Dissertação

Secure password management using Smartcards EVALUATED

Acualmente, a maioria dos serviços de autênticação são baseados em palavras-passe. Para evitar a memorização de múltiplas palavras-passe, os utilizadores tendem a reutilizar a mesma em diferentes sistemas. Descobrindo a palavra-passe do utilizador é possível a um atacante aceder aos diversos sistemas do utilizador. Algumas soluções mitigam este problema. Estas soluções, como serviços de autênticação única e geradores de palavras-passe baseados em funções de hash criptográfico, requerem serviços externos confiáveis ou a geração de múltiplas palavras-passe dependentes. São susceptíveis a ataques de negação de serviço e ataques de força bruta. Outra solução é a utilização de gestores de palavras-passe que guardam estas chaves utilizando cifra com uma chave mestra. Apesar de serem mais resistentes a ataques de negação de serviço, tipicamente são ainda susceptíveis a ataques de força bruta. Estas soluções também fornecem um controlo de acesso fraco após autênticação do utilizador, permitindo o acesso por aplicações não legitimas. O trabalho aqui apresentado consiste num gestor de palavras-passe baseado em cartões inteligentes no qual as palavras-passe são guardadas dentro do cartão inteligente e podem apenas ser acedidas após autênticação mútua, eliminando o problema de ataques de força bruta. Para realizar o controlo de accesso, a política tomada pela solução proposta baseia-se na identidade das aplicações, evitando ataques de aplicações com falsa identidade. Para permitir aos utilizadores o acesso ao cartão inteligente sem necessitar de um leitor, é também proposto um cartão inteligente virtual que permite aceder, a partir do computador, a um cartão inteligente presente dentro de um telemóvel.
Segurança, Gestores de Palavras-Passe, Palavra-Passe Única, Cartões Inteligentes

Novembro 12, 2013, 10:30

Publicação

Obra sujeita a Direitos de Autor

Orientação

CO-ORIENTADOR

Carlos Nuno da Cruz Ribeiro

Departamento de Engenharia Informática (DEI)

Professor Auxiliar

ORIENTADOR

Ricardo Jorge Fernandes Chaves

Departamento de Engenharia Informática (DEI)

Professor Auxiliar