AUTENTIZACE UŽIVATELŮ PRO VZDÁLENÝ PŘÍSTUP DO POČÍTAČOVÉ SÍTĚ LIANE PŘI ZTRÁTĚ HESLA

AUTENTIZACE UŽIVATELŮ PRO VZDÁLENÝ PŘÍSTUP DO POČÍTAČOVÉ SÍTĚ LIANE PŘI

ZTRÁTĚ HESLA

Bakalářská práce

Studijní program: B2646 – Informační technologie Studijní obor: 1802R007 – Informační technologie Autor práce: Roman Belda

Vedoucí práce: Ing. Lenka Kosková - Třísková

LIANE NET REMOTE ACCESS USER

AUTHENTICATION IN CASE OF A PASSWORD LOSS

Bachelor thesis

Study programme: B2646 – Information Technology Study branch: 1802R007 – Information Technology

Author: Roman Belda

Supervisor: Ing. Lenka Kosková - Třísková

Poděkování

Tímto bych rád poděkovalvedoucímé bakalářské práce paníIng.Lence Koskové Třískové za poskytnuté konzultace,užitečné rady a připomínky.

Rád bych poděkovalpanu Petru Adamcoviz Oddělenípro správu sítě LIANE a panu Ing.Igoru Kopetschkovi, který spravuje karetní centrum, za rady a poskytnuté informace týkajícíse problematiky této bakalářské práce.

Dále bych chtělpoděkovat panu Ing.Janu Havlíčkoviz Vysoké školy ekonomické v Praze,panu Ing.Pavlu Poláčkoviz Univerzity Jana Evangelisty Purkyně a panu Ing.Jiřímu Slaninoviz Univerzity Pardubice za jejich časa poskytnuté informace.

V neposlednířadě děkujisvé rodině za podporu během mého studia.

Abst r akt

Cílem této práce je navrhnout prototyp zařízení,které bude realizovat změnu centrálního hesla v případě jeho zapomenutínebo ztráty.Po odborných konzultacích jsem navrhl způsob autentizace uživatelů s využitím identifikační čipové karty a jednorázového hesla,které bude odesláno formou SMS zprávy na mobilnítelefon uživatele.Provedljsem návrh hardwarového a softwarového vybavenízařízení.Dále jsem se v této prácivěnovalporovnánízpůsobu přihlašovanído univerzitních sítína různých univerzitách v České republice.

Kl í čová sl ova

Autentizace uživatele,identifikačníkarta,centrálníheslo,ztracené/zapomenuté heslo

Abst r act

The purpose ofthis study is to propose a device prototype that would be able to change the main password in case itis forgotten orlost.Afterexpertconsultations Ihave proposed a userauthentication method thatwould use an ID chip card and a one-time password thatwould be sentto the user´s cellphone via a textmessage.

Ihave presentedhardware and software description ofthe device.Further,Idrew a comparison between various universities in the Czech Republic regarding log in methods in use.

Keywor ds

Userauthentication,ID chip card,main password,lost/forgotten password

Obsah

1 Úvod...13

2 Metody ověření uživatele...14

2.1 Důkaz znalostí...14

2.1.1 Stávající situace na TUL...15

2.1.2 Analýza rizik...16

2.2 Důkaz vlastnictvím...16

2.2.1 Stávající situace na TUL...17

2.2.2 Analýza rizik...18

2.3 Důkaz vlastností...18

2.3.1 Stávající situace na TUL...19

2.4 Kombinace metod...19

2.5 Různé sdělovací kanály...19

3 Změna centrálního hesla...20

4 Rešerše systémů jiných univerzit...21

4.1 Soubor otázek...21

4.2 Shrnutí...24

5 Koncept autentizace uživatele...25

5.1 Povolení služby vzdálené změny hesla...25

5.2 Využití služby pro vzdálenou změnu hesla...26

5.3 Bezpečnostní podmínky, limity...26

5.3.1 Pro kód PIN...26

5.3.2 Pro vygenerované jednorázové heslo...27

5.4 Univerzitní SMS brána...27

5.4.1 SMS brána pomocí GSM modemu...27

5.4.2 SMS brána jako služba...28

6 Návrh prototypového zařízení...28

6.1 Definice požadavků...28

6.2 Návrh systému...29

6.3 Volba hardwaru a softwaru...30

6.4 Zabezpečení terminálu...32

6.5 Chybová hlášení a stavy...32

6.6 Popis webové služby...33

6.6.1 Význam pojmenování...34

6.6.2 Metoda ping()...34

6.6.3 Metoda pinRequest()...36

6.6.4 Metoda changePassword()...38

7 Závěr...41

Seznam zkr at ek

TUL Technická univerzita v Liberci LIANE LIberec Academic NEtwork tzn. to znamená

atd. a tak dále

SMS ShortMessage Service (Systém krátkých zpráv) VŠE Vysoká škola ekonomická v Praze

UJEP Univerzita Jana Evangelisty Purkyně v Ústínad Labem UPCE Univerzita Pardubice

IS/STAG Informačnísystém studijníagendy EDUID Česká akademická federace identit OP Občanský průkaz

ŘP Řidičský průkaz

RADIUS Remote Authentication DialIn User Service (Uživatelská vytáčená služba pro vzdálenou autentizaci)

VPN Virtualprivate network AD MicrosoftActive Directory

LDAP LightweightDirectory AccessProtocol SMTP Simple MailTransferProtocol

ISIS Studijníinformačnísystém

FAR False Acceptance Rate (četnostpovoleníneoprávněného vstupu)

FRR False Rejection Rate (četnostodmítnutíoprávněného vstupu) SSO Single sign-on

NFC NearField Communication (bezdrátová komunikace na krátkou vzdálenost)

GSM GlobálníSystém pro Mobilníkomunikaci IC Informačnícentrum

KC Kartové centrum CC Copy centrum

PIN PersonalIdentification Number(osobníidentifikačníčíslo)

Seznam tabulek

Tabulka 1: Podmínky a limity pro kód PIN...27 Tabulka 2: Podmínky a limity pro jednorázové heslo...27 Tabulka 3: Chybová hlášení a stavy...33

Seznam obrázků

Obrázek 1: KeePass: free, open-source software...14

Obrázek 2: Logo softwaru Shibboleth...15

Obrázek 3: Příspěvky na sociální síti, v případě ztráty čipové karty...17

Obrázek 4: ISIC (vlevo) pro studenty a ITIC (vpravo) pro pedagogy...17

Obrázek 5: Výstup z programy NFC TagInfo...18

Obrázek 6: Generování jednorázového hesla [1]...20

Obrázek 7: Logo VŠE, UJEP a UPCE...21

Obrázek 8: Centrální systém...29

Obrázek 9: Raspberry Pi...30

Obrázek 10: Hardwarová klávesnice...31

Obrázek 11: Schéma komunikace mezi systémy...31

Obrázek 12: Schéma metody ping()...35

Obrázek 13: Schéma metody pinRequest()...36

Obrázek 14: Schéma metody changePassword()...38

1 Úvod

Když uživatelzapomene nebo v horším případě ztratí,centrálníheslo do sítě LIANE, má dnes k dispozicipouze jedinou možnost pro změnu hesla:osobnínávštěvu na studijním oddělení,případně na Správě sítě LIANE,kde je uživatelivygenerováno nové přístupové heslo somezenou platností.

V této práci jsem se věnoval přístupům jiných univerzit v České republice k přihlašovánído univerzitních sítí.Řešiljsem vhodný konceptautentizace uživatele do počítačové sítě LIANE bez znalosticentrálního hesla.

Zařízeníbude uživatelům k dispozicinepřetržitě.Jedná se o doplňkovou službu, kterou sikaždý uživatelmůže,dle svého uvážení,povolit.

Toto zařízeníje možné do budoucna rozšířito dalšífunkce.Také je snadné zařízenído systému přidávatnebo odebírat.

2 Met ody ověření uži vat el e

Uživatele je možné ověřit pomocítřímetod:důkaz znalostí,důkaz vlastnictvím, důkaz vlastností.[1]

2. 1 Důkaz znal ost í

Metoda vyžaduje po uživatelise prokázat znalostítajné informace.Nejčastějším případem je znalost uživatelského jména a hesla. Uživatel je často nucen si pamatovatvelmisložitá hesla.Tvarhesla,který například doporučuje webový portál LIANE je:JI:SpG03.[2]Pokud uživatelnenílimitován délkou hesla,je vhodné použít úryvek básně pro lepšízapamatování.Důvodem proč máme využívatrůzné velikosti písmen,číslic nebo speciálních znaků je,že se snažíme zvýšit počet možných kombinací,které by potenciálníútočník mohlpoužít.

Mnoho uživatelů se dopouštíchyb,které plynou ze složitostígenerovaných hesel. Poznamenávajísihesla do mobilních zařízení,nebo písemnou formou do bloků.Sice majízvolené velmibezpečné heslo,ale jejich uloženíjiž neřeší.Může se stát,že mobilní telefon bude ukraden, a s tím i hesla k bezpečnostním schránkám, k bankovnímu účtu apod.Pro bezpečné ukládáníheseltedy doporučujisoftware zvaný KeePass.[3]

Jedná se o volně dostupný,otevřený software,který sloužík bezpečnému ukládání hesel.Je naprogramován pro většinu používaných operačních systémů.Databázi heselje možné zaheslovattřemizpůsoby:

1.centrálníheslo

Obrázek 1:KeePass:free,open-source software

3.V případě verze pro MS Windows 7 Home Edition je možné využítúčet,kterým se přihlašujíuživatelé do MS Windows.

2. 1. 1 St ávaj í cí si t uace na TUL

Důkaz znalostífunguje na Technické univerzitě v Libercistandardně.Využívá se uživatelské jméno ve tvaru:jmeno.prijmeni

V případě,že jsou na škole uživatelé se stejným jménem a příjmením přidává se na konec jejich uživatelského jména číslo:jmeno.prijmeni1

Centrálníheslo nynízískávajístudentipřislavnostníimatrikulaci.Do budoucna se plánuje,že studentizískajípřístupové údaje ke svému účtu v dopise o vyrozumění přijetína Technickou univerzitu v Liberci.¹ Účet jim bude aktivován po zápisu do ročníku.

Pomocíuživatelského jména a centrálního hesla majístudentipřístup:do počítačové sítě v učebnách;do Menzy;na e-learningový portál;na školníe-mail;k webovým stránkám,kde simohou nastavit heslo pro vzdálený přístup;na kolejníwebové stránky;k VPN připojenína univerzitu;na portálotevřená univerzita;do programu MSDN;do T-UNIdiskuze;do studentské unie;na portálMoodle;a plno dalších systémů,které využívajípro ověřeníuživatele školnísystém Shibboleth.

Jedná se o otevřený software,který poskytuje nástrojpro SSO (Single Sign-On).[4]To znamená,že uživatelse přihlásípouze jednou do systému.A od této chvíle může přistupovatk různým WWW serverům,které tohoto uživatele rozpoznají.

Obrázek 2:Logo softwaru Shibboleth

2. 1. 2 Anal ýza r i zi k

Hlavním rizikem této metody je prozrazeníuživatelského jména a hesla.Cizíosoba má přístup ke všem informacím o uživatelia může je dle libostiměnit,zneužívat apod.Proto je velmi důležité, aby uživatelé byli informováni o nebezpečnosti sdělovánípřihlašovacích informací.

2. 2 Důkaz vl ast ni ct ví m

Metoda vyžaduje po uživatelivlastnitbezpečnostnípředmět,který musímítneustále přisobě.Tento předmět na Technické univerzitě v Liberciznáme jako studentská čipová karta,ISIC,ITIC,čipová klíčenka.Nevýhodou této metody je,že v případě ztráty bezpečnostního předmětu může útočník využívat služby jménem majitele předmětu.Proto uživatelmusíihned přizjištěníztráty předmětu tuto ztrátu nahlásit na studijním oddělenípřípadně na Správě sítě LIANE,která provede blokacikarty.

Tato blokace karty se redistribuuje na dalšísystémy,se kterýmije spojena.

Seznam systémů,ke kterým je čipová karta připojena:

• přístup na všechny bloky kolejí– v případě,že je studentubytován

• výdejobědů (finančníkonto pro obědy)

• aktivovaný tisk na tiskárnách SATIKOS (finančníkonto pro tisk)

• možnost výpůjčky knih v Krajské vědecké knihovně Liberec (riziko náhrady škody,případné možné penále v případě nevráceníknihy)

• je možné na ISIC kartu nahrátMěstské hromadné dopravy Liberec (finanční konto pro jízdu hromadnou dopravou)

Studenti o bezpečnostním riziku bezpečnostního předmětu nejsou dostatečně informováni. Neklade se na ztrátu bezpečnostního předmětu důraz. Osobně přirovnávám ztrátu ISIC karty ke ztrátě kreditníkarty.

studentem hovořil.Potvrdilmi,že ISIC kartu nezablokoval,a čekal,než se ISIC karta objeví.Na konec jiúspěšně našel,bez žádné ztráty.

2. 2. 1 St ávaj í cí si t uace na TUL

Na Technické univerzitě v Liberci používáme několik čipových identifikačních předmětů.Jedná se o TUL čipové karty pro studenty a pedagogy.Poté ISIC a ITIC čipové karty pro studenty a pedagogy.

NěkteřízaměstnanciTUL vlastníčipové klíčenky nebo zaměstnanecké čipové karty.

Ty fungujína stejném principu jako tyto čipové karty ISIC/ITIC.Jedná se o čipové karty typu Mifare Classic 4K².Na obrázku číslo 5 je vidětvýstup softwaru NFC TagInfo.

Obrázek 3:Příspěvky na sociálnísíti,v případě ztráty čipové karty

Obrázek 4:ISIC (vlevo)pro studenty a ITIC (vpravo)pro pedagogy

2. 2. 2 Anal ýza r i zi k

Možné bezpečnostníriziko vzniká přiztrátě identifikačníčipové karty.V případě,že má studentpovolený vstup na koleje,může majitelčipové karty vstupovatlibovolně do prostoru kolejí.Na čipovou kartu ISIC/ITIC je možné sinechatnahrátaplikacipro Libereckou veřejnou dopravu.Dále je na kartě kredit do Menzy,a kredit pro tisk.

Čipovou kartu ISIC/ITIC je možné využít k vypůjčenísiknih a jiného materiálu z Krajské vědecké knihovny Liberec.

Na kartě ISIC Studentjsou vytištěny informace o studentovi:jméno,příjmení,datum narození,název univerzity,identifikačníčíslo studenta,ID ISIC karty (využitelné při slevách).

Na řešenítohoto rizika se aktivně pracuje.Připravuje se nové webové rozhranípro změnu centrálního hesla.Právě zde bude možnostsizablokovatidentifikačníkartu v případě jejíztráty.Pro opětovné povoleníkarty (přiúspěšném nálezu) je nutné navštívit studijníoddělení,případně karetnícentrum,kde kartu znovu odblokují. Odblokováníbude možné pouze pro prokázánítotožnosti,že karta je u oprávněného držitele.

2. 3 Důkaz vl ast nost í

Poslední metodou je využití biometrické ověření identity uživatele. Příkladem biometrického ověřeníje například:záznam obličeje kamerou,otisk prstů,otisk oční

Obrázek 5:Výstup z programy NFC TagInfo

Tato metoda také nenínejspolehlivější.Podle knihy Počítačová bezpečnosta ochrana dat[1] může dojít ke dvěma chybovým stavům – stav, při kterém bude jako autorizovaný uživatel označen ten,který nemá přístup k systému (FAR – False Acceptance Rate)a stav kde oprávněný uživatelnemá povolený přístup (FRR – False Rejection Rate).Každá tato chyba má svůjvlastníprahový limit,kdy k chybě dojde.

Záležína systému,který zabezpečuje.,případně,který se používá.Dále v knize uvádějípříklad kdy se jaký systém hodí.

Pokud chceme,aby bezpečnostbyla na co nejvyššíúrovni,je pro nás nepřijatelné,že by systém povolilpřístup neautorizované osobě.Je přijatelné,pokud systém odmítne ověřit uživatele,kteřímajímít přístup do systému.VyužitíFRR.Naopak v závodní jídelně můžeme tolerovat výdejobědu neznámému člověku.Ale strávník by nebyl spokojen v případě,že má nárok na výdej,ale oběd mu nebylvydán.VyužitíFAR.

2. 3. 1 St ávaj í cí si t uace na TUL

Tento typ ověřenínenímožné aplikovatna TUL z důvodu ochrany osobních údajů.

TUL není oprávněna shromažďovat biometrické údaje o studentech nebo zaměstnancích.

2. 4 Kombi nace met od

Pro zvýšení bezpečnosti se využívá kombinace výše uvedených metod. Síla zabezpečenísystému je ve zvyšovánípravděpodobnosti,že nenastane určitá situace.

Kreditníkarty využívajídůkaz znalostía důkaz vlastnictvím.Kde důkaz znalostíje PIN a důkaz vlastnictvím je kreditníkarta,kterou používáme přivýběru z bankomatu.

2. 5 Různé sděl ovací kanál y

Dalšímožnostízvýšenízabezpečenísystému je zvolenírůzných sdělovacích kanálů pro interakci s uživatelem. V posledních letech se hodně využívá například v bankovnictví.Mám osobní zkušenost s bankovním účtem od Československé obchodníbanky,která pro přístup do systému využívá vygenerované jednorázové

mobilnítelefon.

3 Změna cent r ál ní ho hesl a

Osobně jsem sivyzkoušelstávajícísystém změny centrálního hesla na studijním odděleníFakulty mechatroniky,informatiky a mezioborových studiích.

Den před návštěvou studijního oddělení,jsem siz bezpečnostních důvodů měnil centrálníheslo.Bohuželjsem nové heslo nezměnilna chytrém telefonu,a došlo k zablokováníúčtu.Systém TUL vyhodnotil,že se někdo snažíuhodnout mé heslo hrubou silou.Proto jsem se celý večernebylschopný připojitk internetu.

Následujícíden jsem přišelna studijníoddělenís ústnížádostío změnu centrálního hesla.Byljsem vyzván k nahlášeníjména a příjmení.Následně mibylo vygenerováno nové heslo somezenou platností.

Před generováním nového hesla,jsem mělbýt dotázán na občanský průkaz,nebo nějaký jiný osobnídoklad sfotografií.

Po konzultacis panem Petrem Adamce,který pracuje na Oddělenísprávy sítě LIANE, jsem zjistil, že každý rok pan Adamec rozesílá e-mailem na studijní oddělení informace pro studenty,jak majínakládatspřístupovýmiúdaji.

Dále také pan Adamec v e-mailu uvádí,že studijníoddělenímajíměnithesla pouze Obrázek 6:Generováníjednorázového hesla [1]

Generátor náhodných čísel

Šifra

Jednorázové heslo Uživatel

V tomto případě došlo k selháníautentizace uživatele do centrálnísítě LIANE.

4 Rešerše syst émů j i ných uni verzi t

Komunikovaljsem s panemIng.Janem Havlíčkem z Vysoké školy ekonomické v Praze (VŠE).S panem Ing.Jiřím Slaninou z Univerzity Pardubice (UPCE).A v neposlednířadě s panem Ing.Pavlem Poláčkem z Univerzity Jana Evangelisty Purkyně (UJEP).

4. 1 Soubor ot ázek

1.Jakým způsobem získávajínovístudentiuživatelské jméno a heslo,když nastoupípoprvé na univerzitu?

VŠE: V případě,že si uchazeč podá přihlášku elektronicky ve studijním informačním systému (ISIS),poté jim automaticky vzniká speciálnítyp účtu, který se připřijetítransformuje na standardníúčet.Přinásledné změně hesla v ISISu se toto heslo propíše ido MicrosoftActive Directory.V případě,že se někdo ke studiu přihlásilmimo ISIS (papírová přihláška),musípo přijetí osobně na Centrum podpory uživatelů.

UPCE: Studentipřizápisu obdržíkartu.Kartu mohou přiložit ke snímači, aplikace jim resetuje předvolené heslo a na minitiskárně jim vyjede nové vygenerované heslo do domény UPCE ik e-mailu Google.

UJEP: Studentimajívygenerované heslo podle formátu X<rodné_číslo> do IS/STAG.Pomocítohoto konta sipak mohou změnitheslo do bezdrátové sítě,

Obrázek 7:Logo VŠE,UJEP a UPCE

sítě na kolejia k webovým službám (EDUID,e-learning).

2.K jakým systémům/aplikacím majístudentis těmito údajipřístup?

VŠE: Studijnísystém ISIS;Microsoft Active Directory (všechny počítače na VŠE);dalšíWWW služby,ověřujícíse prostřednictvím LDAP;SMTP serverškoly;

Office 365.Dále je ještě v provozu RADIUS serverpro ověřeníEduROAM a VPN, heslo je oddělené a nesmíbýt stejné.Nastavuje se prostřednictvím WWW stránky,ověřuje se heslo do ISISu.

UPCE: Jedná se o řadu informačních systémů,jednotně je evidujíjako JIS (Jednotný informační systém). Například se jedná o systém knihovny, intranetu,moodle,e-learning,virtuálnílaboratoře atd.)

UJEP:Studentimajípřístup k IS/STAG,webmail.

3.Jakým způsobem sistudentimohou změnitsvé heslo?

VŠE:Změna v ISISu,změna se propíše ido AD a LDAP.Heslo na RADIUS server se nastavuje skrze WWW stránku.

UPCE:Změnu hesla provádějístudentina WWW stránce.

UJEP:V systému IS/STAG skrze webovou aplikaci.

4.Jaké majímožnostiobnoveníhesla pokud ho zapomenou?

VŠE:Musíse osobně dostavitna Centrum podpory uživatelů,kde jim operátor nastavínové inicializačníheslo,to je následně nutné změnitv ISISu.Heslo na RADIUS serverzměnípřesWWW,pokud ovšem znajíheslo do ISISu.

UPCE: Přijdou na IC (Informační centrum), KC (Kartové centrum) nebo CC (Copy Centrum)a po prokázánítotožnostijim je dovoleno přiložitkartu na snímač,aplikace jim resetuje heslo a na mini tiskárně jim vyjede nové vygenerované heslo do domény upce,ik emailu Google.

5.Majístudentina Vašíuniverzitě identifikačníkartu (ISIC)nebo klíčenku?

VŠE:Ano,čipová karta,ISIC (resp.ITIC pro učitele)jako varianta ale existují ikarty bez designu a licence ITCS.Karty jsou placené.Převážná většina studentů volíISIC.Karty jsou ipro externíčtenáře knihovny a dalšíosoby.

Existuje ibezplatná varianta karty bez čipu,jejívyužitíje ale velmiomezené a vydajíse řádově jednotky kusů ročně.

UPCE:Majíidentifikačníkartu stejnou jako zaměstnanci.Na obědy,tisk na tiskárnách,přístupy do učeben a budov,do knihovny.Karty ISIC vydává ISIC na občasném stánku,ale trvale to tu není.

UJEP:Studentivlastníidentifikačníčipové kartyISIC.

6.Při změně hesla se provádí ověření studenta? Pokud ano, jakým způsobem?

VŠE:Operátorověřítotožnost pomocívhodného průkazu totožnosti(školní karta,OP,pas,ŘP a podobně.Musí se jednat o průkaz s fotografií).Ve speciálních případech, kdy se student nemůže dostavit osobně (je prokazatelně v zahraničía podobně)se situace řešíindividuálně.

UPCE:Ano,k ověřenístudenta se využívá OP,případně se dá využítŘP,pas. UJEP:Pro ověřenístudenta se využívá OP.

7.Jaké dostanou studenti informace, jak se mají zachovat při ztrátě identifikačního předmětu?

VŠE: Přizahájenístudia majíhromadné informačníschůzky,kde dostanou istručnou informacio ID kartách.Ztrátu karty obvykle hlásíosobně na Centru podpory uživatelů.Přiztrátě hrozízejména zneužitípeněz v menze nebo na placeném tisku a kopírování.

UPCE:Ztrátu majíneprodleně hlásitna IC.

UJEP:Připředáníkarty podepisujístudentipapíro předání,který je explicitně neinformuje,co majídělatv případě ztráty.Tyto informace jsou uvedeny na webových stránkách.

8.Existuje na Vaší univerzitě služba, která by měl dostupnost 24 hodin denně, kterou by mohli studenti využít v případě zapomenutí hesla a nebo ztrátě identifikačního předmětu?

VŠE:Neexistuje.

UPCE: Ne,jen v pracovnídobě na IC (Informačnícentrum),KC (Kartové centrum)nebo CC (Copy Centrum).

UJEP:Neexistuje.

9.Jaká pravidla vyžadujetepro tvorbu nového hesla? Počet znaků,velikost písmen,alfanumerické znaky,případně nějaké speciálníznaky? Pokud ano,můžete uvéstkteré,případně jejich počet?

VŠE:ISIS a AD minimálně 9 znaků,kombinace malých,velkých písmen a číslic.

RADIUS min.8 znaků,kombinace minimálně malých a velkých písmen nebo kombinace písmen a číslic.

UPCE: Heslo musíobsahovatminimálně 3 typy znaků a minimálně 8 znaků.

Heslo se nesmípoužítstejné,jako 3x v minulosti. UJEP:Heslo musíobsahovatminimálně 8 znaků.

4. 2 Shr nut í

Zjistiljsem,že žádná z výše uvedených univerzit,nenabízísvým uživatelům sítě službu pro změnu centrálního hesla dostupnou 24 hodin.Nejzajímavějším typem generovánínového heslomá Univerzita Pardubice s využitím minitiskárny.Systém, ale nenípovolen 24 hodin.

bezpečnostnímu problému.Majitel takto nabitého účtu může měnit nastavení uživatele.Tímto jednáním mohou způsobit veliké škody.Například v případě,že někdo zjistípřihlašovacíúdaje vyučujícího.

Důvodem bezpečnostního rizika je,že majíuživatelé jedno uživatelské jméno a heslo k více informačním systémům. Jedinou obranou je rychlé nahlášení zcizení uživatelského účtu a jeho rychlá blokace.

5 Koncept aut ent i zace uži vat el e

Pro návrh prototypového zařízení jsem zvolil kombinaci metod důkaz znalostí a důkaz vlastnictvím.Pro zvýšeníbezpečnostijsem zvolildalšísdělovacíkanálpro komunikacis uživatelem.Jedná se o textovou zprávu (SMS),v které bude uvedeno jednorázové heslo (PIN),které bude nutné zadatdo systému.Jako důkaz vlastnictví jsem zvolilidentifikačníkartu TUL,ISIC,ITIC,nebo čipovou klíčenku,které se používají na Technické univerzitě v Liberci.

5. 1 Povol ení sl užby vzdál ené změny hesl a

V případě,že uživatelbude chtít využívat služby zařízení,musísislužbu povolit. Povolenítéto služby se provádína webové stránce LIANE,kde simůže studentměnit své nastavení.

Od pana Ing.Igora Kopetschkeho mám informaci ke dni 15.5.2014,že vývoj webového portálu se dokončuje.Odkaz přímo na nové webové rozhranízatím není k dispozici.O této situacibudou uživatelé informovánina webových stránkách sítě LIANE.

V době,kdy uživatelzná své přihlašovacíúdaje,situto službu povolí.Pro povolení musízadatmobilnítelefonníčíslo,kam přijde ověřujícíSMS s kódem,která ověří,zda se jedná o uživatele,který o tuto službu žádá.Uživateltento kód musívložit do webového portálu,kde dojde k potvrzenía aktivováníslužby.

5. 2 Využi t í sl užby pr o vzdál enou změnu hesl a

V případě,že studentzapomene své přihlašovacíheslo a má službu povolenou,může využítslužeb zařízení.

Postup uživatele:

1.Uživatelpřijde k terminálu a přiložíidentifikačnípředmět.

2.Na registrovaný mobilní telefon přijde PIN kód, který uživatel zadá do terminálu.

3.Po úspěšném zadání přijde uživateli na mobil nově vygenerované jednorázové heslo,které má omezenou platnost,a s jeho pomocíse přihlásí na webový portálLIANE,kde provede jeho změnu.

4.Tímto způsobem získá uživatelznovu přístup do systému sítě LIANE.

5. 3 Bezpečnost ní podmí nky, l i mi t y

Z bezpečnostního hlediska je každému uživatelipovolena pouze jedna vzdálená změna hesla za den.Pokud bude chtítuživatelzměnitheslo podruhé za den,musí využítstudijníoddělenínebo Správu sítě LIANE.

5. 3. 1 Pr o kód PI N

Pro zadáníkódu PIN má uživatelstanovený limit 15 minut.Počítá se s krátkou prodlevou přiodesíláníSMS zprávy.A možné chyby v přepisováníkódu PIN do terminálu.V případě třetího špatného pokusu zadáníkódu do systému,dojde k ukončenítransakce s uživatelem a danému uživatelibude zablokována možnost tento den sizměnit heslo.V tomto případě bude muset jít osobně na studijní oddělenínebo na Správu sítě LIANE pro nové heslo.

Tabulka 1: Podmínky a limity pro kód PIN

Časový interval pro zadání 15 minut Počet možných zadání 3 krát Typ generovaného kódu pouze číslice Počet míst vygenerovaného kódu 8

Tvar odeslaného kódu (např.) 9204-4838

5. 3. 2 Pr o vygener ované j ednor ázové hesl o

Jednorázové heslo, s kterým se může uživatel připojit do sítě LIANE, je z bezpečnostního důvodu omezeno časovým intervalem 4 hodiny.Po uplynutítéto doby simusíuživatelpočkatdo druhého dne,a nebo se osobně dostavitna Studijní oddělenínebo na Správu sítě LIANE.

Tabulka 2: Podmínky a limity pro jednorázové heslo Počet znaků 8

Typ generovaného hesla Alfanumerické znaky, s rozdílnou velikostí znaků spolu se speciálními znaky:

@, #, $, /, !, ?, &, ^, \, }, {, [, ], (, )

Vynechání podobných si znaků:

0, O, o, I, i, L, l, 1

Délka platnosti 4 hodiny

5. 4 Uni verzi t ní SMS br ána

Pro odesíláníSMS zpráv na mobilnízařízeníse do budoucna plánuje s vytvořením univerzitní SMS brány.Podle informací od pana Radka Melzera,který pracuje v Oddělení informačních systémů na Technické univerzitě v Liberci, se ke dni 5.5.2014 o realizaciSMS brány stále jedná.

5. 4. 1 SMS br ána pomocí GSM modemu

S využitím GSM modemu můžeme odeslatomezené množstvíSMS zpráv za minutu.

Běžně odesílané SMS zprávy nemajígarantovaný čas odeslání.V případě zahlcenísítě může dojítke zpožděníodesláníSMS zprávy,nebo SMS zpráva nemusídorazit.Pro návrh zřízení potřebuji využít odeslání a doručení SMS zprávy v krátkém

(garantovaném) čase.Uživatelstojíu terminálu,a čeká na PIN kód případně na vygenerované jednorázové heslo.

5. 4. 2 SMS br ána j ako sl užba

V tomto případě jsme připojenípřímo na službu operátora,který nám poskytuje odesíláníSMS zpráv v garantovaný čas,s potvrzením,že SMS zpráva byla uživateli doručena.

6 Návr h pr ot ot ypového zaří zení

Jaké jsou požadavky pro navrhovaný systém jsem konzultovalosobně s panem Petrem Adamcem,který pracuje v Oddělenípro správu sítě LIANE.

S panem Ing.Igorem Kopetschkem,který spravuje karetní centrum,jsem řešil problematiku webové služby.

6. 1 Def i ni ce požadavků

• Jednoduchá a rychlá správa celého systému.

• Možnostsnadného rozšířenío dalšífunkce.

• Komunikace mezijednotlivými systémy musíbýt šifrována a dostatečně zabezpečena.

• Žádné ukládánívstupních informacíod uživatele v systému.

• Komunikace s uživatelem by měla probíhat v několika jazycích.V případě potřeby,možnostdoplněnínové jazykové mutace.

• Dostupnostslužby 24 hodin denně.

• V případě,že uživatelnebude reagovatna dotazy systému,dojde k přerušení právě prováděné činnosti.

• Nízká pořizovacícena zařízenía nízké náklady na potřebu elektrické energie.

6. 2 Návr h syst ému

Vzhledem k požadavkům,jsem se rozhodlpro volbu centralizovaného systému.Bude k dispozicicentrálníserver Card-Server,který bude navazovat šifrované spojení s jednotlivýmiterminály.

Tento systém nám umožníjednoduše přidávatdo systému nové terminály,a také je ze systému kdykoliv snadno vyřadit. Každý terminál bude identifikován dle jedinečného identifikátoru.

Dále nám centralizovaný systém umožňuje jednoduchou správu aplikace,běžícína terminálech.V případě,že provedeme aktualizaci zdrojových souborů aplikace, můžeme vzdáleně spustit aktualizacivšech terminálů.Nebo můžeme počkat na časový interval, kdy dojde k automatické aktualizaci terminálu. Ta se provádí 1x denně ve 3 hodiny ráno.Aktualizace se také týká slovníků pro jazykové mutace.

Jazykové mutace můžeme opět snadno měnit,přidávat nebo ubírat.Stačípouze definovat,které jazykové slovníky jsou k dispoziciv hlavním slovníkovém souboru.

V základním nastaveníbude k dispozicislovník v českém a anglickém jazyce.Volba jazyka bude úvodníobrazovka,čekajícína zahájeníinterakce od uživatele.

Nevýhodou centralizovaného systému je,že v případě výpadku centrálního serveru tj.Card-Serveru nebude funkčnížádný terminál.Jedná se však o doplňkovou službu a ipřivýpadku stále zůstává možnost obnovy hesla na studijním oddělenínebo oddělenísprávy sítě LIANE.

Obrázek 8:Centrálnísystém

Terminál#1

Terminál#2 . . . Terminál#N

Centrálníserver Card-Server

LDAP

SMS brána

6. 3 Vol ba har dwar u a sof t war u

V bakalářském projektu „Příprava konfigurace minipočítačů pro výuku“[5] jsem se věnovalvýběru zařízení,které má nízké pořizovacínáklady,a náklady na provoz zařízení.V prácijsem doporučilzařízeníRaspberry Pitypu B.Oprotitypu A má ethernetový port,který je v tomto řešenínezbytný.Raspberry Piodpovídá všem požadavkům,které jsou potřeba pro použitív tomto terminálu.

Na Raspberry Pi je možné nainstalovat plně funkční linuxový systém, který požadujeme pro komunikacis centrálním serverem.Dále nám umožňuje rozšiřovat funkcionalitu terminálu v případě potřeby.

Připoškozenípaměťové karty soperačním systémem stačí,aby technická obsluha na jinou kartu nahrála znovu obraz systému a kartu vyměnila.Jedná se o rutinníservisní postup.Aplikace se z centrálního serveru automatickystáhne na terminál.Ověří dostupnostveškerých hardwarových periferiía uvede se do provozu.

Obrázek 9:Raspberry Pi

K Raspberry Pi bude připojen monitor s HDMI rozhraním.Dále je kvůli vyšší bezpečnosti systém vybaven hardwarovou klávesnicí. V neposlední řadě je k Raspberry Pipřipojena čtečka identifikačních předmětů TWN3 OEM PCB modul Mifare.Tato čtečka bude načítatID identifikačního předmětu.

Terminál bude komunikovat s centrálním serverem s využitím webové služby.

Centrálnísystém dálkomunikuje se serverem LDAP,kde jsou uloženy záznamy o přihlašovacích údajích.A bude komunikovatse systémem univerzitníSMS brány.

Webovou službu bude na terminálu ovládataplikace,která bude napsána v jazyce Python.V základním operačním systému Raspberry Pijsou předinstalované balíky pro podporu právětohoto programovacího jazyka.Dále aplikace,která se bude starat o kontrolu aktualizací,aktualizováníterminálu,spuštěné hlavníaplikaci(napsané v Pythonu),detekcipřipojených periferií,případně hlášenívýpadků apod.,bude napsána v příkazovém interpretu BASH.

Obrázek 10:Hardwarová klávesnice

Obrázek 11:Schéma komunikace mezisystémy

Terminál#1

Terminál#2 . . . Terminál#N

Centrálníserver Card-Server

LDAP

SMS brána

Některé částiaplikace budou provádět záznamy do textových souborů.Budou pojmenovány jednoznačným identifikátorem terminálu.Soubory se záznamy se budou automaticky zálohovatna server.

Automatické aktualizováníterminálu bude vyvoláno pomocísoftwarového démona CRON,který je schopen spustitskript,nebo aplikaciv určitý čas.

6. 4 Zabezpečení t ermi nál u

Terminály budou pro testovánívytvořeny ve dvou provedeních.A budou umístěny do prostorů,které jsou hlídány průmyslovýmikamerami.Terminály budou umístěny v budově Menzy Husova,a dále na kolejích Harcov na bloku B.

Terminálbude výhradně připojen k centrálnímu serveru.Centrálníservernaváže VPN spojenísterminálem.

6. 5 Chybová hl ášení a st avy

Pro správné zobrazeníchybových hlášenína terminálu,je nutné,aby serveriterminál mělistejné slovníky chybových hlášenía stavů.

Chybové a stavové hlášeníjsem rozdělilna 4 skupinypodle toho,jakou chybu nebo stav označují.

• 1XX – jedná se o chybu lokální,tzn.na terminálu

• 2XX – jedná se o chybu spojenou suživatelským účtem

• 3XX – chyby znamenajícíšpatné zadáníhesel,nebo vypršeníurčitých limitů

• 4XX – chyby spojené skomunikacíse serverem

• 5XX – stavy,které jsou vyhrazeny pro údržbu systému,odstávka terminálů

Tabulka 3: Chybová hlášení a stavy

Číslo chyby Popis chyby 1 Potvrzovacíkód.Vše proběhlo v pořádku.

100 Chyba připojeník síti.

101 Nejsou správně připojené hardwarové periferie.

200 Vášúčetneexistuje.

201 Vášúčetje blokován.

202 Službu nemáte povolenou.

300 Překročen dennílimitpro změnu centrálního hesla.

301 Vypršelčasový limitpro zadáníkódu PIN.

302 Chybně zadaný kód PIN.

303 Dosažen maximálnípočetpokusů pro zadáníPIN.

400 Síťfunguje,ale neodpovídá jeden nebo více závislých systémů.

401 Nastala chyba v odesláníSMS.

402 Došlo k chybě přizměně hesla.Heslo nebylo změněno.

500 Terminálje mimo provoz.

501 Právě probíhá aktualizace systému.Prosím čekejte.

6. 6 Popi s webové sl užby

Vzhledem k závažnostiprocesu,kdy bude docházet ke změně centrálního hesla, nemůžu být připuštěn k prácis tak citlivýmidaty.Za tuto činnost odpovídá pan Ing.Igor Kopetschke.Po konzultacis panem Kopetschkem vznikli3 metody,které stačípro vzdálenou změnu hesla.Jedná se o:

• ping()

• pinRequest(String chipNr,String readerIdent)

• changePassword(String pin,String ticketNr)

Všechny 3 metody vracíodpověď třídy Status:

• IntegererrorCode

• String ticketNr

6. 6. 1 Význam poj menování

String chipNr – Jedná se ID hodnotu,která je uložena na čipové kartě a je spárovaná s uživatelským účtem.Připřiloženíčipové karty na čtečku,dojde k přečtenítéto hodnoty.

String readerIdent – Jedná se o jedinečnou hodnotu,která přesně identifikuje terminál,který je připojen do sítě.Podle tohoto čísla servervytvořítzv.ticket,pod tímto ticketem probíhá dalšíkomunikace se serverem.

String pin – Jedná se o PIN kód,který uživatelipřišelna mobilnízařízení.Tento kód zadaldo terminálu pomocíhardwarové klávesnice.

Integer errorCode – Jedná se hodnotu chybové hlášky ze slovníku.Podle této hodnoty se dále chová zařízení,případně iuživatel.

String ticketNr – Jedná se o jedinečnou hodnotu,kterou Card-Serverzašle určitému terminálu na začátku komunikace.Začátek komunikace začíná přiložením čipové karty k čtečce.S touto hodnotou pak terminálkomunikuje s Card-Serverem do vyřízenípožadavku,nebo do vypršeníčasového limitu.

6. 6. 2 Met oda pi ng( )

Metoda ping() má na starostiověřeníspojenís Card-Server,který dálzjistí,zda všechny propojené systémy fungují.

Metoda ping()nemá žádné parametry,a má celkově 4 možné výstupy.

• Chybové hlášeníerrCode 1

Terminál ověřil dostupnost centrálního serveru. Centrální server ověřil dostupnostdalších systémů.Jedná se o serverLDAP a univerzitníSMS bránu.

• Chybové hlášeníerrCode 100

V případě,že terminálnemůže navázat spojenís webovou službou,pak se jedná o tuto lokálníchybu.S největšípravděpodobnostíje chyba v sítinebo je centrálníservernedostupný.Chyba se zapisuje do záznamového souboru.

• Chybové hlášeníerrCode 400

Centrálníserver odpovídá.Je možné,že LDAP nebo univerzitníSMS brána provádí možnou údržbu systému,nebo jsou z nějakého jiného důvodu nedostupné.Chyba se zaznamenává do textového souboru.

Obrázek 12:Schéma metody ping()

Terminálčeká na volbu jazyka (1)česky (2)english

Uživatel

ping()

errCode 1 errCode 100 errCode 400 errCode 500

Terminálčeká na přiložení čipové karty

Provedenízáznamu do souboru

Centrálníserver odesílá chybu,který každý termináluvede do stavu „Mimo provoz“.Tato situace je vhodná,přiúpravách zdrojových kódů na serveru.Aby nedošlo k nedefinované chybě.

6. 6. 3 Met oda pi nRequest ( )

K odeslánítéto metody dojde v momentě kdy,metoda ping() vrátíerrCode=1, a dojde k načteníčipové identifikačníkarty.Parametry této metody jsou String chipNr a String readerIdent.Metoda vracídevětmožných stavů.

Obrázek 13:Schéma metody pinRequest()

Terminálčeká na přiložení čipové karty

Přiloženíčipové karty

pinRequest()

errCode 1

errCode 200

errCode 201

errCode 202

errCode 300 errCode 100

errCode 400

errCode 401 Provedenízáznamu

do souboru

errCode 500 Terminálčeká na správné

zadáníkódu PIN

• Chybové hlášeníerrCode 1

Card-Server přijala úspěšně zpracovalpožadavek od terminálu.Card-Server spárovalID karty k uživateli.Zjistil,že má uživatelslužbu povolenou,že uživatelnepřekročildennílimitpro vzdálenou změnu centrálního hesla a že se úspěšně odeslala SMS zpráva uživateli.Nynípřejde termináldo stavu,kdy čeká na zadáníPIN kódu od uživatele.V případě,že uživatelnezadá PIN kód do časového limitu 15 minut,bude transakce automaticky přerušena.

• Chybové hlášeníerrCode 200

Card-Servernebylschopen spárovatID čipové karty s účtem.Z toho vyplývá, že žádnýuživatelský účetnenípřiřazen k této čipové kartě.Proto je nutné,aby uživatelnavštívilStudijníoddělení,nebo Oddělenípro správu sítě LIANE.

• Chybové hlášeníerrCode 201

Card-Server správně spárovalID čipové karty s uživatelským účtem.Ovšem zjistil,že tento účet je z nějakého důvodu zablokovaný.Nemůže dojít ke změně hesla.O této skutečnostije uživatelinformován,a je nutné aby navštívilStudijníoddělení,nebo Oddělenípro správu sítě LIANE.

• Chybové hlášeníerrCode 202

Card-Serveru se povedlo spárovatID čipové karty s uživatelem.Účetuživatel nemá zablokovaný.Ale zjistil,že uživatelslužbu pro vzdálenou změnu hesla nemá povolenou.V tomto případě je nutné,aby uživatelnavštívilStudijní oddělení,nebo Oddělenípro správu sítě LIANE,kde sinechá změnitheslo.Do příště sipak službu již může povolit.

• Chybové hlášeníerrCode 300

Card-Serverzjistilsprávný účetuživatele.Uživatelský účetneníblokovaný,má službu aktivovanou,bohuželmá vyčerpaný dennílimitpro změnu hesla.Musí

tedy znovu požádat osobně o změnu hesla na Studijním oddělenínebo na Oddělenísprávy sítě LIANE.

• Chybové hlášeníerrCode 100,400 a 500 Je stejné jako v případě metody ping().

• Chybové hlášeníerrCode 401

Síťové připojeníse všemisystému fungují.Nebylo,ale možné vygenerovaný kód PIN odeslatv důsledku chyby na straně univerzitníSMS brány.

6. 6. 4 Met oda changePasswor d( )

Tato metoda je volána pokaždé,kdy uživateldo terminálu zadá PIN kód a potvrdí odeslánípožadavku.Parametry této metody jsou pin a ticketNr.Tato metoda vrací osm možných stavů.

Obrázek 14:Schéma metody changePassword()

Terminálčeká na správné zadáníkódu PIN

Zadáníkódu PIN

changePassword()

errCode 1

errCode 301 errCode 302

errCode 303 errCode 400

errCode 500

Provedenízáznamu do souboru

Terminálčeká na volbu jazyka (1)česky (2)english errCode 100

errCode 402

• Chybové hlášeníerrCode 1

V tomto případě Card-Server ověřil kód PIN. V pořádku se podařilo vygenerovat nové heslo pro uživatele,a zároveň se nové heslo odeslalo uživatelina mobilnízařízení.Nynímá uživatel4 hodiny na změnu centrálního hesla skrze webový portálpro změnu centrálního hesla.

• Chybové hlášeníerrCode 301

K zobrazenítéto chyby dojde v případě,že uživatelodeslalkód PIN po uplynutí časového intervalu pro zadání kódu (15 minut).Chyba je také implementována přímo na terminálu.Z důvodu zvýšeníbezpečnostije nutné, aby tato chyba byla zachytávána také na straně serveru.

• Chybové hlášeníerrCode 302

Nyníse pokoušíuživatelzadat nesprávný kód PIN.Uživatelije snížen počet možných pokusů pro zadáníPIN.Terminálčeká na nové zadáníkódu od uživatele.

• Chybové hlášeníerrCode 303

Uživatelaninapotřetínezadalsprávně kód PIN.V tomto případě,již uživatel nemá možnostsi,v tento den,změnitheslo pomocíterminálu.O této situaci je uživatelinformován.Uživatelsimůže vyčkat jeden den,nebo navštíví osobně Studijníoddělenínebo Oddělenípro správu sítě LIANE.

• Chybové hlášeníerrCode 100,400 a 500

Je stejné jako v případě metody ping().

• Chybové hlášeníerrCode 402

překročen časový limit,anilimitpro změnu hesla za den.Ale přizměně hesla na serveru LDAP došlo k potížím.V tomto případě nemohla býtdokončena změna hesla.Uživatelje o této skutečnostiinformován.Tato chyba se zapisuje do záznamového souboru.

7 Závěr

V této bakalářské prácijsem se důkladně seznámils metodamiautentizace uživatele.

Navrhljsem koncept autentizace uživatele s využitím čipové identifikačníkarty, a zadáním kódu PIN.Ten je uživatelům zadán po jiném sdělovacím kanále než-lipo síti.K této komunikacijsem využilmobilnísíť.Kód PIN ijednorázové heslo,s určitou dobou platnosti,jsou uživateliodeslány formou textové zprávy.

Celý systém jsem navrhlcentralizovaně.Jednotlivá zařízenífungujízcela automaticky.

Stáhnou siaplikaciz centrálního serveru,zkontrolujípřipojené periferie a uvítají uživatele hláškou s výběrem jazyka.Systém je navržen tak,aby se dalipřidávatdalší jazykové mutace než jen český a anglický jazyk,které jsou v základu.

Je možné zařízenírozšířitnapříklad o dotykovou obrazovku.

Na tomto projektu bych rád pokračovaldálipo ukončeníbakalářského studia.

Seznam použité literatury

[1] DOSEDĚL, Tomáš. Počítačová bezpečnost a ochrana dat. Vyd. 1. Brno: Computer Press, 2004, 190 s. ISBN: 8025101061.

[2] Centrální heslo sítě LIANE [online]. [cit. 2014-05-16]. Dostupné z:

https://liane.tul.cz/heslo/

[3] KeePass Password Safe [online]. [cit. 2014-05-16]. Dostupné z:

http://keepass.info/

[4] Shibboleth [online]. 2014 [cit. 2014-05-16]. Dostupné z: https://shibboleth.net [5] BELDA, Roman. Příprava konfigurace minipočítačů pro výuku. Liberec, 2013.

Technická univerzita v Liberci. Vedoucí práce Ing. Lenka Kosková Třísková