Identifisering og autentisering: grunnleggende begreper

Identifisering og autentisering er grunnlaget for moderne programvare og maskinvare sikkerhet, som alle andre tjenester er i hovedsak ment for vedlikehold av disse fagene. Disse begrepene representerer en slags førstelinjeforsvar, sikre sikkerheten av informasjon plass organisasjon.

Hva er det?

Identifisering og autentisering har ulike funksjoner. Den første gir et fag (bruker eller prosess som handler på vegne av) muligheten til å fortelle sitt eget navn. Ved hjelp av autentisering er den andre siden er helt overbevist om at temaet egentlig er en for som han hevder å være. Ofte som et synonym identifisering og autentisering blir erstattet av uttrykket "Post navn" og "autentisering".

De er inndelt i flere varianter. Deretter ser vi på som en identifikasjon og autentisering er og hva de er.

autentisering

Dette konseptet gir for to typer: én vei, må kunden bevise til serveren for å autentisere og bilaterale, det vil si når en gjensidig bekreftelse er utført. Typisk eksempel på hvordan man skal gjennomføre en standard identifikasjon og autentisering av brukere - er å logge inn i et bestemt system. Således kan forskjellige typer kan anvendes i forskjellige stedene.

I et nettverksmiljø, der identifisering og autentisering av brukere gjort på geografisk spredt parter, undersøke tjenesten er preget av to hovedaspekter:

• som fungerer som en autentikator;
• Slik det ble organisert av utvekslingen av data autentisering og identifikasjon, og hvordan de skal beskytte det.

For å bekrefte sin autentisitet, må emnet bli presentert for en av følgende enheter:

• visse opplysninger som han vet (personnummer, passord, en spesiell kryptografisk nøkkel, etc ...);
• bestemt ting han eier (personlig kort eller en annen enhet som har et lignende formål);
• bestemt ting, som er et element av det (fingeravtrykk, tale eller annen biometrisk identifikasjon og autentisering av brukere).

systemfunksjoner

I den åpne nettverksmiljø, gjør at partene ikke har en pålitelig bane, og det sies at generelt, kan den informasjon som overføres av emnet til slutt være forskjellig fra den informasjon som mottas og benyttes til autentisering. Nødvendig sikkerhet aktive og passive nettverk sniffer, det vil si beskyttelse mot rettelser, avskjæring eller avspilling av forskjellige data. Passord overføringsalternativet i klartekst er ikke tilfredsstillende, og bare ikke kan redde dagen, og krypterte passord, fordi de ikke er gitt, avspilling beskyttelse. Det er derfor i dag brukes mer komplekse godkjenningsprotokoller.

Sikker identifikasjon er vanskelig å ikke bare på grunn av en rekke nettverkstrusler, men også for en rekke andre grunner. Den første nesten alle godkjenning foretak kan bli bortført, eller forfalske eller speiding. en spenning mellom den påliteligheten til systemet som blir anvendt er også til stede, på den ene side, og de systemadministratoren eller brukerens anlegg - på den annen. Dermed av hensyn til sikkerhet nødvendig med noen frekvens be brukeren om å re-lanseringen av sin autentiseringsinformasjon (som stedet han kan ha til å sitte noen andre mennesker), og det ikke bare skaper ytterligere problemer, men også betydelig øker sjansen for at noen kan lirke informasjon input. I tillegg er påliteligheten av beskyttelsesinnretningen betydelig innvirkning på dens verdi.

Moderne identifikasjon og autentiseringssystemer støtter konseptet med enkel pålogging til nettverket, som i hovedsak tilfredsstiller kravene når det gjelder brukervennligheten. Dersom standarden bedriftsnettverk har mange informasjonstjenester, og gir for muligheten for en uavhengig sirkulasjon, da flere forvaltning av personopplysninger blir for tyngende. I øyeblikket er det fortsatt umulig å si at bruk av single sign-on til nettverket er normalt, som de dominerende løsninger ennå ikke er dannet.

Dermed mange prøver å finne et kompromiss mellom kostnader, bekvemmelighet og pålitelighet av midler, som gir identifikasjon / autentisering. Brukerautorisasjon i dette tilfellet er utført i henhold til individuelle regler.

Spesiell oppmerksomhet bør vies til det faktum at tjenesten brukes kan velges som gjenstand for angrep på tilgjengelighet. Hvis systemkonfigurasjonen er laget på en slik måte at etter en rekke mislykkede forsøk på å skrive muligheten er låst, så angriper kan stoppe operasjonen legitime brukere ved noen få tastetrykk.

autentisering av passord

Den største fordelen med dette systemet er at det er svært enkel og kjent for de fleste. Passord har lenge blitt brukt av operativsystemer og andre tjenester, og med riktig bruk av stilt sikkerhet, noe som er helt akseptabelt for de fleste organisasjoner. På den annen side, ved et felles sett av egenskaper ved slike systemer er de svakeste middel som identifikasjons / autentisering kan bli implementert. Autorisasjon i dette tilfellet blir ganske enkelt, fordi passord må være fengende, men det er ikke vanskelig å gjette kombinasjonen av enkle, spesielt hvis personen vet preferansene til en bestemt bruker.

Noen ganger hender det at passordene er i prinsippet ikke bevart hemmelighet, som er ganske standard verdiene angitt i den spesifikke dokumentasjon, og ikke alltid etter at systemet er installert, kan du endre dem.

Når du skriver inn passordet ditt kan du se, i noen tilfeller, mennesker bruker spesialiserte optiske instrumenter.

Brukere, de viktigste fagene identifisering og autentisering, passord ofte informere kolleger med de på visse tider har skiftet eier. I teorien, i slike situasjoner ville det være mer korrekt å bruke spesielle tilgangskontroller, men i praksis er det ikke er i bruk. Og hvis passordet kjenner to personer, er det svært stor grad øker sjansene for at i slutten av det og lære mer.

Hvordan å fikse det?

Det er flere verktøy som identifikasjon og autentisering kan beskyttes. Informasjonsprosesseringskomponenten kan forsikre følger:

• Ileggelse av forskjellige tekniske begrensninger. Oftest setter regler om passord lengde og innhold av visse tegn.
• Office passord utløp, dvs. at de må skiftes ut med jevne mellomrom.
• Begrenset tilgang til grunnleggende passordfilen.
• Begrensning av det totale antallet mislykkede forsøk som er tilgjengelige når du logger inn. På grunn av dette angrip må utføres kun de tiltak for å utføre identifikasjon og autentisering, samt sorteringsmetoden kan ikke brukes.
• Foreløpige opplæring av brukere.
• Ved hjelp av spesialisert programvare passord generator som kan lage slike kombinasjoner som er tilstrekkelig melodiøs og minneverdig.

Alle disse tiltakene kan brukes i alle fall, selv om sammen med passord vil også bruke andre former for autentisering.

Engangspassord

De ovennevnte utførelsesformer kan benyttes om igjen, og i tilfellet med åpningen kombinasjoner angriper er i stand til å utføre visse operasjoner på vegne av brukeren. Det er derfor som en sterkere middel resistente mot muligheten for et passivt nettverk sniffer, benytte engangspassord ved hvilken identifikasjon og autentiseringssystem er mye mer sikker, men ikke så praktisk.

I øyeblikket er en av de mest populære programvaren engangspassord generator et system kalt S / KEY, utgitt av Bellcore. Det grunnleggende konseptet med dette systemet er at det er en viss funksjon av F, som er kjent for både brukeren og godkjenningsserveren. Det følgende er en hemmelig nøkkel K, bare kjent for en bestemt bruker.

Ved første gangs administrering bruker, blir denne funksjon som benyttes til å taste et antall ganger, så resultatet blir lagret på serveren. Deretter, er autentiseringsprosedyre som følger:

1. På brukerens system fra serveren kommer til nummeret som er en mindre enn antall ganger med funksjonen til tasten.
2. Bruker funksjonen brukes til hemmelige nøkler i antall ganger som er blitt satt i det første punktet, hvorpå resultatet sendes via nettverket direkte til godkjenningsserveren.
3. Serveren bruker denne funksjonen til den oppnådde verdi, og deretter resultatet blir sammenlignet med den tidligere lagrede verdi. Dersom resultatene stemmer overens, da brukerens identitet er etablert, og serveren lagrer den nye verdien, og deretter reduseres telleren med én.

I praksis gjennomføringen av denne teknologien har en noe mer komplisert struktur, men i øyeblikket spiller det ingen rolle. Siden funksjonen er irreversible, selv om passordet avskjæring eller skaffe uautorisert tilgang til godkjenningsserveren ikke gir mulighet til å få den private nøkkelen og noen måte å forutsi hvordan det vil akkurat ser ut som følgende engangspassord.

I Russland som en enhetlig tjeneste, en spesiell tilstand portal - "Unikt system for identifikasjon / autentisering" ( "ESIA").

En annen tilnærming til sterk autentisering system ligger i det faktum at det nye passordet ble generert i korte intervaller, som også er realisert gjennom bruk av spesialiserte programmer eller ulike smartkort. I dette tilfellet må godkjenningsserveren godta den tilhørende passord genererende algoritme og visse parametere forbundet med den, og i tillegg må være til stede som klokkesynkronisering tjeneren og klienten.

Kerberos

Kerberos-autentisering server for første gang dukket opp i midten av 90-tallet av forrige århundre, men siden da har han allerede hadde mottatt en rekke grunnleggende endringer. I øyeblikket de enkelte komponentene i systemet er til stede i nesten alle moderne operativsystem.

Hovedformålet med denne tjenesten er å løse følgende problem: det er en viss usikret nettverk og nodene i sin konsentrert form i ulike fag brukere, og server og klient programvaresystemer. Hver slik enhet er til stede individuell hemmelig nøkkel, og med personer med en mulighet til å bevise sin autentisitet til emnet S, uten noe som han rett og slett ikke vil betjene den, må den ikke bare kalle seg selv, men også for å vise at han vet litt hemmelig nøkkel. Samtidig med ingen måte å bare sende i retning av dine hemmelige nøkkel S som i første omgang nettverket er åpent, og i tillegg vil S vet ikke, og i prinsippet bør ikke kjenner ham. I denne situasjonen, bruker mindre grei teknologi demonstrasjon av kunnskap om denne informasjonen.

Elektronisk identifikasjon / autentisering via Kerberos system gir for sin bruk som en betrodd tredjepart, som har informasjon om de hemmelige nøklene til betjente områder og hjelpe dem i å utføre parvise autentisering om nødvendig.

Således kunden først sendt i en spørring som inneholder den nødvendige informasjon om det, så vel som den forespurte tjenesten. Etter dette gir Kerberos ham en slags billett som er kryptert med en hemmelig nøkkel til serveren, samt en kopi av noen av dataene fra den, noe som er hemmelig nøkkel til klienten. I tilfelle at det er etablert at klienten ble dechiffrert informasjon ment det, det vil si, han var i stand til å vise at den private nøkkelen er kjent ham virkelig. Dette indikerer at klienten er den personen som det er.

Spesiell oppmerksomhet bør her tas for å sikre at overføring av hemmelige nøkler ikke blir utført på nettverket, og de brukes utelukkende for kryptering.

autentisering ved bruk av biometri

Biometrics innebærer en kombinasjon av automatisert identifikasjon / autentisering av brukere basert på atferdsmessige og fysiologiske egenskaper. Fysiske hjelp av identifisering og autentisering gir en retina scan og øye hornhinnen, fingeravtrykk, ansikt og hånd geometri, samt andre personlige opplysninger. De atferdsmessige kjennetegn omfatter også arbeid stil med tastaturet og dynamikken i signaturen. Kombinerte metoder er analysen av de forskjellige egenskapene til den menneskelige stemme, samt gjenkjenning av talen.

Slike identifikasjon / autentisering og kryptering systemer brukes mye i mange land rundt om i verden, men i lang tid, er de ekstremt høye kostnadene og kompleksiteten ved bruk. Flere nylig, har etterspørselen etter biometriske produkter økt betydelig på grunn av utviklingen av e-handel, fordi, fra synspunkt av brukeren, er mye lettere å presentere seg selv, enn å huske noe informasjon. Følgelig skaper etterspørsel forsyning, slik at markedet begynte å dukke opp relativt lavt priset produkter, som er i hovedsak fokusert på gjenkjenning av fingeravtrykk.

I det overveldende flertall av tilfellene er biometri brukes i kombinasjon med andre godkjennere som smartkort. Ofte biometrisk autentisering, er bare den første forsvarslinje og opptrer som et middel til å styrke smartkortet, inkludert forskjellige kryptografiske hemmeligheter. Ved bruk av denne teknologien, er biometrisk mal lagret på samme kort.

Aktivitet i feltet av biometri er tilstrekkelig høy. Relevant eksisterende konsortium, så vel som meget aktivt arbeides med å standardisere ulike aspekter av den teknologi. I dag kan vi se mye reklame artikler som biometriske teknologier er presentert som en ideell måte å gi økt sikkerhet og samtidig rimelig til massene.

ESIA

system for identifisering og autentisering ( "ESIA") er en spesiell tjeneste som er utviklet for å sikre gjennomføring av ulike oppgaver i forbindelse med verifisering av ektheten av søkerne og medlemmene av tverretatlig samarbeid i tilfelle eventuelle kommunale eller offentlige tjenester i elektronisk form.

For å få tilgang til en "single portal av de statlige strukturer", så vel som alle andre informasjonssystemer infrastruktur for eksisterende e-forvaltning, må du først registrere kontoen og som et resultat får antiepileptika.

nivåer

Portal av et enhetlig system for identifisering og autentisering gir tre grunnleggende nivåer av regnskap for enkeltpersoner:

• Forenklet. For registrering bare ta med fornavn og etternavn, samt noen bestemt kanal for kommunikasjon i form av en e-postadresse eller en mobiltelefon. Denne barnetrinnet, der en person bare gir adgang til en begrenset liste over ulike offentlige tjenester, samt mulighetene til eksisterende informasjonssystemer.
• Standard. For å oppnå innledningsvis nødvendig for å gi en forenklet konto, og deretter også gi ytterligere informasjon, inkludert informasjon fra den passnummer og forsikring individuell konto. Denne informasjonen blir automatisk sjekket gjennom informasjonssystemet av pensjonsfondet, samt føderale migrasjonstjeneste, og hvis testen er vellykket, blir kontoen konvertert til en standard nivå, den åpner brukeren til en utvidet liste over statlige tjenester.
• Bekreftet. For å oppnå dette nivå av konto, et enhetlig system for identifisering og autentisering krever brukerne til en standard konto, samt bevis på identitet, som er utført gjennom et personlig besøk fra en autorisert serviceavdeling eller ved å skaffe en aktiveringskode via et registrert bokstav. I tilfelle at den enkelte bekreftelsen er vellykket, vil kontoen gå til et nytt nivå, og brukeren vil få tilgang til en fullstendig liste over nødvendige offentlige tjenester.

Til tross for at prosedyrene kan virke komplisert nok til å faktisk se hele listen av nødvendige data kan være direkte på den offisielle nettsiden, så det er mulig å fullføre registreringen for et par dager.