Autenticação Segura. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

Transcrição

1 Autenticação Segura Paulo Ricardo Lisboa de Almeida 1

2 Sistemas de Autenticação Um dos mais simples e mais empregados métodos de segurança implementados em aplicações Primeira linha de defesa Apesar de parecer simples, sistemas de autenticação geralmente apresentam diversas falhas de design 2

3 Senhas - Exercício Considere que você deseja descobrir a senha do usuário foo utilizando um método de força bruta 1.Considere que você sabe que a senha do usuário possui 4 caracteres do alfabeto (26 letras). Qual o número máximo de tentativas que você precisará fazer para descobrir a senha? 2.Faça o mesmo cálculo considerando que a senha do usuário tem comprimento 5,6,7,8,9 e Considere que você escreveu um programa que é capaz de fazer tentativas de senha por segundo. Em quanto tempo você será capaz de adivinhas as senhas com 4,5,6,7,8,9 e 10 caracteres de comprimento? 3

4 Senhas Cálculo de Combinações Se uma senha possui M possíveis caracteres, e tem um comprimento N, o número de senhas possíveis é dado por: Combinações = M N Exemplo: Uma senha numérica de uma conta bancária de comprimento 6 possui 10 6 = senhas possíveis 4

5 Senhas - Exercício Considere que você deseja descobrir a senha do usuário foo utilizando um método de força bruta 1. Considere que você sabe que a senha do usuário possui 4 caracteres do alfabeto (26 letras). Qual o número máximo de tentativas que você precisará fazer para descobrir a senha? Resposta: tentativas 5

6 Senhas - Exercício 2. Faça o mesmo cálculo considerando que a senha do usuário tem comprimento 5,6,7,8,9 e 10. Resposta: 4-> > > > > > >

7 Senhas - Exercício 3. Considere que você escreveu um programa que é capaz de fazer tentativas de senha por segundo. Em quanto tempo você será capaz de adivinhas as senhas com 4,5,6,7,8,9 e 10 caracteres de comprimento? Resposta: 4 -> 4,57 segundos 5-> 118 segundos 6 -> 51 min 7 -> 22 h 8 -> 24 dias 9 -> 1,72 anos 10 -> 44 anos 7

8 Senhas Número de Combinações ,00 Combinações Possíveis com alfabeto , ,00 Combinações Possíveis , , , , ,00 0, Comprimento Senha 8

9 Sistemas de Autenticação Falhas Comuns Sugestões? 9

10 Sistemas de Autenticação Falhas Comuns Aceitar senhas fracas Sistemas sujeitos a força bruta Mensagens Verbosas Funcionalidade de troca de senhas Esqueci minha senha Falhas de Implementação Armazenagem insegura de Senhas 10

11 Senhas Fracas Senhas extremamente curtas ou em branco Palavras ou nomes comuns Ataques de dicionário Login e senha iguais Senha default 11

12 Logins Sujeitos à Força Bruta O responsável pelo ataque pode tentar adivinhar as senhas Força bruta não guiada Ataques por dicionário ou senhas conhecidas Algumas senhas comuns password website name qwerty abc Letmein 12

13 Logins Sujeitos a Força Bruta O sistema deve prevenir ataques de força bruta Como? 13

14 Logins Sujeitos a Força Bruta O sistema deve prevenir ataques de força bruta Número máximo de tentativas por IP Número máximo de tentativas por username E se criarmos um cookie com o valor failedlogins=x Todas vez que um login falha, o valor X é incrementado O cookie é submetido ao servidor, e se X for maior que um valor L (ex.: 10 tentativas), o usuário é bloqueado por K minutos (ex.: 30 minutos) Essa técnica funcionaria? 14

15 Mensagens Verbosas 15

16 Mensagens Verbosas A aplicação diz qual dos componentes (login ou senha) está incorreto Nesse caso podemos percorrer uma lista de logins comuns para descobrir os nomes de usuários Depois fazer um ataque nas senhas dos usuários para conseguir logar no sistema Ataque de dicionário Ataque de força bruta não direcionado Ataque por senhas comuns 16

17 Transmissão Insegura de Senhas Senha transmitida via HTTP sem nenhuma criptografia Passível de interceptação Um espião pode estar conectado na rede de diversas formas Na rede local do usuário No departamento de TI do usuário No provedor de internet do usuário Em um backbone No host da aplicação No departamento de TI responsável pela aplicação Etc. 17

18 Funcionalidade de Troca de Senhas Toda aplicação deve permitir que o usuário troque sua senha Caso a senha seja comprometida ela pode rapidamente ser substituída pelo usuário A funcionalidade (tela) de troca de senhas pode sofrer dos mesmos problemas que a tela de login Prover uma mensagem de erro verbosa Permitir que métodos de força bruta sejam aplicados Checar se nova senha e confirme a nova senha são iguais somente depois de validar se a senha antiga está correta. Pode permitir técnicas de força bruta de maneira não intrusiva 18

19 Esqueci Minha Senha Funcionalidade comum em muitas aplicações 19

20 Esqueci Minha Senha Funcionalidade comum em muitas aplicações Pode introduzir diversos problemas Auxílio da senha com uma dica extremamente óbvia Não pensar que ataques de força bruta podem ser feitos nessa funcionalidade Fazer uma pergunta simples para substituir a senha Digite seu CPF, sua cor favorita,... Enviar um link de recuperação de senha para um especificado pelo usuário 20

21 Falhas de Implementação Difíceis de identificar Podem levar a vazamento de informações ou até mesmo a logins bem sucedidos sem haver usuário ou senhas válidos 21

22 Falhas de Implementação public Response checklogin(session session) { try { String uname = session.getparameter( username ); String passwd = session.getparameter( password ); User user = db.getuser(uname, passwd); if (user == null) { // Login inválido session.setmessage( Login failed. ); return dologin(session); } }catch (Exception e) { // não faz nada } // retorna login válido session.setmessage( Login successful. ); return domainmenu(session); } 22

23 CAPTCHAS CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart Boa Prática contra ataques de força bruta Colocar um desafio que somente um humano poderia resolver No CAPTCHA abaixo, como um robô poderia descobrir o conteúdo da imagem? 23

24 CAPTCHAS Como um robô poderia resolver um CAPTCHA? Técnicas de processamento de imagem No entanto o CAPTCHA já impede o ataque de invasores casuais, que não querem gastar muito tempo para tentar atacar a aplicação O uso do processamento de imagem deixa o processamento muito mais lento Falhas simples na implementação dos CAPTCHAs podem deixa-los vulneráveis Repetição de imagens Solução dos captchas dentro do html 24

25 Armazenagem Insegura de Senhas Senhas armazenadas como texto puro ou descriptografáveis Funções de hash simples também entram nessa categoria Se alguém obtiver acesso ao banco de dados, terá as senhas de todos usuários Usuário Senha foo bar lalala user22 minhasenha 25

26 Boas Práticas Forçar senhas fortes por parte do usuário Armazenar, tratar e enviar as senhas de forma segura SSL Validar a senha e destruí-la da memória Gravar no banco como uma função de hash forte Nunca armazenar/enviar informações de login via URL Deve existir uma funcionalidade para troca de senha do usuário Nenhuma informação de login deve ser vazada Via mensagens de erro verbosas Via cookies, respostas a requisições, etc.. 26

27 Boas Práticas Mensagens de erro de login devem ser genéricas Não foi possível realizar o login Proteger todas funcionalidades ligadas ao login e a troca de senhas contra ataques de força bruta Cuidado com a funcionalidade Esqueci minha senha Logar tudo que for possível quanto a autenticação Quem autenticou, quem tentou, quando, de onde,... Reportar anomalias imediatamente Enviar mensagens de alerta aos usuários informando que suas senhas foram trocadas 27

28 Alguns Testes Possíveis Senhas Fracas Sugestões? 28

29 Alguns Testes Possíveis Senhas Fracas O sistema aceita senhas em branco? O sistema aceita palavras comuns? O sistema aceita senhas muito curtas? O sistema aceita login e senhas iguais? Ataques de força bruta Sugestões? 29

30 Alguns Testes Possíveis Senhas Fracas O sistema aceita senhas em branco? O sistema aceita palavras comuns? O sistema aceita senhas muito curtas? O sistema aceita login e senhas iguais? Ataques de força bruta O sistema bloqueia múltiplas tentativas de login? A validação é feita do lado do cliente ou do servidor? Login incorreto Sugestões? 30

31 Alguns Testes Possíveis Senhas Fracas O sistema aceita senhas em branco? O sistema aceita palavras comuns? O sistema aceita senhas muito curtas? O sistema aceita login e senhas iguais? Ataques de força bruta O sistema bloqueia múltiplas tentativas de login? A validação é feita do lado do cliente ou do servidor? Login incorreto As mensagens são verbosas? 31

32 Alguns Testes Possíveis Transmissão de senhas Sugestões? 32

33 Alguns Testes Possíveis Transmissão de senhas É possível interceptar e decodificar a senha? (Considerando encriptação como um requisito do sistema) Funcionalidade de troca de senhas Sugestões? 33

34 Alguns Testes Possíveis Transmissão de senhas É possível interceptar e decodificar a senha? (Considerando encriptação como um requisito do sistema) Funcionalidade de troca de senhas Todos os testes quanto a segurança das senhas devem ser repetidos nessa funcionalidade (tela) O campo nova senha e repita nova senha são validados somente depois que a senha correta é digitada? 34

35 Alguns Testes Possíveis Esqueci minha senha Sugestões? 35

36 Alguns Testes Possíveis Esqueci minha senha A funcionalidade implementa algum método contra força bruta? CAPTCHAS Sugestões? 36

37 Alguns Testes Possíveis Esqueci minha senha A funcionalidade implementa algum método contra força bruta? CAPTCHAS O CAPTCHA dá alguma dica sobre sua solução? Ex.: A solução do captcha está no nome da imagem, que pode ser lido no html Os CAPTCHAS se repetem com frequência? 37

38 Exercício 1,0 Pontos Proponha uma metodologia de defesa contra ataques de força bruta baseados em dicionário, sendo que esse tipo de ataque parte do princípio que a senha do usuário é uma palavra conhecida, e testa todas as palavras possíveis do dicionário no campo de senha. Para a descrição da metodologia, suponha que o site que será protegido aceita senhas com no mínimo 8 caracteres, e no máximo 16. Suponha também que não há nenhuma restrição extra quanto as senhas. Ex.: O usuário pode ter uma senha com uma palavra comum (ex. laranja), ou uma senha composta de números, letras, mudanças de caixa... (ex. Ae8*-&uU ) Descreva o método, ou então crie o algoritmo de proteção/alarme em uma linguagem de sua preferência. 38