iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 22
0
Security

CISSP 快速入門系列 第 23

[Day23]登入機制背後的學問

沒錯!第五章討論的就是哎欸欸欸(IAAA) ! ((冷

識別(Identification)

Something you know.
使用者告訴系統他是誰,例:Username
帳號不可共用,不可告訴其他人。

認證(Authentication)

Something you have.
系統判斷使用者是否真的是他所宣稱的那個人,例:Username + Password

Legacy Single Sign On

  • 舊系統通常透過 login batch script 來實現

Single Sign On

單點登錄(SSO)允許多個系統使用中央身份驗證服務器(AS)。
這允許用戶進行一次身份驗證,然後存取多個系統。
缺點:
* 一丟全丟
* 與舊系統整合複雜
* 可能會有假的SSO做社交工程
* 單點失效,驗證主機一掛全掛

講到 SSO 就順便提一下協定:

Kerberos

  • 希臘神話中的地獄三頭犬
  • 對稱密鑰的明文存儲
  • 提供第三方身份驗證服務,可用於支持單點登錄,提供客戶端和服務器的相互身份驗證。
  • 防止 sniffing & replay attack.

缺點:

  • KDC 存儲所有主體(客戶端和服務器)的明文密鑰。
  • KDC、TGS 也可能導致單點故障。

SESAME

  • 中文翻譯為芝麻
  • 是Kerberos的進階,使對稱密鑰的明文存儲
  • 在不同作業系統中執行良好,它具有基於角色的訪問控制,在對用戶和服務器進行身份驗證時使用公鑰加密

RADIUS

  • 中文翻譯為半徑
  • UDP
  • 僅加密密碼字段
  • 使用可擴展身份驗證協議(EAP)的傳輸協議

TACACS+

  • TCP:49
  • 加密整個有效負載

https://i2.wp.com/rumyittips.com/wp-content/uploads/2013/12/What-is-the-difference-between-Tacacs-and-Radius11.jpg?resize=500%2C244

RADIUS vs TACACS+ 比較

Biometric

  • 身體特徵(Physical)
  • 行為軌跡(Behavioral)

FRR(False Reject Rate),FAR(FalseAccept Rate) ,CER(Crossover Error Rate)
FRR 拒絕錯誤率:把錯誤的驗證為對的屬於Type I,寧可殺錯不能放過,軍方超級嚴謹
FAR 錯誤拒絕率:把對的驗證為錯誤的屬於Type II,有時候會放行陌生人
CER 交叉錯誤率:平衡點~

授權(Authorization)

Something you are. Administrator OR User?
系統根據該帳號所擁有的權限驗證該使用者

可問責(Accountability)

系統記錄登入後的行為,以供事後分析/查證

看到登入畫面,能輸入密碼的地方,是不是心癢癢啊 >////<
所以還有個密碼攻擊~

密碼攻擊

  • 監聽
  • SAM File / Shadow file
  • 暴力攻擊
  • 字典攻擊
  • 社交工程
  • Rainbow Table 常見密碼

= = = =.= = = =.= = = =.= = = =.= = = =
Domain 5 Identification And Access Management


上一篇
[Day21]線材篇
下一篇
[Day23]防火牆
系列文
CISSP 快速入門32

1 則留言

0
Sergeyau
iT邦研究生 3 級 ‧ 2018-11-09 23:05:36

RADIUS
中文翻譯為半徑

這有笑點^^
RADIUS已經是Remote Authentication Dial-In User Service的縮寫,縮寫沒有在翻譯的啦~

因為AAA也是American Automobile Association的縮寫,之前學得時候也愣了一下:啊?AAA除了汽車連資訊安全也有涉足?^^

虎虎 iT邦新手 3 級‧ 2018-11-10 22:37:21 檢舉

我有看到簡體中文有部份文章是這樣寫的說 Q"Q
因為不懂什麼叫半徑還特別去找原文書來對欸…

不過考試似乎不會只給縮寫…
不然 SOC 跟 SDLC 也是會混淆的縮寫說…

我要留言

立即登入留言