2 Έλεγχος Πρόσβασης & Επαλήθευση Ταυτότητας

2 Έλεγχος Πρόσβασης & Επαλήθευση Ταυτότητας 2.1 Βασικές Έννοιες Έλεγχος Πρόσβασης: Ο όρος παραπέµπει σε ένα σύνολο λογικών ή φυσικών µηχανισµών ασφάλειας που σχεδιάζονται-εφαρµόζονται για να προστατέψουν από τη µη εξουσιοδοτηµένη πρόσβαση (π.χ. είσοδος στο σύστηµα, ανάγνωση, εγγραφή, είσοδος στο δίκτυο, κ.α.), στους πόρους-αγαθά του συστήµατος. Ο όρος «έλεγχος πρόσβασης», συχνά χρησιµοποιείται για να περιγράψει ένα σύνολο διαδικασιών στο οποίο συµµετέχουν άνθρωποι, ηλεκτρονικές διατάξεις, προγράµµατα, και άλλος ηλεκτρονικός ή µη εξοπλισµός, µε σκοπό α) Ο εξουσιοδοτηµένος χρήστης να έχει πρόσβαση στο σύστηµα β) Οι µη εξουσιοδοτηµένοι χρήστες να µην έχουν πρόσβαση στο σύστηµα. Σηµείωση: Το αντιστάθµισµα (trade-off) µεταξύ ασφάλειας και λειτουργικότητας καθιστά σαφές, πως, 1. Η υιοθέτηση πολύπλοκων και εξεζητηµένων µέτρων ασφαλείας επιτυγχάνει το στόχο B, αλλά δυσχεραίνει την υλοποίηση του στόχου A, 2. Η υιοθέτηση «χαλαρών» µέτρων ασφάλειας επιτυγχάνει το στόχο A, ωστόσο καθιστά δύσκολη και επίφοβη την υλοποίηση του στόχου Β. http://www.cs.uwf.edu/~rdavid/cen4540/sec3.ppt Κατηγορία Ελέγχου` Πρόληψη Ανίχνευση Αντιµετώπιση Φυσικής πρόσβασης (παραδείγµατα Φράχτες Προσωπικό Ασφαλείας Χ Έξυπνες Κάρτες (smartcards) ιαχειριστικός (παραδείγµατα) Πολιτικές Ασφάλειας Χ Έλεγχος και Εποπτεία Εκπαίδευση υπαλλήλων Χ Λογικής Πρόσβασης (παραδείγµατα) Λίστες Ελέγχου Πρόσβασης (ACLs), MAC, RBAC, Λογισµικό Antivirus, Anti-Spyware,.. Κρυπτογράφηση εδοµένων και Επικοινωνιών Firewalls (Packet Filters, Application Gateways) Συστήµατα Ανίχνευσης & Αποτροπής Εισβολών (IDS/IPS) Κλοπή Ταυτότητας Πλαστοπροσωπία. Στις επιθέσεις αυτές, µια οντότητα Α αποκτά ικανό αριθµό προσωπικών πληροφοριών ή αντικειµένων που ανήκουν σε (π.χ. πιστωτικές κάρτες, κινητά τηλέφωνα, κωδικοί passwords, PINs, αριθµοί

πιστωτικών καρτών, κρυπτογραφικά κλειδιά κ.α.) ή αφορούν σε (π.χ προσωπικά στοιχεία ονόµατα, διευθύνσεις, κ.α.) µια οντότητα B, ώστε o A να µπορεί να:.. πραγµατοποιήσει συναλλαγές µε ανθρώπους, υπηρεσίες, επιχειρήσεις, οργανισµούς, τράπεζες, υποκρινόµενος τον Β,.. αποκτήσει µη εξουσιοδοτηµένη πρόσβαση σε έγγραφα, δεδοµένα και πληροφορίες που ανήκουν ή χρησιµοποιεί ο Β και είναι αποθηκευµένες σε Η/Υ,.. αποστείλει µηνύµατα ηλεκτρονικής αλληλογραφίας (π.χ. µη ζητηθείσα αλληλογραφία - spam, κακόβουλο λογισµικό, phishing) µε πλαστή ταυτότητα αποστολέα. Σηµειώνουµε πως τα περισσότερα κακόβουλα λογισµικά τύπου worm εξαπλώνονται ακριβώς µε αυτόν τον τρόπο... να διαπράξει ένα ηλεκτρονικό έγκληµα (π.χ. επιθέσεις Άρνησης Εξυπηρέτησης, εισβολή σε συστήµατα, κ.λ.π) ενοχοποιώντας στη συνέχεια τον Β. Η έννοια του υποκειµένου ως γνωστόν µπορεί να περιλαµβάνει ανθρώπους, προγράµµατα, Η/Υ ή άλλες διατάξεις. Ως εκ τούτου, η έννοια της ταυτοποίησης δεν αφορά µόνον τους µηχανισµούς για την ταυτοποίηση α) ανθρώπων από ανθρώπους ή α) ανθρώπων από προγράµµατα ή Η/Υ αλλά και γ) τους µηχανισµούς για την ταυτοποίηση προγραµµάτων ή διατάξεων από άλλα προγράµµατα ή διατάξεις. Σηµείωση: Συνήθως οι πρώτες δύο κατηγορίες παρουσιάζουν σηµαντικά προβλήµατα διαχείρισης. Γιατί; ιότι εµπλέκεται ο άνθρωπος! Παραδείγµατα: Το πρόβληµα της αποµνηµόνευσης των κωδικών πρόσβασης στο σύστηµα Απώλεια καρτών, κλειδιών. Επιθέσεις Κοινωνικής Μηχανικής Έλεγχος πρόσβασης (Access Control) Περίπτωση: Ταυτοποίηση Host-to-Host Network-Based Authentication Ταυτοποίηση ενός Η/Υ στοinternet βάσει της IP διεύθυνσης (IP-based authentication) Ταυτοποίηση ενός Η/Υ στοinternet βάσει του ονόµατος DNS του Η/Υ (name-based authentication). Προηγµένες (κρυπτογραφικές τεχνικές). Χρήση τεχνικών challenge-response Άλλες κρυπτογραφικές τεχνικές Κέντρα ιανοµής Κλειδιού (π.χ. Kerberos), Πιστοποιητικά ηµόσιου κλειδιού (π.χ. SSL, Ssh, DNSSec), 2

Ταυτοποίηση Χρήστη. ιακρίνουµε τρεις µεγάλες κατηγορίες συστηµάτων ταυτοποίησης χρήστη: 1) Ταυτοποίηση SYK, 2) Ταυτοποίηση SYH, 3) Ταυτοποίηση SYA. Με τις κατηγορίες αυτές θα ασχοληθούµε στη συνέχεια της ενότητας Ταυτοποίηση χρηστών Σε ένα τυπικό σύστηµα ασφάλειας, το σύστηµα µπορεί να ελέγξει την αυθεντικότητα των χρηστών µε τρεις τρόπους. Γνώση µιας πληροφορίας ( Something Υou Κnow ) Passwords, PIN, κρυπτογραφικό κλειδί, Φυσική κατοχή ενός αντικειµένου ( Something Υou Ηave ) PDA, USB flash, κάρτα (smart or magnetic) Φυσικά χαρακτηριστικά ( Something Υou Αre ) Βιολογικά ή Συµπεριφοράς: Ίριδα, δαχτ. αποτυπώµατα, βάδισµα, ή χρησιµοποιώντας ένα συνδυασµό των παραπάνω Λόγω κόστους: Συνήθως υιοθετείται η µέθοδος SYK... Η ταυτοποίηση SYK (Something You Know - SYK) προϋποθέτει την αποµνηµόνευση από το χρήστη µιας µυστικής πληροφορίας, και συνήθως σχετίζεται µε έννοιες και τεχνικές όπως: 1. Στατικοί κωδικοί (δηλαδή κωδικοί που δεν αλλάζουν ή που αλλάζουν σπάνια): Passwords, PINs, Κωδικός πρόσβασης (ή συνθηµατικό). Μυστική συµβολοσειρά που χρησιµοποιείται για τον έλεγχο της αυθεντικότητας του χρήστη. 2. Τεχνικές Πρόκλησης Απάντησης (challenge-response) 3. Κωδικοί µιας χρήσης (one-time passwords) 4. Χρήση συστηµάτων ψηφιακής υπογραφής Για τις µεθόδους ταυτοποίησης 2 και 4 συχνά γίνεται χρήση καρτών ή άλλων διατάξεων (π.χ. Password generators βλέπε Ενότητα Α). Σε αυτές τις περιπτώσεις, το σύστηµα ταυτοποίησης αποτελεί συνδυασµό SYK (όταν π.χ. η χρήση της κάρτας εξουσιοδοτείται µε τη γνώση ενός κωδικού PIN) και SYH (η κάρτα περιέχει τα απαραίτητα κλειδιά και πληροφορίες για την ταυτοποίηση του χρήστη). Η ταυτοποίηση µε τη φυσική κατοχή ενός αντικειµένου (Something you Have SYH) αποτελεί ίσως τον απλούστερο και λιγότερο ασφαλή τύπο ταυτοποίησης, για αυτό συχνά συνδυάζεται µε κάποιον από τους άλλους δύο τύπους ταυτοποίησης. Η κατοχή ενός αντικειµένου που µπορεί να κλαπεί, δανειστεί, απωλεσθεί, δε µπορεί να 3

θεωρηθεί το πλέον αξιόπιστο κριτήριο για να πιστοποιήσει κανείς την ταυτότητα ενός υποκειµένου. Η ταυτοποίηση µε βιοµετρικές µεθόδους (Something you Are - SYΑ) αφορά ανθρώπους και µόνον, και θα εξεταστεί ξεχωριστά. Σηµείωση: Ο συνδυασµός και των τριών τρόπων ταυτοποίησης αποτελεί την ασφαλέστερη µέθοδο. Ωστόσο, εκτός από τις περιπτώσεις όπου απαιτείται ένα υψηλότατο επίπεδο ασφάλειας (π.χ. στρατιωτικές εγκαταστάσεις), σπάνια υιοθετούνται συστήµατα που ενσωµατώνουν και τους τρεις τύπους SYK, SYH, SYA, και αυτό λόγω κόστους και µειωµένης λειτουργικότητας. Η πλέον δηµοφιλής τεχνική είναι η ταυτοποίηση SYK (Όνοµα χρήστη - user name και κωδικός - password). Ασφαλής σύνδεση σε αποµακρυσµένο Η/Υ Συναλλαγές σε ΑΤΜ µε τη χρήση κωδικού PIN PIN σε κινητό Σύνδεση στο web banking log-in σε περιβάλλον Windows 2.2 Ταυτοποίηση µε Κωδικούς Πρόσβασης Η επαλήθευση ταυτότητας µε τη χρήση κωδικών πρόσβασης αποτελεί την πλέον δηµοφιλή µέθοδο ταυτοποίησης. Τα παραδείγµατα είναι πολλά: Πρόσβαση σε Η/Υ (π.χ. log-on στα Windows, Unix,..): Χρήση ενός ονόµατος χρήστη (username) και ενός κωδικού για την πρόσβαση στον Η/Υ Πρόσβαση στον server του δικτύου (π.χ. Domain Server, Unix server): Χρήση ενός ονόµατος χρήστη και ενός κωδικού για την πρόσβαση στο χώρο του δίσκου που έχει εκχωρηθεί στον χρήστη από τον server. Πρόσβαση στον mail server για την αποστολή, λήψη και διαχείριση e-mail: Χρήση ενός ονόµατος χρήστη και ενός κωδικού για την πρόσβαση στην ταχυδροµική θυρίδα του διακοµιστή εισερχόµενης αλληλογραφίας (incoming 4

mail server) ή για την αποστολή e-mail µέσω του διακοµιστή εξερχόµενης αλληλογραφίας (outgoing mail server) Πρόσβαση στην κάρτα SIM του κινητού τηλεφώνου, στην κάρτα ανάληψης (ATM): Χρήση ενός αριθµού PIN (Personal Identification Number). Μη «παραδοσιακά» συνθηµατικά. Σε αρκετές περιπτώσεις (που αφορούν κυρίως συναλλαγές που διεκπεραιώνονται µέσω τηλεφώνου) το σύστηµα µπορεί αντί για κωδικό να ζητήσει από το χρήστη ορισµένες πληροφορίες, όχι απαραίτητα µυστικές: Για παράδειγµα, µπορεί να ζητηθεί το ονοµατεπώνυµο, ο αριθµός ταυτότητας, η διεύθυνση, ο αρ. τηλεφώνου, το ΑΦΜ κ.λ.π. Η λογική αυτής της προσέγγισης είναι πως ενώ κάθε µια από αυτές τις πληροφορίες είναι εύκολο να γίνει γνωστή σε κάποιον τρίτο, η πιθανότητα να γίνουν ΟΛΕΣ γνωστές είναι µικρή. Βέβαια, η προσέγγιση αυτή δεν µπορεί να θεωρηθεί ασφαλής, ιδίως σε περιβάλλοντα συναλλαγών όπου απαιτείται υψηλό επίπεδο ασφάλειας. Σηµείωση: Συχνά (π.χ. σε περιβάλλοντα phone banking) χρησιµοποιείται ένας συνδυασµός από παραδοσιακά και µη παραδοσιακά συνθηµατικά. 2.2.1 Οι Απειλές Το πρόβληµα µε τους κωδικούς πρόσβασης. Συχνά τίθεται το εξής ερώτηµα: «Πώς θα επιτύχουµε την εύρεση ενός κωδικού πρόσβασης που θα είναι α) δύσκολο να παραβιαστεί από κάποιον τρίτο (εποµένως, αρκετά τυχαίος random), και ταυτόχρονα β) αρκετά εύκολος ώστε να τον θυµόµαστε; Αρχικά, οι δύο αυτές απαιτήσεις φαντάζουν ως αντιφατικές. ιαφορά συµµετρικών µε ασύµµετρες τεχνικές ταυτοποίησης: Στις συµµετρικές τεχνικές SYK, ο χρήστης Α γνωρίζει ένα µυστικό Κ (π.χ κλειδί, κωδικός, PIN). H γνώση αυτού του µυστικού ταυτοποιεί τον χρήστη σε κάποιον τρίτο S. Ο χρήστης Α εµπιστεύεται ότι ο S δε θα χρησιµοποιήσει το µυστικό Κ προκειµένου να «κλέψει» την ταυτότητα του Α και να τη χρησιµοποιήσει σε συναλλαγές µε τρίτους. Περίπτωση: Εάν ο χρήστης Α εµπλακεί σε µια εγκληµατική πράξη, και το µόνο στοιχείο που υπάρχει είναι η γνώση ότι έγινε χρήση του κωδικού Κ για την είσοδο στο σύστηµα, πώς µπορούµε να είµαστε βέβαιοι ότι ενεπλάκη ο Α και όχι ο S; Σε ένα τέτοιο σενάριο ο Α θα ήταν δυνατόν να αποποιηθεί ευθύνη (repudiation) για τις πράξεις του. Πώς θυµάται ο χρήστης τον κωδικό πρόσβασης; Ένας «δύσκολος» κωδικός που χρησιµοποιείται συχνά είναι εύκολο να αποµνηµονευτεί Ένας «εύκολος» κωδικός που χρησιµοποιείται σπάνια είναι δύσκολο να αποµνηµονευτεί 5

Λάθος τακτική: επιλογή ενός «δύσκολου» κωδικού, και στη συνέχεια χρήση του σε περισσότερα του ενός περιβάλλοντα (δικτυακοί τόποι, συστήµατα ελέγχου πρόσβασης, πρόσβασης σε Η/Υ κλπ) Σηµείωση: Η χρήση κωδικών πρόσβασης, παρά τις αδυναµίες της, αποτελεί τον πλέον δηµοφιλή τρόπο ταυτοποίησης για συστήµατα που απαιτούν χαµηλό έως µέσο επίπεδο ασφάλειας. Ο χρήστης µπορεί να «χάσει» την αποκλειστικότητα του κωδικού του πρόσβασης όταν: Χρησιµοποιεί τον ίδιο κωδικό σε πολλά συστήµατα Αποκαλύψει τον κωδικό του σε κάποιον τρίτο (για διευκόλυνση π.χ. «θέλω να δω κάτι στον υπολογιστή σου», τυχαία π.χ. «σε είδα την ώρα που πληκτρολογούσες το PIN σου», ή ως αποτέλεσµα παραπλάνησης τεχνικές phishing - Κοινωνική Mηχανική). Μία επίθεση Κοινωνικής Μηχανικής (Phishing). To αρχείο approvedpassword.zip µε µεγάλη πιθανότητα περιέχει κακόβουλο λογισµικό. Ηταυτότητα αποστολέα webmaster@ionio.gr είναι, µε µεγάλη πιθανότητα, πλαστή. Όσο πιο «δύσκολος» είναι ο κωδικός πρόσβασης, τόσο πιο υψηλή είναι η πιθανότητα 1. Να ξεχαστεί 2. Να σηµειώσει ο χρήστης τον κωδικό του σε ένα χαρτί. Παρατήρηση: Σηµειώνοντας τον κωδικό πρόσβασης, o τύπος ταυτοποίησης µετατρέπεται αυτόµατα από «Κάτι που ξέρεις SYK» σε «Κάτι που Έχεις SYH», αποκτώντας όλες τις αδυναµίες που είναι εγγενείς στον τύπο SYH (π.χ. απώλεια, κλοπή, καταστροφή, ανάγνωση από τρίτο κ.λ.π) 6

Όσο πιο «εύκολος» είναι ο κωδικός πρόσβασης τόσο πιο εύκολη είναι η αποµνηµόνευση του, εποµένως τόσο πιο υψηλή είναι η πιθανότητα 1. Κάποιος τρίτος να «σπάσει» τον κωδικό χρησιµοποιώντας εξειδικευµένα εργαλεία 2. Κάποιος τρίτος να υποθέσει τον κωδικό, αξιοποιώντας προσωπικές ή άλλες πληροφορίες που γνωρίζει για τον χρήστη. Μελέτη Περίπτωσης: Οι κωδικοί για την εκτόξευση πυρηνικών κεφαλών στις Η.Π.Α έχουν µήκος 12 δεκαδικών ψηφίων. Το µήκος των κωδικών δεν είναι τυχαίο. Τη στιγµή που θα χρειαστεί να εισαχθούν οι κωδικοί στο σύστηµα, τα άτοµα που τους διαχειρίζονται ενδέχεται να βρίσκονται σε κατάσταση υπερβολικού άγχους. Ένας κωδικός µεγαλύτερου µήκους, ναι µεν θα αύξανε το επίπεδο ασφάλειας, ωστόσο θα µείωνε τη λειτουργικότητα του συστήµατος. Σηµείωση: Μία µέση λύση που προτείνεται συχνά είναι η χρήση ενός «δύσκολου» κωδικού πρόσβασης σε περιβάλλοντα που απαιτούν υψηλή ασφάλεια (π.χ. e-banking, πρόσβαση στο προσωπικό e-mail και ηλεκτρονικές πληρωµές), και αντίστοιχα ενός «εύκολου» κωδικού πρόσβασης σε περιβάλλοντα χαµηλού ή µέσου επίπεδου ασφάλειας (π.χ. εγγραφή σε forum, πύλες, web mail, newsgroups, κ.λ.π) Μελέτη περίπτωσης (case study) Πανεπιστήµιο του Sydney [Anderson, 2001] «336 χρήστες έλαβαν e-mail µε την υπόδειξη να αποστείλουν τον κωδικό τους ώστε να ενηµερωθεί η βάση του δικτύου» 138 απέστειλαν το σωστό κωδικό 30 απέστειλαν λάθος κωδικό Ελάχιστοι ανέφεραν το γεγονός στον υπεύθυνο Ασφαλείας του συστήµατος H µελέτη αυτή περίπτωσης καταδεικνύει πως: το ποσοστό όσων εξαπατώνται από επιθέσεις τύπου phishing είναι αρκετά υψηλό. Σήµερα, το ποσοστό αυτό είναι σαφώς µικρότερο. Ωστόσο, αν υποθέσουµε π.χ. ένα ποσοστό εξαπάτησης. 1/1000, και το ίδιο mail φθάσει σε 1.000.000 ανθρώπους, τότε κατά µέσο όρο θα εξαπατηθούν 1000 άνθρωποι. Επίσης, λόγω της υψηλής διείσδυσης του Internet, ένα µεγάλο ποσοστό των ανθρώπων που λαµβάνουν τέτοιου είδους αλληλογραφία δεν 7

είναι ενηµερωµένοι σχετικά µε τους κινδύνους που ελλοχεύουν (security awareness). Το γεγονός αυτό αυξάνει τις πιθανότητες εξαπάτησης. Το πρόβληµα της αποµνηµόνευσης των κωδικών πρόσβασης δεν περιορίζεται στην πρόσβαση σε Ηλεκτρονικούς Υπολογιστές. Καθηµερινά χρησιµοποιούµε συσκευές που απαιτούν τη χρήση ενός συνθηµατικού πρόσβασης (π.χ. PIN σε κινητά τηλέφωνα, συσκευές ATM κ.λ.π) Λάθη στη σχεδίαση (design errors). Ένα σύνηθες λάθος είναι η χρήση µιας ή περισσότερων προσωπικών πληροφοριών ως κωδικών πρόσβασης. Η χρήση τέτοιων συνθηµατικών, ναι µεν είναι αποδεκτή σε συστήµατα που απαιτούν χαµηλό επίπεδο ασφάλειας (π.χ. ερώτηση για τον υπολειπόµενο χρόνο οµιλίας στο τµήµα Εξυπηρέτησης Πελατών του Παρόχου Κινητής Τηλεφωνίας), δε συµβαίνει όµως το ίδιο σε συστήµατα µέσου και υψηλού επιπέδου ασφαλείας. Σε αυτές τις περιπτώσεις, το σύστηµα θα πρέπει να ελέγχει την εγκυρότητα των κωδικών που επιλέγονται ώστε να αποφεύγονται παρόµοιες καταστάσεις. Μελέτη περίπτωσης: Μια αλυσίδα ξενοδοχείων στη Γαλλία εισήγαγε ένα σύστηµα ηλεκτρονικής ταυτοποίησης που δεν απαιτούσε τη φυσική παρουσία υπαλλήλων για την εξυπηρέτηση των πελατών κατά τις νυχτερινές ώρες. Ο πελάτης εισέρχεται στο ξενοδοχείο, εισάγει την πιστωτική κάρτα στο µηχάνηµα POS στη αίθουσα υποδοχής, και λαµβάνει µια απόδειξη της συναλλαγής καθώς και έναν αριθµητικό κωδικό για την πρόσβαση στο δωµάτιο του. Προκειµένου να διατηρήσει τα κόστη χαµηλά, η διεύθυνση του ξενοδοχείου αποφάσισε να διαθέτει WC κοινής χρήσης (και όχι σε κάθε δωµάτιο χωριστά). Το πρόβληµα γίνεται αντιληπτό στην περίπτωση που ο πελάτης «ξεχάσει» τον κωδικό πρόσβασης κατά τη διαδροµή ωµάτιο-wc- ωµάτιο. Λάθη χρηστών. Κατά τη διαχείριση πολλών συσκευών ή προγραµµάτων απαιτείται η εισαγωγή κωδικού πρόσβασης. Κατά την πρώτη σύνδεση ενδέχεται να υπάρχει προεγκατεστηµένος ένας αρχικός (default) κωδικός, ο οποίος α) είναι εύκολος στην αποµνηµόνευση, και β) συνήθως είναι ο ίδιος για όλα τα προϊοντα της εταιρίας. Συχνά οι χρήστες αµελούν ή αποφεύγουν να αλλάξουν τους αρχικούς κωδικούς. Σε αυτήν την περίπτωση, οι κίνδυνοι είναι προφανείς, π.χ. αποµακρυσµένη διαχείριση router, πρόσβαση dial-up, πρόσβαση στο voice mail, κ.α.. Μελέτη περίπτωσης: Οι περισσότερες τράπεζες επιτρέπουν στους πελάτες τους να επιλέγουν το PIN της αρεσκείας τους. Σε αρκετές περιπτώσεις το PIN που επιλέγεται είναι η ηµεροµηνία γέννησης του πελάτη ή κάποιου συγγενικού του προσώπου. Σε µια τέτοια περίπτωση, και µε δεδοµένο ότι οι αριθµοί PIN είναι συνήθως 4 δεκαδικών ψηφίων, οι πιθανότητες που έχει κάποιος να µαντέψει το σωστό PIN, αυξάνονται από 1 στις 10 4 σε (το πολύ) 1 στις 100. Αν µάλιστα ο «θύτης» γνωρίζει το «θύµα», οι πιθανότητες αυξάνονται ακόµη περισσότερο. Συχνά επίσης, το PIN που επιλέγεται για τις συναλλαγές µε την τράπεζα, χρησιµοποιείται και κατά την πρόσβαση στο κινητό τηλέφωνο ή/και σε άλλες συσκευές. Έτσι, η πιθανότητα µη εξουσιοδοτηµένης πρόσβασης στις συσκευές αυτές είναι εξαιρετικά υψηλή. Περίπτωση: Στο σχήµα που ακολουθεί, το σύστηµα αποµνηµόνευσης χρησιµοποιεί µια µήτρα (κάρτα) µεγέθους 410 και λειτουργεί ως εξής: έστω ότι το PIN είναι ο αριθµός 2256. Ο χρήστης επιλέγει τυχαία µια λέξη 4 γραµµάτων (π.χ. Blue) και 8

εισάγει κάθε γράµµα στην 2η, 2η, 5η και 6η στήλη της κάρτας αντίστοιχα. Στη συνέχεια «γεµίζει» τις υπόλοιπες θέσεις της κάρτας µε τυχαία γράµµατα. Γιατί το σύστηµα δεν είναι ασφαλές; Αρχικά, διότι µετατρέπει τον τύπο ταυτοποίησης από SYK σε ταυτοποίηση SYH. Επίσης, στατιστικά, ένας πίνακας 4x10 µε τυχαίους χαρακτήρες δεν µπορεί να παράγει περισσότερες από 40-50 λέξεις (Anderson 2001). Κατ αυτόν τον τρόπο, οι πιθανότητες που έχει ο «εχθρός» να µαντέψει το σωστό PIN σε τρεις προσπάθειες αυξάνονται από 1 στις 3000 (εφόσον 10 4 / 3 3000) σε 1 στις ~15 (εφόσον 45/3=15). Ένα (κακό) σύστηµα αποµνη- µόνευσης του κωδικού πρόσβασης Έστω το PIN είναι 2256 Επιλέγουµε µια λέξη 4 γραµµάτων (π.χ. blue) Την τοποθετούµε ωςεξήςστηνκάρτα(π.χ. Από την τράπεζα) 1 2 3 4 5 6 7 8 9 0 a b F z P D N m v E o L i k L U E Y t C I r t w U E B n g E L j o s B e A o S H To µοντέλο απειλών καθορίζει και την πολιτική ασφάλειας που πρέπει να ακολουθηθεί: Απειλή 1. Επίθεση σε έναν (συγκεκριµένο) λογαριασµό. Οι επιθέσεις τέτοιου τύπου είναι απόλυτα στοχευµένες. Ο στόχος είναι ένα συγκεκριµένο µηχάνηµα ή χρήστης. Απειλή 2. Επίθεση σε οποιονδήποτε λογαριασµό του συστήµατος. Ο στόχος του εισβολέα είναι η είσοδος στο σύστηµα µε οποιονδήποτε τρόπο. Συνήθως, οι επιθέσεις τέτοιου τύπου είναι στοχευµένες (π.χ. στόχος: η Microsoft) και κλιµακωτές, όταν δηλαδή χρησιµοποιούνται ως προθάλαµος µιας γενικότερης επίθεσης στο σύστηµα. (π.χ. «θέλω να συνδεθώ ως οποιοσδήποτε χρήστης στο microsoft.com, και στη συνέχεια να αποκτήσω δικαιώµατα ιαχειριστή»). Σε πολλά συστήµατα τα δικαιώµατα πρόσβασης που εκχωρούνται στους εσωτερικούς χρήστες (insiders) του συστήµατος είναι σηµαντικά περισσότερα σε σχέση µε αυτά που εκχωρούνται σε εξωτερικούς χρήστες (outsiders). Έτσι, το πιο σηµαντικό (άρα, και το πιο δύσκολο) βήµα που έχει να διανύσει ο «εισβολέας» είναι η επιτυχής πρόσβαση σε κάποιον (οποιονδήποτε) λογαριασµό χρήστη του συστήµατος (ακόµα και αν ο λογαριασµός αυτός έχει περιορισµένα δικαιώµατα). Στη συνέχεια ο εισβολέας θα χρησιµοποιήσει 9

έξυπνες τεχνικές-εργαλεία για να αυξήσει ακόµα περισσότερο τα δικαιώµατα που του παρέχει το σύστηµα. Απειλή 3. Επίθεση σε οποιονδήποτε λογαριασµό οποιουδήποτε συστήµατος. Π.χ. για την αποθήκευση-διακίνηση παρανόµως διακινούµενου υλικού (λογισµικό, παιχνίδια, ταινίες κ.λ.π). Ο λογαριασµός αυτός µπορεί να χρησιµοποιηθεί αργότερα στα πλαίσια µιας επίθεσης DOS ή DDOS σε κάποιο άλλο σύστηµα (π.χ. ως zombie σε δίκτυα BotNet). Σηµείωση: Η ταξινοµία αυτή είναι χρήσιµη γιατί µας βοηθάει να θέσουµε χρήσιµα ερωτήµατα όταν επιλέγουµε ή σχεδιάζουµε ένα σύστηµα ασφάλειας µε κωδικούς πρόσβασης. Έτσι, αξιολογούνται οι εξής περιπτώσεις: α) όταν η επιλογή ενός «εύκολου» κωδικού από έναν χρήστη δυνητικά θα βλάψει µόνον το χρήστη και β) όταν η επιλογή ενός «εύκολου» κωδικού από έναν χρήστη δυνητικά βλάπτει άλλους χρήστες ή το πληροφοριακό σύστηµα της Επιχείρησης/Οργανισµού. Στην δεύτερη περίπτωση, η πολιτική ασφάλειας της επιχείρησης πρέπει να τροποποιηθεί ώστε οι χρήστες του συστήµατος να υποχρεώνονται (στο βαθµό που αυτό είναι εφφικτό) να επιλέξουν κωδικούς χαµηλής προβλεψιµότητας. Επιθέσεις Online (Ενεργητικές) και Επιθέσεις Offline (Παθητικές) Επιθέσεις Online O Mallory συνδέεται στο σύστηµα (log-in) και δοκιµάζει υποψήφιους κωδικούς Ηεπίθεση(συνήθως) προϋποθέτει τη γνώση του ονόµατος χρήστη (username), π.χ. ως αποτέλεσµα τεχνικώνfootprinting Επιθέσεις σε συνδέσεις HTTP, Telnet, Pop, FTP, SMB κ.λ.π Σηµείωση: Πολλά «ύποπτα» προγράµµατα µπορούν να πραγµατοποιήσουν online επιθέσεις λεξικού. Σε αυτήν την περίπτωση, βεβαίως, η επίθεση προϋποθέτει την µη ύπαρξηµηχανισµών κλειδώµατος (lockout) µετά από έναν αριθµό αποτυχηµένων προσπαθειών (π.χ. 3) Προγράµµατα: Brutus, ObiWan, pop.c, TeeNet, SNMPbrute, Στη συνέχεια µελετούµε τρεις περιπτώσεις υποκλοπής κωδικών πρόσβασης σε ένα πληροφοριακό σύστηµα. 1. Υποκλοπή Κωδικών Πρόσβασης κατά την εισαγωγή Περίπτωση - Λογισµικό Spyware στον Η/Υ. Τη στιγµή που ο χρήστης πληκτρολογεί τον κωδικό πρόσβασης, κακόβουλο λογισµικό τύπου spyware που βρίσκεται εγκατεστηµένο στη µνήµη του Η/Υ τον υποκλέπτει και στη συνέχεια τον αποστέλει π.χ. µε e-mail στον «εχθρό». 10

Παράδειγµα λάθους σχεδιασµού (Πηγή: Anderson 2001). Στo Λειτουργικό Σύστηµα PDP-10 TENE ο έλεγχος των κωδικών γίνεται σε κάθε χαρακτήρα ξεχωριστά. Το σύστηµα εµφάνιζε ένα µήνυµα λάθους αµέσως µόλις εισαγόταν ένας λάθος χαρακτήρας. Οι ευπάθειες αυτού του µηχανισµού ταυτοποίησης είναι προφανείς. Ο «εισβολέας» µπορεί να µαντέψει κάποιους ή όλους τους χαρακτήρες του κωδικού µε διαδοχικές (όχι απαραίτητα ταυτόχρονες) δοκιµές. Παράδειγµα λάθους σχεδιασµού ιεπαφής (Interface): Η συσκευή εισόδου του κωδικού πρόσβασης σε αρκετά µηχανήµατα τύπου ΑΤΜ βρίσκεται σε υψηλό (σε σχέση µε το έδαφος) σηµείο. 2. Υποκλοπή (eavesdropping, interception) κατά τη µετάδοση Κατά την επικοινωνία µεταξύ δύο κόµβων συχνά παρεµβάλλονται ένας ή περισσότεροι ενδιάµεσοι κόµβοι (π.χ. routers, servers κ.λ.π). Επίσης, σε περιβάλλοντα τοπικών δικτύων (LAN), ένας Η/Υ µπορεί να έχει (ή να αποκτήσει, µε κακόβουλο τρόπο), πρόσβαση στα πακέτα δεδοµένων που µεταδίδονται από τις κάρτες δικτύου «γειτονικών» Η/Υ του τοπικού δικτύου). Στις περιπτώσεις αυτές, ένας (µη κρυπτογραφηµένος) κωδικός ενδέχεται να υποκλαπεί κατά τη µετάδοση του. Σήµερα, τεχνολογίες κρυπτογράφησης όπως το Secure Socket Layer (SSL) προσφέρουν κρυπτογράφηση δεδοµένων στο επίπεδο εφαρµογής, κατά τη µεταφορά τους µεταξύ δύο Η/Υ που επικοινωνούν µέσω Internet. Επίσης, υπηρεσίες και πρωτόκολλα επιπέδου εφαρµογής όπως (Telnet, rcp κ.α.) έχουν αντικατασταθεί- µετεξελιχτεί (π.χ. αποµακρυσµένη σύνδεση µε το πρωτόκολλο OpenSSH) ώστε η επικοινωνία µεταξύ δύο host να κρυπτογραφείται. Τέλος, οι τεχνολογίες κρυπτογράφησης σε χαµηλότερα επίπεδα (π.χ. IPSEC, WPA κ.α.), µπορούν επίσης να αποτελέσουν εργαλεία πρόληψης για τις επιθέσεις αυτής της κατηγορίας. Ειδική Περίπτωση - Επιθέσεις εισαγωγής (fabrication). Παράδειγµα αποτελούν οι επιθέσεις Ενδιάµεσης Οντότητας (Man in the Middle attacks) βλέπε Ενότητα 1 ή οι επιθέσεις Web spoofing, όπου η αίτηση σύνδεσης του χρήστη προωθείται σε κάποιο «πλαστής ταυτότητας» δικτυακό τόπο (π.χ. ως αποτέλεσµα µιας επίθεσης τύπου phishing µέσω ηλ. Αλληλογραφίας) όπου και ζητείται από το χρήστη να ταυτοποιηθεί, δίνοντας π.χ. τον κωδικό του ή τα στοιχεία της κάρτας πληρωµών του. 3. Υποκλοπή κατά την αποθήκευση (password storage) Στα περισσότερα συστήµατα, το αρχείο µε τους κωδικούς των χρηστών (password file), βρίσκεται αποθηκευµένο, συνήθως σε κωδικοποιηµένη µορφή, σε έναν κεντρικό εξυπηρετητή (server). To αρχείο αυτό εφόσον περιέλθει στην κατοχή του εισβολέα, θα χρησιµοποιηθεί στα πλαίσια µιας επίθεσης λεξικού (dictionary attack) από ειδικό λογισµικό (π.χ. password crackers) για την εξαγωγή του κωδικού του χρήστη. Επιθέσεις Λεξικού. Οι επιθέσεις αυτές οφείλονται στην επιλογή «εύκολων» κωδικών από τους χρήστες, καθώς και στην ολοένα αυξανόµενη επεξεργαστική ισχύ, η οποία επιτρέπει το «σπάσιµο» ενός (όχι πολύ σύνθετου) συνθηµατικού σε µικρό χρονικό διάστηµα. Οι επιθέσεις αυτές συνήθως χρησιµοποιούν κάποιο λεξικό/λεξικά στα οποία περιέχονται τα συνθηµατικά που επιλέγουν πιο συχνά οι χρήστες (dictionary attack), καθώς και πλήθος λέξεων πολλών αλφάβητων. Ορισµένα προγράµµατα (π.χ. L0phtcrack) χρησιµοποιούν αρκετά πιο εξελιγµένες τεχνικές: εκτός από µια 11

συγκεκριµένη λέξη, δοκιµάζονται επίσης όλοι οι πιθανοί αναγραµµατισµοί της λέξης καθώς και συνδυασµοί χαρακτήρων της λέξης µε αριθµούς ή/και σύµβολα. Επιθέσεις Offline (Επιθέσεις Λεξικού ή Ωµής Βίας) O Mallory αποκτά πρόσβαση στο αρχείο («κρυπτογραφηµένων») κωδικών του συστήµατος (π.χ. /etc/passwd, SAM file) H επίθεση προϋποθέτει ότι o Mallory έχει ήδη συνδεθεί στο σύστηµα, π.χ. ως απλός χρήστης ή administrator Στη συνέχεια ο Mallory εκτελεί ένα πρόγραµµα ανάκτησης κωδικών (cracking software) Εργαλεία: pwdump, L0phtCrack, John Ripper, Crack Πώς πραγµατοποιείται η επίθεση λεξικού (dictionary attack): Ο εισβολέας αποκτά ένα αντίγραφο του αρχείου µε τους κωδικοποιηµένους (hashed) κωδικούς των χρηστών του συστήµατος (password file). Στη συνέχεια ο εισβολέας κάνει χρήση µιας ή περισσοτέρων λιστών λέξεων (word lists ή αλλιώς λεξικά-dictionaries) που έχει συλλέξει. Τα λεξικά αυτά περιέχουν, µε µεγάλη πιθανότητα, λέξεις που, είτε αυτούσιες είτε αναγραµµατιζόµενες, ταυτίζονται µε κάποιο από τους «εύκολους» κωδικούς ενός συστήµατος. Τα λεξικά, µαζί µε το αρχείο κωδικών, δίνονται ως είσοδος σε εξειδικευµένο λογισµικό (password cracker) το οποίο συνήθως καταφέρνει να «σπάσει» έναν ή περισσότερους από τους λεγόµενους «εύκολους» κωδικούς. Το λογισµικό κωδικοποιεί κάθε λέξη του λεξικού (µε τη χρήση της συνάρτησης hash) και στη συνέχεια τη συγκρίνει µε όλες τις κωδικοποιηµένες λέξεις του αρχείου κωδικών, µέχρι να βρει κάποιο ταίριασµα. Επίθεση Λεξικού Κωδικός 1 Κωδικός 2 Κωδικός 3 Κωδικός 4 Κωδικός n hash hash Κ -1 hash Κ -2 hash Κ -3 hash Κ -4 hash Κ -n Σύγκριση Αρχείο κωδικών, περιέχει τους τους κωδικούς των των χρηστών σε σε κωδικοποιηµένη µορφή µορφή Λεξικό Κωδικών http://www.csse.monash.edu.au/courseware/cse2500/ppt/authentication.ppt 12

Σηµείωση: Έχουµε αναφέρει ότι οι κωδικοί που φυλάσσονται στο αρχείο κωδικών είναι κρυπτογραφηµένοι. Ωστόσο, η συνάρτηση hash (hash function) που χρησιµοποιείται για την κρυπτογράφηση τους, δεν απαιτεί τη χρήση κάποιου κλειδιού. Η ασφάλεια της συνάρτησης hash, έγκειται στο γεγονός (και µόνον) ότι η αντιστροφή της συνάρτησης είναι δύσκολη (one way). Ωστόσο, οποιοσδήποτε (άρα και ο εισβολέας) µπορεί να κρυπτογραφεί πιθανές λέξεις και να τις συγκρίνει µε τους κρυπτογραφηµένους κωδικούς. Εποµένως η ασφάλεια του συστήµατος βασίζεται στην επιλογή «δύσκολων» κωδικών πρόσβασης από το χρήστη. ιαφορά επιθέσεων λεξικού µε επιθέσεις ωµής βίας (brute force). Στις επιθέσεις brute force, το λογισµικό δοκιµάζει όλους τους δυνατούς συνδυασµούς χαρακτήρων για να σπάσει έναν κωδικό. Οι επιθέσεις αυτές συνήθως είναι στοχευµένες, δηλαδή αποσκοπούν στο «σπάσιµο» ενός συγκεκριµένου κωδικού ή κλειδιού. Ένας κωδικός που έχει επιλεγεί σύµφωνα µε τα κριτήρια της πολιτικής ασφάλειας που αναφέρουµε στην Ενότητα 2.2.2, είναι ανθεκτικός απέναντι στις επιθέσεις λέξικού, αλλά όχι και απέναντι στις επιθέσεις «brute force». Κάποια στιγµή, εφόσον το πλήθος των πιθανών κωδικών είναι πεπερασµένο, η επίθεση brute force θα φανερώσει τον κωδικό που χρησιµοποιήθηκε. Οι συνέπειες των επιθέσεων brute force µετριάζονται εφόσον εφαρµόζεται σωστά η πολιτική της ανανέωσης (update) των κωδικών χρήστη σε τακτά χρονικά διαστήµατα. Πόσοι κωδικοί υπάρχουν; Αυτό εξαρτάται από το αλφάβητο εισόδου και το µέγεθος (µήκος) του κωδικού πρόσβασης. Παράδειγµα Έστω ότι το αλφάβητο εισόδου είναι το [a,b] και το µήκος του κωδικού 2, τότε οι πιθανοί κωδικοί είναι: aa, ab, ba, bb 4 Εάν το µήκος του κωδικού είναι 3, τότε οι πιθανοί κωδικοί είναι = aaa, aab, aba, abb, baa,bab, bba, bbb = 8 Εάν το αλφάβητο εισόδου έχει µέγεθος 26 (π.χ. τα πεζά γράµµατα της λατινικής αλφαβήτου), τότε: Για κωδικούς µήκους 2 26 Χ 26 = 676 πιθανοί κωδικοί Για κωδικούς µήκους 3 26 Χ 26 Χ 26 = 17576 πιθανοί κωδικοί Εάν το αλφάβητο εισόδου έχει µήκος 96 (π.χ. πεζά και κεφαλαία γράµµατα της λατινικής αλφαβήτου : 52, αριθµητικοί χαρακτήρες : 10, σύµβολα και σηµεία στίξης από το πληκτρολόγιο : 34), τότε Για κωδικούς µήκους 8 96^8 = 7213895789838336 πιθανοί κωδικοί 13

Μελέτη περίπτωσης: Πηγή (Schneier, 2000). Κατά τα παλαιότερα χρόνια, οι επιθέσεις ωµής βίας (brute force) δεν ήταν εύκολη διαδικασία, επειδή οι υπολογιστές δεν διέθεταν υψηλή επεξεργαστική ισχύ. Σήµερα, µε την ολοένα αυξανόµενη επεξεργαστική ισχύ, οι επιθέσεις αυτές είναι εφικτές, ακόµη και για περιπτώσεις κωδικών πρόσβασης «µεγάλου» µήκους. Το λογισµικό L0phtcrack για παράδειγµα, είναι βελτιστοποιηµένο για επιθέσεις εύρεσης κωδικών σε συστήµατα Windows NT. Σε έναν («κλασσικό») Pentium II 400 Mhz, το L0phtcrack µπορεί να εξετάσει όλους τους 7-ψήφιους αλφαριθµητικούς κωδικούς (χωρίς σύµβολα) σε 5.5 ώρες, καθώς και όλους τους 7-ψήφιους κωδικούς (πεζά γράµµατα της αλφαβήτου και σύµβολα) σε 480 ώρες. 2.2.2 Σωστή Επιλογή Κωδικών Πρόσβασης Ένας ασφαλής κωδικός για συστήµατα χαµηλής-µέσης ασφάλειας θεωρητικά πρέπει να πληροί τις εξής προυποθέσεις: Έχει τουλάχιστον 8 χαρακτήρες Περιέχει τουλάχιστον έναν χαρακτήρα από τις εξής κατηγορίες: - Kεφαλαία (A-Z) - Πεζά (a-z) - Aριθµούς (0-9) - Eιδικούς χαρακτήρες (!, @, #, %, : κτλ.) εν σχετίζεται µε προσωπική πληροφορία εν αποτελεί λέξη σε (οποιοδήποτε) αλφάβητο Εκπαίδευση των χρηστών Μία µελέτη περίπτωσης 100 φοιτητές χωρίστηκαν σε 3 οµάδες (Anderson, 2001) Στην «κόκκινη» οµάδα δόθηκαν οι συνήθεις οδηγίες για την επιλογή σωστού password (τουλάχιστον 6 χαρ., & ένας µη αλφαριθµητικός χαρ.) Στην «πράσινη» οµάδα ζητήθηκε να σκεφθούν µια φράση (passphrase) και να επιλέξουν γράµµατα από αυτή π.χ It s 12 noon and I am hungry I S12&IAH Στην «κίτρινη» οµάδα δόθηκε ένας πίνακας χαρακτήρων (γράµµατα & αριθµοί): «Επιλέξτε 8 χαρακτήρες. Γράψτε τον κωδικό σε ένα χαρτί. Καταστρέψτε το χαρτί 1 εβδοµάδα µετά» Από τις τρεις οµάδες που αναφέρονται στη µελέτη περίπτωσης του Σχήµατος, η πρώτη οµάδα κωδικών παρουσιάζει και το υψηλότερο ποσοστό επικινδυνότητας, ενώ η δεύτερη και η τρίτη οµάδα θεωρούνται ασφαλείς. Γενικότερα, η δηµιουργία συνθηµατικών από χαρακτήρες φράσεων που µπορούµε να τις θυµηθούµε εύκολα, αποτελεί τη χρυσή τοµή µεταξύ των δύο βασικών απαιτήσεων που θέσαµε για την 14

επιλογή ενός ασφαλούς κωδικού: (α) Να αποµνηµονεύεται εύκολα και (β) Να είναι δύσκολο να ανακαλυφθεί από κάποιον τρίτο. Εκπαίδευση των χρηστών Μία µελέτη περίπτωσης [1] 30% των κωδικών από την κόκκινη οµάδα «έσπασαν» εύκολα (χρησιµοποιώντας ειδικό λογισµικό cracking software) Οι άλλες 2 οµάδες είχαν 10% αντίστοιχο ποσοστό Οι χρήστες ρωτήθηκαν ως προς τη δυσκολία αποµνηµόνευσης Ηκίτρινηοµάδα είχε το µεγαλύτερο πρόβληµα Συµπεράσµατα ;. Για παράδειγµα, η φράση "My son Eiten is three years older than my daughter Anna." θα µπορούσε να µετατραπεί στον κωδικό: M$8ni3y0tmd@ Σε αυτήν την περίπτωση ο χρήστης δεν αποµνηµονεύει τον κωδικό αλλά τη φράση από την οποία αυτός προέρχεται. Απόσπασµα από την Πολιτική Ασφάλειας του «φανταστικού» οργανισµού Χ Εκτός των περιπτώσεων όπου υπάρχει ρητή συµφωνία µε τους ιαχειριστές Συστηµάτων, οι κωδικοί πρόσβασης των πληροφοριακών συστηµάτων του Χ πρέπει να φέρουν τα ακόλουθα χαρακτηριστικά ασφάλειας: Πρέπει να έχουν µήκος τουλάχιστον οκτώ (8) χαρακτήρων. Πρέπει να είναι δύσκολο να ανακαλυφθούν ή µαντευθούν. Ειδικότερα δεν πρέπει να αποτελούνται από κύριες λέξεις, παράγωγα ταυτοτήτων χρηστών, τοπωνύµια, ακρωνύµια και συνήθεις ακολουθίες χαρακτήρων (π.χ. "123456"). Επίσης δεν πρέπει να αποτελούνται από προσωπικά στοιχεία όπως ονόµατα συγγενικών προσώπων, αριθµούς κυκλοφορίας αυτοκινήτων, ηµεροµηνίες γέννησης ή επετείων, ή από σταθερά και µε προβλεπόµενο τρόπο εναλλασσόµενα µέρη (π.χ. η χρήση του συνθηµατικού "34JAN" το µήνα Ιανουάριο ακολουθούµενη από το συνθηµατικό "34FEB" για το µήνα Φεβρουάριο). 15

Πρέπει να περιέχουν τουλάχιστον τρία από τα παρακάτω: - ένα πεζό αλφαβητικό χαρακτήρα - ένα κεφαλαίο αλφαβητικό χαρακτήρα - έναν αριθµό - ένα µη αλφαβητικό χαρακτήρα (σηµεία στίξης, κλπ) Όλοι οι χρήστες θα πρέπει να αλλάζουν τους κωδικούς πρόσβασης τους τουλάχιστον κάθε εκατόν ογδόντα (180) ηµέρες. Οι νέοι κωδικοί πρόσβασης δεν πρέπει να είναι ίδιοι ή αρκετά όµοιοι µε αυτούς που αντικαθιστούν. Επίσης, δεν θα πρέπει να γίνεται χρήση οποιουδήποτε από τα τελευταία πέντε (5) συνθηµατικά. Επιπλέον όλων των παραπάνω, όλοι οι κωδικοί πρόσβασης διαχειριστών πληροφοριακών συστηµάτων ή χρηστών µε αυξηµένα δικαιώµατα πρόσβασης πρέπει: - να έχουν µήκος τουλάχιστον δέκα (10) χαρακτήρων. - να αλλάζουν κάθε ενενήντα (90) ηµέρες Εφόσον είναι εφικτό θα πρέπει όλοι οι χρήστες να υποχρεώνονται από τα ίδια τα πληροφοριακά συστήµατα να εφαρµόζουν τη συγκεκριµένη πολιτική. Φιλτράρισµα Κωδικών Πρόσβασης Οι σύγχρονες διαδικασίες αυτόµατου φιλτραρίσµατος κωδικών πρόσβασης (λογισµικό password filter) ελέγχουν τον κωδικό που επιλέγει ο χρήστης, µε βάση κριτήρια που καθορίζονται από την Πολιτική Ασφάλειας για τους κωδικούς των χρηστών. Για παράδειγµα: Αν ο κωδικός πληρεί τις βασικές προϋποθέσεις (τουλάχιστον ένας αριθµητικός και ένας µη αλφαριθµητικός χαρακτήρας) Αν ο κωδικός ανήκει σε µια (γνωστή) λίστα µε εύκολα passwords Αν ο κωδικός σχετίζεται µε κάποια προσωπική πληροφορία (που ο χρήστης ήδη έχει δηλώσει στο σύστηµα) Σε συστήµατα υψηλής ασφάλειας, οι διαδικασίες ελέγχου των κωδικών των χρηστών περιλαµβάνουν τεχνικές παρόµοιες µε αυτές που χρησιµοποιούν οι εισβολείς συστηµάτων: µε τη χρήση ειδικού λογισµικού (cracking), ελέγχεται η ευκολία του κωδικού πρόσβασης που επέλεξε ο χρήστης. Παραµετροποποίηση του Λειτουργικού Συστήµατος (Λ.Σ.) Σκιώδη (shadow) Αρχεία Κωδικών: Στα παλαιότερα συστήµατα τύπου UNI, το αρχείο των κωδικών (password file) βρισκόταν στον κατάλογο /etc/passwd. Για 16

λειτουργικούς σκοπούς, το αρχείο αυτό ήταν αναγνώσιµο από όλους τους χρήστες (world readable) του συστήµατος. Ένας εισβολέας µπορούσε να αντιγράψει το αρχείο κωδικών και στη συνέχεια να εξαπολύσει µια επίθεση λεξικού (ή ωµής βίας). Στις σύγχρονες διανοµές, τα αρχεία των κωδικών είναι προσβάσιµα (αναγνώσιµα) µόνον από το διαχειριστή του συστήµατος. Για το λόγο αυτό ονοµάζονται και σκιώδη (shadow). Κλείδωµα Λογαριασµού µετά από έναν αριθµό ανεπιτυχών προσπαθειών (επιθέσεις Online): To σύστηµα IDS/IPS που εκτελείται στο σύστηµα, είναι προγραµµατισµένο να κλειδώνει το λογαριασµό του χρήστη σε περίπτωση online επιθέσεων ωµής βίας. Ωστόσο, παρότι είναι ιδιαιτέρως αποτελεσµατική σε αρκετές περιπτώσεις (π.χ. απόπειρες ανάληψης χρηµάτων από ΑΤΜ µε κλεµµένες κάρτες), η συγκεκριµένη πολιτική ασφαλείας πρέπει να χρησιµοποιείται µε προσοχή, καθώς είναι δυνατόν να οδηγήσει σε επιθέσεις Άρνησης Εξυπηρέτησης (DOS), όπου για παράδειγµα ο επιτιθέµενος επιχειρεί να συνδεθεί στο σύστηµα, απλώς και µόνον για να κλειδωθούν ένας ή περισσότεροι λογαριασµοί. Για αυτόν το λόγο, εξαίρεση σε αυτή την πολιτική συνήθως αποτελούν οι λογαριασµοί διαχειριστών συστηµάτων για τους οποίους επιτρέπεται απεριόριστος αριθµός ανεπιτυχών προσπαθειών. Πολιτική Ανανέωσης Κωδικών: Η επιβολή ανανέωσης κωδικών ανά τακτά χρονικά διαστήµατα περιορίζει το πρόβληµα, χωρίς ωστόσο να το επιλύει. Ακόµα και στις περιπτώσεις όπου τηρείται ιστορικό παρελθόντων κωδικών (ώστε να αντιµετωπίζεται το ενδεχόµενο ένας χρήστης να εναλλάσσει τους κωδικούς του), συχνά παρατηρείται το φαινόµενο ο χρήστης π.χ. να επιλέγει τον κωδικό manos01 για τον Ιανουάριο, manos02 για τον Φεβρουάριο κ.λ.π. http://www.albany.edu/~goel/classes/spring2005/msi416/password.ppt 17

Παραµετροποίηση Λ.Σ. Τεχνική Salting Η τεχνική salting χρησιµοποιείται συχνά µε σκοπό να µετριάσει τις συνέπειες των επιθέσεων λεξικού ή ωµής βίας. Λειτουργεί ως εξής: 1) O χρήστης επιλέγει έναν κωδικό. Tο σύστηµα παράγει έναν τυχαίο αριθµό (salt: ένας αριθµός στο διάστηµα [1 4096]) και στη συνέχεια κρυπτογραφεί τον κωδικό του χρήστη και τον αριθµό salt, µε µια κρυπτογραφική συνάρτηση hash. To αποτέλεσµα αποθηκεύεται στο αρχείο κωδικών, µαζί µε τον αριθµό salt. 2) Ταυτοποίηση χρήστη: ο χρήστης εισάγει το όνοµα χρήστη και τον κωδικό. Από το όνοµα χρήστη, το σύστηµα ανακτά τον αριθµό salt που αντιστοιχεί στο χρήστη, από το αρχείο κωδικών. Στη συνέχεια το σύστηµα κρυπτογραφεί, µε τη συνάρτηση hash, τον κωδικό που υπέβαλε ο χρήστης και τον αντίστοιχο αριθµό salt. Το αποτέλεσµα συγκρίνεται µε τον αποθηκευµένο (hashed) κωδικό. Εάν οι δύο τιµές είναι ίδιες, η ταυτοποίηση είναι επιτυχής και ο χρήστης αποκτά πρόσβαση στο σύστηµα. Περίπτωση: Έστω ένας εισβόλεας αποκτά το αρχείο των κωδικών (password file) του συστήµατος ώστε να εξαπολύσει µια επίθεση λεξικού. Εάν ο στόχος είναι ένας συγκεκριµένος κωδικός (του οποίου η τιµή salt είναι γνωστή), τότε ο εισβολέας θα πρέπει να υπολογίσει την τιµή hash για όλους τους συνδυασµούς [λέξη 1, salt], [λέξη 2, salt].[λέξη Ν, salt]. Εφόσον ο χρήστης, έχει επιλέξει ως κωδικό µια («εύκολη») λέξη που υπάρχει στο λεξικό, τότε ο κωδικός θα αποκαλυφθεί. Εάν όµως ο στόχος είναι να εντοπιστούν όλα τα «εύκολα» passwords οποιουδήποτε συστήµατος, ο εισβολέας θα πρέπει να έχει προ-υπολογίσει (και αποθηκεύσει) τις 4096 παραλλαγές κάθε λέξης του λεξικού που διαθέτει (αφού, για κάθε λέξη µπορεί να έχει χρησιµοποιηθεί οποιαδήποτε από τις 4096 πιθανές τιµές salt). Είναι σαφές πως η τεχνική salting δεν αποτρέπει τις επιθέσεις υποκλοπής απλά τις δυσχεραίνει. Σηµείωση: Η συνάρτηση hash είναι µονής κατεύθυνσης (βλέπε και Ενότητα 6). Αυτό σηµαίνει ότι κάποιος που έχει στην κατοχή του τον αποθηκευµένο (hashed) κωδικό και την τιµή salt, δεν µπορεί να βρει τον αρχικό κωδικό. Η µόνη λύση είναι ο εισβολέας να πραγµατοποιήσει µια επίθεση τύπου dictionary attack (ή brute force). 2.3 Ταυτοποίηση µε Βιοµετρικές Τεχνικές 2.3.1 Βασικές Έννοιες Βιοµετρία. Είναι η επιστήµη µέτρησης και στατιστικής ανάλυσης βιολογικών δεδοµένων. Στο γνωστικό αντικείµενο της Ασφάλειας, ο όρος αναφέρεται σε τεχνολογικές µεθόδους που επιτρέπουν τη συλλογή και ανάλυση χαρακτηριστικών του ανθρώπινου σώµατος ή/και της ανθρώπινης συµπεριφοράς, µε σκοπό τον έλεγχο πρόσβασης στους πόρους του συστήµατος, ή στα πλαίσια της φυσικής ασφάλειας (physical security) σε σηµεία ενδιαφέροντος. Στόχος Α: Επαλήθευση Ταυτότητας (Identity Verification): Σύγκριση ενός χαρακτηριστικού µε ένα χαρακτηριστικό της βάσης δεδοµένων, µε σκοπό την εύρεση «ταιριάσµατος» (matching). Υποερώτηµα που απαντάται: 18

Είναι ο Α όντως ο Α; Στόχος Β: Ταυτοποίηση (Identification): Σύγκριση ενός χαρακτηριστικού µε όλα τα χαρακτηριστικά της βάσης δεδοµένων, µε σκοπό την εύρεση ενός «ταιριάσµατος». Υποερώτηµα που απαντάται: Ποια είναι η ταυτότητα του υποκειµένου; Η έννοια της ταυτοποίησης παρουσιάζει το µεγαλύτερο τεχνολογικό και ερευνητικό ενδιαφέρον σε σχέση µε την επαλήθευση ταυτότητας. Σε περιπτώσεις κατά τις οποίες το µέγεθος της βάσης είναι ιδιαίτερα µεγάλο, η ταυτοποίηση καθίσταται µια πολύ δύσκολη διαδικασία. Στην πράξη, οι βιοµετρικές µέθοδοι χρησιµοποιούνται κυρίως για την επαλήθευση ταυτότητας (identity verification) των χρηστών ενός συστήµατος, στα πλαίσια της ταυτοποίησης SYA (Something You Are). Απαιτήσεις Συστήµατος Ένα σύστηµα (ή συσκευή) βιοµετρίας συνήθως αποτελείται από: ιαδικασίες και συσκευές εισόδου και εξαγωγής χαρακτηριστικών από το αρχικό δείγµα, Έναν αποθηκευτικό χώρο (π.χ. µια Βάση εδοµένων- Β ) µε τα χαρακτηριστικά που έχουν εξαχθεί, ιαδικασίες αναγνώρισης (σύγκρισης και εξαγωγής αποτελέσµατος). Λήψη δείγµατος: Κατά το στάδιο της εγγραφής, λαµβάνεται το πρώτο δείγµα από ένα υποκείµενο. Η ποιότητα του πρώτου δείγµατος είναι σηµαντική για τη µετέπειτα αναγνώριση του υποκειµένου. Εάν η ποιότητα δεν είναι ικανοποιητική, τότε η διαδικασία λήψης πρέπει να επαναληφθεί. Συνήθως, η λήψη του πρώτου δείγµατος, πραγµατοποιείται υπό την καθοδήγηση ειδικού προσωπικού. Στη συνέχεια θα ακολουθήσει η ψηφιοποίηση του δείγµατος και η εξαγωγή χαρακτηριστικών. Εξαγωγή χαρακτηριστικών: Το δείγµα που αποκτάται κατά το στάδιο της εγγραφής, δεν αποθηκεύεται στη Β µε την αρχική του µορφή. Το πρώτο δείγµα περιέχει ορισµένη ποσότητα πληροφορίας που δεν είναι χρήσιµη, και εποµένως πρέπει να αποµονωθεί. Ένα πολύ µικρό υποσύνολο του δείγµατος που αποκτάται, θεωρείται ως µοναδικό για το υποκείµενο, και παρουσιάζει το µεγαλύτερο ενδιαφέρον (άρα είναι χρήσιµο) κατά τον έλεγχο πρόσβασης. Η ποιότητα και η ποσότητα των χαρακτηριστικών του δείγµατος που παρουσιάζουν το µεγαλύτερο ενδιαφέρον, εξαρτώνται από το είδος της βιοµετρικής µεθόδου. Σηµείωση: Η διαδικασία της εξαγωγής χαρακτηριστικών είναι απωλεστική (lossy): αυτό σηµαίνει ότι τα χαρακτηριστικά που εξάγονται, δεν είναι ικανά να οδηγήσουν στην τέλεια αναδηµιουργία του αρχικού δείγµατος. 19

Συστήµατα Βιοµετρίας ιαδικασίες - βήµατα Εγγραφή: Αποθήκευση ενός χαρακτηριστικού σε µια βάση δεδοµένων Φυσική παρουσία Λήψη Επεξεργασία Αποθήκευση ΕΚΤΟΣ Αναγνώριση: Συσχέτιση µε µια αποθηκευµένη εγγραφή Σύγκριση Ταίριασµα Μη ταίριασµα Φυσική παρουσία Λήψη Επεξεργασία ΑΠΟΡΡΙΠΤΕΤΑΙ Αποθήκευση χαρακτηριστικών: Τα χαρακτηριστικά που εξάγονται µπορούν να αποθηκευτούν σε µία (έξυπνη) κάρτα, σε µια βάση δεδοµένων σε κάποιον εξυπηρετητή (server), σε έναν σταθµό εργασίας (workstation) ή απευθείας στο τερµατικό που χρησιµοποιείται για τον έλεγχο πρόσβασης/ταυτοποίηση. Αναγνώριση: Σε ένα «ιδανικό» σύστηµα, η συσκευή που χρησιµοποιείται για τη λήψη του πρώτου δείγµατος είναι η ίδια µε τη συσκευή που χρησιµοποιείται κατά τη λήψη του δείγµατος που πρόκειται να ελεγχθεί. Επίσης, οι συνθήκες του εξωτερικού περιβάλλοντος θα πρέπει να είναι όσο το δυνατόν παρόµοιες µε τις συνθήκες του περιβάλλοντος κατά το στάδιο της εγγραφής. Παραδείγµατα αποτελούν το φόντο (background) κατά την αναγνώριση προσώπου, ο θόρυβος κατά την αναγνώριση φωνής, η υγρασία κατά την αναγνώριση δαχτυλικού αποτυπώµατος κλπ. Στην πράξη, η ποιότητα του δείγµατος που αποκτάται στο στάδιο του ελέγχου πρόσβασης, είναι χαµηλή σε σύγκριση µε την ποιότητα του δείγµατος που αποκτήθηκε κατά την εγγραφή. Σηµείωση: Σε γενικές γραµµές τα φυσιολογικά χαρακτηριστικά (π.χ. ίριδα, αµφιβληστροειδής, δαχτυλικό Αποτύπωµα) είναι πιο αξιόπιστα από τα συµπεριφοριστικά (π.χ. βάδισµα, υπογραφή, πληκτρολόγηση). Αυτό συµβαίνει επειδή οι εξωγενείς συνθήκες (π.χ. συναισθηµατική κατάσταση, ασθένεια κλπ) είναι πιο εύκολο να µεταβληθούν κατά τη λήψη ενός συµπεριφοριστικού δείγµατος. 20

Λανθασµένη αποδοχή Λανθασµένη Απόρριψη FAR ένας µη εξουσιοδοτηµένος χρήστης γίνεται δεκτός FRR ένας εξουσιοδοτηµένος χρήστης απορρίπτεται [2] Αντιστάθµιση (tradeoff) µεταξύ ασφάλειας-λειτουργικότητας Ένα βιοµετρικό χαρακτηριστικό δε µπορεί ποτέ να είναι 100% ίδιο µε το χαρακτηριστικό που ελήφθη κατά την εγγραφή. Αυτό συµβαίνει επειδή το περιβάλλον ή/και άλλοι εξωγενείς παράγοντες (ζέστη, φωτισµός, υγρασία, σκόνη, συναισθηµατική/πνευµατική κατάσταση, κόπωση, ασθένεια κ.λ.π) επηρεάζουν τη διαδικασία. Εποµένως, ένα σύστηµα που ελέγχει (και απαιτεί) 100% ταύτιση για να επιτρέψει την πρόσβαση, θα ήταν πρακτικά άχρηστο, αφού θα απέρριπτε πολλούς εξουσιοδοτηµένους χρήστες (Λανθασµένη Απόρριψη False Rejection). Ανάλογα προβλήµατα εντοπίζονται σε περιπτώσεις όπου, ένα σύστηµα είναι πολύ «χαλαρό», δηλαδή αποφαίνεται θετικά ακόµα και στην περίπτωση όπου το ποσοστό οµοιότητας είναι χαµηλό. Το σύστηµα αυτό θα ήταν επίσης πρακτικά άχρηστο, αφού θα επέτρεπε την πρόσβαση σε πολλούς µη εξουσιοδοτηµένους χρήστες (Λανθασµένη Αποδοχή - False Acceptance). Είναι σαφές ότι τα ποσοστά FRR και FAR είναι αντιστρόφως ανάλογα. Το σηµείο ισορροπίας (security threshold) είναι το σηµείο εκείνο κατά το οποίο έχουµε αποδεκτά ποσοστά FAR και FRR, και εξαρτάται από την πολιτική ασφάλειας του συστήµατος. Το σηµείο ισορροπίας απεικονίζει την ακρίβεια του συστήµατος, και συγκεκριµένα το ποσοστό διαφοροποίησης που επιτρέπεται µεταξύ του αρχικού και του τελικού δείγµατος: αν η διαφοροποίηση είναι µικρότερη του σηµείου ισορροπίας, τότε ο χρήστης γίνεται αποδεκτός, αλλιώς ο χρήστης απορρίπτεται. Σηµείωση: Σε συστήµατα υψηλού επιπέδου ασφάλειας, όπου η ασφάλεια είναι πιο σηµαντική από τη λειτουργικότητα, το FAR διατηρείται σε πολύ µικρά επίπεδα µε συνέπεια το ποσοστό εξουσιοδοτηµένων χρηστών που απορρίπτονται από το σύστηµα να είναι υψηλό. Σε αυτήν την περίπτωση συνήθως χρησιµοποιούνται συµπληρωµατικές διαδικασίες, π.χ. προσωπικό ασφάλειας για τον φυσικό έλεγχο της ταυτότητας όσων το σύστηµα απορρίπτει. 21

Σε συστήµατα χαµηλού-µέσου επιπέδου ασφαλείας, όπου η λειτουργικότητα είναι πιο σηµαντική από την ασφάλεια, το FRR διατηρείται σε πολύ µικρά επίπεδα, µε συνέπεια το ποσοστό εξουσιοδοτηµένων χρηστών που γίνονται αποδεκτοί από το σύστηµα να είναι υψηλό. Για παράδειγµα, ο µηχανισµός ελέγχου πρόσβασης σε ένα φωτοτυπικό µηχάνηµα θα πρέπει να έχει χαµηλό FRR. http://www.csse.monash.edu.au/courseware/cse2500/ppt/authentication.ppt Non-matching prints d Matching Threshold Matching prints False non-matches False matches Ανίχνευση Ζωής. Η ανίχνευση ζωής είναι σηµαντική, ιδίως σε περιβάλλοντα όπου το σύστηµα δεν επικουρείται από προσωπικό ασφάλειας. Όπως θα δούµε σε επόµενη ενότητα, η ανίχνευση ζωής διαφέρει από µέθοδο σε µέθοδο, και σχετίζεται µε το εκάστοτε χαρακτηριστικό (φυσιολογικό ή συµπεριφοριστικό) που εξετάζεται. Βιοµετρία αχτυλικό αποτύπωµα (fingerprint) «Παλαιά» µέθοδος για τον Έλεγχο Πρόσβασης Λήψη ψηφιοποιηµένου αποτυπώµατος Πρώτα: χρήση µελάνης & σάρωση Σήµερα: Οπτικοί αναγνώστες (optical readers) Ευαισθησία στη σκόνη Τεχνολογίες σιλικόνης (Silicon chip) Ευαισθησία στην υγρασία Χρήση υπερήχων (ultrasonic) 22

2.3.2 Φυσιολογικά Χαρακτηριστικά 2.3.2.1 αχτυλικό Αποτύπωµα (Fingerprint) Ο έλεγχος πρόσβασης µε τη χρήση δαχτυλικών αποτυπωµάτων είναι από τις πλέον κλασσικές τεχνικές ταυτοποίησης. Οι πρώτες αυτοµατοποιηµένες µέθοδοι χρησιµοποιήθηκαν κατά τη δεκαετία του 60 στις ΗΠΑ για την διαλεύκανση εγκληµάτων. Λήψη δείγµατος: Οι παραδοσιακές µέθοδοι κάνουν χρήση µελάνης για την αποτύπωση του δείγµατος σε χαρτί. Στη συνέχεια χρησιµοποιείται ένας σαρωτής για την ψηφιοποίηση του δείγµατος. Τα σύγχρονα συστήµατα περιλαµβάνουν αναγνώστες (readers) βασισµένους σε: Τεχνολογίες φωτός (οπτικοί optical): Η εξαγωγή των χαρακτηριστικών βασίζεται στις διαφοροποιήσεις της αντανάκλασης του φωτός (χρήση LED) ανάλογα µε το είδος της επιφάνειας στην οποία προσκρούει. Ένα µειονέκτηµα των οπτικών αναγνωστών είναι ότι η ακρίβεια τους επηρεάζεται από τη σκόνη και τις ακαθαρσίες. Σιλικόνη (Silicon): To δάχτυλο τοποθετείται σε µια επιφάνεια σιλικόνης που αποτελείται από µικροσκοπικά στοιχεία (pixels) - Όσο µεγαλύτερος είναι ο αριθµός των pixels (µεγαλύτερη ανάλυση) τόσο πιο ακριβή είναι τα αποτελέσµατα (π.χ 500 dpi). Με τη χρήση ειδικών αισθητήρων µετρώνται χαρακτηριστικά όπως η πίεση ή/και η απόσταση µεταξύ της επιφάνειας του δαχτύλου και των pixels. Οι αναγνώστες που βασίζονται στη χρήση ολοκληρωµένων (chips) σιλικόνης, χαρακτηρίζονται από το χαµηλό τους µέγεθος και ως εκ τούτου χρησιµοποιούνται σε περιβάλλοντα όπου το µικρό µέγεθος είναι σηµαντικό (π.χ. κινητή τηλεφωνία, φορητοί Η/Υ κ.λ.π). αχτυλικό αποτύπωµα Εξαγωγή χαρακτηριστικών Σηµεία Minutiae www.cis.rit.edu 23

Υπέρηχοι (ultrasonic): Η χρήση υπέρηχων εξάγει τα χαρακτηριστικά του δέρµατος που βρίσκεται κάτω από την επιφάνεια του δάχτυλου (η οποία µπορεί να επηρεάζεται από σκόνη ή αµυχές). Θεωρούνται περισσότερο ακριβή (και ακριβά) από τους οπτικούς αναγνώστες. Στις περισσότερες των περιπτώσεων, τα χαρακτηριστικά που εξάγονται είναι οι γραµµές και οι καµπύλες (τα σηµεία «Minutiae») από τις οποίες αποτελείται κάθε δαχτυλικό αποτύπωµα, και οι οποίες (στο σύνολο τους) είναι µοναδικές για κάθε υποκείµενο. Περίπου 30 τέτοια σηµεία εξάγονται από κάθε αποτύπωµα, ενώ το συνολικό µέγεθος του αποτυπώµατος που εξάγεται δεν ξεπερνάει το 1 ΚΒ. Η πιθανότητα δύο άτοµα να έχουν περισσότερα από 8-10 τέτοια σηµεία, θεωρείται πάρα πολύ µικρή. Πλεονεκτήµατα: H αναγνώριση δαχτυλικού αποτυπώµατος είναι γνωστή και γρήγορη µέθοδος, εµφανίζει σχετικά υψηλή ακρίβεια κατά την επαλήθευση ταυτότητας & την ταυτοποίηση. Επιπλέον, τα χαρακτηριστικά που εξάγονται είναι πλούσια σε πληροφορία (δηλαδή, υπάρχουν σηµαντικές διαφορές µεταξύ δύο υποκειµένων). Μειονεκτήµατα: Η αναγνώριση δαχτυλικού αποτυπώµατος επηρεάζεται συχνά από αλλαγές στο περιβάλλον, όπως η ηλικία, η σκόνη, η υγρασία, η καταπόνηση του χεριού λόγω εργασίας κ.λ.π. Επίσης, όταν το δαχτυλικό αποτύπωµα είναι χαµηλής ποιότητας, η εξαγωγή των χαρακτηριστικών είναι δύσκολη. 2.3.2.2 Αναγνώριση Ίριδας (Iris Recognition) Η ίριδα είναι η κυκλική επιφάνεια που περικλείει την κόρη του µατιού. Η ίριδα του µατιού περιέχει ένα πλούσιο και πολύπλοκο µωσαϊκό γραµµών και σχηµάτων (υπάρχουν περίπου 200 τέτοια σηµεία), τα οποία είναι µοναδικά για κάθε υποκείµενο. Οι µέθοδοι αναγνώρισης που βασίζονται στην ίριδα θεωρούνται από τις πλέον ακριβείς (accurate) µεθόδους: H έρευνα έχει δείξει ότι ο έλεγχος πρόσβασης µε τη χρήση του αποτυπώµατος της ίριδας εµφανίζει ποσοστά ακρίβειας µεγαλύτερα και από τις µεθόδους αναγνώρισης DNA. Αναγνώριση Ίριδας H πλέον ακριβής & αξιόπιστη µέθοδος αναγνώρισης Πιθανότητα 2 άνθρωποι να έχουν ίδια ίριδα: 1:10 52 Κατάλληλη για ταυτοποίηση Επιθέσεις επανάληψης (replay attacks): δύσκολες -αδύνατες Εγγραφή Χρήση κάµερας σε απόσταση 10-40 εκ. από το µάτι (IR) Εξαγωγή χαρακτηριστικών <= 512 bytes το µέγεθος κάθε αποτυπώµατος http://www.globalsecurity.org/security/systems/eye_scan.htm 24

Λήψη είγµατος: Πραγµατοποιείται λήψη φωτογραφίας (µε τη χρήση υπέρυθρης ακτινοβολίας) από κοντινή απόσταση. Η φωτογραφία θα πρέπει να έχει υψηλή ανάλυση, ώστε να µην απωλεστούν τα χαρακτηριστικά της ίριδας. Ανίχνευση ζωής: Ορισµένα τερµατικά ανιχνεύουν τις περιοδικές διακυµάνσεις του µεγέθους της κόρης του µατιού, ώστε να αποφευχθούν επιθέσεις επανάληψης (replay attacks) π.χ. τοποθέτηση φωτογραφίας της ίριδας µπροστά στην κάµερα. Πλεονεκτήµατα: Το αποτύπωµα της ίριδας παραµένει αναλλοίωτο στη διάρκεια ζωής του ανθρώπου. Τα χαρακτηριστικά που εξάγονται είναι αρκετά πλούσια, το µέγεθος του αποτυπώµατος είναι µικρό, ενώ η διαδικασία είναι ιδιαίτερα γρήγορη, τόσο κατά τον έλεγχο πρόσβασης όσο και κατά την ταυτοποίηση. Μειονεκτήµατα: Η µέθοδος απαιτεί τη λήψη φωτογραφίας από πολύ κοντινή απόσταση και σε υψηλή ανάλυση. Αυτό µπορεί να θεωρηθεί ενοχλητικό για πολλούς χρήστες του συστήµατος. Επίσης, η µέθοδος δεν ενδείκνυται για ταυτοποίηση σε πολυσύχναστους χώρους, σε αντίθεση µε άλλες µεθόδους (π.χ. αναγνώριση προσώπου). Αναγνώριση Αµφιβληστροειδούς (Retina) Ανίχνευση και καταγραφή του πλέγµατος των αιµοφόρων αγγείων στον αµφιβληστροειδή του µατιού Όχι ιδιαίτερα διακριτική µέθοδος (χρήση δέσµης laser) Κατάλληλη για ταυτοποίηση & επαλήθευση ταυτότητας Στην πράξη µόνον για επαλήθευση ταυτότητας (identity verification) ύο δίδυµα έχουνδιαφορετικάαποτυπώµατα: Twin One Twin Two http://perso.wanadoo.fr/fingerchip/biometrics/types/retinal.htm 2.3.2.3 Αναγνώριση Αµφιβληστροειδούς (Retina) Η µέθοδος αυτή ανιχνεύει και καταγράφει το πλέγµα των αιµοφόρων αγγείων στον αµφιβληστροειδή του µατιού. Η ρέτινα δεν είναι άµεσα ορατή. Εποµένως, ή λήψη του δείγµατος απαιτεί τη χρήση ακτινοβολίας (υπέρυθρη, ή laser) για να φωτιστεί / αναδειχθεί ο αµφιβληστροειδής. Στη συνέχεια αποκτάται η εικόνα της ρέτινας η οποία και αναλύεται για την εύρεση και εξαγωγή των µοναδικών χαρακτηριστικών. Τα χαρακτηριστικά που εξάγονται περιέχονται στο πλέγµα των αιµοφόρων αγγείων που ξεκινούν από το οπτικό νεύρο και διατρέχουν τη ρέτινα, που είναι διαφορετικά σε κάθε άνθρωπο. Η ακρίβεια της µεθόδου είναι πάρα πολύ υψηλή, και τα 25