Medidas de defensa contra el ataque de diccionario

Infineon Security Platform

La solución Infineon Security Platform

Medidas de defensa contra el ataque de diccionario

Notas:
  • Este tema es de importancia sólo para los Security Platform con un Trusted Platform Module 1.2. Los detalles del mecanismo de defensa ante ataques por diccionario de Security Platform son sólo válidos para los Security Platforms con un Infineon Trusted Platform Module 1.2.
  • Este tema va dirigido especialmente hacia los propietarios de Security Platform.

La Solución Security Platform rechaza los ataques de diccionario por medio de las siguientes medidas:

  • Al detectar múltiples intentos de autentificación fallidos, Security Platform se deshabilita temporalmente hasta el próximo reinicio del sistema. De esta manera el propietario de Security Platform puede tomar medidas contra el ataque antes de volver a habilitar Security Platform.
  • Además, se activa un tiempo de bloqueo : Por un determinado período de tiempo se rechazan los intentos de autentificación. Con cada nuevo intento de autentificación fallido se incrementa el nivel de defensa con lo que el tiempo de bloqueo se duplica.
  • Si dentro de un determinado tiempo no se detectan nuevos intentos fallidos de autentificación, el nivel de defensa disminuye nuevamente.
  • El nivel de defensa se puede restablecer a través del propietario de Security Platform.

Las siguientes imágenes ilustran estas medidas.

El nivel de defensa aumenta con los subsiguientes intentos fallidos de autentificación

Esta imagen ilustra el caso en que un intento fallido produce un incremento en el nivel de defensa y del tiempo de bloqueo, si no se deshabilitara el Security Platform.

defensa
nivel
  tiempo de bloqueo
  tiempo 
               intentos de autentificación

En este ejemplo se ilustra el quinto intento como límite para la defensa. El atacante intenta autentificarse continuamente. Así, aumenta el nivel de defensa tan pronto como termina el tiempo de bloqueo actual.

Aquí se muestra cómo se evita el incremento del nivel de defensa al deshabilitar temporalmente el Security Platform.

Para bloquear los ataques en una fase temprana y evitar prolongados períodos de tiempo de bloqueo, se deshabilita temporalmente el Security Platform tan pronto como se excede el límite para la defensa.

defensa
nivel
   
  bloqueado    deshabilita temporalmente
  tiempo 
               intentos de autentificación

En este ejemplo, el Security Platform ya no puede recibir ataques, incluso si se termina el tiempo de bloqueo. Security Platform se habilitará nuevamente sólo después del próximo reinicio del sistema.

Disminución automática del nivel de defensa

Aquí se ilustra de qué manera el nivel de defensa disminuye nuevamente luego de un período de tiempo, siempre y cuando no existan nuevos intentos fallidos de autentificación.

defensa
nivel
disminución automática de tiempo
      tiempo
  intentos de autentificación disminución automática de

Aquí se puede ver el incremento del nivel de defensa y del tiempo de bloqueo (en rojo) que causa un intento de autentificación fallido. Aquí se supone que se reinicia el sistema luego de un corto período de tiempo (en gris). Al transcurrir el tiempo de autodisminución, disminuye automáticamente el nivel de defensa. Observe que para los niveles de defensa bajos el tiempo de autodisminución es mucho mayor que el tiempo de bloqueo.

Notas:
  • El tiempof de autodisminución es independiente del tiempo de bloqueo y del reinicio del sistema.
  • La autodisminución no requiere de un reinicio del sistema.
  • Para los bajos niveles de defensa el tiempo de autodisminución es mucho mayor que el tiempo de bloqueo.

Restablecimiento del nivel de defensa

En esta imagen se observa el nivel de defensa que logró el propietario de Security Platform.

defensa
nivel
 
      tiempo
los niveles de autentificación Restablecimiento de

Como en la imagen anterior, se puede observar el incremento del nivel de defensa, el tiempo de bloqueo (en rojo) y el sistema que se deshabilita temporalmente hasta el próximo reinicio del sistema (en gris). Aquí se asume que el propietario de Security Platform restablece el nivel de defensa ya que no desea esperar que disminuya automáticamente el nivel del mismo.

Parámetros de defensa de un típico ataque de diccionario

La siguiente tabla muestra algunos parámetros de defensa de un típico ataque de diccionario para los Infineon Trusted Platform Module. Los valores enumerados pueden ser distintos a los de su propio Trusted Platform Module.

Intentos permitidos para la autentificación de claves (por ejemplo, los utilizados para la autentificación del usuario de Security Platform)

5 Se toman medidas de defensa contra un ataque de diccionario luego de 5 intentos fallidos dentro de las 6 horas (vea la política Configurar el límite para el ataque de diccionario y Configurar valores de defensa de ataques por diccionario).

Intentos permitidos de autentificación para el propietario de Security Platform

3 Se toman medidas de defensa contra un ataque de diccionario luego de 3 intentos fallidos dentro de las 6 horas (vea la política Configurar el límite para el ataque de diccionario y Configurar valores de defensa de ataques por diccionario).

Intentos permitidos para la autentificación de datos (por ejemplo, los utilizados por Windows BitLocker en combinación con PIN)

10 Se toman medidas de defensa de ataques por diccionario luego de 10 intentos fallidos en un plazo de 6 horas (ver la política Configurar el límite para el ataque de diccionario y Configurar los valores de defensa de ataques por diccionario).

Tiempo de bloqueo mínimo

~10 s Tiempo de bloqueo inicial luego de que el límite se excede en 10 segundos.

Tiempo de bloqueo máximo

~24 h El tiempo de bloqueo máximo es de 24 horas. Este límite se puede alcanzar con menos de 15 intentos fallidos de autentificación luego de exceder el límite.

Tiempo de disminución automática del nivel de defensa

~6 h Luego de 6 horas de haber alcanzado un cierto nivel de defensa, éste disminuye en 1 automáticamente.
Tenga presente que esto se aplica sólo si no hubieron intentos fallidos de autentificación dentro de las 6 horas. De esta forma se aumenta en 1 el nivel de defensa.

Esta configuración resulta en un alto nivel de seguridad en caso de un ataque real de diccionario. Por otro lado los ingresos accidentales de contraseñas incorrectas se manejan de una forma flexible y práctica para el usuario.

El tiempo de bloqueo y el nivel de defensa disminuyen automáticamente el tiempo sólo en los sistemas que se encuentran en ejecución.


©Infineon Technologies AG