Medidas de Defesa Contra Ataque de Dicionário

Infineon Security Platform

Infineon Solução Security Platform

Medidas de Defesa Contra Ataque de Dicionário

Notas:
  • Este tópico é relevante somente para Security Platform com um Trusted Platform Module 1.2. Os detalhes do mecanismo de defesa contra ataques de dicionário são válidos somente para Security Platforms com um Infineon Trusted Platform Module 1.2.
  • Este tópico é destinado principalmente ao Proprietário da Security Platform.

A Solução Security Platform repele ataques de dicionário usando as seguintes medidas:

  • Caso haja múltiplas tentativas fracassadas de autenticação, a Security Platform é temporariamente desabilitada até a próxima reinicialização do sistema. Desta forma, o Proprietário da Security Platform pode tomar medidas adicionais contra o ataque antes de habilitar a Security Platform novamente.
  • Adicionalmente, um tempo de travamento entra em efeito: Novas tentativas de autenticação são rejeitadas por um certo tempo. A cada nova tentativa fracassada de autenticação o nível de defesa é incrementado, o que significa que o tempo de travamento é dobrado.
  • Caso não haja novas tentativas fracassadas de autenticação dentro de um certo período, o nível de defesa diminui novamente.
  • O Proprietário da Security Platform pode renovar o nível de defesa.

As figuras a seguir descrevem essas medidas.

O nível de defesa aumenta com repetidas tentativas fracassadas de autenticação

Essa figura mostra como as tentativas fracassadas de autenticação causam o aumento do nível de defesa e do tempo de travamento, se a Security Platform não for desabilitada temporariamente.

defesa
nível
  tempo de travamento
  tempo 
               tentativas de autenticação

Neste exemplo, o limiar de defesa é a quinta tentativa de autenticação. O atacante tenta se autenticar continuamente. Isto é, o nível de defesa aumenta tão logo o tempo de travamento do estado atual termine.

Evitando o aumento do nível de defesa através da desabilitação temporária da Security Platform

Para bloquear novos ataques em uma fase inicial e para evitar longos períodos de tempo de travamento, a Security Platform é desabilitada temporariamente tão logo o limiar de defesa seja ultrapassado.

`
defesa
nível
   
  travado    temporariamente desabilitada
  tempo 
               tentativas de autenticação

Neste exemplo, a Security Platform não pode mais ser atacada, mesmo que o tempo de travamento tenha se esgotado. A Security Platform será habilitada somente após a próxima reinicialização do sistema.

Auto-diminuição do nível de defesa

Esta figura mostra que o nível de defesa diminui novamente após um certo tempo, caso não haja novas tentativas fracassadas de autenticação.

defesa
nível
tempo de auto-diminuição
      tempo
  de tentativa de autenticação auto-diminuição

Neste exemplo, você pode ver o aumento do nível de defesa e o tempo de travamento (vermelho) causados por uma tentativa fracassada de autenticação. Assume-se que o sistema seja reiniciado após um curto intervalo de tempo (cinza). Quando o tempo de auto-diminuição tiver transcorrido, o nível de defesa diminui automaticamente. Note que para níveis baixos de defesa, o tempo de auto-diminuição é muito maior do que o tempo de travamento.

Notas:
  • O tempo de auto-diminuição é independente do tempo de travamento e da reinicialização do sistema.
  • A auto-diminuição não exige uma reinicialização do sistema.
  • Para níveis baixos de defesa, o tempo de auto-diminuição é muito maior do que o tempo de travamento.

Renovação do nível de defesa

Esta figura mostra a renovação do nível de defesa efetuada pelo Proprietário da Security Platform.

defesa
nível
 
      tempo
tentativa de autenticação renovação

Similarmente à figura anterior, você pode ver o aumento do nível de defesa, o tempo de travamento (vermelho) e o sistema sendo desabilitado temporariamente até a próxima reinicialização (cinza). Assume-se aqui que o Proprietário da Security Platform renova o nível de defesa porque não quer esperar pela crescente auto-diminuição nível de defesa.

Parâmetros típicos de defesa contra ataque de dicionário

A tabela a seguir mostra alguns parâmetros de defesa contra ataque de dicionário típicos dos Infineon Trusted Platform Module. Os valores listados podem ser diferentes para o seu Trusted Platform Module.

Tentativas permitidas para autenticação por chave (para autenticação de usuário na Security Platform, por exemplo)

5 Após 5 tentativas fracassadas dentro de um período de 6 horas, são tomadas medidas de defesa contra ataque de dicionário (consulte a política Configurar limiar de ataque de dicionário e Configure as Defesas Contra Ataque ao Dicionário).

Tentativas permitidas de autenticação de Proprietário da Security Platform

3 Após 3 tentativas fracassadas dentro de um período de 6 horas, são tomadas medidas de defesa contra ataque de dicionário (consulte a política Configurar limiar de ataque de dicionário e Configure as Defesas Contra Ataque ao Dicionário).

Tentativas permitidas para autenticação de Dados (como no Windows BitLocker em combinação com o PIN, por exemplo)

10 Se, no período de seis horas, falharem dez tentativas, serão tomadas medidas de defesa contra ataque ao dicionário (consulte a política Configure limite de ataque ao dicionário e Configure as Defesas Contra Ataque ao Dicionário).

Tempo mínimo de travamento

~10 s O tempo de travamento inicial após a superação do limiar é de 10 segundos.

Tempo máximo de travamento

~24 h O tempo máximo de travamento é de 24 horas. Esse limite é alcançado com menos de 15 tentativas fracassadas de autenticação após a superação do limiar.

Tempo de auto-diminuição do nível de defesa

~6 h Cerca de 6 horas depois que um certo nível de defesa é alcançado, o nível de defesa será automaticamente diminuído em 1.
Note que isso se aplica somente se não houver novas tentativas fracassadas de autenticação dentro de 6 horas. Isso levaria a um aumento do nível de defesa em 1.

Essas configurações resultam em um nível mais alto de segurança em caso de um ataque de dicionário real. Por outro lado, entradas erradas acidentais de senha são tratadas de uma maneira flexível e de fácil utilização.

O tempo de auto-diminuição do tempo de travamento e do nível de defesa transcorre somente em sistemas em execução.


©Infineon Technologies AG