- PowerPoint PPT Presentation

About This Presentation

Title:

Description:

Web- , Aladdin Software Security R.D. – PowerPoint PPT presentation

Number of Views:21

Avg rating:3.0/5.0

Slides: 41

Provided by: asab2

Category:

Tags:

more less

Transcript and Presenter's Notes

Title:

1
?????????????? ?????? ??? ? ??????
Web-????????

?????? ??????,
Aladdin Software Security R.D.
17 ?????? 2009 ?.

2
??????????

??????????????. ???????? ??????? ? ???????????.
?????? ???? ?? Web-???????
?????? ?????????????? ? ???????????? ?? ?
Web-???????????
?????????? ??????? eToken PASS - 1C-???????

3
Aladdin ???????

14 ??? ?????? ?? ?????????? ?????
???????? ??????????? ???????????? HASP, eSafe,
eToken Solution
??????????? ????? RD
????????????????? ???????????
???????? ?????????????? ?? (?????), ???,
????????????????? ??
????????????????? ????????
??????????? ???? ?? ?????????? ??????,
????????????????? ? ??????? ? ??????????
????????

3
4
??????????????. ???????? ??????? ? ???????????
??????? ??????????? ???????????? ? ???????
??????? ?? ???? ???????????????, ???????????????
??????????? ???????? ?????????????,
?????????????? ? ???????????.

????????????? ???????????? ????? ??? ??????
????????.
????????????? ??? ????????? ?????????????
???????????? ?? ??? ??????????????.
?????????????? ????????? ?????????????? ????,
??? ???????????? ?? ????? ???? ???????? ???, ??
???? ?? ???? ??????.
??????????? ????????? ??????????????
???????????? ???????????? ???? ??????? ? ????????
???????.

5
???????? ?????????? ? ????????

????????????????? ??????? ?????????? ????????
????????? ? ???????? ???????
???????? ?????????????? ???????? ? ???????
?????????? ??????? ????????, ????????????? ???
??? ??????????????
?????????? ??????? ??????? ???????? ? ????????
???????
????? ??????????????? ??????? ????????? ?
???????? ???????

6
???????? ??????????????

?????????? ????????? ? ???, ??? ????????????
???????? ???, ?? ???? ?? ???? ??????.
?????????? ????????? ? ???, ??? ?????????? ??
?????? ??????? ?????? ???????? ?????.
???????????? ?????????????? ?????????? ?????
?????, ???? ?????????? ??? ????????? ? ??????
??????? ??????.

7
??????? ??? ??????????????

?????? ???????
????? ????? (???????, ?????,...)
????? ????? (??????, ?????,...)
???????? ????? ????????????? ????????????
(????????? ??????, ????????? ???,...)
?????????? ? ???????????? ?????(IP-?????, ??????
?? ?????-?????)

e3Gr3!FR
????? ?????
????? ?????
???????? ??????? ?????????????? ????
IP-?????, ?????? ?? ?????-?????
????????? ? ???????????? ?????
8
?????? ???? ?? Web-??????????

1) ?????????????? (Authentication)
1.1 ?????? (Brute Force)
1.2 ????????????? ??????????????
(Insufficient Authentication)
1.3 ???????????? ?????????????? ???????
(Weak Password Recovery Validation)
1.4 ???????? ?????????????????? ??????
? ?.?.
2) ??????????? (Authorization)
3) ????? ?? ???????? (Client-side Attacks)
4) ?????????? ???? (Command Execution)
5) ??????????? ?????????? (Information
Disclosure)
6) ?????????? ????? (Logical Attacks)

9
???????? ?????? ??????????????

??????
?????????
?????????????? ???????? ??????
??????????? ??????

10
????????? ??????????????

???????? ??????
???

10
11
???????????? ? ?????????? ????????? ??????????????

?????? ????????? ???????????????????
????????????.
?????? ????????? ?????? ???????? ?????.
??? ????????????? ? ????????????? ??????????????
???????? (PKI).

????? ?????????? ?????
????? ?? ????????
?????????? ??????
????????????
???????????
?????????????
????????? ????
??????????? ??????
???????????? ??????? ??????
??????????? ?????????
?????? ???????? ???????
????? ?? ??????? ??????

12
?????????????? ? ?????????????? ??????????????
?????????????

??????????????? ?????????????? ??????????????
???????? ???????? ?????
????????? ??????
????
?????
????????.
????????????? ?????????????? ??????????????
?????
???????.

12
13
?????????????? ? ?????????????? ????????? ?????

???????? ???? ? ???????? ????.
???????? ???? ???????. ????? ????
???????????????? ????????.
???? ???????? ???? ???????????? ??? ????????????
??????, ?? ???????? ??? ????????????? ? ????????.

14
??? ??????? ???????? ?????

??????
???????????? ????????
?????-?????, USB-????

15
????????????? ???????? ???? ??? ??????????
15
16
????????????? ???????? ? ?????????????? ??????????
16
17
??????????? ? ?????????? eToken

eToken ???????????? ???????? ?????????????? ?
???????? ??????, ????????? ?????????????? ??????
? ????????? ????????????? ? ??????????? ????????
???????? (???).

????????????? ?????????????? ????????????? ???
??????? ? ?????????? ???????? - ???????????,
?????, ??????????? (????? PIN-???, ?????
?????-?????)
?????????? ?????????? ????????????????? ????????
? ?????????? ????? (? ???? ?????-?????
?????????? ?????? ????????? ?????, ?????????
?????? ??????????, ???????????? ? ?????????????
??????????, ?????????? ???-???????, ????????????
???)
?????-????? ?????? ????????? ?????????????? PKI
?????????? ???????? ????????????????? ??????,
?????? ?????????????, ???????? ?????????? ? ??.
?????????????? ? ?????????????? (?? PKI)
???????????
??????? ???????? ?????? ???????
????????? ???????? ??????

17
18
?????????? ???????? ?????????????? ?
?????????????? ???????? ??????. ????????? ?????

???????????? RSA-?????
????? ?? ????????? ??????????
???????? ????????? ?????
????? ??????? ??????????
????????? ??? ? ???????????
????????? ????? ?????? ????????????
????????????? ??????? ?????
????? ????????? ????? ??????? ?????
???????? ???????? ??????? ?????
????? ????????? ????? ??????? ?????

19
?????????????? ??? Web-???????

????????? ??????????????, ????????????
???????????? (????????????) ??????
????????????!
???????????? ????? ???????? ?????? ????????
???????? ????? ???????? ??????
?????????? ?????? ??? ?? ?????????? ?????????????
Off-line ?????? ??????? ?????????????? ? ?????
?????????????? ??????
???????????? ?????????? ???????
????? ??????????
???????? ?????????????? ?????????? ???????
??????
???????????? ??????
Spyware, keyloggers ? ??.
???????? ???? ??????? ????????
PKI-?????????? (???????? ????? ???????????)
??????????? ??????

20
??? ????? ??????????? ???????

????
????????????? ????????? ??????? ??? ?????? ?????
??????? ?? ?????????????? ???????
??????????? ?????? (OTP)
????? ???????????? ????? ????????
????? ???? ??????????? ?????? ???? ???
????? ???????????? ?? ???? ? ???????? ????

20
21
????? ????? ??????????? ???????

?????????????? ? ????????? ??? ???????????
??????????? ?????-???? / USB-??????
???, ????????? ? ??.
?????????????? ?? ????????? ??????? ????
??? ??????????? ????????????? ??
???????????????? ?????
?????????????? ??? ????????? ??????? ?????
???????????? ?????? ?????
???????? ?????????????????? ??????????
?????????????? ?? ?????????? ??????
????????? ?????????? ?????????? ??????

21
22
??? ????????????

???????????? ????? ?????? ??????????????
??????????????? ???????
?????? S/Key
????????????? ???????? ??????? ???
??????-?????
?????????? ???????????????? ????? OTP, ?????????
??????????? ?????????????????? ??????, ??????????
???????? ??????????? ???????
????????? ???????? OTP ?? ??????? ??????? ?
????????? ??? ?? ??????? ???????

23
?????? ?????????????? ? ?????????????? OTP

?????? ? ?????? ????? ??????????? ??????
? ???????? ?????????????? ?????? ??????????
????????? ????????, ?? ????????? ???
????????????????? ?????????
??????? ???????????
???????????? ?????????
????????????? ?????????

??????????? ????? ?????????? ?????
??????-????? ?????? ????? ????????????? ?? ??????? ????????????? ?? ???????
24
??? ? ??? ????????? ????

??? ???????? ???????
??? ????????? ?????? ?? ??????? ???????
??? ????????? OTP ?? ??????? ???????
?????????? OTP ?? PC, ???, ?????????
?????? ???????? ? ?????? ??????????
? ??? ????????? ???????? ?????????? ???????
??? ?????, ???? ??? ?????????
?????????? ??????
?????????? ????? ??? ???????? ???????
?????????? ????? ??? ?????????? OTP
???????? ?????????? ?????????? ???????
?????????? ??????
??????????????? ?????
????????????

25
eToken PASS

?????? ????????? ??????????? ???????
?????????? OATH, RFC 4226
??????? ????????? (????????????? ?? ???????)
??????????? ??????? ??? ?????????????, ???????
????? ?????? ?????? ? ????????? ????????? (??
????????? ?????????? ?????-????? ? ???????????
USB-?????)

26
1. ????????? OTP

????????? OTP ??????????? ??? ?????? ??????? ??
??????
????????????? ???????? ???????? ?????????
??????????? OTP
OTP ???????????? ?? ??-??????? ? ??????? 20
??????

27
2. ???? ???????????????? ????? ? OTP

?????? ?????? OTP PIN
??????????? ?????? OTP PIN OTP

P_at_ssw0rd 513618
?
?
28
????????????? OTP
????????????
?????? ??????????????
????????? ???? ??????? ?????????
????????? ???? ??????? ?????????
? ??????????? ?????

OTP OATH (shared secret, 2)
? ????????? ???????, ????????????????
OTP OATH (shared secret, 3)
X
OTP OATH (shared secret, 4)
? ??????? ??????????????
OTP OATH (shared secret, 6)
???? ?????????????
29
?????????? ??????????? ???????

?????? ??????????? ??????
1?-??????? ????????????? ?????? 8.0
1?-??????? ?????????? ?????? 8.0
?????????? ??? ????????????? ?????????? ??????
?????????
????????? ????? ??????????? ?????????????????
??????? 1?-???????
????? eToken PASS
?? ??????? ??????????? 1?-???????
?? ??????? ??????????? Aladdin

30
???????????? ? ?????????OTP-??????????????

????????? ????????????? ??????????? ???????
????????? ?????????
?????? ?????????? ????????????

31
????????? OTP-??????????????
32
????????? ?????????
33
?????? ?????????? ????????????
34
??????? ???????? ????????????? ??????????? ???????

??????????? ????????????
??????????? ??????????????
????????? ???????? ???????????????? OTP

35
????????????? OTP
36
?????????? ?????????????
37
??????????? ????????

?????????? ?????????????? ? ??????????????
USB-?????? ? ?????-????.

38
??????????????? ????? ????????????? ???????

?????????? ?????-?????
PKI
???, ??????????
SSL

PDA
???????
????????
????????????? ??
??????????? ?????? ??? ??? ? ??????????? ???
USB-??????
????????? ??
????????
38
39
????????????? ???????
?? ??????????? ???? ?? ????? ?? ????????????
?????????? ??????? ??? ?????????? ? ??????????
web-????????? ? ????????????? ???????? ??????
???????????? ?????????????????? ??????
????????????? ? ?????????????? ??????????
?????????!
40
??????? ?? ????????!m.chirkov_at_aladdin.ruwww.alad
din.ru

Write a Comment

User Comments (0)