Kertakäyttösalasanat käyttäjäntunnistamisen tukena
Virta, Ilkka (2018)
Kandidaatintyö
2018
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi-fe2018061826027
http://urn.fi/URN:NBN:fi-fe2018061826027
Tiivistelmä
Yleisin tapa käyttäjäntunnistamiseen on perinteinen kiinteä salasana, mutta kertakäyttöiset salasanat ovat lisänneet suosiotaan myös suurelle yleisölle suunnatuissa palveluissa.
Tässä työssä käsitellään käyttäjäntunnistamiseen ja kirjautumistapahtumaan kohdistuvia hyökkäyksiä ja vastatoimia niille. Työ toteaa että kertakäyttösalasanat toimivat hyvin passiiviseen vakoiluun rajoittunutta hyökkääjää vastaan, mutta eivät korvaa puutteellista ohjelmistoturvallisuutta tai palvelinjärjestelmän luotettavaa tunnistamista aktiivista hyökkääjää vastaan.
Työssä rakennetaan myös Linux-alustalla toimiva kertakäyttösalasanakirjautumisjärjestelmä olemassaoleviin ohjelmistomoduuleihin perustuen. Tähän käytetään oath-toolkit -ohjelmiston tunnistusmoduulia sekä RADIUS-protokollaa tunnistamispalvelimen ja sitä käyttävien järjestelmien väliseen kommunikointiin. The most common method for user identification is a traditional fixed password, even though they have known issues. However, one-time passwords have lately become more prevalent, even in services aimed at ordinary users.
This work considers threats related to user authentication and the authentication process, and methods for mitigating different types of threats. The work shows that one-time passwords offer good protection against a passive eavesdropper but cannot replace inadequate software security or reliable identification of the remote system in case of an active attacker.
The work also compiles an authentication system for Linux servers using pre-existing software modules. The authentication module from the oath-toolkit library is used, as well as the RADIUS protocol for communication between the authentication server and its clients.
Tässä työssä käsitellään käyttäjäntunnistamiseen ja kirjautumistapahtumaan kohdistuvia hyökkäyksiä ja vastatoimia niille. Työ toteaa että kertakäyttösalasanat toimivat hyvin passiiviseen vakoiluun rajoittunutta hyökkääjää vastaan, mutta eivät korvaa puutteellista ohjelmistoturvallisuutta tai palvelinjärjestelmän luotettavaa tunnistamista aktiivista hyökkääjää vastaan.
Työssä rakennetaan myös Linux-alustalla toimiva kertakäyttösalasanakirjautumisjärjestelmä olemassaoleviin ohjelmistomoduuleihin perustuen. Tähän käytetään oath-toolkit -ohjelmiston tunnistusmoduulia sekä RADIUS-protokollaa tunnistamispalvelimen ja sitä käyttävien järjestelmien väliseen kommunikointiin.
This work considers threats related to user authentication and the authentication process, and methods for mitigating different types of threats. The work shows that one-time passwords offer good protection against a passive eavesdropper but cannot replace inadequate software security or reliable identification of the remote system in case of an active attacker.
The work also compiles an authentication system for Linux servers using pre-existing software modules. The authentication module from the oath-toolkit library is used, as well as the RADIUS protocol for communication between the authentication server and its clients.