Identifikacija i provjera autentičnosti: osnovni pojmovi

Identifikacija i provjera autentičnosti osnova su suvremenih softverskih alata za softver i hardver, budući da su sve druge usluge uglavnom namijenjene servisiranju tih entiteta. Ovi koncepti predstavljaju prvu liniju obrane koja pruža sigurnost informacijski prostor organizacija.

Što je to?

Identifikacija i provjera autentičnosti imaju različite funkcije. Prvo daje subjektu (korisniku ili procesu koji djeluje u njegovo ime) sposobnost da komunicira svoje ime. Uz pomoć autentifikacije, druga strana je konačno uvjerena da subjekt zaista predstavlja onoga koga tvrdi da jest. Često, kao sinonim, identifikacija i provjera autentičnosti zamjenjuju se izrazom "ime poruke" i "provjerom autentičnosti".

Oni su sami podijeljeni u nekoliko vrsta. Zatim ćemo pogledati koji je identitet i autentičnost i što jesu.

ovjera

Ovaj koncept omogućuje dvije vrste: jednostrano, kada klijent mora prvo dokazati poslužitelju svoju autentičnost i dvostrani, tj. Kada se provede međusobna potvrda. Standardni primjer kako se provodi standardna provjera autentičnosti i autentikacija korisnika postupak je za unos određenog sustava. Stoga se različiti tipovi mogu koristiti u različitim objektima.

U umreženom okruženju, kada se identifikacija i provjera autentičnosti korisnika obavljaju na zemljopisno raspršenim strankama, dotična se usluga razlikuje u dva glavna aspekta:

• koji djeluje kao autentifikator;
• kako je točno organizirana razmjena autentifikacijskih i identifikacijskih podataka i kako je osigurana njezina zaštita.

Da bi potvrdila njegovu vjerodostojnost, subjekt mora imati jedan od sljedećih entiteta:

• određene informacije koje mu poznaju (osobni broj, lozinka, posebni kriptografski ključ, itd.);
• određenu stvar koju posjeduje (osobna kartica ili neki drugi uređaj koji ima sličnu svrhu);
• određenu stvar koja je njegov element (otiske prstiju, glas i druga biometrijska sredstva za identifikaciju i autentifikaciju korisnika).

Značajke sustava

U otvorenom mrežnom okruženju, stranke nemaju pouzdanog put, a on je rekao da je u cjelini, informacije prenose subjekta na kraju može biti različita od informacija dobivenih i koristi za provjeru autentičnosti. Potrebno je osigurati sigurnost aktivnog i pasivnog slušanja mreže, odnosno zaštite od ispravljanja, presretanja ili reprodukcije različitih podataka. Mogućnost slanja zaporki u boji nije zadovoljavajuća i ne može spasiti položaj i šifriranje lozinki na isti način jer nisu zaštićeni od reprodukcije. Zato se danas koriste sofisticiranije protokole za provjeru autentičnosti.

Pouzdana identifikacija teško je ne samo zbog različitih mrežnih prijetnji, ali i zbog raznih drugih razloga. Na prvom mjestu, gotovo svaka autentifikacijska jedinica može biti ukradena, lažirana ili skenirana. Postoji i određena proturječnost između pouzdanosti sustava koji se koristi s jedne strane i pogodnosti administratora sustava ili korisnika, s druge strane. Dakle, iz sigurnosnih razloga obavezno s nekim frekvencija tražiti od korisnika da ponovno uvođenje svoje podatke za provjeru autentičnosti (kao što je umjesto toga možda morati sjesti i neke druge ljude), i to ne samo stvara dodatni problem, ali i znatno povećava šanse da netko može špijunirati na unos informacija. Između ostalog, pouzdanost zaštite značajno utječe na njegovu vrijednost.

Suvremeni sustavi autentifikacije i provjere autentičnosti podržavaju koncept jednokratnog prijavljivanja na mrežu, što u prvom redu omogućuje zadovoljavanje zahtjeva u smislu prihvatljivosti korisnika. Ako je standard korporativna mreža ima puno informacijskih usluga koje pružaju mogućnost samostalnog liječenja, onda opetovano uvođenje osobnih podataka postaje previše naporan. Trenutačno još nije moguće reći da se upotreba jednog ulaza u mrežu smatra normalnim, budući da još uvijek nisu formirane dominantne odluke.

Dakle, mnogi ljudi pokušavaju pronaći kompromis između dostupnosti, praktičnosti i pouzdanosti sredstava kojima se osigurava provjera autentičnosti / provjere autentičnosti. Ovlaštenje korisnika u ovom slučaju provodi se prema individualnim pravilima.

Posebnu pozornost treba posvetiti činjenici da se korištenu uslugu može odabrati kao napadni objekt za dostupnost. Ako je konfiguracija sustava projektiran na takav način da je nakon blokirana nekoliko neuspjelih pokušaja da uđu u mogućnosti, onda napadač može zaustaviti rad legitimni korisnici, uz samo nekoliko pritisaka tipke.

Provjera autentičnosti lozinke

Glavna prednost takvog sustava je da je izuzetno jednostavna i poznata većini. Lozinke već dugo koriste operativni sustavi i druge usluge, a uz pravilnu upotrebu pružaju razinu sigurnosti koja je vrlo prihvatljiva za većinu organizacija. No, s druge strane, za zajednički skup značajki, takvi sustavi su najslabiji način kojim se provodi autentifikacija / provjera autentičnosti. Autorizacija u ovom slučaju vrlo je jednostavna jer se lozinke trebaju pamtiti, ali jednostavne kombinacije su lako pogoditi, pogotovo ako osoba zna postavke određenog korisnika.

Ponekad se dogodi da zaporke, u načelu, ne čuvaju tajnu jer imaju vrlo standardne vrijednosti navedene u određenoj dokumentaciji, a ne uvijek nakon instalacije sustava, one se mijenjaju.

Prilikom unošenja lozinke možete vidjeti, au nekim slučajevima ljudi koriste čak i specijalizirane optičke uređaje.

Korisnici, glavni subjekti identifikacije i provjere autentičnosti, često mogu prijaviti lozinke kolegama tako da vlasniku mogu promijeniti određeni vremenski period. Teoretski, u takvim će situacijama biti prikladno koristiti posebnu kontrolu pristupa, ali u praksi ga nitko ne koristi. A ako dvoje ljudi znaju lozinku, to uvelike povećava šanse da će na kraju i drugi saznati.

Kako mogu to popraviti?

Postoji nekoliko načina na koje se može zaštititi autentičnost i autentifikacija. Komponenta za obradu informacija može se osigurati sljedećim:

• Nametanje različitih tehničkih ograničenja. Najčešća pravila za duljinu lozinke, kao i sadržaj u njemu određenih znakova.
• Upravljanje valjanosti zaporki, tj. Potreba za njihovom periodičnom zamjenom.
• Ograničavanje pristupa glavnoj lozinki.
• Ograničite ukupan broj neuspjelih pokušaja koji su dostupni prilikom prijave na sustav. Zahvaljujući ovom napadu, samo se moraju izvršiti radnje prije provjere autentičnosti i provjere autentičnosti, budući da se brutalna sila ne može koristiti.
• Prethodno usavršavanje korisnika.
• Koristeći specijalizirane softverske lozinke generatora koji vam omogućuju stvaranje takvih kombinacija koje su euphonic i prilično pamtljiva.

Sve te mjere mogu se koristiti u svakom slučaju, čak i ako se uz lozinke koriste i druge metode provjere autentičnosti.

Jednokratne lozinke

Gore navedene opcije mogu se ponovno upotrijebiti, a ako se kombinacija otkrije, napadač je u mogućnosti izvršiti određene operacije u ime korisnika. Zato što snažnijih sredstava otpornih na mogućnost pasivnog mreže njuškanje, koristite jednokratne lozinke koje identifikacija i autentifikacija sustav je puno sigurniji, ali ne i zgodan.

Trenutačno je jedan od najpopularnijih softverskih generatora jednokratnih zaporki sustav nazvan S / KEY, koji je objavio Bellcore. Osnovni koncept ovog sustava je da postoji određena funkcija F koja je poznata i korisniku i poslužitelju za provjeru autentičnosti. Slijedi tajni ključ K, koji je poznat samo određenom korisniku.

Prilikom prvog administriranja korisnika, ta se funkcija koristi ključu određenom broju puta, nakon čega se pohranjeni rezultat pohranjuje na poslužitelju. U budućnosti postupak provjere autentičnosti izgleda ovako:

1. Na korisničkom sustavu broj dolazi od poslužitelja, što je 1 manje od broja puta kada se ta funkcija koristi za ključ.
2. Korisnik koristi funkciju na postojeći tajni ključ koji je broj puta postavljen u prvom stavku, nakon čega se rezultat šalje putem mreže izravno na poslužitelj za provjeru autentičnosti.
3. Poslužitelj koristi tu funkciju kako bi dobio vrijednost, nakon čega se rezultat uspoređuje s prethodno spremljenom vrijednošću. Ako su rezultati isti, tada je postavljena autentičnost korisnika, a poslužitelj sprema novu vrijednost, a zatim brojčano smanjuje brojač.

U praksi, implementacija ove tehnologije ima nešto složeniju strukturu, ali trenutno nije tako važno. Budući da je funkcija nepovratna, čak i ako se lozinka presijeca ili primi neovlaštenog pristupa poslužitelju za provjeru autentičnosti ne pruža mogućnost dobivanja tajnog ključa i na bilo koji način predvidjeti kako će sljedeća jednokratna lozinka izgledati točno.

U Rusiji, kao jedinstvenoj službi, koristi se poseban državni portal - "Unified Identification / Authentication System" ("ESI").

Drugi pristup sustavu pouzdanog provjere autentičnosti je stvaranje nove lozinke u kratkim intervalima, a ostvaruje se i putem specijaliziranih programa ili raznih pametnih kartica. U tom slučaju poslužitelj za provjeru autentičnosti trebao bi prihvatiti odgovarajući algoritam za generiranje zaporki, kao i određene pridružene parametre, a osim toga bi trebala biti prisutna sinkronizacija poslužitelja i klijenta.

Kerberos

Po prvi put poslužitelj Kerberos autentifikacije pojavio se sredinom 90-ih godina prošlog stoljeća, no od tada je uspio dobiti veliki broj temeljnih promjena. Trenutno su pojedine komponente ovog sustava prisutne u gotovo svim modernim operativnim sustavima.

Glavna svrha ove usluge je riješiti sljedeći problem: postoji određena nesigurne mreže i čvorova u svom koncentriranom obliku u raznim temama korisnika i poslužitelja i klijenta softverskih sustava. Svaka takva osoba je prisutan pojedinac tajni ključ, i na subjekte s priliku da se dokaže njihova autentičnost subjektu S, bez koje on jednostavno neće uslugu, to će trebati ne samo sebe nazvati, ali i pokazati da zna neke tajni ključ. U isto vrijeme i nije bilo načina da se samo poslati u smjeru tajni ključ S kao u prvom slučaju je mreža otvorena, a osim toga, S ne znam, i, u principu, ne treba ga znati. U takvoj situaciji, manje je izravna tehnologija iskorištena za dokazivanje znanja o tim informacijama.

Elektronska identifikacija / provjere autentičnosti putem Kerberos sustava omogućuje njegovo korištenje kao pouzdana treća strana, koja ima informacije o tajnim ključevima servisirati mjesta te im pomažu u obavljanju parovima, autentifikaciju, ako je potrebno.

Stoga klijent prvo šalje zahtjev sustavu koji sadrži potrebne informacije o njoj, kao i traženu uslugu. Nakon toga, Kerberos mu osigurava jedinstvenu ulaznicu koja je šifrirana tajnim ključem poslužitelja, kao i kopiju nekih podataka od nje, koja je klasificirana prema klijentovom ključu. U slučaju slučajnosti, utvrđeno je da je klijent dešifrirao informacije namijenjene za njega, tj. On je mogao pokazati da mu je tajni ključ stvarno poznat. To znači da je klijent točno osoba za koju se izdavao.

Posebnu pozornost treba posvetiti činjenici da prijenos tajnih ključeva nije izvršen preko mreže, a koristili su se isključivo za šifriranje.

Provjera autentičnosti pomoću biometrijskih podataka

Biometrika uključuje kombinaciju automatiziranih sredstava za identifikaciju / provjeru autentičnosti ljudi, na temelju njihovih bihevioralnih ili fizioloških osobina. Fizička sredstva za provjeru i identifikaciju osiguravaju provjeru mrežnice i rožnice očiju, otisaka prstiju, geometrije lica i ruku, kao i drugih pojedinih informacija. Ponašanje iste karakteristike uključuju stil rada s tipkovnicom i dinamika potpisivanja. Kombinirane metode su analiza različitih osobina glasa osobe, kao i priznanje njegovog govora.

Takvi sustavi identifikacije / provjere autentičnosti i enkripcije koriste se svugdje u mnogim zemljama širom svijeta, ali dugo su bili izuzetno skupe i teško ih je koristiti. U novije vrijeme, potražnja za biometrijskih proizvoda značajno je povećan zbog razvoja e-trgovine, jer je, s gledišta korisnika, je puno lakše predstaviti, nego se sjetiti neke informacije. Prema tome, potražnja generira opskrbu pa su se na tržištu počele pojavljivati ​​relativno jeftini proizvodi, koji su uglavnom usmjereni na prepoznavanje otiska prsta.

U većini slučajeva, biometrika se koristi u kombinaciji s drugim autentifikatora kao što je intelektualne karte. Često biometrijska autentifikacija je samo prva linija obrane i djeluje kao sredstvo aktiviranja intelektualnih karata, uključujući različite kriptografske tajne. S ovom tehnologijom biometrijski predložak pohranjuje se na istoj karti.

Aktivnost u području biometrije je prilično visoka. Već postoji odgovarajući konzorcij, kao i rad na standardizaciji različitih aspekata tehnologije vrlo aktivan. Danas možete vidjeti mnogo reklamnih članaka u kojima se biometrijske tehnologije predstavljaju kao idealno sredstvo pružanja veće sigurnosti i istodobno dostupne masama.

Esia

sustav identifikacije i autentifikacije ( „Esia”) je posebna usluga osmišljen kako bi se osigurala provedba različitih zadataka koji se odnose na provjeru autentičnosti podnositelja zahtjeva i članova međuagencijske suradnje u slučaju bilo kakvih općinskih ili javnih usluga u elektroničkom obliku.

U cilju da se dobije pristup „jednog portala državnih struktura”, kao i bilo koji drugi informacijskih sustava infrastrukture postojećih e-vlade, najprije se morate registrirati račun i kao rezultat toga, dobiti antiepileptika.

razina

Portal jedinstvenog sustava identifikacije i provjere autentičnosti osigurava tri osnovne razine računa za pojedince:

• Pojednostavljeno. Da biste ga registrirali, dovoljno je samo navesti svoje ime i prezime, kao i određeni komunikacijski kanal u obliku adrese e-pošte ili mobilnog telefona. To je primarna razina kojom osoba ima pristup samo ograničenom popisu raznih javnih usluga, kao i mogućnosti postojećih informacijskih sustava.
• Standardno. Da biste ga primili, najprije morate izdati pojednostavljeni račun, a zatim dodati dodatne informacije, uključujući podatke s putovnice i brojem računa osiguranja pojedinca. Ova informacija se automatski provjerava putem informacijskih sustava mirovinskog fonda, kao i Savezne migracije usluge, te, ako je test uspješan, račun se pretvara u standardnoj razini, otvara korisnika na prošireni popis državnih službi.
• Potvrđeno. Da biste dobili ovu razinu računa, jedinstveni sustav identifikacije i autentikacije korisnika traži standardnog računa, kao dokaz o identitetu, koji se provodi kroz osobni posjet ovlašteni servis odjela ili dobivanja aktivacijskog koda kroz registrirano pismo. U slučaju da je potvrda identiteta uspješna, račun će se prebaciti na novu razinu, a korisnik će imati pristup potpuni popis potrebnih javnih usluga.

Unatoč činjenici da se postupci mogu činiti prilično složenim, u stvari, možete se upoznati s potpunim popisom potrebnih podataka izravno na službenim stranicama, pa je potpuna registracija vrlo moguća nekoliko dana.