возможностей трудоустройства. Следующие шаги на вашем пути:
Ключик с секретом
В начале марта ЮниКредит Банк сообщил о появлении в мобильных приложениях банка технологии генерирования сеансовых ключей MobiPass, призванной повысить удобство и безопасность использования дистанционных каналов услуг. Портал Банки.ру выяснял, как работает эта технология и какие преимущества дает клиентам.
Об уязвимости передачи кодов подтверждения операции по СМС говорилось уже не раз. Они не имеют непосредственной привязки к реквизитам операции, относительно легко перехватываются и подмениваются злоумышленниками. Другой дешевый вариант доставки одноразовых кодов — — в целом безопаснее, но не так удобен. Ведь коды могут кончиться, а карту можно потерять.
Вместо этих классических методов подтверждения операций можно использовать различные более защищенные и удобные технологии, многие из которых требуют применения дорогостоящих аппаратных компонентов. Некоторые российские банки, использующие систему «ДБО » компании BSS, дают клиентам возможность создавать свои коды (сеансовые ключи) самостоятельно, у себя на мобильном устройстве. Такие возможности предоставляет технология MobiPass.
ЮниКредит Банка состоит в том, что кредитная организация оснастила технологией MobiPass свои мобильные приложения. «В стандартном варианте MobiPass распространяется в виде отдельного приложения, — рассказывает Шальнова. — Когда клиент пользуется мобильным банкингом, ему приходится дважды переключаться с между приложениями, чтобы сформировать сеансовый ключ и вставить в документ. У нас же от клиента требуется минимум манипуляций: чтобы подтвердить документ, достаточно нажать кнопку, что гораздо быстрее и удобнее. В случае подтверждения документа в никакой разницы между отдельным приложением и нашим вариантом нет».
Таким образом, MobiPass хорошо защищает от троянцев, подменяющих интерфейс или мобильного банка. В ситуации, когда вы создаете документ на оплату 100 рублей в адрес оператора мобильной связи, а вредоносная программа формирует документ на оплату 100 тыс. рублей в адрес «дяди Васи», создать правильное кодовое число без знания секретного ключа оно не сможет. Без правильного кодового числа корректный ответный код уже не получить.
Очевидным способом мошенничества в таком случае может быть внутренний фрод, когда сотрудник банка использует секретный ключ в своих целях. Однако в «ЮниКредите», как утверждает Елена Шальнова, этого опасаться не стоит: «Мы практически исключили возможность внутреннего фрода: при подключении клиента требуется дополнительная авторизация другим сотрудником, клиенту высылается при любом изменении настроек. И вообще весь процесс от подачи клиентом заявления до непосредственно подключения верифицирован с точки зрения безопасности».
Интернет-банк
Сеансовый пароль высылается Банком сразу после вашей аутентификации (проверки логина и пароля) на мобильный номер телефона, зарегистрированный в системе. В случае задержки отправки сеансового пароля на ваш номер мобильного телефона: рекомендуем проверить качество соединения вашего мобильного телефона с оператором.
Также следует помнить:
Оператор мобильной связи не сможет доставить вам SMS-сообщение, если память вашего телефона заполнена, в данном случае следует очистить память телефона и перезагрузить его;
Запаздывание сеансового пароля может быть временным явлением, связанным со стандартными периодами высокой нагрузки на оборудование операторов мобильной связи (периодами высокой активности абонентов).
Для восстановления логина к учетной записи необходимо лично обращаться в офис банка с документом, удостоверяющим личность.
Для восстановления пароля к учетной записи необходимо следовать п.1.5 инструкции, с которой можно ознакомиться здесь.
В случае если вы при входе шесть раз неправильно набрали пароль, используемое имя пользователя блокируется и необходимо восстановить пароль.
Для восстановления пароля:
воспользоваться функцией «Восстановление пароля» на главной странице входа в «Интернет-банк» и восстановить забытый пароль самостоятельно. Вам необходимо заполнить форму восстановления пароля, после чего пароль для входа будет отправлен вам SMS-сообщением. За дополнительной информацией можно обращаться в службу технической поддержки по телефону +375 17 229 16 98 (Минск);
вы можете обратиться в любое отделение Белгазпромбанка (за исключением касс и обменных пунктов) с документом, удостоверяющим личность, а также в справочную службу по телефону 120 (работают круглосуточно).
Проверьте регистр (заглавные/строчные) и раскладку (RU/EN) клавиатуры, удалите файлы cookies и попробуйте войти повторно. Проверить корректность вводимой информации можно в справочной службе 120 (работают круглосуточно) или позвонить в службу технической поддержки по номеру телефона +375 17 229 16 98 (Минск).
Регистрация и пользование услугой абсолютно бесплатны и не содержат никаких платных подписок либо ежемесячных комиссий за использование.
Подробнее о функционале можно узнать здесь.