Identificarea și autentificarea: concepte de bază

Identificarea și autentificarea sunt baza de software și hardware de securitate moderne, ca și orice alte servicii sunt destinate în principal pentru deservirea acestor subiecte. Aceste concepte reprezintă un fel de primă linie de apărare, asigurarea securității spațiului informațional organizației.

Ce este?

Identificarea și autentificarea au diferite funcții. Primul oferă un subiect (de utilizator sau un proces care acționează în numele), posibilitatea de a-și spună numele lor propriu. Prin autentificare este a doua parte este complet convins că subiectul este într-adevăr cel pentru care el pretinde a fi. De multe ori, ca o identificare sinonim și autentificarea se înlocuiesc cu sintagma „numele Post“ și „autentificare“.

Ei înșiși sunt împărțite în mai multe soiuri. În continuare, considerăm că o identificare și autentificare sunt și ceea ce sunt.

autentificare

Acest concept prevede două tipuri:-un singur sens, clientul trebuie să dovedească mai întâi la server pentru autentificarea și bilaterală, adică, atunci când o confirmare reciprocă se efectuează. Un exemplu tipic de modul în care să efectueze un standard de identificare și autentificare a utilizatorilor - este de a conecta într-un sistem specific. Astfel, diferite tipuri pot fi utilizate în diverse obiecte.

Într-un mediu de rețea, în cazul în care identificarea și autentificarea utilizatorilor efectuate pe punct de vedere geografic părți dispersate, examinează serviciul se distinge prin două aspecte principale:

• care acționează ca un autentificator;
• cum a fost organizat de schimbul de autentificare a datelor și de identificare și modul în care să-l protejeze.

Pentru a confirma autenticitatea, subiectul trebuie să fie prezentat la una dintre următoarele entități:

• anumite informații pe care le cunoaște (cod numeric personal, o parolă, o cheie de criptare specială, etc ...);
• anumit lucru el deține (card personal sau un alt dispozitiv care are un scop similar);
• anumit lucru, care este un element al acesteia (amprente digitale, voce sau alte biometrice de identificare și autentificare a utilizatorilor).

caracteristici ale sistemului

În mediul de rețea deschisă, părțile nu au o cale de încredere, și se spune că, în general, informațiile transmise de către subiect poate fi, eventual, diferite de informațiile primite și utilizate pentru autentificare. siguranță necesar sniffer rețea activă și pasivă, adică, protecția împotriva corectări, interceptarea sau redare a diferitelor date. opțiunea de transfer Parola în clar nu este satisfăcătoare, și pur și simplu nu se poate salva ziua, și parole criptate, deoarece acestea nu sunt furnizate, de protecție de redare. Acesta este motivul pentru care în prezent este utilizat protocoale mai complexe de autentificare.

Identificarea fiabilă este dificil, nu numai din cauza unei varietăți de amenințări de rețea, dar, de asemenea, pentru o varietate de alte motive. Prima practic orice entitate de autentificare poate fi răpit falsifica sau Cercetași. o tensiune între fiabilitatea sistemului utilizat este de asemenea prezent, pe de o parte, și administratorul de sistem sau utilizator facilitati - pe de altă parte. Astfel, din motive de securitate cerute cu o anumită frecvență cere utilizatorului să re-introducerea informațiilor de autentificare (în loc ca el poate avea să se așeze unii alți oameni), și creează nu doar probleme suplimentare, dar, de asemenea, crește în mod semnificativ sansa de că cineva poate desface de intrare informații. În plus, fiabilitatea protecției înseamnă un impact semnificativ asupra valorii sale.

sisteme de identificare și autentificare moderne sprijină conceptul de sign-on unic la rețea, care să satisfacă în primul rând cerințele în ceea ce privește ușurința în utilizare. În cazul în care standardul rețeaua corporativă are o mulțime de servicii de informare, oferind posibilitatea unei independente de circulație, atunci administrarea multiplă a datelor cu caracter personal devine prea împovărătoare. În momentul de față este încă imposibil să spunem că utilizarea sign-on unic la rețea este normal, deoarece soluțiile dominante nu sunt încă formate.

Astfel, mulți încearcă să găsească un compromis între accesibilitate, comoditate și fiabilitate a fondurilor, care prevede identificarea / autentificarea. autorizație de utilizare în acest caz se efectuează în conformitate cu normele individuale.

O atenție deosebită trebuie acordată faptului că serviciul este utilizat poate fi selectat ca obiect de atacuri asupra disponibilității. În cazul în care configurația sistemului se face în așa fel încât , după o serie de încercări nereușite de a introduce posibilitatea a fost blocat, atunci atacatorul poate opri funcționarea utilizatorilor legitimi de doar câteva apăsări de taste.

autentificarea cu parolă

Principalul avantaj al acestui sistem este faptul că este extrem de simplu și familiar majorității. Parolele au fost mult timp folosite de sistemele de operare și alte servicii, precum și cu utilizarea corespunzătoare a securității furnizate, care este destul de acceptabil pentru majoritatea organizațiilor. Pe de altă parte, printr-un set comun de caracteristici ale acestor sisteme sunt cele mai slabe mijloacele prin care pot fi puse în aplicare de identificare / autentificare. Autorizarea în acest caz, devine destul de simplu, deoarece parolele trebuie să fie ușor de reținut, dar nu este greu de ghicit combinația de simplu, mai ales în cazul în care persoana cunoaște preferințele unui anumit utilizator.

Uneori se întâmplă că parolele sunt, în principiu, nu ținute secrete, așa cum sunt valori destul de standard specificate în documentația specifică, și nu întotdeauna după instalarea sistemului, le schimba.

Atunci când introduceți parola, puteți vedea, în unele cazuri, chiar și oamenii folosesc instrumente optice specializate.

Utilizatorii, principalele subiecte de identificare și autentificare, parole sunt de multe ori informează colegii de la cei de la anumite momente s-au schimbat proprietarul. În teorie, în astfel de situații ar fi mai corect să se utilizeze controale speciale de acces, dar în practică nu este în uz. Și dacă parola cunosc două persoane, este crește foarte mult șansele ca în cele din urmă de ea și de a afla mai multe.

Cum să-l repara?

Există mai multe instrumente, cum ar fi identificarea și autentificarea pot fi protejate. Componenta de procesare a informației poate asigura următoarele:

• Impunerea de diverse limitări tehnice. Cel mai adesea stabili reguli privind lungimea parolei și conținutul anumitor caractere.
• Oficiul de expirare a parolei, adică trebuie să fie înlocuite periodic.
• Accesul limitat la dosar parola de bază.
• Limitarea numărului total de încercări eșuate care sunt disponibile atunci când vă conectați. Din cauza acestor atacatori trebuie să fie efectuate numai acțiunile pentru a efectua identificarea și autentificarea precum și metoda de sortare nu poate fi utilizat.
• formarea preliminară a utilizatorilor.
• Folosind generator de parole software specializat, care pot crea astfel de combinații care sunt suficient de melodios și memorabil.

Toate aceste măsuri pot fi utilizate în orice caz, chiar și în cazul în care, împreună cu parole se vor utiliza, de asemenea, alte mijloace de autentificare.

parole One-time

Variantele de realizare de mai sus sunt reutilizabile, iar în cazul deschiderii combinațiilor atacator este capabil de a efectua anumite operațiuni în numele utilizatorului. De aceea, ca un mijloc mai puternic rezistente la posibilitatea unei sniffer pasive de rețea, utilizați parole o singură dată, prin care sistemul de identificare și autentificare este mult mai sigur, deși nu la fel de convenabil.

În acest moment, una dintre cele mai populare software-ul cel mai generatorul de parole one-time este un sistem numit S / KEY, eliberat de Bellcore. Conceptul de bază al acestui sistem este că există o anumită funcție de F, care este cunoscut atât utilizatorului și serverul de autentificare. Ceea ce urmează este un K cheie secretă, cunoscut doar unui anumit utilizator.

La utilizator administrarea inițială, această funcție este utilizată pentru a tasta un număr de ori, atunci rezultatul este salvat pe server. Ulterior, procedura de autentificare este după cum urmează:

1. Pe sistemul de utilizator de la server vine la numărul care este de 1 mai mic decât numărul de ori folosind funcția tastei.
2. Funcția de utilizator este folosit pentru chei secrete în numărul de ori, care a fost stabilit în primul punct, după care rezultatul este trimis prin intermediul rețelei direct la serverul de autentificare.
3. Serverul utilizează această funcție la valoarea obținută, iar apoi rezultatul este comparat cu valoarea stocată anterior. În cazul în care rezultatele se potrivesc, atunci identitatea utilizatorului este stabilit, iar serverul stochează noua valoare, iar apoi scade contorul de unul.

În practică, punerea în aplicare a acestei tehnologii are o structură ceva mai complicată, dar în acest moment nu contează. Deoarece funcția este ireversibilă, chiar dacă interceptarea parolei sau obținerea accesului neautorizat la serverul de autentificare nu oferă posibilitatea de a obține cheia privată și orice modalitate de a anticipa cum va arata exact ca urmatoarea parola de o singură dată.

În Rusia ca un serviciu unificat, un portal de stat de construcții - „Sistem unic de identificare / autentificare“ ( „ESIA“).

O altă abordare pentru sistem de autentificare puternic constă în faptul că noua parolă a fost generată la intervale scurte de timp, care este, de asemenea, realizate prin utilizarea unor programe specializate sau diverse carduri inteligente. În acest caz, serverul de autentificare trebuie să accepte algoritmul corespunzător de generare a parolei și a anumitor parametri asociați cu acesta, și, în plus, trebuie să fie prezent ca server de sincronizare de ceas și client.

Kerberos

Kerberos server de autentificare pentru prima dată a apărut la mijlocul anilor '90 ai secolului trecut, dar de atunci el a primit deja o mulțime de schimbări fundamentale. În momentul de față, componentele individuale ale sistemului sunt prezente în aproape orice sistem de operare modern.

Scopul principal al acestui serviciu este de a rezolva următoarea problemă: există o anumită rețea nesecurizată și nodurile în forma sa concentrat în diverse utilizatori subiecte, și sisteme de servere și software client. Fiecare astfel de entitate este prezentă cheie secretă individuală, precum și la subiecții cu o oportunitate de a demonstra autenticitatea lor la subiectul S, fără de care el pur și simplu nu-l va serviciu, acesta va trebui să recurgă nu numai el însuși, ci și pentru a arăta că el știe unele cheie secretă. În același timp, cu nici o cale de a trimite doar în direcția de dvs. S-cheie secrete ca în primă instanță rețeaua este deschisă, și, în plus, S nu știe, și, în principiu, nu ar trebui să-l cunosc. În această situație, utilizați demonstrație tehnologie mai simplă de cunoaștere a informațiilor respective.

Identificarea electronică / autentificarea prin intermediul sistemului Kerberos prevede utilizarea sa ca o terță parte de încredere, care are informații despre cheile secrete ale site-urilor deservite și de a le ajuta în efectuarea de autentificare pairwise, dacă este necesar.

Astfel, clientul a trimis mai întâi într-o interogare care conține informațiile necesare cu privire la aceasta, precum și serviciul solicitat. După aceasta, Kerberos îi dă un fel de bilet, care este criptat cu o cheie secretă a serverului, precum și o copie a unora dintre datele din aceasta, care este cheia secretă a clientului. În cazul în care se stabilește informațiile pe care clientul a fost descifrat intenționat, adică, el a fost capabil să demonstreze că cheia privată este el cunoscut cu adevărat. Acest lucru indică faptul că clientul este persoana pentru care este.

aici ar trebui să fie luate o atenție specială pentru a se asigura că transmiterea de chei secrete nu sunt efectuate în rețea, iar acestea sunt utilizate exclusiv pentru criptare.

autentificarea prin utilizarea datelor biometrice

Biometria implică o combinație de identificare / autentificare automată a persoanelor în funcție de caracteristicile lor comportamentale sau fiziologice. mijloace fizice de identificare și autentificare oferă o scanare a retinei și a corneei ochiului, amprentele digitale, feței și geometria mâinii, precum și alte informații personale. Caracteristicile comportamentale includ, de asemenea, stilul de lucru cu tastatura și dinamica semnăturii. Metode combinate sunt analiza diferitelor caracteristici ale vocii umane, precum și recunoașterea discursului său.

Astfel de sisteme de identificare / autentificare și criptare sunt utilizate pe scară largă în multe țări din întreaga lume, dar pentru o lungă perioadă de timp, acestea sunt costuri extrem de ridicate și complexitatea de utilizare. Mai recent, cererea de produse biometrice a crescut în mod semnificativ, datorită dezvoltării comerțului electronic, pentru că, din punctul de vedere al utilizatorului, este mult mai ușor să se prezinte, decât să-și amintească unele informații. În consecință, cererea creează de aprovizionare, astfel încât piața a început să apară produse relativ la prețuri scăzute, care sunt axate în principal pe recunoașterea amprentelor digitale.

În majoritatea covârșitoare a cazurilor, biometriei este utilizat în combinație cu alte autentificatori, cum ar fi smart card-uri. De multe ori autentificare biometrică este doar prima linie de apărare și acționează ca un mijloc de consolidare SmartCard, inclusiv diverse secrete criptografice. Când se utilizează această tehnologie, șablonul biometric este stocat pe același card.

Activitatea în domeniul biometriei este suficient de mare. Relevant consorțiu existent, precum și locul de muncă foarte activă este în curs de a standardiza diverse aspecte ale tehnologiei. Astăzi putem vedea o mulțime de articole publicitare pe care tehnologiile biometrice sunt prezentate ca un ideal mijloc de a oferi siguranță sporită și, în același timp, la prețuri accesibile pentru a maselor.

ESIA

sistem de identificare și autentificare ( „ESIA“) este un serviciu special conceput pentru a asigura punerea în aplicare a diferitelor sarcini legate de verificarea autenticității solicitanților și membrii cooperării între agenții în cazul oricăror servicii municipale sau publice în format electronic.

Pentru a avea acces la un „portal unic al structurilor de stat“, precum și orice alte elemente de infrastructură sistemelor informatice de e-guvernare existente, trebuie mai întâi să se înregistreze în contul și, ca urmare, pentru a primi medicamente antiepileptice.

niveluri

Portalul unui sistem unificat de identificare și autentificare oferă trei niveluri de bază de conturi pentru persoane fizice:

• Simplificată. Pentru înregistrarea sa pur și simplu să includă prenumele și numele dvs., precum și unele canale de comunicare special sub forma unei adrese de e-mail sau un telefon mobil. Acest nivel primar, prin care o persoană oferă acces doar la o listă limitată de diverse servicii guvernamentale, precum și capacitățile sistemelor informatice existente.
• Standard. Pentru a obține inițial necesar să se emită un cont simplificat, și apoi, de asemenea, informații suplimentare, inclusiv informații de la numărul pașaportului și contul individual de asigurare. Aceste informații se verifică în mod automat prin intermediul sistemului informatic al fondului de pensii, precum și Serviciul Federal de Migrație, și, în cazul în care testul este de succes, contul este convertit la un nivel standard, acesta se deschide utilizatorul la o listă extinsă de servicii de stat.
• Confirmat. Pentru a obține acest nivel de cont, un sistem unificat de identificare și autentificare solicită utilizatorilor un cont standard, precum și o dovadă a identității, care se realizează printr - o vizită personală a unui departament de service autorizat sau prin obținerea unui cod de activare printr - o scrisoare recomandată. În cazul în care confirmarea individuală este de succes, contul va merge la un nou nivel, și utilizatorul va avea acces la o listă completă a serviciilor publice necesare.

În ciuda faptului că procedurile pot părea suficient de complexe pentru a vedea de fapt, lista completă a datelor necesare pot fi direct pe site-ul oficial, astfel încât este posibil să se finaliza înregistrarea pentru câteva zile.