Идентификација и автентикација: основни поими

Идентификацијата и автентикацијата се основа на современи софтверски и хардверски алатки за безбедност, бидејќи сите други услуги главно се дизајнирани за сервисирање на овие субјекти. Овие концепти претставуваат еден вид на прва линија на одбрана, обезбедувајќи безбедност на информативниот простор на организацијата.

Што е тоа?

Идентификацијата и автентикацијата имаат различни функции. Првиот му овозможува на субјектот (корисник или процес кој делува во негово име) способност да го пренесе своето име. Со помош на автентикација, втората партија конечно е убедена дека предметот навистина претставува кој тој тврди дека е. Често, како синоним, идентификацијата и автентикацијата се заменуваат со фразите "име на порака" и "автентикација".

Тие самите се поделени во неколку сорти. Потоа ќе разгледаме каков идентитет и автентикација се и што се.

Автентикација

Овој концепт предвидува два вида: едностран, кога клиентот најпрво мора да му докаже на серверот својата автентичност, и двострана, односно кога се врши заедничка потврда. Стандарден пример за тоа како стандардната автентикација и автентикација на корисникот се извршуваат е постапката за внесување на одреден систем. Така, различни видови може да се користат во различни предмети.

Во мрежно окружување, каде идентификацијата и автентикацијата на корисниците се врши на географски дисперзирани страни, услугата за која станува збор се карактеризира со два главни аспекти:

• Тоа дејствува како автентикатор;
• Како точно беше организирана размена на податоци за идентификација и идентификација и како е обезбедена нејзината заштита.

За да ја потврди својата автентичност, предметот мора да биде претставен еден од следните лица:

• Одредени информации што му се познати (личен број, лозинка, посебен криптографски клуч, итн.);
• Нешто што тој го поседува (лична карта или некој друг уред кој има слична намена);
• Нешто што е елемент на тоа (отпечатоци од прсти, глас и други биометрички средства за идентификација и идентификација на корисникот).

Карактеристики на системите

Во отворена мрежна околина, страните немаат доверлив пат, што значи дека воопшто информациите што ги пренесува субјектот не може да се совпаѓаат со информациите добиени и користени при проверка на автентичност. Неопходно е да се обезбеди сигурност на активно и пасивно слушање на мрежата, односно заштита од корекција, пресретнување или репродукција на разни податоци. Опцијата за испраќање лозинки во јасно е незадоволителна и не може да ја зачува позицијата и енкрипција на лозинки на ист начин, бидејќи тие не се заштитени од репродукција. Затоа, денес се користат повеќе софистицирани протоколи за автентикација.

Сигурната идентификација е тешка не само поради разни мрежни закани, туку и од други причини. Пред сè, речиси секој ентитет за проверка може да биде украден, фалшифициран или ловат. Постои, исто така, одредена противречност помеѓу веродостојноста на користениот систем, од една страна, и удобностите на системскиот администратор или корисникот, од друга страна. Така, од безбедносни причини, со одредена фреквенција е потребно да побара од корисникот повторно да ги внесе своите информации за автентикација (бидејќи некој друг веќе може да седне на негово место), а тоа не само што создава дополнителни задолженија, туку и значително ја зголемува можноста дека, Дека некој може да шпионира за внесување на информации. Меѓу другото, сигурноста на заштитата значително влијае на нејзината цена.

Модерните системи за автентикација и автентикација го поддржуваат концептот на единствено пријавување на мрежата, што на прво место им овозможува задоволување на барањата во однос на корисник-стил. Доколку стандардната корпоративна мрежа има многу информативни услуги кои обезбедуваат можност за независен третман, тогаш повторното воведување на лични податоци станува премногу тежок. Во моментот, се уште не може да се каже дека употребата на еден влез во мрежата се смета за нормална, бидејќи доминантните одлуки сè уште не се формирани.

Така, многу луѓе се обидуваат да најдат компромис меѓу достапноста, практичноста и веродостојноста на средствата преку кои се обезбедува автентикација / автентикација. Овластувањето на корисниците во овој случај се врши според поединечни правила.

Посебно внимание треба да се обрне на фактот дека користената услуга може да биде избрана како предмет на напад за достапност. Ако конфигурацијата на системот е конфигурирана така што по некои неуспешни обиди, влезната способност е блокирана, во овој случај напаѓачите може да ја запрат работата на легитимни корисници со само неколку тастатурата.

Лозинката за автентикација

Главната предност на таков систем е тоа што е многу едноставна и запознаена со повеќето. Лозинките одамна се користат од оперативни системи и други услуги и со правилна употреба обезбедуваат ниво на сигурност што е сосема прифатливо за повеќето организации. Но, од друга страна, за заеднички сет на карактеристики, ваквите системи се најслаби начини со кои може да се изврши автентикација / автентикација. Овластувањето во овој случај станува прилично едноставно, бидејќи лозинките мора да бидат незаборавни, но едноставните комбинации се лесно да се погодат, особено ако едно лице ги знае преференциите на одреден корисник.

Понекогаш се случува лозинките, во принцип, да не се чуваат во тајност, бидејќи тие имаат доста стандардни вредности наведени во одредена документација, а не секогаш откако системот е инсталиран, тие се менуваат.

При внесување на лозинката можете да видите, а во некои случаи и луѓето користат дури и специјализирани оптички уреди.

Корисниците, главните субјекти за идентификација и автентикација, често може да пријавуваат лозинки на колегите за да го променат сопственикот за одреден временски период. Теоретски, во такви ситуации, посоодветно е да се користи специјална контрола на пристап, но во пракса таа не се користи од никого. И ако двајца ја знаат лозинката, ова во голема мера ги зголемува шансите дека, на крајот, други, исто така, ќе учат за тоа.

Како можам да го надминам ова?

Постојат неколку начини на кои автентикацијата и автентикацијата можат да бидат заштитени. Компонентата за обработка на информации може да се обезбеди со следново:

• Наметнување на различни технички ограничувања. Најчесто, правила се поставени за должината на лозинката, како и содржината на одредени карактери во неа.
• Управување со валидноста на лозинките, односно потребата за нивна периодична замена.
• Ограничување на пристапот до главната датотека со лозинки.
• Ограничете го вкупниот број неуспешни обиди што се достапни кога се пријавувате на системот. Благодарение на овој напаѓач, мора да се извршат само активности пред да се изврши идентификација и проверка на автентичност, бидејќи не може да се користи груб сила.
• Прелиминарна обука на корисници.
• Користење специјализирани софтверски лозински генератори кои ви дозволуваат да креирате такви комбинации кои се еуфонични и сосема незаборавни.

Сите овие мерки може да се користат во секој случај, дури и ако се користат други методи за автентикација заедно со лозинките.

Еднократни лозинки

Опциите кои се дискутирани погоре се еднократно, и ако се открие комбинацијата, напаѓачот може да изврши одредени операции во име на корисникот. Затоа еднократните лозинки се користат како посилна алатка, која е отпорна на можноста за пасивно слушање на мрежа, благодарение што системот за идентификација и автентикација станува многу побезбеден, иако не е толку пригоден.

Во моментов еден од најпопуларните софтверски генератори на еднократни лозинки е системот наречен S / KEY, издаден од Bellcore. Основниот концепт на овој систем е дека постои одредена функција F која е позната на корисникот и серверот за проверка. Следното е тајниот клуч K, кој е познат само на одреден корисник.

При почетната администрација на корисникот оваа функција се користи за клучот одреден број пати, по што складираниот резултат е зачуван на серверот. Во иднина, постапката за автентикација изгледа вака:

1. На системот на корисникот бројот доаѓа од серверот, што е 1 помалку од бројот на време на функцијата се користи за клучот.
2. Корисникот ја користи функцијата на постоечкиот таен клуч кој е бројот на пати што е поставен во првиот пасус, по што резултатот се испраќа преку мрежата директно до серверот за автентикација.
3. Серверот ја користи оваа функција за да ја добие вредноста, по што резултатот се споредува со претходно зачуваната вредност. Ако резултатите се исти, тогаш автентичноста на корисникот е воспоставена, а серверот ја зачувува новата вредност, а потоа го намалува бројот од еден.

Во пракса, имплементацијата на оваа технологија има малку посложена структура, но во моментов не е толку важна. Бидејќи функцијата е неповратна, дури и ако преслушате лозинка или стекнете неовластен пристап до серверот за автентикација, таа не дава можност да добиете таен клуч и на кој било начин да предвидите како ќе изгледа точно следната еднократна лозинка.

Во Русија, како заедничка услуга, се користи посебен државен портал - "Unified Identification / Authentication System" ("ESIA").

Друг пристап до сигурен систем за автентикација е да генерирате нова лозинка во кратки интервали, која исто така се реализира преку употреба на специјализирани програми или различни паметни картички. Во овој случај, серверот за проверка на автентичност треба да го прифати соодветен алгоритам за генерирање на лозинки, како и одредени поврзани параметри, а исто така, треба да бидат присутни и синхронизација на серверот и клиентот.

Kerberos

За првпат серверот за проверка на автентичност на Kerberos се појави во средината на 90-тите години на минатиот век, но оттогаш успеа да добие огромен број фундаментални промени. Во моментов, индивидуалните компоненти на овој систем се присутни во речиси секој модерен оперативен систем.

Главната цел на оваа услуга е да го реши следниот проблем: постои одредена незаштитена мрежа, а нејзините јазли се концентрирани на различни субјекти во форма на корисници, како и серверски и клиентски софтверски системи. Секој таков предмет има индивидуален таен клуч, а за да може предметот С да ја докаже својата автентичност на субјектот на S, без кој едноставно не му служи, тој ќе треба не само да се идентификува, туку и да покаже дека знае одреден Таен клуч. Во исто време, C нема способност само да го испрати својот таен клуч во S, бидејќи мрежата е првенствено отворена, и покрај тоа, S не знае, и, во принцип, не треба да го знае. Во оваа ситуација, помалку јасна технологија се користи за демонстрирање на познавање на овие информации.

Електронската автентикација / автентикација преку системот Kerberos обезбедува негова употреба како доверлива трета страна која има информации за тајните клучеви на опслужените предмети и, доколку е потребно, им помага во извршувањето на парна автентикација.

Така, клиентот прво испраќа барање до системот, кој ги содржи неопходните информации за тоа, како и бараната услуга. После тоа, Kerberos му обезбедува единствен билет кој е шифриран со тајниот клуч на серверот, како и копија од некои од податоците од него, која се класифицира според клучот на клиентот. Во случај на случајност, се утврди дека клиентот е дешифриран на информациите што му се наменети, односно тој можеше да покаже дека тајниот клуч му е познат. Ова укажува на тоа дека клиентот е токму лицето за кое тој самиот се издава.

Посебно внимание треба да се обрне на фактот што трансферот на тајни клучеви не се спроведуваше преку мрежата и тие се користеа исклучиво за енкрипција.

Автентикација со користење на биометриски податоци

Биометриката вклучува комбинација на автоматски средства за идентификација / автентикација на луѓе, врз основа на нивните однесувањето или физиолошките карактеристики. Физички средства за автентикација и идентификација вклучуваат проверка на мрежницата и рожницата на очите, отпечатоци од прсти, геометрија на лице и рака, како и други индивидуални информации. Однесувањето на истите карактеристики го вклучува стилот на работа со тастатурата и динамиката на потписот. Комбинираните методи се анализа на различните карактеристики на гласот на личноста, како и препознавањето на неговиот говор.

Таквите системи за идентификација / автентикација и енкрипција се користат насекаде во многу земји од целиот свет, но долго време тие се исклучително скапи и тешки за употреба. Неодамна, побарувачката за биометриски производи значително се зголемила поради развојот на е-трговијата, бидејќи, од гледна точка на корисникот, многу поудобно е да се претстави себеси отколку да се сети на некои информации. Соодветно на тоа, побарувачката генерира снабдување, па релативно евтини производи почнаа да се појавуваат на пазарот, кои се главно фокусирани на препознавање на отпечатоци.

Во повеќето случаи, биометриката се користи во комбинација со други автентикатори како паметни картички. Често, биометриската проверка е само прва линија на одбрана и делува како средство за активирање на интелектуални карти, вклучувајќи и разни криптографски тајни. Користејќи ја оваа технологија, биометрискиот шаблон е зачуван на истата мапа.

Активноста во областа на биометриката е доста висока. Веќе постои соодветен конзорциум, а работата активно се спроведува со цел стандардизирање на различни аспекти на технологијата. Денес, можете да видите многу рекламирање статии, во кои биометриски технологии се претставени како идеално средство за обезбедување на зголемена безбедност и истовремено достапни за масите.

ОВЖС

Системот за идентификација и автентикација ("ОВЖС") е специјална услуга создадена за да се обезбеди спроведување на разни задачи поврзани со верификација на автентичноста на апликантите и учесниците во меѓуагенциска соработка во случај на обезбедување на општински или јавни услуги во електронска форма.

Со цел да се добие пристап до "еден портал на државните структури", како и сите други информации системи инфраструктура на постоечките е-влада, прво треба да се регистрирате на сметката, а како резултат на тоа, се АЕЛ.

нивоа

Портал на единствен систем на идентификација и автентикација обезбедува три основни нивоа на сметки за физички лица:

• Поедноставен. За неговата регистрација едноставно вклучуваат вашиот прв и последен име, како и одредени канал за комуникација во форма на е-мејл адреса или мобилен телефон. Ова примарно ниво, од кои едно лице дава пристап само до одреден листа на различни владини услуги, како и способностите на постоечките информации системи.
• Стандард. За да се добие првично потребно да се издаде поедноставен сметка, а потоа, исто така, да обезбеди дополнителни информации, вклучувајќи информации од бројот на пасошот и осигурување индивидуална сметка. Оваа информација се проверува автоматски преку информатичкиот систем на пензискиот фонд, како и Федералната служба за миграција, и, ако тестот е успешна, на сметката е претворена во стандардно ниво, таа се отвора на корисникот да проширена листа на државните служби.
• Потврди. За да се добие ова ниво на сметка, единствен систем на идентификација и автентикација бара корисниците да стандардна сметка, како и доказ за идентитет, кој се врши преку лична посета на овластен сервис или со добивање на код за активирање преку препорачано писмо. Во случај дека поединецот потврда е успешна, сметката ќе одат на едно ново ниво, како и на корисникот ќе добие пристап до комплетната листа на потребните јавни услуги.

И покрај фактот дека постапките може да изгледа доволно комплексни за да всушност ја видите комплетната листа на потребни податоци може да биде директно на официјалниот веб-сајт, така што е можно да се заврши регистрацијата за неколку дена.