Řešení Infineon Security Platform |
Opatření ochrany před slovníkovým útokem
Poznámky:
|
Aplikace Security Platform Solution čelí slovníkovým útokům pomocí následujících opatření:
- Pokud došlo k několika neúspěšným pokusům o ověření, platforma Security Platform se dočasně vypne až do dalšího restartování systému. Tímto způsobem může vlastník platformy Security Platform provést doplňující opatření proti útoku předtím, než platformu Security Platform opět zapne.
- Případně se uplatní čas blokování: Další pokusy o ověření budou po určitou dobu zamítnuty. Při každém dalším neúspěšném pokusu o ověření se úroveň ochrany zvyšuje, což znamená, že se čas blokování zdvojnásobí.
- Pokud v určité době nedojde k žádným dalším neúspěšným pokusům o ověření, úroveň ochrany se opět sníží.
- Vlastník platformy Security Platform může úroveň ochrany resetovat.
Následující obrázky popisují tato opatření.
Úroveň ochrany se při opakovaných neúspěšných pokusech o ověření zvyšuje
Tento obrázek popisuje, jakým způsobem neúspěšné pokusy o ověření zvyšují úroveň ochrany a čas blokování, pokud by platforma Security Platform nebyla dočasně vypnuta.
|
V tomto příkladě je práh ochrany pátým pokusem o ověření. Útočník se postupně pokouší o ověření. To znamená, že úroveň ochrany se zvyšuje jakmile vyprší čas blokování aktuálního stavu.
Předejití zvýšení úrovně ochrany dočasným vypnutím platformy Security Platform
Chcete-li blokovat další útoky v počáteční fázi a vyhnout se dlouhým časům blokování, platforma Security Platform se dočasně vypne, jakmile je dosaženo prahu ochrany.
|
V tomto případě nelze na platformu Security Platform již útočit, i když dojde k vypršení času blokování. Platforma Security Platform se zapne pouze po dalším restartování systému.
Automatické snížení úrovně ochrany
Tento obrázek ukazuje, že úroveň ochrany po určité době opět klesá, pokud nedojde k dalším neúspěšným pokusům o ověření.
|
V tomto příkladě je vidět zvýšení úrovně ochrany a čas blokování (červená), způsobený neúspěšným pokusem o ověření. Předpokládá se, že systém se po krátké době restartuje (šedá). Po uplynutí času automatického snížení se úroveň ochrany automaticky sníží. Při nízkých úrovních ochrany je čas automatického snížení daleko delší než čas blokování.
Poznámky:
|
Obnovení úrovně ochrany
Tento obrázek ukazuje obnovení úrovně ochrany provedené vlastníkem platformy Security Platform.
|
Podobně jako u předchozího obrazu uvidíte zvýšení úrovně ochrany, čas blokování (červená) a dočasné vypnutí systému až do dalšího restartování (šedá). Zde se předpokládá, že vlastník platformy Security Platform obnoví úroveň ochrany, protože nechce čekat na automatické snížení zvýšené úrovně ochrany.
Typické parametry ochrany před slovníkovým útokem.
Následující tabulka ukazuje některé parametry ochrany proti slovníkovému útoku typické pro čip Infineon Trusted Platform Module. Vypsané hodnoty se mohou lišit v závislosti na čipu Trusted Platform Module.
Povolené pokusy o ověření klíče (například pro ověření uživatele platformy Security Platform) |
5 | Po 5 neúspěšných pokusech během 6 hodin se provedou opatření proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku). |
Povolené pokusy pro ověření vlastníka platformy Security Platform |
3 | Po 3 neúspěšných pokusech během 6 hodin se provedou opatření na ochranu proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku). |
Povolené pokusy pro ověření dat (použité například aplikací Windows BitLocker v kombinaci s kódem PIN) |
10 | Po 10 neúspěšných pokusech během 6 hodin se provedou opatření proti slovníkovému útoku (viz zásady Konfigurace prahu slovníkového útoku a Konfigurace nastavení ochrany proti slovníkovému útoku). |
Minimální čas blokování |
10 s | Počáteční čas blokování po překročení prahu je 10 sekund. |
Maximální čas blokování |
24 h | Maximální čas blokování je 24 hodin. Tohoto limitu je dosaženo při méně než 15 neúspěšných pokusech o ověření po překročení prahu. |
Čas automatického snížení úrovně ochrany |
6 h | Přibližně 6 hodin po dosažení určité úrovně ochrany se úroveň ochrany automaticky sníží o 1. To platí, pouze pokud nedojde během 6 hodin k žádnému dalšímu neúspěšnému pokusu o ověření. To by vedlo ke zvýšení úrovně ochrany o 1. |
Tato nastavení vedou k vyšší úrovni zabezpečení v případě reálného slovníkového útoku. Na druhou stranu neúmyslné zadání nesprávného hesla je zpracováno uživatelsky přívětivým a flexibilním způsobem.
Čas blokování a čas automatického snížení úrovně ochrany vyprší pouze na spuštěných systémech. |
©Infineon Technologies AG