home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nist / csl11_91.txt < prev    next >
Text File  |  1994-07-02  |  20KB  |  378 lines
  1.               Computer Systems Laboratory  Bulletin
  2.                           November 1991
  3.  
  4. ADVANCED AUTHENTICATION TECHNOLOGY
  5.  
  6. Introduction  
  7. Computer systems and the information they store and process are 
  8. valuable resources which need to be protected.  With the current 
  9. trend toward networking, compromise of one computer on a network
  10. can often affect a significant number of other machines connected
  11. to the network.  
  12.  
  13. The first step toward securing a computer system is the ability
  14. to verify the identity of users.  The process of verifying a
  15. user's identity is typically referred to as user authentication. 
  16. Passwords are the method used most often for authenticating
  17. computer users, but this approach has often proven 
  18. inadequate in preventing unauthorized access to computer 
  19. resources when used as the sole means of authentication.  This 
  20. bulletin describes advanced authentication technology which can 
  21. be used to increase the security of computer systems and 
  22. provides guidance in the selection and use of this technology. 
  23.  
  24. User Authentication  
  25. Authentication technology provides the basis for access control 
  26. in computer systems.  If the identity of a user can be correctly
  27. verified, legitimate users can be granted access to system 
  28. resources.  Conversely, those attempting to gain access without 
  29. proper authorization can be denied.  As used in this bulletin, 
  30. authentication is defined as the act of verifying the identity of
  31. a user.  Once a user's identity is verified, access control 
  32. techniques may be used to mediate the user's access to data.  A 
  33. variety of methods are available for performing user 
  34. authentication. 
  35.  
  36. The traditional method for authenticating users has been to 
  37. provide them with a secret password, which they must use when
  38. requesting access to a particular system.  Password systems can 
  39. be effective if managed properly (Federal Information Processing
  40. Standard [FIPS] 112), but they seldom are.  Authentication which
  41. relies solely on passwords has often failed to provide adequate
  42. protection for computer systems for a number of reasons.  If
  43. users are allowed to make up their own passwords, they tend to
  44. choose ones that are easy to remember and therefore easy to
  45. guess.  If passwords are generated from a random combination of
  46. characters, users often write them down because they are
  47. difficult to remember. 
  48.  
  49. Where password-only authentication is not adequate for an 
  50. application, a number of alternative methods can be used alone or
  51. in combination to increase the security of the authentication
  52. process.  The three generally accepted methods for verifying the
  53. identity of a user are based on something the user knows, such as
  54. a password; something the user possesses, such as an
  55. authentication token; and some physical characteristic of the 
  56. user, such as a fingerprint or voice pattern. 
  57.  
  58. Token-Based Authentication 
  59. Token-based authentication schemes require the system user to 
  60. produce a physical token which the system can recognize as 
  61. belonging to a legitimate user.  These tokens typically contain 
  62. information which is physically, magnetically, or electrically 
  63. coded in a form which can be recognized by a host system.  The 
  64. automatic teller machines used by the retail banking industry, 
  65. which require the user to carry a magnetic stripe card, are one 
  66. example of token-based authentication systems.  The most 
  67. sophisticated tokens contain one or more integrated circuits 
  68. which can store and, in some cases, process information.    
  69. Tokens which are manufactured in the form of a credit card with
  70. an onboard microprocessor and memory are commonly referred to as 
  71. "smart" cards. 
  72.  
  73. Token-based systems reduce the threat from attackers who attempt
  74. to guess or steal passwords, because the attacker must either 
  75. fabricate a counterfeit token or steal a valid token from a user
  76. in addition to knowing the user's password. 
  77.  
  78. Biometric Authentication  
  79. Biometric authentication relies on a unique physical 
  80. characteristic to verify the identity of system users.  Common 
  81. biometric identifiers include fingerprints, written signatures, 
  82. voice patterns, typing patterns, retinal scans, and hand 
  83. geometry.  The unique pattern which identifies a user is formed 
  84. during an enrollment process, producing a template for that user.
  85.  
  86. When a user wishes to authenticate to the system, a physical 
  87. measurement is made to obtain a current biometric pattern for the
  88. user.  This pattern can then be compared against the enrollment 
  89. template in order to verify the user's identity.  Biometric 
  90. authentication devices tend to cost more than password or token-
  91. based systems, because the hardware required to capture and 
  92. analyze biometric patterns is more complicated.  However, 
  93. biometrics provide a very high level of security because the
  94. authentication is directly related to a unique physical 
  95. characteristic of the user which is more difficult to 
  96. counterfeit.  Recent technological advances have also helped to 
  97. reduce the cost of biometric authentication systems.
  98.  
  99. Combination Methods 
  100. Passwords, authentication tokens, and biometrics are subject to a
  101. variety of attacks.  Passwords can be guessed, tokens can be 
  102. stolen, and even biometrics are susceptible to certain attacks. 
  103. These threats can be reduced by applying sound design principles
  104. and system management techniques during the development and 
  105. operation of an authentication system.  
  106.  
  107. One method which can substantially increase the security of an
  108. authentication system is to use a combination of authentication
  109. techniques.  For example, an authentication system might require
  110. users to present an authentication token and also enter a
  111. password.  By stealing a user's token, an attacker would still be
  112. unable to gain access to the host system, because the system
  113. would require the user's password in addition to the token. 
  114.  
  115. Implementation Guidelines and Recommendations 
  116. An organization must answer numerous questions when it decides to
  117. implement an advanced authentication system.  The following
  118. guidelines will assist those responsible for evaluating,
  119. procuring, and integrating these systems. 
  120.  
  121. Risk Analysis - A thorough analysis should be done to 
  122. determine what parts of the system in question are vulnerable to
  123. attack, and to prioritize these vulnerabilities in terms of 
  124. severity and likelihood. 
  125.  
  126. Product Evaluation and Selection - Once the risks associated with
  127. a host system have been identified, this information can be used
  128. to select an authentication system which provides adequate
  129. protection against these risks.  In addition, the authentication
  130. system will have to meet several other requirements in order to
  131. function effectively in a given environment.  The organization
  132. responsible for selecting the authentication system should decide
  133. whether sufficient in-house expertise exists to evaluate the
  134. available options.  In some cases, it is more cost-effective to
  135. hire a consultant who is familiar with the available technology.
  136.  
  137. Whether the evaluation is done in-house or by a consultant, the
  138. following items should be considered: 
  139.  
  140.   o  Sources of information - A variety of sources should be used
  141.      when evaluating authentication systems. Vendor product
  142.      literature can be very helpful in describing specific
  143.      details of product operation, and in understanding the range
  144.      of products offered.  There are several annual conferences
  145.      devoted to computer security, network access control, and
  146.      authentication technology.  In addition to the papers
  147.      presented at these conferences, there are usually large
  148.      vendor exhibit halls and product forums.  Many
  149.      organizations, particularly those in the government sector,
  150.      have published information on the selection and integration
  151.      of advanced authentication technology.  These publications
  152.      are often the result of practical experience gained during
  153.      the implementation of these systems, and so can be
  154.      particularly useful. 
  155.  
  156.   o  Integration into existing environment - This factor is
  157.      discussed further in the next section, but is an important
  158.      consideration when selecting a product.  All other features
  159.      of an authentication system may be irrelevant if the product
  160.      cannot be integrated into the customer's computing
  161.      environment. 
  162.  
  163.   o  Custom design - Sometimes an organization's needs cannot be
  164.      met by a commercially available product.  In these cases,
  165.      the organization may decide to do a custom design using
  166.      in-house resources.  This alternative is most practical for
  167.      large organizations with experienced system design and
  168.      support groups, or for smaller organizations with a high
  169.      level of expertise in computer access control systems. 
  170.      Vendors are often willing to work with customers to modify
  171.      existing products or design new products to meet custom
  172.      requirements.  An arrangement which often works well is for
  173.      the customer and vendor to work together on the design of
  174.      the system, and for the vendor to then manufacture the
  175.      product. 
  176.  
  177.   o  Cost and performance - The relationship between cost and
  178.      performance can be relatively complex for authentication
  179.      technology.  Similar products from different vendors may
  180.      vary widely in cost, depending on the vendor's manufacturing
  181.      and development techniques and marketing philosophies.  In
  182.      general, devices with a higher performance level will cost
  183.      more, but individual cases should be evaluated carefully. 
  184.      The general approach should be to procure the authentication
  185.      system which provides the required level of security and
  186.      other performance factors at a minimum cost. 
  187.  
  188.   o  Accuracy - The accuracy of an authentication system refers
  189.      to the ability of that system to correctly identify
  190.      authorized system users while rejecting unauthorized users. 
  191.      Since this is the primary function of an authentication
  192.      system, accuracy is directly related to the level of
  193.      security provided by the system.  Vendors may not be
  194.      objective about producing and interpreting the results of
  195.      tests which quantify the accuracy of the authentication
  196.      process with regard to the vendor's particular products. 
  197.      For these reasons, an organization may wish to run
  198.      independent tests to determine the accuracy of an
  199.      authentication system in terms which are relevant to the
  200.      environment in which the system will be used. 
  201.  
  202.   o  Reliability - An authentication system should be capable of
  203.      operating in its intended environment for a reasonable
  204.      period of time.  During this time, the system is expected to
  205.      perform at or above a level which ensures an appropriate
  206.      amount of protection for the host system.  If the
  207.      authentication system fails, the chances for unauthorized
  208.      access during the failure should be minimized. 
  209.  
  210.   o  Maintainability - All hardware and software systems require
  211.      some form of maintenance.  The components of an
  212.      authentication system should be evaluated to determine the
  213.      level of maintenance which the system will require.  One
  214.      goal in the design of an authentication system should be to
  215.      minimize the maintenance requirements within the constraints
  216.      of system cost, performance, and available technology. 
  217.  
  218.   o  Commercial availability - Large-scale networking of computer
  219.      systems and distributed computing are relatively recent
  220.      developments, and are the driving forces behind the need for
  221.      more effective methods for authenticating system users. 
  222.      Unfortunately, the market for advanced authentication
  223.      technology is not fully developed and is somewhat unstable. 
  224.      Many commercially available authentication systems have not
  225.      yet been sold in quantity.  An organization that is
  226.      considering the use of this technology should evaluate the
  227.      vendor's ability to produce systems that meet specific
  228.      quality control standards and in sufficient quantity to meet
  229.      the user's requirements.  Contracts written to procure
  230.      authentication systems should provide some form of
  231.      protection for the customer in the event that the vendor is
  232.      unable to produce systems in the quantities required. 
  233.  
  234.   o  Upgradeability - Because the technology of advanced
  235.      authentication systems is continually developing, any
  236.      authentication system should be able to accommodate the
  237.      replacement of outdated components with new ones.  A modular
  238.      approach to the design of an authentication system, with
  239.      clearly defined interfaces between the system components,
  240.      facilitates the process of upgrading to new technology. 
  241.  
  242.   o  Interoperability - A wide variety of computing platforms and
  243.      security architectures are in use today.  Any authentication
  244.      system should be designed to work with as many of these
  245.      diverse platforms as possible, or at least to require a
  246.      minimum of modifications to work in different environments. 
  247.  
  248.   o  Reputation of manufacturer - Obtaining satisfactory service
  249.      during the selection, installation, and long-term operation
  250.      of an authentication system can be difficult if the
  251.      manufacturer is uncooperative.  Customers can request a list
  252.      of references from prospective vendors for products and
  253.      services which have been provided to other customers in the
  254.      past.  In addition, the resumes of key individuals working
  255.      on the vendor's staff can sometimes be examined to determine
  256.      whether an adequate level of expertise is available. 
  257.  
  258.   o  Training programs - Some form of training is usually
  259.      necessary for the people who will be using and maintaining
  260.      an authentication system.  An effective training program is
  261.      of critical importance to the success of any new system. 
  262.      Vendors should offer training appropriate for everyday users
  263.      of the system, and also for the system administrators who
  264.      will be responsible for managing the system. 
  265.  
  266. System Integration - The integration of an authentication 
  267. system into an existing computer environment can be very 
  268. difficult.  Most operating systems do not contain well-defined 
  269. entry points for replacing the default authentication mechanism 
  270. supplied with the operating system.  This is partly because there
  271. is no widely accepted standard for the interface between an 
  272. operating system and an authentication device.  Until such a 
  273. standard becomes available, there are three general options: 
  274.  
  275.   o  In some cases, the vendor who provides the authentication
  276.      system may have already integrated it into certain operating
  277.      systems.  If the authentication system meets the
  278.      requirements of the customer and the customer is using the
  279.      specified operating system, then the system integration has
  280.      already been accomplished. 
  281.  
  282.   o  Operating system vendors may select certain security
  283.      architectures for incorporation into their systems.  If
  284.      these architectures include an authentication technology
  285.      which the customer finds acceptable, then the operating
  286.      system may be purchased with the appropriate authentication
  287.      mechanism as part of the package. 
  288.  
  289.   o  It may be necessary to customize the authentication system
  290.      and perhaps modify the host operating system so that the two
  291.      can communicate.  This will involve cooperation between the
  292.      operating system vendor, the authentication system vendor,
  293.      and the customer, unless the customer has sufficient
  294.      expertise to perform the integration in-house.  A
  295.      prototyping approach is strongly recommended, due to the
  296.      complexity of this type of project. Implementing such a
  297.      system on a small scale first can be very helpful in
  298.      determining what problems will be encountered in a
  299.      full-scale implementation. 
  300.  
  301. System Maintenance - After an authentication system has 
  302. been selected and installed, it must be maintained.  Maintenance
  303. costs can easily exceed the initial acquisition cost if the
  304. system is to be in operation for a reasonable length of time.  It
  305. is therefore important that long-term plans for system
  306. maintenance be developed by the customer or provided by the
  307. vendor in the initial stages of the procurement cycle. 
  308. Provisions must be made for assigning responsibilities for system
  309. administration so that new users can be enrolled, inactive
  310. accounts deleted, and system malfunctions identified and
  311. corrected. 
  312.  
  313. The majority of network authentication systems employ some form 
  314. of cryptography, which means that some form of cryptographic key
  315. management system will be necessary.  The key management
  316. component may be provided by the authentication system vendor,
  317. but the process of maintaining and distributing keys usually
  318. requires active participation by the host system.  Since the
  319. security of a cryptographic system is directly related to the
  320. level of protection provided for the cryptographic keys, it is
  321. essential for the vendor or customer to develop a system for
  322. managing these keys effectively.  Also, the host computer system
  323. will probably evolve over time through the addition of new
  324. software and hardware, and these changes may require
  325. corresponding modifications or upgrades to the authentication
  326. system to maintain compatibility.  
  327.  
  328. Summary 
  329. Password-based authentication is the most widely used method for
  330. verifying the identity of persons requesting access to computer 
  331. resources.  However, authentication based only on passwords often
  332. does not provide adequate protection.  The use of authentication
  333. tokens, biometrics, and other alternative methods for verifying 
  334. the identity of system users can substantially increase the 
  335. security of an authentication system.  The proliferation of 
  336. networked computer systems and the corresponding increase in the
  337. potential for security violations makes it even more critical 
  338. those who design and operate computer systems to understand and 
  339. implement effective authentication schemes. 
  340.  
  341. References
  342.            
  343.     Guideline on User Authentication Techniques for Computer 
  344.     Network Access Control, National Institute of Standards and 
  345.     Technology (U.S.), Federal Information Processing Standards 
  346.     Publication 83, National Technical Information Service, 
  347.     Springfield, VA, September 1980. 
  348.  
  349.     Computer Data Authentication, National Institute of Standards
  350.     and Technology (U.S.), Federal Information Processing 
  351.     Standards Publication 113, National Technical Information 
  352.     Service, Springfield, VA, May 1985. 
  353.  
  354.     Biometric Access Control Device Evaluation Criteria (Draft 
  355.     Report), DCI Intelligence Information Handling Committee,    
  356. Access Control Subcommittee, Community Headquarters Building,    
  357. Washington, DC 20505, February 1991. 
  358.  
  359.     Smart Card Technology:  New Methods for Computer Access 
  360.     Control,  National Institute of Standards and Technology 
  361.     (U.S.), NIST Special Publication 500-157, September 1988. 
  362.  
  363.     Financial Institution Sign-On Authentication for Wholesale 
  364.     Financial Transactions, American National Standard X9.26, 
  365.     American National Standards Committee X9, American Bankers 
  366.     Association, May 1990. 
  367.  
  368.     Password Usage, National Institute of Standards and 
  369.     Technology (U.S.), Federal Information Processing Standards 
  370.     Publication 112, National Technical Information Service, 
  371.     Springfield, VA, May 1985. 
  372.  
  373. For More Information
  374. For further information on NIST's ongoing work in advanced
  375. authentication technology, contact Jim Dray, Computer Security
  376. Division, Room A216, Technology Building, National Institute of
  377. Standards and Technology, Gaithersburg, MD  20899, (301) 975-
  378. 3356.