7.1 Autentizace, autorizace a pověření
Autentizace (Authentication)
Proces ověření identity uživatele. Existují různé metody ověření. Výsledkem je buď potvrzení identity (TRUE + ID) nebo zamítnutí (FALSE). Autentizace pouze dokazuje identitu, nikoliv oprávnění (práva).
Autorizace (Authorization)
Proces obvykle prováděný po úspěšné autentizaci, který uděluje uživateli oprávnění (privilegia) k provádění určitých akcí. Výsledkem je GRANTED (povoleno) nebo DENIED (zamítnuto).
Faktory autentizace
Autentizační faktor je část informace používaná k autentizaci identity. Existují tři základní skupiny faktorů:
- Znalost (knowledge): Něco, co uživatel zná (např. heslo, PIN).
- Vlastnictví (possession): Něco, co uživatel má (např. čipová karta, telefon).
- Inherence: Něco, čím uživatel je (biometrika, např. otisk prstu, sítnice).
Pověření (Credentials)
Jakákoli část informace poskytnutá uživatelem a použitá pro autentizaci. Obvykle se jedná o kombinaci určitého ID (uživatelské jméno) a jednoho nebo více faktorů (typicky uživatelské jméno + heslo).
Útoky na autentizaci a autorizaci
Útoky na autentizaci (získání hesel v prostém textu)
- Sociální inženýrství
- Phishing
- Útok hrubou silou (Brute force)
- Slovníkový útok (Dictionary attack)
- Duhové tabulky (Rainbow tables)
Útoky na autentizaci (obejití zadání pověření)
- Obejití autentizace – zneužití chyb v implementaci.
- Enumerace uživatelských účtů – hledání nulových nebo univerzálních hesel.
- Replay útok – útok na síťový protokol, odchycení a znovuposlání dat.
- Pass the hash – zneužití autentizačního protokolu (např. Windows NTLM), kdy útočník nepotřebuje znát heslo, stačí mu jeho hash.
Útoky na autorizaci
- Eskalace privilegií – cílem je získat práva nejvyššího uživatele (root).
- Obejití autorizace – zneužití implementačních chyb v logice přidělování práv.