Жіночі теревеньки - сайт для кожної жінки
17-04-2018, 07:10

Ідентифікація і аутентифікація: основні поняття

Рекламний блок

Ідентифікація і аутентифікація являють собою основу сучасних програмно-технічних засобів безпеки, так як будь-які інші сервіси в основному розраховані на обслуговування зазначених суб'єктів. Ці поняття представляють собою своєрідну першу лінію оборони, забезпечує безпеку інформаційного простору організації.

Що це таке?

идентификация и аутентификация

Ідентифікація і аутентифікація мають різні функції. Перша надає суб'єкту (користувачу або процесу, який діє від його імені) можливість повідомити власне ім'я. За допомогою аутентифікації вже друга сторона остаточно переконується в тому, що суб'єкт дійсно являє собою того, за кого він себе видає. Нерідко в якості синонімів ідентифікація і аутентифікація замінюються словосполученнями «повідомлення імені» і «перевірка автентичності».

Самі вони поділяються на кілька різновидів. Далі ми розглянемо, що собою представляють ідентифікація і аутентифікація і якими вони бувають.

Аутентифікація

системы идентификации аутентификации и шифрования

Дане поняття передбачає два виду: односторонню, коли клієнт попередньо повинен довести сервера свою справжність, і двосторонній, тобто коли ведеться взаємне підтвердження. Стандартний приклад того, як проводиться стандартна ідентифікація і аутентифікація користувачів, - це процедура входу в певну систему. Таким чином, різні типи можуть використовуватися в різних об'єктах.

В мережевому середовищі, коли ідентифікація і аутентифікація користувачів здійснюються на територіально рознесених сторонах, розглянутий сервіс відрізняється двома основними аспектами:

  • що виступає в якості аутентификатора;
  • як саме був організований обмін даними аутентифікації і ідентифікації та як забезпечується його захист.
  • Щоб підтвердити свою автентичність, суб'єктом повинна бути пред'явлена одна з таких сутностей:

  • певна інформація, яка йому відома (особистий номер, пароль, спеціальний криптографічний ключ і т. д.);
  • певна річ, якою він володіє (особиста картка або якесь інше пристрій, що має аналогічне призначення);
  • певна річ, що є елементом його самого (відбитки пальців, голос і інші біометричні засоби ідентифікації і аутентифікації користувачів).
  • Особливості систем

    биометрические средства идентификации и аутентификации пользователей

    У відкритій мережі сторони не мають довіреної маршруту, а це говорить про те, що в загальному випадку інформація, що передається суб'єктом, може в кінцевому підсумку не збігатися з інформацією, отриманою і використовується при перевірці достовірності. Вимагається забезпечення безпеки активного і пасивного прослуховування мережі, тобто захист від коригування, перехоплення або відтворення різних даних. Варіант передачі пароля у відкритому вигляді є незадовільним, і точно так само не може врятувати становище і шифрування паролів, так як їм не забезпечується захист від відтворення. Саме тому сьогодні використовуються більш складні протоколи аутентифікації.

    Надійна ідентифікація має труднощі не тільки з причини різних мережевих погроз, але ще і по цілому ряду інших причин. В першу чергу практично будь-які аутентифікаційні сутності можуть викрадатися, підроблятися або выведываться. Також присутня певна суперечність між надійністю використовуваної системи, з одного боку, і зручностями системного адміністратора або користувача - з іншого. Таким чином, з міркувань безпеки потрібно з деякою частотою запитувати у користувача повторне введення його аутентификационной інформації (так як замість нього може вже сидіти який-небудь інший чоловік), а це не тільки створює додаткові клопоти, але ще й значно збільшує шанс на те, що хтось може підглядати введення інформації. Крім усього іншого, надійність засоби захисту істотно позначається на його вартості.

    Сучасні системи ідентифікації і аутентифікації підтримують концепцію єдиного входу, що в першу чергу дозволяє задовольняти вимоги в плані зручності для користувачів. Якщо стандартна корпоративна мережа має безліч інформаційних сервісів, які передбачають можливість незалежного обігу, то в такому випадку багаторазове введення особистих даних стає надто обтяжливим. На даний момент поки ще не можна сказати, що використання єдиного входу у мережу вважається нормальним, так як домінуючі рішення ще не сформувалися.

    Таким чином, багато хто намагаються знайти компроміс між доступністю за ціною, зручністю та надійністю засобів, якими забезпечується ідентифікація/аутентифікація. Авторизація користувачів в даному випадку здійснюється за індивідуальними правилами.

    Окрему увагу варто приділити тому, що використовуваний сервіс може бути обраний у якості об'єкта атаки на доступність. Якщо конфігурація системи виконана таким чином, щоб після деякого числа невдалих спроб можливість введення була заблокована, то в такому випадку зловмисниками може зупинятися робота легальних користувачів шляхом буквально декількох натискань клавіш.

    Парольна аутентифікація

    Головною перевагою такої системи є те, що вона є гранично простою і звичною для більшості. Паролі вже давним-давно використовуються операційними системами та іншими сервісами, і при грамотному використанні ними забезпечується рівень безпеки, який є цілком прийнятним для більшості організацій. Але з іншого боку, по загальній сукупності характеристик подібні системи являють собою найслабше засіб, яким може здійснюватися ідентифікація/аутентифікація. Авторизація в такому випадку стає досить простий, так як паролі повинні бути запам'ятовуються, але при цьому прості комбінації неважко вгадати, особливо якщо людина знає пристрасті конкретного користувача.

    Іноді буває так, що паролі, в принципі, не тримаються в секреті, так як мають цілком стандартні значення, вказані в певній документації, і далеко не завжди після того, як встановлюється система, їх змінюють.

    При введенні пароль можна подивитися, причому в деяких випадках люди використовують навіть спеціалізовані оптичні прилади.

    Користувачі, основні суб'єкти ідентифікації і аутентифікації, нерідко можуть повідомляти паролі колегам для того, щоб ті на певний час підмінили власника. У теорії у таких ситуаціях буде правильніше застосовувати спеціальні засоби управління доступом, але на практиці це ніким не використовується. А якщо пароль знають дві людини, це вкрай сильно збільшує шанси на те, що в підсумку про нього дізнаються й інші.

    Як це виправити?

    портал единая система идентификации аутентификации есиа

    Є кілька засобів, як може бути захищена ідентифікація та аутентифікація. Компонент обробки інформації може забезпечитися наступним:

  • Накладанням різних технічних обмежень. Найчастіше встановлюються правила на довжину пароля, а також вміст у ньому певних символів.
  • Управлінням терміну дії паролів, тобто необхідністю їх періодичної заміни.
  • Обмеженням доступу до основного файлу паролів.
  • Обмеженням загальної кількості невдалих спроб, доступних при вході в систему. Завдяки цьому зловмисниками повинні виконуватися тільки дії до виконання ідентифікації і аутентифікації, так як метод перебору не можна буде використовувати.
  • Попереднім навчанням користувачів.
  • Використанням спеціалізованих програмних генераторів паролів, які дозволяють створювати такі комбінації, які є милозвучними і досить вдалими.
  • Всі зазначені заходи можуть використовуватися у будь-якому випадку, навіть якщо разом з паролями будуть застосовуватися також і інші засоби аутентифікації.

    Одноразові паролі

    действия до выполнения идентификации и аутентификации

    Розглянуті вище варіанти є багаторазовими, і в разі розкриття комбінації зловмисник отримує можливість виконувати певні операції від імені користувача. Саме тому в якості більш сильного кошти, стійкого до можливості пасивного прослуховування мережі, використовуються одноразові паролі, завдяки яким система ідентифікації і аутентифікації стає набагато більш безпечною, хоч і не такою зручною.

    На даний момент одним з найбільш популярних програмних генераторів одноразових паролів є система під назвою S/KEY, випущена компанією Bellcore. Основна концепція цієї системи полягає в тому, що є певна функція F, яка відома як користувачу, так і сервером аутентифікації. Далі представлений секретний ключ, який відомий тільки певному користувачеві.

    При початковому адмініструванні користувача ця функція використовується до ключа певну кількість разів, після чого відбувається збереження отриманого результату на сервері. У подальшому процедура автентифікації виглядає так:

  • На настроювану систему від сервера приходить число, яке на 1 менше кількості разів використання функції до ключа.
  • Користувачем використовується функція до наявного секретному ключу то кількість разів, яке було встановлено в першому пункті, після чого результат відправляється через мережу безпосередньо на сервер аутентифікації.
  • Сервером використовується дана функція до отриманого значення, після чого результат порівнюється зі збереженою раніше величиною. Якщо результати співпадають, то в такому випадку справжність користувача є встановленою, а сервер зберігає нове значення, після чого знижує лічильник на одиницю.
  • На практиці реалізація даної технології має більш складну структуру, але на даний момент це не настільки важливо. Так як функція є незворотною, навіть у випадку перехоплення пароля або отримання несанкціонованого доступу до сервера аутентифікації не надає можливості отримати секретний ключ і яким-небудь чином передбачити, як конкретно виглядатиме наступний одноразовий пароль.

    У Росії в якості об'єднаного сервісу використовується спеціальний державний портал - "Єдина система ідентифікації/аутентифікації" ("ЕСИА").

    Ще один підхід до надійної системи аутентифікації полягає в тому, щоб новий пароль генерувався через невеликі проміжки часу, що теж реалізується через використання спеціалізованих програм або різних інтелектуальних карт. У цьому випадку, сервер аутентифікації повинен сприймати відповідний алгоритм генерації паролів, а також певні асоційовані з ним параметри, а крім цього, повинна бути також синхронізація годин сервера і клієнта.

    Kerberos

    Вперше сервер аутентифікації Kerberos з'явився в середині 90-х років минулого століття, але з тих пір він вже встиг отримати величезну кількість принципових змін. На даний момент окремі компоненти цієї системи присутні практично в кожній сучасній операційній системі.

    Головним призначенням даного сервісу є рішення наступній завдання: присутня певна незахищена мережу, і в її вузлах зосереджені різні суб'єкти у вигляді користувачів, а також серверних і клієнтських програмних систем. У кожного такого суб'єкта присутній індивідуальний секретний ключ, і для того щоб у суб'єкта з'явилась можливість довести власну справжність суб'єкту S, без якої той просто не стане його обслуговувати, йому необхідно буде не тільки назвати себе, але ще і показати, що він знає певний секретний ключ. При цьому у С немає можливості просто відправити у бік S свій секретний ключ, так як в першу чергу мережа є відкритою, а крім цього, S не знає, та й, в принципі, не повинен знати. У такій ситуації використовується менш прямолінійна технологія демонстрації знання цієї інформації.

    Електронна ідентифікація/аутентифікація через систему Kerberos передбачає її використання в якості довіреної третьої сторони, яка має інформацію про секретні ключі обслуговуваних об'єктів і при необхідності надає їм допомогу в проведенні попарної автентифікації.

    Таким чином, клієнтом спочатку відправляється в систему запит, який містить необхідну інформацію про нього, а також про запитуваної послуги. Після цього Kerberos надає йому своєрідний квиток, який шифрується секретним ключем сервера, а також копію деякої частини даних з нього, яка засекречивается ключем клієнта. У разі збігу встановлюється, що клієнтом була розшифрована призначена йому інформація, тобто він зміг продемонструвати, що секретний ключ йому дійсно відомий. Це говорить про те, що клієнт є саме тією особою, за яку себе видає.

    Окрему увагу тут слід приділити тому, що передача секретних ключів не здійснювалася по мережі, і вони використовувалися виключно для шифрування.

    Перевірка достовірності з використанням біометричних даних

    портал единой системы идентификации и аутентификации

    Біометрія включає в себе комбінацію автоматизованих засобів ідентифікації/аутентифікації людей, засновану на їх поведінкових або фізіологічних характеристиках. Фізичні засоби аутентифікації і ідентифікації передбачають перевірку сітківки та рогівки очей, відбитків пальців, геометрії обличчя і рук, а також іншої індивідуальної інформації. Поведінкові ж характеристики включають в себе стиль роботи з клавіатурою і динаміку підпису. Комбіновані методи являють собою аналіз різних особливостей голосу людини, а також розпізнавання його промови.

    Такі системи ідентифікації/аутентифікації і шифрування використовуються повсюдно в багатьох країнах по всьому світу, але упродовж тривалого часу вони відрізнялися вкрай високою вартістю і складністю в застосуванні. Останнім часом попит на біометричні продукти значно збільшився причини розвитку електронної комерції, так як, з точки зору користувача, набагато зручніше пред'являти себе самого, ніж запам'ятовувати будь-яку інформацію. Відповідно, попит народжує пропозицію, тому на ринку почали з'являтися відносно недорогі продукти, які в основному орієнтовані на розпізнавання відбитків пальців.

    У переважній більшості випадків біометрія використовується в комбінації з іншими аутентифікатором зразок інтелектуальних карт. Нерідко біометрична аутентифікація являє собою лише перший рубіж захисту і виступає в якості засобу активізації інтелектуальних карт, що включають в себе різні криптографічні секрети. При використанні даної технології біометричний шаблон зберігається на цій же карті.

    Активність у галузі біометрії є досить високою. Вже існує відповідний консорціум, а також досить активно ведуться роботи, спрямовані на стандартизацію різних аспектів технології. Сьогодні можна побачити безліч рекламних статей, в яких біометричні технології підносяться в якості ідеального засобу забезпечення підвищеної безпеки і при цьому доступного широким масам.

    ЕСИА

    единая система идентификации и аутентификации

    Система ідентифікації і аутентифікації ("ЕСИА") являє собою спеціальний сервіс, створений для того, щоб забезпечити реалізацію різних завдань, пов'язаних з перевіркою достовірності заявників та учасників міжвідомчої взаємодії у разі надання будь-яких муніципальних або державних послуг в електронній формі.

    Для того щоб отримати доступ до "Єдиного порталу державних структур", а також будь-яких інших інформаційних систем інфраструктури чинного електронного уряду, для початку потрібно буде пройти реєстрацію облікового запису і, як наслідок, отримати ПЕП.

    Рівні

    Портал єдиної системи ідентифікації і аутентифікації передбачає три основних рівня облікових записів для фізичних осіб:

  • Спрощена. Для її реєстрації достатньо просто вказати своє прізвище та ім'я, а також якийсь певний канал комунікації у вигляді адреси електронної пошти або мобільного телефону. Це первинний рівень, з допомогою якого у людини відкривається доступ тільки до обмеженого переліку різних державних послуг, а також можливостей існуючих інформаційних систем.
  • Стандартна. Для її отримання спочатку потрібно оформити спрощену обліковий запис, а потім вже надати також додаткові дані, включаючи інформацію з паспорта та номер страхового індивідуального особового рахунку. Зазначена інформація автоматично перевіряється через інформаційні системи Пенсійного фонду, а також Федеральну міграційну службу, і, якщо перевірка проходить успішно, обліковий запис перекладається на стандартний рівень, що відкриває користувачеві розширений перелік державних послуг.
  • Підтверджена. Для отримання такого рівня облікового запису єдина система ідентифікації і аутентифікації вимагає від користувачів стандартний обліковий запис, а також підтвердження особи, яке виконується через особисте відвідування відділення уповноваженої служби або через отримання коду активації через рекомендований лист. У тому випадку, якщо підтвердження особи виявиться успішним, обліковий запис перейде на новий рівень, а перед користувачем відкриється доступ до повного переліку необхідних державних послуг.
  • Незважаючи на те, що процедури можуть здаватися досить складними, насправді ознайомитися з повним переліком необхідних даних можна безпосередньо на офіційному сайті, тому повноцінне оформлення цілком можливо протягом декількох днів.

    Рекламний блок

    Обов'язково для перегляду