do7 - brukerautentistet in2120

Hvorfor bør man ikke lagre passord i klartekst?

Hvis en database med passord i klartekst blir stjålet, vil alle passordene være direkte tilgjengelige for angriperne.
Dette gjør det enkelt for angripere å utføre identitetstyveri.

Hva er passordsalting og hva er hensikten med det?

Passordsalting er å legge til en tilfeldig verdi, kalt "salt", til et passord før det hashes.
Både salt og hash lagres i databasen.
Hensikten er å forhindre at brukere med identiske passord har samme hash-verdi.
Det gjør det også vanskelig for angripere å bruke forhåndsgenererte hash-tabeller.

Hvorfor bør man ikke gjenbruke passord?

Hvis et passord som brukes på flere kontoer blir kompromittert, vil alle kontoene være sårbare.

Hva er fordeler og ulemper med å lagre passord i en passordbank?

Fordeler:
Enklere å håndtere mange passord.

Ulemper:
Passordbanken kan ha sikkerhetssårbarheter.
Tilgang til passordbanken krever tradisjonell autentisering, som ikke er phishing-resistent

Hva er EER (Equal Error Rate) i biometrisk autentisering?

EER er den raten der falsk-match-rate (FMR) og falsk-non-match-rate (FNMR) er like.
FMR er raten av uekte brukere som feilaktig godtas.
FNMR er raten av ekte brukere som feilaktig avvises.
Jo lavere EER, jo bedre kvalitet har systemet.

Hva er konsekvensen av en svært lav FMR?

Det vil føre til en høyere FNMR, det vil si at flere ekte brukere vil bli avvist.

Beskytter lav FMR et system mot forfalskning?

Nei, en lav FMR betyr bare at systemet er godt til å skille mellom ekte og uekte brukere under normale forhold.

Det sier ingenting om hvor godt systemet er til å oppdage forfalskninger.

Hva er forskjellen på biometrisk autentisering og identifisering?

Autentisering:
Brukeren oppgir sin identitet.
Systemet sammenligner en ny prøve med den lagrede malen for den oppgitte identiteten.

Identifisering:
Brukeren trenger ikke å oppgi sin identitet.
Systemet sammenligner en ny prøve med alle lagrede maler for å finne en match.

Hvilken biometri modus (autentisering eller identifisering) er mest effektiv?

Autentisering er mest effektiv fordi den bare krever en 1:1 sammenligning.mellom en innhentet biometrisk prøve og en lagret mal som er knyttet til brukerens identitet.

Identifisering krever en 1:N - sammenligning, som er mer krevende.Det betyr at en innhentet biometrisk prøve må sammenlignes med alle biometriske maler i en database for å finne en match. Jo større databasen er, desto mer krevende blir denne prosessen.

Hvilken modus brukes for pass og kriminalteknisk etterforskning?

Pass: Autentisering
Kriminalteknisk etterforskning: Identifisering

Hva er de 8 grunnleggende kravene til biometriske modaliteter?

Universalitet: Alle personer skal ha karakteristikken.
Særpreg: Personer skal være tilstrekkelig forskjellige.
Permanens: Karakteristikken skal være stabil over tid.
Målbarhet: Karakteristikken skal være lett å innhente.
Nøyaktighet: Systemet skal ha lav EER.
Ytelse: Systemet skal være raskt og effektivt.
Aksept: Folk skal være villige til å bruke systemet.
Beskyttelse mot forfalskning: Systemet skal være vanskelig å lure.

I hvilke situasjoner kan det være aktuelt å stille krav til trygghet ved bruk av biometri?

Når biometrisk autentisering gir tilgang til betydelige verdier eller sensitive opplysninger.

Dette fordi trusselaktører kan bli fristet til å angripe brukere fysisk for å tvinge frem biometri.

Hvordan fungerer phishingangrep mot tradisjonell brukerautentisering?

Angriperen lurer offeret til å oppgi autentikatorer (f.eks. passord) på en falsk nettside.

Angriperen bruker deretter de stjålne autentikatorene for å logge inn på den ekte nettsiden.

Hva betyr phishing-resistent autentisering?

Autentikatorene kan ikke stjeles eller brukes på andre nettsider enn den ekte.
Autentikatorene er knyttet til nettstedets URL eller IP-adresse.

Hvorfor er passnøkler (FIDO/WebAuthn) phishing-resistente?

Hver passnøkkel inneholder URL-en til den tilhørende nettsiden.
Brukerens plattform vil nekte å bruke passnøkkelen på en nettside med en annen URL.
Brukeren kan ikke overstyre klienten til å signere challenge fra falske nettsider.

Hvordan kan man angripe phishing-resistente systemer?

Angripe plattformen: Skadevare kan endre plattformens policy for bruk av passnøkler.
DNS-spoofing: Angriperen kan lure plattformen til å tro at den er koblet til det ekte nettstedet.
Tvinge bruk av alternative autentikatorer: Angriperen kan lure brukeren til å oppgi et tradisjonelt passord.
Stjele plattformen: Angriperen kan stjele plattformen og forfalske biometri for å få tilgang til passnøkler.
Angripe skylagring: Angriperen kan utføre phishing for å stjele autentikatorer til skylagring av passnøkler.

Hva er formålet med eIDAS og norske rammeverk for e-autentisering?

Å etablere et felles sett med krav til brukerautentisering for offentlige online tjenester.
Å sikre et tilstrekkelig garantinivå for autentisering i henhold til risikonivået.

Hvilke garantinivåer definerer eIDAS?

lavt (LoA 1)
Betydelig (LoA 2)
Høyt (LoA 3)

Hvilke autentiseringsnivåer definerer den norske Veileder for identifikasjon og sporbarhet?

LAVT
BETYDELIG
HØYT

Nevn norske autentiseringstjenester som tilfredsstiller kravene til HØYT autentiseringsnivå.

BankID
BankID-app
Buypass
Commfides

eksamen 2023:

Hva er de typiske sikkerhetsmålsettingene som brytes ved følgende angrep:
DoS-angrep
Skadevare genererer tilfeldig input i database
DDoS-angrep
Knekke kryptering
Avlytting av datatrafikk
Løsepenge/krypto-virus

DoS-angrep og ddos - angrep : Tilgjengelighet
Skadevare genererer tilfeldig input i database: Integritet
Knekke kryptering: Konfidensialitet
Avlytting av datatrafikk: Konfidensialitet
Løsepenge/krypto-virus: Tilgjengelighet

Sikkerhetsmålsettinger (konfidensialitet, integritet, tilgjengelighet) er grunnleggende prinsipper i informasjonssikkerhet. Ulike typer angrep kan bryte en eller flere av disse målsettingene. For eksempel, et DoS-angrep (Denial of Service) hindrer tilgang til et system eller en tjeneste, og bryter dermed målsettingen om tilgjengelighet.

eksamen oppgave:

Hvordan lagres passord i et system som avviser et passordbytte fordi det nye passordet er for likt det gamle?

hashet
Forklaring: Systemer som bruker hashing for å lagre passord, kan sammenligne hashen til det gamle og det nye passordet for å forhindre at brukere velger for like passord. Hashing er en enveisfunksjon, som betyr at det er praktisk talt umulig å rekonstruere passordet fra hashen. Dette beskytter passordene selv om databasen blir kompromittert.

eksamen oppgave:

Hvilken ID-modell brukes når en mobiltelefon automatisk logger seg på et trådløst nettverk med brukerens eksisterende identitet?

Føderert
Forklaring: En føderert ID-modell gjør det mulig for brukere å bruke en enkelt identitet for å få tilgang til tjenester på tvers av ulike organisasjoner. Dette er basert på tillitsforhold mellom de involverte partene. For eksempel, Eduroam er en føderert tjeneste som lar studenter og ansatte ved universiteter bruke sin hjemmeinstitusjons identitet for å koble seg til trådløse nettverk på andre universiteter.

angi hvordan passord kan crackes:
lagret i klartekst
lagret i hashverdi
lagret som salt
lagret som saltet hashverdi

Lagret i klartekst uten hashtabell: Dette er den enkleste formen for passordlagring å "cracke". Angriperen har direkte tilgang til passordene i databasen. En database med passord i klartekst er en usikker løsning.

lagret som hashverdi med hashatabell: Angriperen kan bruke en hashtabell for å finne passord som samsvarer med hashverdien. Hashing i seg selv gir moderat sikkerhet, men kraftige verktøy kan brukes til å gjenopprette relativt svake passord.

Lagret som salt er ingen: Salt alene er ikke en metode for å lagre passord. Salt er en tilfeldig verdi som legges til passordet før det hashes.

lagret som saltet hashverd er vaskelig å crackei: Denne metoden er vanskeligere å cracke fordi angriperen trenger å vite både hashverdien og saltverdien for å finne det originale passordet. Passordsalting forhindrer at brukere med identiske passord har samme hashverdi lagret i databasen. Det gjør det også vanskeligere for angripere å bruke hashtabeller, da de måtte generere en tabell for hver saltverdi. Cracking av saltede hashverdier krever betydelig regnekraft.

eksamen 2021;

Hvilken type autentiseringsenhet passer til ulike karakteristikker?

Brukes i FIDO-løsninger: Online-enheter FIDO (Fast Identity Online) er en standard for sterk autentisering som ofte bruker online-enheter, for eksempel en sikker chip innebygd i en smarttelefon eller datamaskin.


Blir autentisert av leser/terminal: OTP-brikke, Pass og ID-kort Disse enhetene inneholder informasjon som kan leses og verifiseres av en kompatibel leser eller terminal.


Brukes for overføring av autorisasjonskode/mønster til bruker: Sekundærkanal Sekundære kanaler, som SMS eller apper, kan brukes til å sende engangskoder eller andre autentiseringsinformasjon til brukeren.

Har som regel klokke: OTP-brikke Mange OTP-brikker bruker en intern klokke for å generere tidsbaserte engangskoder.


Brukes i BankID på mobil: Sekundærkanal, Online-enheter BankID på mobil bruker en app på mobilen som en sekundærkanal for autentisering. Nyere versjoner kan også bruke online-enheter integrert i mobilen.


brukes i BankID: OTP-brikke Tradisjonell BankID bruker en fysisk OTP-brikke for å generere engangskoder.


Det finnes ulike typer autentiseringsenheter med forskjellige egenskaper og bruksområder. OTP-brikker genererer engangskoder, mens adgangskort og ID-kort inneholder informasjon som kan leses av en terminal. Sekundære kanaler brukes til å sende autentiseringsinformasjon til brukeren via en separat kanal, som SMS eller en app.

Hvilket rammeverk for e-autentisering passer til ulike karakteristikker?

Definerer 4 autentiseringsnivåer: RAU, Norge 2008 RAU (Rammeverk for autentisering og uavviselighet) definerte 4 nivåer for e-autentisering i Norge, men ble erstattet av eIDAS og senere av Veileder for identifikasjon og sporbarhet.

Beskriver ikke krav til registrering av ID:
RAU (Rammeverk for autentisering og uavviselighet) som ikke beskriver krav til registrering av ID. Grunnen til dette er at RAU, som ble utgitt i Norge i 2008, fokuserte på autentisering (hvordan man verifiserer at en bruker er den de utgir seg for å være) og uavviselighet (hvordan man kan sikre at handlinger kan spores tilbake til en bruker). RAU definerte ikke hvordan selve identiteten skulle registreres i systemet. I stedet fokuserte rammeverket på hvordan autentisering skulle gjennomføres etter at en identitet var etablert.

Beskriver krav til ID-føderering: NIST SP 800-63-3 er et amerikansk rammeverk som definerer retningslinjer for elektronisk identifikasjon, autentisering og ID-føderering. Det beskriver hvordan identitetssystemer skal implementeres for å støtte ID-føderering, som gjør det mulig for forskjellige organisasjoner å samarbeide om autentisering og identitetsbekreftelse på tvers av systemer.


Beskriver 3 kategorier krav til autentiseringsløsninger: eIDAS (EU 2014) beskriver ikke 3 spesifikke kategorier for krav til autentiseringsløsninger, men heller tre nivåer av tillit (eller sikkerhet), som autentiseringsløsninger kan klassifiseres i. Dette kan være årsaken til at eIDAS er krysset av i spørsmålet som feil.