Identifiering och autentisering: grundläggande begrepp

Identifiering och autentisering är grunden för modern mjukvara och hårdvara säkerhet, som alla andra tjänster är främst avsedda för underhåll av dessa ämnen. Dessa begrepp utgör ett slags första försvarslinjen, trygga informationsutrymme organisation.

Vad är det?

Identifiering och autentisering har olika funktioner. Den första ger ett ämne (användare eller process som agerar på uppdrag av) möjlighet att berätta sitt eget namn. Med hjälp av autentisering är den andra sidan är helt övertygad om att motivet är verkligen en som han påstår sig vara. Ofta som en synonym identifiering och autentisering ersättas med frasen "Post name" och "verifiering".

Själva är uppdelade i flera sorter. Nästa anser vi att en identifiering och autentisering är och vad de är.

autentisering

Detta koncept ger två typer: enkelriktad, måste kunden först bevisa för servern att autentisera och bilateral, det vill säga när en ömsesidig bekräftelse genomförs. Typiskt exempel på hur man genomför en standard identifiering och autentisering av användare - är att logga in på ett specifikt system. Sålunda kan olika typer användas i olika föremål.

I en nätverksmiljö, där identifiering och autentisering av användare görs på geografiskt spridda parter undersöka tjänsten kännetecknas av två huvudaspekter:

• som fungerar som en bestyr;
• hur det organiserades genom utbyte av autentisering och identifieringsuppgifter och hur man skyddar den.

För att bekräfta dess äkthet, måste motivet presenteras för en av följande enheter:

• viss information som han vet (personnummer, lösenord, en speciell krypteringsnyckel, etc ...);
• viss sak han äger (personligt kort eller någon annan anordning med liknande ändamål);
• viss sak, vilket är ett element av det (fingeravtryck, röst- eller annan biometrisk identifiering och autentisering av användare).

systemets funktioner

I den öppna nätverksmiljö behöver parterna inte har en pålitlig väg, och det sägs att det i allmänhet, kan informationen som överförs av ämnet så småningom att skilja sig från den mottagna informationen och används för autentisering. Krävs säkerhet aktiv och passiv nätverk sniffer, det vill säga skydd mot korrigeringar, avlyssning eller uppspelning av olika data. Lösenord transfer alternativet i det klara är inte tillfredsställande, och bara kan inte rädda dagen, och krypterade lösenord, eftersom de inte tillhandahålls, skydd uppspelning. Det är därför i dag används mer komplexa autentiseringsprotokoll.

Tillförlitlig identifiering är svårt att inte bara på grund av en mängd olika hot nätverk, men även för en rad andra skäl. Den första praktiskt taget alla autentiseringsenhet kan bortförda, eller förfalska eller scouting. en spänning mellan tillförlitlighet av systemet som används är också närvarande, å ena sidan, och systemadministratören eller användarfaciliteter - på den andra. Således av säkerhetsskäl krävs med viss frekvens be användaren att återinföra sin autentiseringsinformation (som i stället kan han behöva sitta några andra människor), och det inte bara skapar ytterligare problem, men också betydligt ökar risken för att någon kan bända informationsinmatning. Dessutom tillförlitligheten skyddet innebär betydande inverkan på dess värde.

Moderna identifiering och autentiseringssystem stöder idén om enkel inloggning på nätverket, som i första hand vänder sig till krav på användarvänlighet. Om standarden företagets nätverk har en hel del informationstjänster, som ger möjlighet till en oberoende cirkulation, då flera administration av personuppgifter blir alltför betungande. Just nu är det fortfarande omöjligt att säga att användningen av single sign-on till nätverket är normalt, eftersom de dominerande lösningar ännu inte bildas.

Således många försöker hitta en kompromiss mellan överkomliga, bekvämlighet och tillförlitlighet av medel, som ger identifikation / autentisering. Användar tillstånd i detta fall genomförs enligt enskilda regler.

Särskild uppmärksamhet bör ägnas åt det faktum att tjänsten används kan väljas som föremål för attacker mot tillgänglighet. Om konfigurationssystemet görs på ett sådant sätt att efter ett antal misslyckade försök att ange möjligheten har låsts, då angriparen kan stoppa driften legitima användare genom att bara några knapptryckningar.

lösenordsverifiering

Den största fördelen med detta system är att det är extremt enkelt och bekant för de flesta. Lösenord har länge använts av operativsystem och andra tjänster, och med korrekt användning av som säkerhet, vilket är helt acceptabelt för de flesta organisationer. Å andra sidan, genom en gemensam uppsättning egenskaper hos sådana system är de svagaste medel genom vilket identifiering / autentisering kan implementeras. Godkännande i det här fallet blir ganska enkelt, eftersom lösenord måste vara catchy, men det är inte svårt att gissa kombinationen av enkla, speciellt om personen vet preferenser en viss användare.

Ibland händer det att lösenorden är i princip inte bevarade hemlighet, som är ganska vanliga värden som anges i den specifika dokumentationen, och inte alltid efter att systemet har installerats, ändra dem.

När du anger ditt lösenord kan du se i vissa fall, människor även använda specialiserade optiska instrument.

Användare de viktigaste frågorna för identifiering och autentisering, lösenord ofta informera kollegor att de vid vissa tillfällen har bytt ägare. I teorin i sådana situationer skulle det vara mer korrekt att använda speciella åtkomstkontroller, men i praktiken är det inte används. Och om lösenordet vet två personer är mycket kraftigt ökar chanserna att i slutet av det och lära sig mer.

Hur fixar det?

Det finns flera verktyg såsom identifiering och autentisering kan skyddas. Informationsbehandlingskomponenten kan försäkra följande:

• Införandet av olika tekniska begränsningar. Oftast satt regler för lösenord längd och innehåll av vissa tecken.
• Office lösenord utgångsdatum, det vill säga de måste bytas ut med jämna mellanrum.
• Begränsad tillgång till grundläggande lösenordsfilen.
• Begränsning av det totala antalet misslyckade försök som är tillgängliga när du loggar in. På grund av detta angripare måste utföras endast åtgärder för att utföra identifiering och autentisering samt sorteringsmetod kan inte användas.
• Förberedande utbildning av användarna.
• Med hjälp av specialiserad programvara lösenord generator som kan skapa sådana kombinationer som är tillräckligt melodiska och minnesvärd.

Alla dessa åtgärder kan användas i alla fall, även om tillsammans med lösenord kommer också att använda andra medel för autentisering.

Engångslösenord

Utföringsformerna ovan är återanvändbara, och i fallet av att öppna kombinationer angripare kan utföra vissa operationer på användarens vägnar. Det är därför som en starkare medel som är resistenta mot möjligheten att ett passivt nätverk sniffer använder engångslösenord med vilken identifiering och autentisering är mycket säkrare, men inte så bekvämt.

För närvarande är en av de mest populära program engångslösenord generator ett system som kallas S / KEY, släpptes av Bellcore. Grundtanken med detta system är att det finns en viss funktion av F, som är känd för både användaren och autentiseringsservern. Följande är en hemlig nyckel K, endast känd för en specifik användare.

Vid initial administration användare är den här funktionen används för att knappa ett antal gånger, då resultatet sparas på servern. Därefter är autentiseringsproceduren enligt följande:

1. På användarsystemet från servern gäller antalet som är ett mindre än antalet gånger som använder funktionen nyckeln.
2. Användar funktionen används för att hemliga nycklar i antalet gånger som har fastställts i den första punkten, varefter resultatet skickas via nätverket direkt till autentiseringsservern.
3. Servern använder denna funktion för att det erhållna värdet, och sedan resultatet jämförs med det tidigare lagrade värdet. Om resultaten överensstämmer, då användarens identitet kan fastställas, och servern lagrar det nya värdet, och sedan minskar räknaren med ett.

I praktiken har genomförandet av denna teknik en något mer komplicerad struktur, men just nu spelar det ingen roll. Eftersom funktionen är irreversibel, även om lösenordet avlyssning eller få obehörig åtkomst till autentiseringsservern inte ger möjlighet att få den privata nyckeln och något sätt att förutsäga hur det exakt kommer att se ut på följande engångslösenord.

I Ryssland som en enhetlig tjänst, en särskild stat portal - "Unik system för identifiering / autentisering" ( "ESIA").

Ett annat tillvägagångssätt för stark autentisering ligger i det faktum att det nya lösenordet genererades med korta intervall, som också förverkligas genom användning av specialiserade program eller olika smarta kort. I detta fall måste autentiseringsservern accepterar motsvarande lösenord genererande algoritm och vissa parametrar associerade med den, och dessutom måste vara närvarande som klocksynkroniseringsserver och klienten.

Kerberos

Kerberos autentiseringsserver för första gången dök upp i mitten av 90-talet av förra århundradet, men sedan dess har han redan fått en hel del fundamentala förändringar. Just nu, de enskilda komponenterna i systemet finns i nästan alla moderna operativsystem.

Det huvudsakliga syftet med denna tjänst är att lösa följande problem: det finns en viss icke-säkert nätverk och noderna i sin koncentrerad form i olika ämnen användare och server- och klientprogramvarusystem. Varje sådan enhet förekommer individuell hemlig nyckel, och till personer med en möjlighet att bevisa sin äkthet till ämnet S, utan vilken han helt enkelt inte kommer att underhålla den, måste det inte bara kalla sig, men också för att visa att han vet en del hemlig nyckel. Samtidigt med något sätt att bara skicka i riktning mot din hemliga nyckel S som i första hand nätverket är öppet, och dessutom inte S inte vet, och i princip inte bör känna honom. I denna situation, använda mindre rättfram teknik demonstration av kunskap om denna information.

Elektronisk identifiering / autentisering via Kerberos system ger för dess användning som en betrodd tredje part som har information om de hemliga nycklar servade platser och hjälpa dem att utföra parvis autentisering vid behov.

Således kunden först skickas i en fråga som innehåller nödvändig information om det, liksom den begärda tjänsten. Efter detta ger Kerberos honom ett slags biljett som är krypterad med en hemlig nyckel på servern, samt en kopia av en del av data från den, vilket är hemlig nyckel för klienten. I det fall att det är fastställt att klienten var dechiffrerat information avsedd det, det vill säga kunde han visa att den privata nyckeln är känt honom verkligen. Detta tyder på att klienten är den person för vilken det är.

Särskild uppmärksamhet bör här vidtas för att säkerställa att överföringen av hemliga nycklar inte genomförs på nätet, och de används uteslutande för kryptering.

autentiserings användning biometri

Biometrics innebär en kombination av automatisk identifiering / autentisering av människor baserat på deras beteendemässiga eller fysiologiska egenskaper. Fysiska medel för identifiering och autentisering ger en näthinna scan och ögonhornhinnan, fingeravtryck, ansikte och handgeometri, liksom annan personlig information. De beteendemässiga egenskaper finns också stilen på arbetet med tangentbordet och dynamiken i signaturen. Kombinerade metoder är analysen av de olika egenskaperna hos den mänskliga rösten, liksom ett erkännande av hans tal.

Sådana identifierings / autentisering och krypteringssystem används i stor utsträckning i många länder runt om i världen, men under en lång tid, de är extremt höga kostnader och komplexitet användning. På senare tid har efterfrågan på biometriska produkter ökat markant på grund av utvecklingen av e-handel, eftersom från synvinkel användaren är mycket lättare att presentera sig, än att komma ihåg viss information. Således skapar efterfrågan utbudet, så marknaden började dyka upp relativt billiga produkter, som främst är inriktade på fingeravtrycksigenkänning.

I den överväldigande majoriteten av fall är biometri används i kombination med andra äkthetsverifierings såsom smarta kort. Ofta biometrisk autentisering är endast den första försvarslinjen och verkar som ett medel för att öka smartcardet, innefattande olika kryptografiska hemligheter. Vid användning av denna teknik är den biometriska mall lagras på samma kort.

Aktivitet inom biometri är tillräckligt hög. Relevant befintliga konsortiet, liksom mycket aktivt arbete pågår för att standardisera olika aspekter av tekniken. Idag kan vi se en hel del reklamartiklar som biometriska tekniker presenteras som en idealisk sätt att tillhandahålla ökad säkerhet och samtidigt överkomliga för massorna.

ESIA

system för identifiering och autentisering ( "ESIA") är en speciell tjänst för att säkerställa genomförandet av olika uppgifter i samband med kontroll av äktheten av de sökande och medlemmar av samverkan mellan myndigheter i händelse av kommunala eller offentliga tjänster i elektronisk form.

För att få tillgång till "en enda portal av statliga strukturer", liksom alla andra informationssystem infrastruktur befintliga e-förvaltning, måste du först registrera kontot och som ett resultat, får antiepileptika.

nivåer

Portal av ett enhetligt system för identifiering och autentisering ger tre grundläggande nivåer av konton för privatpersoner:

• Förenklas. För registreringen helt enkelt ange ditt för- och efternamn, liksom någon särskild kommunikationskanal i form av en e-postadress eller en mobiltelefon. Denna primära nivå, genom vilken en person ger endast tillgång till en begränsad förteckning över olika offentliga tjänster, liksom kapaciteten hos befintliga informationssystem.
• Standard. För att få en början nödvändigt att utfärda en förenklad konto och sedan även ge ytterligare information, inklusive information från passnummer och försäkring individuellt konto. Denna information kontrolleras automatiskt genom systemet informationen i pensionsfonden, liksom Federal Migrationsverket och, om testet är framgångsrikt, är kontot konverteras till en standardnivå, öppnar användaren en utökad lista över statliga tjänster.
• Bekräftat. För att uppnå denna nivå av kontot, ett enhetligt system för identifiering och autentisering kräver att användarna ett standardkonto, samt identitetsbevis, som sker genom ett personligt besök en auktoriserad serviceavdelning eller genom att erhålla en aktiveringskod via ett rekommenderat brev. I händelse av att den enskilde bekräftelse är framgångsrik, kommer kontot att gå till en ny nivå, och användaren får tillgång till en komplett lista av nödvändiga offentliga tjänster.

Trots att förfarandena kan tyckas komplicerat nog att faktiskt se hela listan av nödvändiga data kan vara direkt på den officiella hemsidan, så det är möjligt att slutföra registreringen för ett par dagar.