Identificare și autentificare: concepte de bază

2024 Autor: Howard Calhoun | [email protected]. Modificat ultima dată: 2023-12-17 10:39

Identificarea și autentificarea sunt baza instrumentelor moderne de securitate software și hardware, deoarece orice alte servicii sunt concepute în principal pentru a servi aceste entități. Aceste concepte reprezintă un fel de primă linie de apărare care asigură securitatea spațiului informațional al organizației.

Ce este asta?

Identificarea și autentificarea au funcții diferite. Prima oferă subiectului (utilizatorului sau procesului care acționează în numele său) posibilitatea de a-și furniza propriul nume. Cu ajutorul autentificării, a doua parte este în sfârșit convinsă că subiectul este cu adevărat cine pretinde a fi. Identificarea și autentificarea sunt adesea înlocuite cu expresiile „nume mesaj” și „autentificare” ca sinonime.

Ei înșiși sunt împărțiți în mai multe soiuri. În continuare, ne vom uita la ce sunt identificarea și autentificarea și ce sunt acestea.

Autentificare

Acest concept prevede două tipuri: unilateral, atunci când clientultrebuie mai întâi să-și demonstreze autenticitatea serverului și bidirecțională, adică atunci când se efectuează confirmarea reciprocă. Un exemplu standard al modului în care se realizează identificarea și autentificarea standard a utilizatorului este procedura de conectare la un anumit sistem. Astfel, diferite tipuri pot fi folosite în diferite obiecte.

Într-un mediu de rețea în care identificarea și autentificarea utilizatorilor sunt efectuate pe părți dispersate geografic, serviciul în cauză diferă în două aspecte principale:

• care acționează ca un autentificator;
• cum a fost organizat exact schimbul de date de autentificare și identificare și cum este protejat.

Pentru a-și dovedi identitatea, subiectul trebuie să prezinte una dintre următoarele entități:

• anumite informații pe care le cunoaște (număr personal, parolă, cheie criptografică specială etc.);
• un anumit lucru pe care îl deține (carte personală sau alt dispozitiv cu un scop similar);
• un anumit lucru care este un element în sine (amprente digitale, voce și alte mijloace biometrice de identificare și autentificare a utilizatorilor).

Funcțiile sistemului

Într-un mediu de rețea deschis, părțile nu au o rută de încredere, ceea ce înseamnă că, în general, informațiile transmise de subiect pot să nu se potrivească în cele din urmă cu informațiile primite și utilizatela autentificare. Este necesar să se asigure securitatea ascultării active și pasive a rețelei, adică protecția împotriva corectării, interceptării sau redării diferitelor date. Opțiunea de transmitere a parolelor în text simplu este nesatisfăcătoare și, în același mod, criptarea parolelor nu poate salva ziua, deoarece nu oferă protecție împotriva reproducerii. De aceea, astăzi sunt folosite protocoale de autentificare mai complexe.

Identificarea de încredere este dificilă nu numai din cauza diverselor amenințări online, ci și din multe alte motive. În primul rând, aproape orice entitate de autentificare poate fi furată, falsificată sau dedusă. Există, de asemenea, o anumită contradicție între fiabilitatea sistemului utilizat, pe de o parte, și comoditatea administratorului sau utilizatorului de sistem, pe de altă parte. Astfel, din motive de securitate, este necesar să se ceară utilizatorului să-și introducă din nou informațiile de autentificare cu o anumită frecvență (deoarece o altă persoană poate fi deja așezată în locul lui), iar acest lucru nu numai că creează probleme suplimentare, ci și crește semnificativ șansa ca acel cineva să spioneze introducerea informațiilor. Printre altele, fiabilitatea echipamentului de protecție îi afectează în mod semnificativ costul.

Sistemele moderne de identificare și autentificare susțin conceptul de conectare unică la rețea, care vă permite în primul rând să îndepliniți cerințele în ceea ce privește confortul utilizatorului. Dacă o rețea standard corporativă are multe servicii de informații,prevăzând posibilitatea unui tratament independent, atunci introducerea repetată a datelor cu caracter personal devine prea oneroasă. În acest moment, nu se poate spune încă că utilizarea single sign-on este considerată normală, deoarece soluțiile dominante nu s-au format încă.

Astfel, mulți încearcă să găsească un compromis între accesibilitatea, comoditatea și fiabilitatea mijloacelor care asigură identificarea/autentificarea. Autorizarea utilizatorilor în acest caz se efectuează conform regulilor individuale.

O atenție deosebită trebuie acordată faptului că serviciul utilizat poate fi ales ca obiect al unui atac de disponibilitate. Dacă sistemul este configurat în așa fel încât, după un anumit număr de încercări nereușite, capacitatea de a intra este blocată, atunci, în acest caz, atacatorii pot opri munca utilizatorilor legali prin doar câteva apăsări de taste.

Autentificare prin parolă

Principalul avantaj al unui astfel de sistem este că este extrem de simplu și familiar pentru majoritatea. Parolele au fost folosite de sistemele de operare și alte servicii de mult timp și, atunci când sunt utilizate corect, oferă un nivel de securitate destul de acceptabil pentru majoritatea organizațiilor. Dar, pe de altă parte, în ceea ce privește setul total de caracteristici, astfel de sisteme reprezintă cel mai slab mijloc prin care se poate realiza identificarea/autentificarea. Autorizarea în acest caz devine destul de simplă, deoarece parolele trebuie să fiememorabile, dar în același timp combinații simple nu sunt greu de ghicit, mai ales dacă o persoană cunoaște preferințele unui anumit utilizator.

Uneori se întâmplă ca parolele, în principiu, să nu fie ținute secrete, întrucât au valori destul de standard specificate în anumite documentații, și nu întotdeauna după ce sistemul este instalat, acestea să fie schimbate.

La introducerea parolei, puteți vedea, iar în unele cazuri oamenii chiar folosesc dispozitive optice specializate.

Utilizatorii, principalele subiecte de identificare și autentificare, pot deseori să partajeze parole cu colegii pentru ca aceștia să-și schimbe proprietarul pentru un anumit timp. În teorie, în astfel de situații cel mai bine ar fi să folosiți controale speciale de acces, dar în practică acestea nu sunt folosite de nimeni. Și dacă două persoane cunosc parola, crește foarte mult șansele ca alții să afle în cele din urmă despre ea.

Cum să remediați acest lucru?

Există mai multe mijloace prin care identificarea și autentificarea pot fi securizate. Componenta de procesare a informațiilor se poate securiza după cum urmează:

• Impunerea diferitelor restricții tehnice. Cel mai adesea, regulile sunt stabilite pentru lungimea parolei, precum și pentru conținutul anumitor caractere din aceasta.
• Gestionarea expirării parolelor, adică nevoia de a le schimba periodic.
• Restricționarea accesului la fișierul principal cu parole.
• Prin limitarea numărului total de încercări nereușite disponibile la conectare. MulțumităÎn acest caz, atacatorii ar trebui să efectueze acțiuni numai înainte de a efectua identificarea și autentificarea, deoarece metoda brute-force nu poate fi utilizată.
• Preformarea utilizatorilor.
• Utilizarea unui software specializat de generare de parole care vă permite să creați combinații care sunt suficient de eufonice și memorabile.

Toate aceste măsuri pot fi utilizate în orice caz, chiar dacă sunt folosite alte mijloace de autentificare împreună cu parolele.

Parole unice

Opțiunile discutate mai sus sunt reutilizabile, iar dacă combinația este dezvăluită, atacatorul are posibilitatea de a efectua anumite operațiuni în numele utilizatorului. De aceea, parolele unice sunt folosite ca mijloc mai puternic, rezistent la posibilitatea de ascultare pasivă în rețea, datorită căruia sistemul de identificare și autentificare devine mult mai sigur, deși nu la fel de convenabil.

În acest moment, unul dintre cele mai populare generatoare de parole unice software este un sistem numit S/KEY, lansat de Bellcore. Conceptul de bază al acestui sistem este că există o anumită funcție F care este cunoscută atât de utilizator, cât și de serverul de autentificare. Următoarea este cheia secretă K, care este cunoscută doar de un anumit utilizator.

În timpul administrării inițiale a utilizatorului, această funcție este folosită la tastăun anumit număr de ori, după care rezultatul este salvat pe server. În viitor, procedura de autentificare arată astfel:

1. Un număr vine în sistemul utilizatorului de pe server, care este cu 1 mai mic decât numărul de ori când funcția este folosită la cheie.
2. Utilizatorul folosește funcția la cheia secretă disponibilă de câte ori a fost setat în primul paragraf, după care rezultatul este trimis prin rețea direct la serverul de autentificare.
3. Serverul folosește această funcție la valoarea primită, după care rezultatul este comparat cu valoarea salvată anterior. Dacă rezultatele se potrivesc, atunci utilizatorul este autentificat și serverul salvează noua valoare, apoi scade contorul cu unul.

În practică, implementarea acestei tehnologii are o structură ceva mai complexă, dar în acest moment nu este atât de importantă. Deoarece funcția este ireversibilă, chiar dacă parola este interceptată sau se obține acces neautorizat la serverul de autentificare, nu oferă posibilitatea de a obține o cheie secretă și de a prezice în niciun fel cum va arăta în mod specific următoarea parolă unică.

În Rusia, un portal special de stat este utilizat ca serviciu unificat - „Sistemul unificat de identificare/autentificare” („ESIA”).

O altă abordare a unui sistem de autentificare puternic este de a avea o nouă parolă generată la intervale scurte, care este, de asemenea, implementată prinutilizarea de programe specializate sau diverse smart carduri. În acest caz, serverul de autentificare trebuie să accepte algoritmul adecvat de generare a parolei, precum și anumiți parametri asociați acestuia și, în plus, trebuie să existe și sincronizarea ceasului serverului și al clientului.

Kerberos

Serverul de autentificare Kerberos a apărut pentru prima dată la mijlocul anilor 90 ai secolului trecut, dar de atunci a primit deja un număr imens de modificări fundamentale. În prezent, componentele individuale ale acestui sistem sunt prezente în aproape fiecare sistem de operare modern.

Scopul principal al acestui serviciu este de a rezolva următoarea problemă: există o anumită rețea neprotejată, iar în nodurile sale sunt concentrate diverse subiecte sub formă de utilizatori, precum și sisteme software server și client. Fiecare astfel de subiect are o cheie secretă individuală și, pentru ca subiectul C să aibă posibilitatea de a-și dovedi propria autenticitate subiectului S, fără de care pur și simplu nu-i va servi, va trebui nu numai să se numească, ci și pentru a arăta că el cunoaște o anumită Cheia secretă. În același timp, C nu are posibilitatea de a-și trimite pur și simplu cheia secretă către S, deoarece, în primul rând, rețeaua este deschisă și, pe lângă aceasta, S nu știe și, în principiu, nu ar trebui să o cunoască. Într-o astfel de situație, se folosește o tehnică mai puțin simplă pentru a demonstra cunoașterea acestor informații.

Identificarea/autentificarea electronică prin sistemul Kerberos asigură acest lucruutilizați ca terță parte de încredere care deține informații despre cheile secrete ale obiectelor servite și, dacă este necesar, îi ajută să efectueze autentificarea în perechi.

Astfel, clientul trimite mai întâi o cerere către sistem, care conține informațiile necesare despre el, precum și despre serviciul solicitat. După aceea, Kerberos îi pune la dispoziție un fel de bilet, care este criptat cu cheia secretă a serverului, precum și o copie a unora dintre datele din acesta, care este criptată cu cheia clientului. În cazul unei potriviri, se stabilește că clientul a decriptat informațiile destinate lui, adică a putut demonstra că cunoaște cu adevărat cheia secretă. Acest lucru sugerează că clientul este exact cine pretinde că este.

O atenție specială ar trebui acordată aici faptului că transferul cheilor secrete nu a fost efectuat prin rețea și au fost folosite exclusiv pentru criptare.

Autentificare biometrică

Biometria implică o combinație de mijloace automate de identificare/autentificare a persoanelor pe baza caracteristicilor lor comportamentale sau fiziologice. Mijloacele fizice de autentificare și identificare includ verificarea retinei și a corneei ochilor, amprentele digitale, geometria feței și a mâinii și alte informații personale. Caracteristicile comportamentale includ stilul de lucru cu tastatura și dinamica semnăturii. Combinatemetodele sunt analiza diferitelor caracteristici ale vocii unei persoane, precum și recunoașterea vorbirii sale.

Astfel de sisteme de identificare/autentificare și criptare sunt utilizate pe scară largă în multe țări din întreaga lume, dar pentru o lungă perioadă de timp au fost extrem de costisitoare și dificil de utilizat. Recent, cererea de produse biometrice a crescut semnificativ datorită dezvoltării comerțului electronic, întrucât, din punctul de vedere al utilizatorului, este mult mai convenabil să se prezinte decât să memoreze unele informații. În consecință, cererea creează ofertă, așa că au început să apară pe piață produse relativ ieftine, care se concentrează în principal pe recunoașterea amprentei.

În marea majoritate a cazurilor, biometria este utilizată în combinație cu alți autentificatori, cum ar fi cardurile inteligente. Adesea, autentificarea biometrică este doar prima linie de apărare și acționează ca un mijloc de activare a cardurilor inteligente care includ diverse secrete criptografice. Când utilizați această tehnologie, șablonul biometric este stocat pe același card.

Activitatea în domeniul biometricului este destul de mare. Există deja un consorțiu adecvat și, de asemenea, se desfășoară activități destul de activ în scopul standardizării diferitelor aspecte ale tehnologiei. Astăzi puteți vedea o mulțime de articole publicitare în care tehnologiile biometrice sunt prezentate ca mijloc ideal de creștere a securității și în același timp accesibile publicului larg.masele.

ESIA

Sistemul de Identificare și Autentificare („ESIA”) este un serviciu special creat pentru a asigura implementarea diferitelor sarcini legate de verificarea identității solicitanților și a participanților la interacțiunea interdepartamentală în cazul furnizării de orice servicii municipale sau de stat în formă electronică.

Pentru a avea acces la „Portalul unic al agențiilor guvernamentale”, precum și la orice alte sisteme informatice ale infrastructurii actualei e-guvernare, va trebui mai întâi să vă înregistrați un cont și, ca urmare, primiți un PES.

Niveluri

Portalul sistemului unificat de identificare și autentificare oferă trei niveluri principale de conturi pentru persoane fizice:

• Simplificat. Pentru a-l înregistra, trebuie doar să indicați numele și prenumele, precum și un anumit canal de comunicare sub forma unei adrese de e-mail sau a unui telefon mobil. Acesta este nivelul primar, prin care o persoană are acces doar la o listă limitată de diverse servicii publice, precum și la capacitățile sistemelor informatice existente.
• Standard. Pentru a-l obține, mai întâi trebuie să emiteți un cont simplificat și apoi să furnizați și date suplimentare, inclusiv informații din pașaport și numărul contului personal individual de asigurare. Informațiile specificate sunt verificate automat prin intermediul sistemelor informaticeFondul de pensii, precum și Serviciul Federal de Migrație, iar dacă verificarea are succes, contul este transferat la nivelul standard, ceea ce deschide utilizatorului o listă extinsă de servicii publice.
• Confirmat. Pentru a obține acest nivel de cont, sistemul unificat de identificare și autentificare impune utilizatorilor să dețină un cont standard, precum și verificarea identității, care se realizează printr-o vizită personală la o sucursală de service autorizată sau prin obținerea unui cod de activare prin scrisoare recomandată. În cazul în care verificarea identității are succes, contul se va muta la un nou nivel, iar utilizatorul va avea acces la lista completă a serviciilor guvernamentale necesare.

În ciuda faptului că procedurile pot părea destul de complicate, de fapt, puteți face cunoștință cu lista completă a datelor necesare direct pe site-ul oficial, așa că o înregistrare completă este destul de posibilă în câteva zile.