Академический Документы
Профессиональный Документы
Культура Документы
Autenticación de usuarios
con privilegios PIV
21 de abril de 2016
Resumen
La estrategia de ciberseguridad y aplicación Plan (CSIP), publicado por la
oficina de Gestión y presupuesto (OMB) en 30 de octubre de 2015, requiere que
agencias federales utilizan credenciales de verificación de identidad Personal
(PIV) para la autenticación de usuarios con privilegios. Esto reducirá en gran
medida acceso no autorizado a cuentas privilegiadas por los atacantes haciéndose
pasar por el sistema, red, seguridad y los administradores de base de datos, así
como otro personal de tecnologías de la información con privilegios
administrativos. Este documento además explica la necesidad de autenticación de
usuario basada en un PIV multifactorial para tomar el lugar de autentificación
único basado en contraseñas para usuarios con privilegios. También proporciona
las mejores prácticas para las agencias de aplicación de autenticación de PIV
para usuarios privilegiados.
1 La necesidad de fortalecer la autenticación de usuarios con privilegios
AMENAZA
Los atacantes se hacen pasar por personal de tecnologías de la información con privilegios administrativos
OBJETIVO
COMO LO LOGRAN
La aplicación de estrategia de ciberseguridad (CSIP) [1] publicados por la oficina de gerencia y presupuesto
(OMB) que dirige las agencias a la transición a la autenticación multifactorial[1] basada en un PIV de
verificación de identidad Personal para todos los usuarios privilegiados.
1.1 limitaciones de contraseña-basado simple autentificación
TIPOS DE AMENAZAS
Lleva a:
Hay algunos controles disponibles para contrarrestar estas amenazas, pero tienen una limitada eficacia
Por lo que las amenazas en su totalidad contra el solo factor autenticación basada en contraseñas sólo pueden mitigarse un
poco
Mayoría de los casos de suplantación de usuario de autenticación contraseña solo factor, puede
prevenirse mediante autenticación de múltiples factores.
Un atacante tendría que comprometer dos factores — no sólo una — para tener acceso, tales
como el usuario tiene (tarjeta inteligente) y sea algo que el usuario conoce (una
contraseña o PIN para desbloquear la tarjeta inteligente) o el usuario es (una característica
biométrica para desbloquear la tarjeta inteligente). Publicación especial de NIST (SP) 800-63 [2]
y SP 800-53 [3] reconocen estas diferencias.
Los enfoques también promoción el uso continuo y sistemático de credenciales PIV ha previsto HSPD-12. Estos enfoques deben cumplir
NIST SP 800-63 3 LOA requisitos para mitigar las vulnerabilidades relacionadas con las afirmaciones de autenticación.
William E. Burr
Donna F. Dodson
W. Timothy Polk
9. Resumen de requisitos técnicos por nivel
Tabla 4. Resistencia mínima de la contraseña en línea a
Tabla 2. Tokens tipos permitidos en cada nivel de garantía de conjeturar
Tipo de ataque Nivel 1 Nivel 2
Tipo de token Nivel 1 Nivel 2 Nivel 3 Nivel 4
Ataque dirigido: probabilidad máxima
Token criptográfico duro √ √ √ √
de que un atacante adivinar la uno en 210 uno en 214
Dispositivo de contraseña √ √ √
contraseña de un usuario seleccionado (1/1024) (1/16384)
temporal durante la vigencia de la contraseña
Token criptográfico suave √ √ √ con ningún conocimiento a priori que
Contraseñas y PINs √ √ no sea el nombre de usuario
Tabla 3. Protecciones necesarias Ataque no focalizado: min-entropía - 10-bits
Proteger contra Nivel 1 Nivel 2 Nivel 3 Nivel 4 Tabla 5. Tipos de protocolo de autenticación
Adivinanzas en línea √ √ √ √
Replay √ √ √ √ Tipo de protocolo Nivel 1 Nivel 2 Nivel 3 Nivel 4
Clave privada PoP √ √ √ √
Eavesdropper √ √ √
Clave simétrica PoP √ √ √ √
Suplantación de verificador √ √ Tunelizado o cero contraseña de √ √
Man in the middle √ √ conocimiento
Secuestro de sesión √ Contraseña de desafío y respuesta √
Para que cada sistema PIV habilitado, las agencias deben implementar la arquitectura que proporciona el más alto
nivel de seguridad posible, dadas las capacidades del sistema.
Verificación indirecta
el usuario se autentica a un verificador que no la Relying Party, después de que el verificador proporciona a la Relying Party con una
afirmación que se ha verificado la identidad del usuario.