home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / hk_i_a.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  35.9 KB  |  791 lines
  1.  
  2. * * * * * * * * * * * * *  NOTE * * * * * * * * * * * * * * * * *
  3.  
  4. This file is a DRAFT chapter intended to be part of the NIST
  5. Computer Security Handbook.  The chapters were prepared by
  6. different parties and, in some cases, have not been reviewed by
  7. NIST.  The next iteration of a chapter could be SUBSTANTIALLY
  8. different than the current version.  If you wish to provide
  9. comments on the chapters, please email them to roback@ecf.ncsl.gov
  10. or mail them to Ed Roback/Room B154, Bldg 225/NIST/Gaithersburg, MD 
  11. 20899.  
  12.  
  13. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
  14.  
  15. DRAFT          DRAFT          DRAFT          DRAFT          DRAFT
  16.  
  17.  
  18.                 IDENTIFICATION AND AUTHENTICATION
  19.  
  20.  
  21. 1    Introduction
  22.  
  23.      Information technology (IT) systems and the data they store
  24. and process are valuable resources which need to be protected. 
  25. One of the first steps toward securing an IT system is the
  26. ability to verify the identity of its users.  The process of
  27. verifying a user's identity is typically referred to as user
  28. identification and authentication.  Passwords are the method used
  29. most often for authenticating computer users, but this approach
  30. has often proven inadequate in preventing unauthorized access to
  31. computer resources when used as the sole means of authentication. 
  32.  
  33.  
  34.      New technology is emerging that can significantly improve
  35. the protection afforded by password-only authentication.  This
  36. chapter will discuss the elements involved in authenticating
  37. users as well as technological advances that can be used with or
  38. instead of passwords to help ensure that only authorized users
  39. can access an organization's IT resources.  
  40.  
  41.  
  42. 2    Overview
  43.  
  44.      Determining if a user is authorized to use an IT system
  45. includes the distinct steps of identification and authentication. 
  46. Identification concerns the manner in which a user provides his
  47. unique identity to the IT system.  The identity may be a name
  48. (e.g., first or last) or a number (e.g., account number).  The
  49. identity must be unique so that the system can distinguish among
  50. different users.  Depending on operational requirements, one
  51. "identity" may actually describe one individual, more than one
  52. individual, or one (or more) individuals only part of the time.  
  53.  
  54.      For example, an identity could be "system security officer,"
  55. which could denote any of several individuals, but only when
  56. those individuals are performing security officer duties and not
  57. using the system as an ordinary user.  The identity should also
  58. be non-forgible so that one person cannot impersonate another. 
  59. Additional characteristics, such as the role a user is assuming
  60. (for example, the role of database administrator), may also be
  61. specified along with an identity. 
  62.  
  63.      Authentication is the process of associating an individual
  64. with his unique identity, that is, the manner in which the
  65. individual establishes the validity of his claimed identity. 
  66. There are three basic authentication means by which an individual
  67. may authenticate his identity.       
  68.  
  69.           a.   Something an individual KNOWS (e.g., a password,
  70. Personal ID Number (PIN), the combination to a lock, a set of
  71. facts from a person's background).
  72.  
  73.            b.   Something an individual POSSESSES (e.g., a token
  74. or card, a physical key to a lock).       
  75.  
  76.           c.   Something an individual IS  (e.g., personal
  77. characteristics or "biometrics" such as a fingerprint or voice
  78. pattern).
  79.  
  80.       These basic methods may be employed individually, but many
  81. user login systems employ various combinations of the basic
  82. authentication methods.  An important distinction between
  83. identification and authentication is that identities are public
  84. whereas authentication information is kept secret and thus
  85. becomes the means by which an individual proves that he actually
  86. is who he claims to be.  In addition, identification and
  87. authentication provides the basis for future access control.
  88.  
  89.  
  90. 3    Technical Approaches
  91.  
  92.      The use of passwords for authentication is widespread, and a
  93. certain amount of expense and time is required to upgrade to more
  94. sophisticated techniques.  In the near-term, one approach to
  95. increasing the security of IT systems is to improve the use and
  96. management of passwords, while exploring the use of alternate
  97. technologies over time. 
  98.  
  99. 3.1  Passwords
  100.  
  101. 3.1.1 Security Considerations
  102.  
  103.      The security of a password scheme is dependent upon the
  104. ability to keep passwords secret.  Therefore, a discussion of
  105. increasing password security should begin with the task of
  106. choosing a password.  A password should be chosen such that it is
  107. easy to remember, yet difficult to guess.  There are a few
  108. approaches to guessing passwords which we will discuss, along
  109. with methods of countering these attacks.
  110.  
  111.      Most operating systems, as well as large applications such
  112. as Database Management Systems, are shipped with administrative
  113. accounts that have preset passwords.  Because these passwords are
  114. standard, outside attackers have used them to break into IT
  115. systems.  It is a simple, but important, measure to change the
  116. passwords on administrative accounts as soon as an IT system is
  117. received.
  118.  
  119.      A second approach to discovering passwords is to guess them,
  120. based on information about the individual who created the
  121. password.  Using such information as the name of the individual,
  122. spouse, pet or street address or other information such as a
  123. birth date or birthplace can frequently yield an individual's
  124. password.  Users should be cautioned against using information
  125. that is easily associated with them for a password.
  126.  
  127.      There are several brute force attacks on passwords that
  128. involve either the use of an on-line dictionary or an exhaustive
  129. attempt at different character combinations.  There are several
  130. tactics that may be used to prevent a dictionary attack.  They
  131. include deliberately misspelling words, combining two or more
  132. words together, or including numbers and punctuation in a
  133. password.  Ensuring that passwords meet a minimum length
  134. requirement also helps make them less susceptible to brute force
  135. attacks.
  136.  
  137.      To assist users in choosing passwords that are unlikely to
  138. be guessed, some operating systems provide randomly generated
  139. passwords.  While these passwords are often described as
  140. pronounceable, they are frequently difficult to remember,
  141. especially if a user has more than one of them, and so are prone
  142. to being written down.  In general, it is better for users to
  143. choose their own passwords, but with the considerations outlined
  144. above in mind.  
  145.  
  146. 3.1.2  Management Issues
  147.  
  148.       Password length and the frequency with which passwords are
  149. changed in an organization should be defined by the
  150. organization's security policy and procedures and implemented by
  151. the organization's IT system administrator(s).  The frequency
  152. with which passwords should be changed should depend on the
  153. sensitivity of the data.  Periodic changing of passwords can
  154. prevent the damage done by stolen passwords, and make "brute
  155. force" attempts to break into system more difficult.  Too
  156. frequent changes, however, can be irritating to users and can
  157. lead to security breaches such as users writing down passwords or
  158. using too-obvious passwords in an attempt to keep track of a
  159. large number of changing passwords.  This is inevitable when
  160. users have access to a large number of machines.  Security policy
  161. and procedures should strive for consistent, livable rules across
  162. an organization.
  163.  
  164.      Some mainframe operating systems and many PC applications
  165. use passwords as a means of access control, not just
  166. authentication.  Instead of using mechanisms such as access
  167. control lists (ACLs), access is granted by entering a password. 
  168. The result is a proliferation of passwords that can significantly
  169. reduce the overall security of an IT system.  While the use of
  170. passwords as a means of access control is common, it is an
  171. approach that is less than optimal and not cost-effective.
  172.  
  173. 3.2  Memory Card
  174.  
  175.       There is a very wide variety of memory card systems with
  176. applications for user identification and authentication.  Such
  177. systems authenticate a user's identity based on a unique card,
  178. i.e., something the user possesses, sometimes in conjunction with
  179. a PIN (Personal Identification Number), i.e., something a user
  180. knows.  The use of a physical object or token, in this case a
  181. card, has prompted memory card systems to be referred to as token
  182. systems.  Other examples of token systems are optical storage
  183. cards and integrated circuit (IC) keys.
  184.  
  185.      Memory cards store, but do not process, information. 
  186. Special reader/writer devices control the writing and reading of
  187. data to and from the cards.  The most common type of memory card
  188. is a magnetic stripe card.  These cards use a film of magnetic
  189. material, similar or identical to audio and computer magnetic
  190. tape and disk equipment, in which a thin strip, or stripe, of
  191. magnetic material affixed to the surface of a card.  A magnetic
  192. stripe card is inexpensive, easy to produce and has a high
  193. storage capacity. 
  194.  
  195.      The most common forms of a memory card are the telephone
  196. calling card, credit card, and ATM card.  The number on a
  197. telephone calling card serves as both identification and
  198. authentication for the user of a long distance carrier and so
  199. must remain secret.  The card can be used directly in phones that
  200. read cards or the number may be entered manually in a touch tone
  201. phone or verbally to an operator.  Possession of the card or
  202. knowledge of the number is sufficient to authenticate the user.
  203.  
  204.      Possession of a credit card, specifically the card holder's
  205. name, card number and expiration date, is sufficient for both
  206. identification and authentication for purchases made over the
  207. telephone.  The inclusion of a signature and occasionally a
  208. photograph provide additional security when the card is used for
  209. purchases made in person.
  210.  
  211.      The ATM card employs a more sophisticated use of a memory
  212. card, involving not only something the user possesses, namely the
  213. card, but also something the user knows, viz. the PIN.  A lost or
  214. stolen card is not sufficient to gain access; the PIN is required
  215. as well.  This paradigm of use seems best suited to IT
  216. authentication applications.
  217.  
  218.      While there are some sophisticated technical attacks that
  219. can be made against memory cards, they can provide a marked
  220. increase in security over password-only systems.  It is important
  221. that users be cautioned against writing their PIN on the card
  222. itself or there will be no increase in security over a simple
  223. password system.  
  224.  
  225.        Memory cards can and are widely used to perform
  226. authentication of users in a variety of circumstances from
  227. banking to physical access.  It is important that the
  228. considerations mentioned above for password selection are
  229. followed for PIN selection and that the PIN is never carried with
  230. the card to gain the most from this hybrid authentication system.
  231.  
  232.  
  233. 3.3  Smart Card
  234.  
  235.       A smart card is a device typically the size and shape of a
  236. credit card and contains one or more integrated chips that
  237. perform the functions of a computer with a microprocessor,
  238. memory, and input/output.  Smart cards may be used to provide
  239. increased functionality as well as an increased level of security
  240. over memory cards when used for identification and
  241. authentication.
  242.  
  243.       A smart card can process, as well as store, data through
  244. its microprocessor; therefore, the smart card itself (as opposed
  245. to the reader/writer device), can control access to the
  246. information stored on the card.  This can be especially useful
  247. for applications such as user authentication in which security of
  248. the information must be maintained.  The smart card can actually
  249. perform the password or PIN comparisons inside the card.  
  250.  
  251.       As an authentication method, the smart card is something
  252. the user possesses.  With recent advances, a password or PIN
  253. (something a user knows) can be added for additional security and
  254. a fingerprint or photo (something the user is) for even further
  255. security.  As contrasted with memory cards, an important and
  256. useful feature of a smart card is that it can be manufactured to
  257. ensure the security of its own memory, thus reducing the risk of
  258. lost or stolen cards.  
  259.  
  260.      The smart card can replace conventional password security
  261. with something better, a PIN, which is verified by the card
  262. versus the computer system, which may not have as sophisticated a
  263. means for user identification and authentication.  The card can
  264. be programmed to limit the number of login attempts as well as
  265. ask biographic questions, or make a biometric check to ensure
  266. that only the smart card's owner can use it.  In addition, non-
  267. repeating challenges can be used to foil a scenario in which an
  268. attacker tries to login using a password or PIN he observed from
  269. a previous login.  In addition, the complexities of smart card
  270. manufacturing makes forgery of the card's contents virtually
  271. impossible.  
  272.  
  273.      Use of smart devices means the added expense of the card
  274. itself, as well as the special reader devices.  Careful decisions
  275. as to what systems warrant the use of a smart card must be made. 
  276. The cost of manufacturing smart cards is higher than that of
  277. memory cards but the disparity will get less and less as more and
  278. more manufacturers switch to this technology.  On the other hand,
  279. it should be remembered that smart cards, as opposed to memory
  280. only cards, can effectively communicate with relatively 'dumb',
  281. inexpensive reader devices.  
  282.  
  283.      The proper management and administration of smart cards will
  284. be a more difficult task than with typical password
  285. administration.  It is extremely important that responsibilities
  286. and procedures for smart card administration be carefully
  287. implemented.  Smart card issuance can be easily achieved in a
  288. distributed fashion, which is well suited to a large
  289. organizational environment.  However, just as with password
  290. systems, care should be taken to implement consistent procedures
  291. across all involved systems.
  292.       
  293.  
  294. 3.4  Hand-Held Password Generators
  295.  
  296.      Hand-held password generators are a state-of-the-art type
  297. of smart token.  They provide a hybrid authentication, using both
  298. something a user possesses (i.e., the device itself) and
  299. something a user knows (e.g., a 4 to 8 digit PIN).  The device is
  300. the size of a shirt-pocket calculator, and does not require a
  301. special reader/writer device.  One of the main forms of password
  302. generators is a challenge-response calculator.
  303.  
  304.      When using a challenge-response calculator, a user first
  305. types his user name into the IT system.  The system then presents
  306. a random challenge, for example, in the form of a 7-digit number. 
  307. The user is required to type his PIN into the calculator and then
  308. enter the challenge generated by the IT system into the
  309. calculator.  The generator then provides a corresponding
  310. response, which he then types into the IT system.  If the
  311. response is valid, the login is permitted and the user is granted
  312. access to the system.
  313.      
  314.      When a password generator is used for access to a computer
  315. system in place of the traditional user name and password
  316. combination, an extra level of security is gained.  With the
  317. challenge response calculator, each user is given a device that
  318. has been uniquely keyed; he cannot use someone else's device for
  319. access.  The host system must have a process or a processor to
  320. generate a challenge response pair for each login attempt, based
  321. on the initially supplied user name.  Each challenge is
  322. different, so observing a successful challenge-response exchange
  323. gives no information for a subsequent login.  Of course, with
  324. this system the user must memorize a PIN. 
  325.  
  326.       The hand-held password generator can be a low-cost addition
  327. to security, but the process is slightly complicated for the
  328. user.  He must type two separate entries into the calculator, and
  329. then correctly read the response and type it into the computer. 
  330. This process increases the chance for making a mistake.  
  331.  
  332.       Overall, this technology can be a useful addition to
  333. security, but users may find some inconvenience.  Management, if
  334. they decide to use this approach, will have to establish a plan
  335. for integrating the technology into their IT systems.  There will
  336. also be the administrative challenge for keying and issuing the
  337. cards, and keeping the user database up-to-date. 
  338.  
  339.  
  340. 3.5  Biometrics
  341.  
  342.       Biometric authentication systems employ unique physical
  343. characteristics (or attributes) of an individual person in order
  344. to authenticate the person's identity.  Physical attributes
  345. employed in biometric authentication systems include
  346. fingerprints, hand geometry, hand-written signatures, retina
  347. patterns and voice patterns.  Biometric authentication systems
  348. based upon these physical attributes have been developed for
  349. computer login applications.  
  350.   
  351.       Biometric authentication systems generally operate in the
  352. following manner:      
  353.  
  354. Prior to any authentication attempts, a user is "enrolled" by
  355. creating a reference profile (or template) based on the desired
  356. physical attribute.  The reference profile is usually based on
  357. the combination of several measurements.  The resulting template
  358. is associated with the identity of the user and stored for later
  359. use.
  360.  
  361. When attempting to authenticate themselves, the user enters his
  362. login name or, alternatively, the user may provide a card/token
  363. containing identification information.  
  364.  
  365. The user's physical attribute is then measured.
  366.  
  367. The previously stored reference profile of the physical attribute
  368. is then compared with the measured profile of the attribute taken
  369. from the user.  The result of the comparison is then used to
  370. either accept or reject the user.
  371.  
  372.      Biometric systems can provide an increased level of security
  373. for IT systems, but the technology is still less mature than
  374. memory or smart cards.  Imperfections in biometric authentication
  375. devices arise from technical difficulties in measuring and
  376. profiling physical attributes as well as from the somewhat
  377. variable nature of physical attributes.  Many physical attributes
  378. change depending on various conditions.  For example, a person's
  379. speech pattern may change under stressful conditions or when
  380. suffering from a sore throat or cold.
  381.  
  382. Biometric systems are typically used in conjunction with other
  383. authentication means in environments requiring high security.
  384.  
  385.  
  386. 3.6  Cryptography
  387.  
  388.     Cryptography can play many different roles in user
  389. authentication.  Cryptographic authentication systems provide
  390. authentication capabilities through the use of cryptographic keys
  391. known or possessed only by authorized entities.  Cryptography
  392. also supports authentication through its widespread use in other
  393. authentication systems.  For example, password systems often
  394. employ cryptography to encrypt stored password files, card/token
  395. system often employ cryptography to protect sensitive stored
  396. information, and hand-held password generators often employ
  397. cryptography to generate random, dynamic passwords.  Cryptography
  398. is frequently used in distributed applications to convey
  399. identification and authentication information from one system to
  400. another over a network.
  401.  
  402.        Cryptographic authentication systems authenticate a user
  403. based on the knowledge or possession of a cryptographic key. 
  404. Cryptographic authentication systems can be based on either
  405. private key cryptosystems or public key cryptosystems.  
  406.  
  407.      Private key cryptosystems use the same key for the functions
  408. of both encryption and decryption.  Cryptographic authentication
  409. systems based upon private key cryptosystems rely upon a shared
  410. key between the user attempting access and the authentication
  411. system.  
  412.  
  413.      Public key cryptosystems separate the functions of
  414. encryption and decryption, typically using a separate key to
  415. control each function.  Cryptographic authentication systems
  416. based upon public key cryptosystems rely upon a key known only to
  417. the user attempting access.  
  418.  
  419. 4  Issues
  420.  
  421.      In addition to the actual choice of identification and
  422. authentication technology, there are a number of other issues
  423. that should be addressed to ensure the overall success and
  424. security of one's IT system.  
  425.  
  426. 4.1  Networks and Applications
  427.  
  428.      With the increased use of networks connecting multiple
  429. hosts, an average IT user may find himself logging onto several
  430. different computers, some of them remotely through a network. 
  431. This situation poses a number of options with respect to user
  432. identification and authentication.  In one option, the user must
  433. authenticate himself to each computer separately, with a possibly
  434. different password each time.  If there is a different password
  435. for each computer, then that user will have difficulty in
  436. remembering them.  If one password is used for all systems, then
  437. the compromise of the password will have more far reaching
  438. effects.
  439.  
  440.      A more desirable situation is one in which the user need
  441. only authenticate himself to the first computer he logs into and
  442. that computer passes the authentication data to each of the other
  443. computers the user then needs to access.  This scheme requires
  444. that all of the computers on the network are capable of reliably
  445. handling this authentication data.  Standardization efforts such
  446. as Open System Environment (OSE), Portable Operating System
  447. Interface (POSIX) and Government Open Systems Interconnection
  448. Profile (GOSIP) can contribute to this goal of transparent
  449. authentication across networks.
  450.  
  451.  
  452.      Related to the issue of user authentication across different
  453. platforms is the issue of user authentication across different
  454. applications on the same platform.  Large applications, such as
  455. database management systems (DBMS), frequently require that users
  456. login to them as well as to the underlying operating system. 
  457. This second application login is considered an unnecessary burden
  458. by many users.  As discussed in the network context above, if
  459. authentication data can be reliably shared between an operating
  460. system and the applications running on it, then the task of
  461. authenticating a user to a complex IT system becomes simpler. 
  462.  
  463.  
  464. 4.2  Procurement Considerations
  465.  
  466.      An organization must answer numerous questions when it
  467. decides to implement an advanced authentication system.  The
  468. following discussion highlights many of the issues involved in
  469. evaluating, procuring, and integrating these systems.
  470.  
  471. 4.2.1  Sources of information 
  472.  
  473.      A variety of sources should be used when evaluating
  474. authentication systems.  Vendor product literature can be very
  475. helpful in describing specific details of product operation,
  476. and in understanding the range of products offered.  There are
  477. several annual conferences devoted to computer security, network
  478. access control, and authentication technology.  In addition to
  479. the papers presented at these conferences, there are usually
  480. large vendor exhibit halls   and product forums.  Many
  481. organizations, particularly those in the government sector, have
  482. published information on the selection and integration of
  483. advanced authentication technology.  These publications are
  484. often the result of practical experience gained during the
  485. implementation of these systems, and so can be particularly
  486. useful.
  487.  
  488. 4.2.2  Accuracy 
  489.  
  490.      The accuracy of an authentication system refers to the
  491. ability of that system to correctly identify authorized system
  492. users while rejecting unauthorized users.  Since this is the  
  493. primary function of an authentication system, accuracy is
  494. directly related to the level of security provided by the
  495. system.  Vendors may not be objective about producing an
  496. interpreting the results of tests which quantify the accuracy
  497. of the authentication process with regard to the vendor's  
  498. particular products.  For these reasons, an organization may wish
  499. to run independent tests to determine the accuracy of an
  500. authentication system in terms which are relevant to the
  501. environment in which the system will be used.
  502.  
  503. 4.2.3  Reliability 
  504.  
  505.      An authentication system should be capable of operating in
  506. its intended environment for a reasonable period of time.  During
  507. this time, the system is expected to perform at or above a level
  508. which ensures an appropriate amount of protection for the host
  509. system.  If the authentication system fails, the chances for
  510. unauthorized access during the failure should be minimized.  
  511.  
  512. 4.2.4  Maintainability 
  513.  
  514.      All hardware and software systems require some form of
  515. maintenance.  The components of an authentication system should
  516. be evaluated to determine the level of maintenance which the
  517. system will require.  One goal in the design of an authentication
  518. system should be to minimize the maintenance requirements within
  519. the constraints of system cost, performance, and available
  520. technology.
  521.  
  522. 4.2.5  Commercial availability 
  523.  
  524.      Large-scale networking of computer systems and distributed
  525. computing are relatively recent developments, and are the driving
  526. forces behind the need for more effective methods for
  527. authenticating system users.  Unfortunately, the market for
  528. advanced authentication technology is not fully developed and
  529. is somewhat unstable.  Many commercially available authentication
  530. systems have not yet been sold in quantity.  An organization that
  531. is considering the use of this technology should evaluate the
  532. vendor's ability to produce systems that meet specific quality
  533. control standards and in sufficient quantity to meet the user's
  534. requirements.  Contracts written to procure authentication
  535. systems should provide some form of protection for the customer
  536. in the event that the vendor is unable to produce systems in the
  537. quantities required.   
  538.  
  539. 4.2.6  Upgradeability 
  540.  
  541.      Because the technology of advanced authentication systems is
  542. continually developing, any authentication system should be able
  543. to accommodate the replacement of outdated components with new
  544. ones.  A modular approach to the design of an authentication
  545. system, with clearly defined interfaces between the system
  546. components, facilitates the process of upgrading to new
  547. technology.
  548.  
  549.  
  550. 4.2.7  System Integration 
  551.  
  552.      The integration of an authentication system into an existing
  553. computer environment can be very difficult.  Most operating
  554. systems do not contain well-defined entry points for replacing
  555. the default authentication mechanism supplied with the operating
  556. system.  This is partly because there is no widely accepted
  557. standard for the interface between an operating system and an
  558. authentication device.  Until such a standard becomes available,
  559. there are three general options: 
  560.  
  561. In some cases, the vendor who provides the authentication system
  562. may have already integrated it into certain operating systems. 
  563. If the authentication system meets the requirements of the
  564. customer and the customer is using the specified operating
  565. system, then the system integration has already been
  566. accomplished.  
  567.  
  568. Operating system vendors may select certain security
  569. architectures for incorporation into their systems.  If these
  570. architectures include an authentication technology which the
  571. customer finds acceptable, then the operating system may be
  572. purchased with the appropriate authentication mechanism as part
  573. of the package.
  574.  
  575. It may be necessary to customize the authentication system and
  576. perhaps modify the host operating system so that the two can
  577. communicate.  This will involve cooperation between the operating
  578. system vendor, the authentication system vendor, and the
  579. customer, unless the customer has sufficient expertise to perform
  580. the integration in-house.  A prototyping approach is strongly
  581. recommended, due to the complexity of this type of project. 
  582. Implementing such a system on a small scale first can be very
  583. helpful in determining what problems will be encountered in a
  584. full-scale implementation. 
  585.  
  586.  
  587. 5    Cost
  588.  
  589.      As in other aspects of IT security, the specific cost of
  590. enforcing Identification and Authentication should be balanced
  591. against the value of the information processed on an IT system
  592. and the vulnerability of that information to attack.  In general,
  593. devices with a higher performance level will cost more, but
  594. individual cases should be evaluated carefully. The
  595. authentication systems described in this chapter provide a range
  596. of cost from password-only systems at the low end to biometrics
  597. at the high end.  Token systems, such as memory cards and smart
  598. cards, fall inside the range.
  599.  
  600.      In assessing the cost of an authentication system there are
  601. several issues to consider.  The first is the actual cost to
  602. purchase and install the required equipment and software.  In
  603. general there is no additional cost to purchase a password system
  604. because they are included with most IT systems.  Programs that
  605. check for good passwords, an important part of using a password
  606. system, do cost additional money.  The use of memory cards is
  607. quite extensive and the use of smart cards is increasing
  608. significantly so the costs associated with these technologies
  609. will decrease over time.  The application of biometrics is not
  610. that extensive so costs are comparatively higher.  Managers
  611. should keep in mind that similar products from different vendors
  612. may vary widely in cost, depending on the vendor's manufacturing
  613. and development techniques and marketing philosophies.    
  614.  
  615.      In addition to the cost of procuring authentication
  616. technology, there is the cost to the organization involved in
  617. using that technology.  This includes on-going training of staff
  618. in the correct use of the technology as well as the training and
  619. time of personnel to administer the authentication system.
  620.  
  621.      While the relationship between cost and performance can
  622. appear complex for authentication technology, the general
  623. approach should be to procure the authentication system which  
  624. provides the required level of security and other performance
  625. factors at a minimum cost.
  626.  
  627.  
  628. 6    Interdependencies
  629.  
  630. 6.1  Security Management & Administration
  631.  
  632.      The incorporation of a new or improved user authentication
  633. system will have a noticeable effect throughout an organization. 
  634. To ensure the acceptance and success of such a program, careful
  635. management of the change should take place throughout the
  636. organization.
  637.  
  638.  
  639. 6.2  Cryptography
  640.  
  641.      Cryptography plays a role in identification and
  642. authentication in two ways. The first is a supporting role for
  643. each of the other forms of authentication.  Cryptography can
  644. provide for the security of authentication data both while it is
  645. stored in a computer as well as while it is being transmitted
  646. between.  In addition, cryptography can be used itself as an
  647. authentication method.
  648.  
  649. 6.3  Risk Management
  650.  
  651.      A thorough analysis can be done to determine what parts of
  652. an organization's IT system are vulnerable to a login attack, and
  653. to prioritize these vulnerabilities in terms of severity and
  654. likelihood.  The types of authentication technology used should
  655. be appropriate for the risk at hand.  Not all systems may require
  656. identification and authentication, e.g., public access systems.
  657.  
  658. 6.4  Personnel
  659.  
  660.      The types of identification and authentication methods used
  661. by an organization should be chosen in a context that includes
  662. personnel considerations.  This will help determine what measures
  663. will work best for an organization's employees.  It is important
  664. to note that the cooperation of an organization's staff is very
  665. bit as important as the technology to provide identification and
  666. authentication.
  667.  
  668. 6.5  Audit
  669.  
  670.      Identification and authentication provide the basis for
  671. auditing in an IT system.  By tying actions of a user to a unique
  672. identification, individuals may be held accountable for their
  673. actions.
  674.  
  675.  
  676. 7   References
  677.  
  678.  
  679. CSC-STD-002-85, Department of Defense Password Management
  680. Guideline, April 12, 1985.
  681.  
  682. FIPS PUB 48, Guidelines on Evaluation of Techniques for Automated
  683. Personal Identification, U.S. Department of Commerce, National
  684. Bureau of Standards, Washington, D.C., April 1, 1977.
  685.  
  686. FIPS PUB 83, Guideline on User Authentication Techniques for
  687. Computer Network Access Control, U.S. Department of Commerce,
  688. National Bureau of Standards, Washington, D.C., September 29,
  689. 1980.
  690.  
  691. FIPS PUB 113, Computer Data Authentication, U.S. Department of
  692. Commerce, National Bureau of Standards, Washington, D.C., May 30,
  693. 1985.
  694.  
  695. Feldmeier, David C. and Philip R. Karn, UNIX Password Security -
  696. Ten Years Later, Crypto '89 Abstracts, Santa Barbara, CA, August
  697. 20-24, 1989.
  698.  
  699. FIPS PUB 112, Password Usage, U.S. Department of Commerce,
  700. National Bureau of Standards, Washington, D.C., May 30, 1985.
  701.  
  702. Haykin, Martha E., and Robert B. J. Warnar, Smart Card
  703. Technology: New Methods for Computer Access Control, NIST Special
  704. Publication 500-157, U.S. Department of Commerce, National
  705. Institute of Standards and Technology, Washington, D.C.,
  706. September 1988.
  707.  
  708. R. Morris and K. Thompson, Password Security: A Case History,
  709. Communications of the ACM, Vol. 22, No. 11, November 1979, pp.
  710. 594-597.
  711.  
  712. R. M. Needham and M. D. Schroeder, Using Encryption for
  713. Authentication in Large Networks of Computers, Communications of
  714. the ACM, Vol. 21, No. 12, December 1978, pp. 993-999.
  715.  
  716. Smid, Miles, James Dray and Robert B. J. Warnar, A Token Based
  717. Access Control System for Computer Networks, Proceedings 12th
  718. National Computer Security Conference, October 1989.
  719.  
  720. Steiner, J.G., Neuman, C., and Schiller, J.I., Kerberos: An
  721. Authentication Service for Open Network Systems, Proceedings
  722. Winter USENIX, Dallas, Texas, February 1988, pp. 191-202.
  723.  
  724. Troy, Eugene F., Security for Dial-Up Lines, NBS Special
  725. Publication 500-137, U.S. Department of Commerce, National Bureau
  726. of Standards, Washington, D.C., May 1986.
  727.  
  728. CCITT Recommendation X.509, The Directory - Authentication
  729. Framework, November 1988, (Developed in collaboration, and
  730. technically aligned, with ISO 9594-8).
  731.  
  732. ANSI X9.26-1990, American National Standard for Financial
  733. Institution Sign-On Authentication for Wholesale Financial
  734. Transactions, American Bankers Association, Washington, D.C.,
  735. Approved February 28, 1990.
  736.  
  737.  
  738.  
  739. Sidebar Notes
  740.  
  741. (1)  Sec. 1, para 1:  The process of verifying the identity of an
  742. IT system user is referred to as identification and
  743. authentication.
  744.  
  745. (2)  Sec. 1, para 2:  Many new technologies offer significant
  746. increases to the protection afforded by password-only systems.
  747.  
  748. (3)  Sec. 3.1.1, para 3:  Passwords will be more difficult to
  749. guess or obtain illicitly when combined or misspelled words are
  750. used and when a minimum length requirements for passwords is met.
  751.  
  752.  
  753. (4)  Sec. 3.1.1, para 2:  The use of passwords as a means of
  754. access control to IT systems can result in a proliferation of
  755. passwords that reduces overall IT system security.
  756.  
  757. (5)  Sec 3.2, para 1:  A memory card authenticates a user's
  758. identity based on a unique card used in conjunction with
  759. something known to the user, such as a PIN.
  760.  
  761. (6)  Sec. 3.2, para 3:  Common types of memory cards are
  762. telephone calling cards, credit cards, and ATM cards.
  763.  
  764. (7)  Sec. 3.3, para 1:  Smart cards, which contain one or more
  765. integrated chips, can provide increased functionality and
  766. increased security over memory cards. 
  767.  
  768. (8)  Sec 3.4, para 1:  A hand-held password generator is a state-
  769. of-the-art device about the size of a shirt-pocket calculator
  770. that is used to access an IT system in place of the traditional
  771. user name and password.
  772.  
  773. (9)  Sec. 3.5, para 1:  Biometric authentication systems operate
  774. based on unique physical attributes of users, such as voice
  775. patterns, fingerprints, and hand geometry; however, the
  776. technology is less mature than that for memory and smart cards.
  777.  
  778. (10) Sec. 3.6, para 1:  Cryptography can be the basis for an
  779. authentication system; or it can be used in conjunction with
  780. other system discussed. 
  781.  
  782. (11) Sec. 4.2.1:  In choosing an authentication system, managers
  783. should explore information provided by vendors, at IT security
  784. conferences and presentations, and in special publications.
  785.  
  786. (12)  Sec. 4.2.7:  Important considerations in choosing an
  787. authentication system include accuracy, reliability,
  788. maintainability, commercial availability, upgradeability, and
  789. system integration.
  790.  
  791.