{"id":27975,"date":"2019-07-24T14:37:45","date_gmt":"2019-07-24T12:37:45","guid":{"rendered":"https:\/\/blog.wildix.com\/?p=27975"},"modified":"2019-07-24T14:39:43","modified_gmt":"2019-07-24T12:39:43","slug":"le-password-e-i-protocolli-di-autenticazione-sono-davvero-sicuri-non-sempre-in-realta","status":"publish","type":"post","link":"https:\/\/blog.wildix.com\/it\/le-password-e-i-protocolli-di-autenticazione-sono-davvero-sicuri-non-sempre-in-realta\/","title":{"rendered":"Le password e i protocolli di autenticazione sono DAVVERO sicuri? Non sempre, in realt\u00e0."},"content":{"rendered":"

[vc_row][vc_column][vc_single_image image=”27981″ img_size=”full” alignment=”center”][vc_column_text]<\/p>\n

Valutiamoli e riveliamo la loro vulnerabilit\u00e0<\/h2>\n

L’autenticazione \u00e8 il processo di verifica dell’identit\u00e0 di un utente che si connette al sistema. L’efficacia di questo processo \u00e8 determinata dai protocolli e dai meccanismi di autenticazione utilizzati. In questo articolo esamineremo e valuteremo alcuni dei tipi di autenticazione per vedere quali di questi sono veramente sicuri.<\/p>\n

Basic HTTP<\/b><\/p>\n

La prima versione di SIP utilizzava l’autenticazione HTTP di base (Basic HTTP). Questo sistema \u00e8 abbastanza facile da \u201cbucare\u201d usando attacchi man-in-the-middle. Questo tipo di autenticazione si \u00e8 svalutata da un po ‘di tempo.<\/p>\n

Nell’autenticazione HTTP, un utente malintenzionato pu\u00f2 semplicemente catturare un pacchetto codificato Base64 contenente la password, che viene quindi utilizzato per decodificare ed eseguire attacchi.<\/p>\n

\u2192 Non sicuro!<\/b><\/p>\n

Digest Authentication<\/b><\/p>\n

La Digest Authentication, utilizzata sia da SIP che da HTTP, introduce la possibilit\u00e0 di salvare solo una versione crittografata della password sul server. Ci\u00f2 impedisce al client di inviare la password in un formato facilmente decodificabile e consente al server di salvare un hash della password (che non pu\u00f2 essere facilmente decodificata).<\/p>\n

Esaminiamo in dettaglio i messaggi scambiati tra client e server:<\/p>\n

Il server richiede l’autenticazione:[\/vc_column_text][vc_message]WWW-Authenticate: Digest realm=”testrealm@host.com”,
\nqop=”auth,auth-int”,
\nnonce=”dcd98b7102dd2f0e8b11d0f600bfb0c093″,
\nopaque=”5ccc069c403ebaf9f0171e9517f40e41″<\/span><\/span><\/span><\/p>\n

[\/vc_message][vc_column_text]Il client aggiunge le informazioni di autentificazione:[\/vc_column_text][vc_message]
\nAuthorization: Digest username=”Mufasa”,
\nrealm=”testrealm@host.com”,<\/span>
\nnonce=”dcd98b7102dd2f0e8b11d0f600bfb0c093″,<\/span>
\nuri=”\/dir\/index.html”,<\/span>
\nqop=auth,<\/span>
\nnc=00000001,<\/span>
\ncnonce=”0a4f113b”,<\/span>
\nresponse=”6629fae49393a05397450978507c4ef1″,<\/span>
\nopaque=”5ccc069c403ebaf9f0171e9517f40e41″<\/span>[\/vc_message][vc_column_text]Il valore di “risposta” viene calcolato nei tre passaggi seguenti (se i valori sono combinati, sono delimitati dai due punti):<\/p>\n

    \n
  1. \n
      \n
    1. Viene calcolato l’hash MD5 del nome utente, del dominio di autenticazione e della password combinati. Il risultato \u00e8 indicato come HA1.<\/li>\n
    2. Viene calcolato l’hash MD5 del metodo combinato e dell’URI del digest (ad esempio, “GET” e “\/dir\/index.html”). Il risultato \u00e8 indicato come HA2.<\/li>\n
    3. L’hash MD5 del risultato HA1 combinato, il server nonce (nonce), il contatore delle richieste (nc), il client nonce (cnonce), il codice di protezione della qualit\u00e0 (qop) e il risultato HA2 sono calcolati. Il risultato \u00e8 il valore di “risposta” fornito dal cliente.<\/li>\n<\/ol>\n<\/li>\n<\/ol>\n

      [\/vc_column_text][vc_message]HA1<\/strong>
      \n= MD5( “Mufasa:testrealm@host.com:Circle Of Life” )
      \n= 939e7578ed9e3c518a452acee763bce9<\/p>\n

      HA2<\/strong>
      \n= MD5( “GET:\/dir\/index.html” )
      \n= 39aff3a2bab6126f332b942af96d3366<\/p>\n

      Response<\/strong>
      \n= MD5( “939e7578ed9e3c518a452acee763bce9:\\
      \ndcd98b7102dd2f0e8b11d0f600bfb0c093:\\
      \n00000001:0a4f113b:auth:\\
      \n39aff3a2bab6126f332b942af96d3366” )
      \n= 6629fae49393a05397450978507c4ef1[\/vc_message][vc_column_text]Ecco quali sono i vantaggi di questo metodo:<\/p>\n