Identifikacija i autentifikacija: osnovni pojmovi

Identifikacija i autentifikacija su osnova modernog softvera i hardvera sigurnost, kao i bilo koje druge usluge uglavnom su namijenjeni za servisiranje tih subjekata. Ovi pojmovi predstavljaju svojevrsnu prvu liniju obrane, čime se osigurava sigurnost informacijskog prostora organizacije.

Što je to?

Identifikacija i autentifikacija imaju različite funkcije. U prvoj predmet (korisnika ili procesa koji djeluje u ime) priliku reći svoje ime. Pomoću autentifikacije je druga strana je potpuno uvjeren da je predmet stvarno je onaj za koga se izdaje. Često, kao identifikacija sinonim i autentifikaciju zamjenjuje se izrazom „Post ime” i „autentičnosti”.

Oni sami su podijeljeni u nekoliko varijanti. Dalje, mi smatramo da je identifikacija i autentifikacija su i što su.

ovjera

Ovaj koncept predviđa dvije vrste: one-way, klijent prvo mora dokazati da je poslužitelj za provjeru autentičnosti, a bilateralna, to jest, kada se provodi međusobna potvrda. Tipičan primjer kako provesti standardne identifikaciju i autentikaciju korisnika - je da se prijavite na određeni sustav. Dakle, različite vrste mogu se koristiti u razne objekte.

U mrežnom okruženju, gdje je identifikacija i autentifikacija korisnika napravio na geografski raspršene stranaka, ispitati usluge odlikuje se dva glavna aspekta:

• djeluje kao autentikatora;
• kako je to organizirao razmjenu autentifikacije podataka i identifikaciju i kako bi ga zaštitili.

Da potvrdi svoju autentičnost, subjekt mora biti predstavljen na jednom od sljedećih subjekata:

• određene informacije koje zna (osobni broj, lozinku, poseban kriptografski ključ, itd ...);
• određena stvar je vlasnik (osobnu iskaznicu ili neki drugi uređaj koji ima sličnu svrhu);
• određena stvar, što je element njega (otisak prsta, glasa ili neki drugi biometrijski identifikaciju i autentikaciju korisnika).

značajke sustava

U otvorenom mrežnom okruženju, stranke nemaju pouzdanog put, a on je rekao da je u cjelini, informacije prenose subjekta na kraju može biti različita od informacija dobivenih i koristi za provjeru autentičnosti. Potrebna sigurnost aktivne i pasivne mrežne njuškanje, to jest, zaštita od korekcije, presretanje ili reprodukcije različitih podataka. Prijenos Lozinka opcija u jasno nije zadovoljavajuća, i jednostavno ne mogu spasiti dan, a šifrirane lozinke, jer nisu osigurana, zaštitu reprodukcije. To je razlog zašto se danas koristi složenije autentifikacijski protokoli.

Pouzdana identifikacija je teško ne samo zbog raznih mrežnih prijetnji, ali i za niz drugih razloga. Prvi gotovo bilo autentifikaciju subjekt može biti oteta, krivotvoriti ili Izviđaštvo. napetost između pouzdanosti sustava koji se koristi je također prisutan, s jedne strane, i administrator sustava ili korisnik objekata - s druge strane. Dakle, iz sigurnosnih razloga obavezno s nekim frekvencija tražiti od korisnika da ponovno uvođenje svoje podatke za provjeru autentičnosti (kao što je umjesto toga možda morati sjesti i neke druge ljude), i to ne samo stvara dodatni problem, ali i znatno povećava šanse da netko može iznuditi informacije ulaz. Osim toga, pouzdanost zaštite znači značajan utjecaj na vrijednost.

Moderni identifikacije i autentičnosti sustavi podržavaju koncept jedne prijave na mrežu, što se prvenstveno nabavljati hranu sa zahtjevima u pogledu razumljivost. Ako standardni korporacijske mreže ima puno informacijskih usluga, pružajući mogućnost neovisnog cirkulacije, onda višestruko davanje osobnih podataka postaje previše teško. U ovom trenutku još uvijek je nemoguće reći da korištenje jedne prijave na ovoj mreži je normalno, kao dominantni rješenja još nisu formirane.

Dakle, mnogi pokušavaju pronaći kompromis između dostupnosti, praktičnost i pouzdanost financijskih sredstava, koja pruža identifikacije / provjere autentičnosti. Korisnik odobrenje u ovom slučaju provodi se u skladu s pojedinim propisima.

Posebnu pozornost treba obratiti na činjenicu da se usluga koristi, može biti odabran kao predmet napada na raspoloživosti. Ako je konfiguracija sustava je napravljen na takav način da je nakon nekoliko neuspjelih pokušaja da uđu mogućnost zaključan, onda napadač može prestati raditi legitimne korisnike samo nekoliko pritisaka tipke.

lozinka autentifikaciju

Glavna prednost ovog sustava je u tome što je izuzetno jednostavan i poznati većini. Lozinke su odavno koriste operativne sustave i druge usluge, a uz pravilnu uporabu pod uvjetom sigurnosti, što je sasvim prihvatljivo za većinu organizacija. S druge strane, zajedničkom skupu karakteristika takvih sustava su najslabija sredstvo kojim identifikacije / provjere autentičnosti može se provoditi. Odobrenje je u ovom slučaju postaje vrlo jednostavna, jer lozinke mora biti privlačan, ali to nije teško pogoditi kombinaciju jednostavno, posebno ako osoba zna sklonosti pojedinog korisnika.

Ponekad se dogodi da su lozinke, u načelu, nije tajna, kao što su prilično standardne vrijednosti navedene u određenom dokumentacijom, a ne uvijek nakon što je sustav instaliran, promijeniti ih.

Kada unesete svoju zaporku možete vidjeti, u nekim slučajevima, ljudi čak i koristiti specijalizirane optičkih instrumenata.

Korisnici, glavne teme identifikaciju i autentikaciju, lozinke su često obavijestiti kolege s onima na određeno vrijeme promijenilo vlasnika. U teoriji, u takvim situacijama bilo bi ispravnije koristiti posebne kontrole pristupa, ali u praksi to nije u uporabi. A ako je lozinka znam dvoje ljudi, što je vrlo značajno povećava šanse da na kraju to i saznali više.

Kako to popraviti?

Postoji nekoliko alata, kao što su identifikacija i autentifikacija može biti zaštićen. Komponenta za obradu informacija može osigurati na sljedeći način:

• Nametanje raznih tehničkih ograničenja. Najčešće postavljena pravila o dužini lozinkom i sadržaju pojedinih znakova.
• Office Password isteka, odnosno oni moraju biti zamijenjeni povremeno.
• Ograničen pristup osnovnoj lozinkom datoteke.
• Ograničenje ukupnog broja neuspjelih pokušaja koji su dostupni kada se prijavite. Zbog toga napadači moraju se provoditi samo radnje za obavljanje identifikacije i autentikacije, kao i način razvrstavanja se ne može koristiti.
• Preliminarna obuka korisnika.
• Pomoću specijaliziranih softvera lozinku generator koji može stvoriti takve kombinacije koje su dovoljno melodičan i lako pamtljiva.

Sve ove mjere može se koristiti u svakom slučaju, čak i ako zajedno s lozinke također će koristiti druga sredstva za provjeru autentičnosti.

Jednokratne lozinke

Koji su gore navedeni za višekratnu upotrebu, au slučaju otvaranja kombinacije napadaču može obavljanje određenih poslova u ime korisnika. Zato što snažnijih sredstava otpornih na mogućnost pasivnog mreže njuškanje, koristite jednokratne lozinke koje identifikacija i autentifikacija sustav je puno sigurniji, ali ne i zgodan.

U ovom trenutku, jedan od najpopularnijih programa jednokratnu lozinku generator je sustav pod nazivom S / KEY, objavio Bellcore. Osnovni koncept ovog sustava je da postoji određena funkcija F, koji je poznat za oba korisnika i poslužitelja za autentikaciju. Sljedeći je tajni ključ K, poznat samo određenog korisnika.

Na početnom korisnika uprave, ova funkcija se koristi za unos nekoliko puta, onda je rezultat spremljen na poslužitelju. Nakon toga, postupak provjere autentičnosti je kako slijedi:

1. Na korisničkom sustavu od poslužitelja dolazi se do broja koji je jedan manje od broja puta pomoću funkcije tipki.
2. Korisnik se funkcija koristi za tajnih ključeva u broj puta koji je postavio u prvom trenutku, nakon čega je rezultat se šalje putem mreže izravno na poslužitelja za autentikaciju.
3. Poslužitelj koristi ovu funkciju da dobivene vrijednosti, a zatim rezultat u usporedbi s prethodno pohranjene vrijednosti. Ako se rezultati poklapaju, onda korisnikov identitet je uspostavljen, a poslužitelj pohranjuje nove vrijednosti, a zatim se smanjuje brojač za jedan.

U praksi, primjena ove tehnologije ima nešto složeniju strukturu, ali u ovom trenutku nije važno. Budući da je funkcija je nepovratan, čak i ako je lozinka presretanje ili dobivanje neovlaštenog pristupa na autentifikacijski server ne pruža mogućnost dobiti privatni ključ i na bilo koji način predvidjeti kako će točno izgledati ovako jednokratne lozinke.

U Rusiji kao jedinstveni servis, posebna državna portal - „jedinstvenog sustava identifikacije / provjere autentičnosti” ( „Esia”).

Drugi pristup jaka ovjera sustava leži u činjenici da je nova lozinka je generirana u kratkim intervalima, koji se također realizira kroz korištenje specijaliziranih programa ili raznih pametnih kartica. U tom slučaju, autentifikacijski poslužitelj mora prihvatiti odgovarajući algoritam generiranja lozinke i određene parametre povezane s njom, a osim toga, mora biti prisutan kao sat sinkronizacija poslužitelja i klijenta.

Kerberos

Kerberos autentifikacijski server prvi put pojavio sredinom 90-ih godina prošlog stoljeća, a od tada je on već dobio puno temeljite promjene. U ovom trenutku, pojedine komponente sustava su prisutni u gotovo svim modernim operativnim sustavom.

Glavna svrha ove usluge je riješiti sljedeći problem: postoji određena nesigurne mreže i čvorova u svom koncentriranom obliku u raznim temama korisnika i poslužitelja i klijenta softverskih sustava. Svaka takva osoba je prisutan pojedinac tajni ključ, i na subjekte s priliku da se dokaže njihova autentičnost subjektu S, bez koje on jednostavno neće uslugu, to će trebati ne samo sebe nazvati, ali i pokazati da zna neke tajni ključ. U isto vrijeme i nije bilo načina da se samo poslati u smjeru tajni ključ S kao u prvom slučaju je mreža otvorena, a osim toga, S ne znam, i, u principu, ne treba ga znati. U tom slučaju, koristite manje jednostavan tehnologije demonstraciju znanja o tim informacijama.

Elektronska identifikacija / provjere autentičnosti putem Kerberos sustava omogućuje njegovo korištenje kao pouzdana treća strana, koja ima informacije o tajnim ključevima servisirati mjesta te im pomažu u obavljanju parovima, autentifikaciju, ako je potrebno.

Dakle, klijent prvo poslao upit koji sadrži potrebne informacije o tome, kao i traženu uslugu. Nakon toga, Kerberos mu daje neku vrstu ulaznice koja je kodirana s tajnim ključem poslužitelja, kao i kopiju neke podatke od njega, što je tajni ključ klijenta. U slučaju da se ustanovi da je klijent bio dešifrirati podatke to namjera, to jest, on je bio u mogućnosti dokazati da je privatni ključ poznat stvarno ga. To pokazuje da je klijent osoba za koje je.

Posebnu pozornost ovdje treba poduzeti kako bi se osiguralo da je prijenos tajnih ključeva ne provode na mreži, a koriste se isključivo za šifriranje.

provjere autentičnosti pomoću biometrije

Biometrika uključuje kombinaciju automatiziranog identifikacijskog / autentifikaciju osoba na temelju njihovih ponašanja ili fiziološkim osobinama. Fizička sredstva za identifikaciju i autentikaciju pružiti mrežnica skeniranja i oko rožnice, otiske prstiju, lice i geometrija ruke, kao i druge osobne podatke. Karakteristike ponašanja uključuju i stil rada s tipkovnicom i dinamiku potpisa. Kombinirani metode analiza različitih karakteristika ljudskog glasa, kao i priznanje svom govoru.

Takva identifikacija / provjere autentičnosti i šifriranja sustavi su naširoko koristi u mnogim zemljama širom svijeta, ali za dugo vremena, oni su vrlo visoke cijene i složenost korištenja. U novije vrijeme, potražnja za biometrijskih proizvoda značajno je povećan zbog razvoja e-trgovine, jer je, s gledišta korisnika, je puno lakše predstaviti, nego se sjetiti neke informacije. Prema tome, potražnja stvara ponude, tako da na tržištu počeli pojavljivati relativno niske cijene proizvoda, koji su uglavnom usmjerene na prepoznavanje otiska prsta.

U velikoj većini slučajeva, biometrija se koristi u kombinaciji s drugim authenticators kao što su pametne kartice. Često biometrijskih provjera autentičnosti je samo prva linija obrane i djeluje kao sredstvo za poboljšanje inteligentnu karticu, uključujući i razne kriptografske tajne. Kada koristite ovu tehnologiju, biometrijskih predložak pohranjuju se na istoj kartici.

Aktivnost na području biometrije je dovoljno visoka. Relevantni postojeći konzorcij, kao i vrlo aktivan rad je u tijeku standardizirati različite aspekte tehnologije. Danas možemo vidjeti mnogo oglašavanje članaka koji su biometrijske tehnologije predstavljeni kao idealno sredstvo pruža povećanu sigurnost i istovremeno pristupačan masama.

Esia

sustav identifikacije i autentifikacije ( „Esia”) je posebna usluga osmišljen kako bi se osigurala provedba različitih zadataka koji se odnose na provjeru autentičnosti podnositelja zahtjeva i članova međuagencijske suradnje u slučaju bilo kakvih općinskih ili javnih usluga u elektroničkom obliku.

U cilju da se dobije pristup „jednog portala državnih struktura”, kao i bilo koji drugi informacijskih sustava infrastrukture postojećih e-vlade, najprije se morate registrirati račun i kao rezultat toga, dobiti antiepileptika.

razina

Portal jedinstvenog sustava identifikacije i autentifikacije nudi tri osnovne razine račune za pojedince:

• Pojednostavljeno. Za registraciju jednostavno uključiti svoje ime i prezime, kao i neki određeni kanal komunikacije u obliku e-mail adresu ili mobilni telefon. Ova primarna razina, kojom je neka osoba daje pristup samo ograničenom popis raznih državnih službi, kao i mogućnosti postojećih informacijskih sustava.
• Standardno. Da biste dobili u početku potrebno izdati pojednostavljeni račun, a zatim i pružiti dodatne informacije, uključujući informacije iz broja putovnice i osiguranja pojedinog računa. Ova informacija se automatski provjerava putem informacijskih sustava mirovinskog fonda, kao i Savezne migracije usluge, te, ako je test uspješan, račun se pretvara u standardnoj razini, otvara korisnika na prošireni popis državnih službi.
• Potvrđeno. Da biste dobili ovu razinu računa, jedinstveni sustav identifikacije i autentikacije korisnika traži standardnog računa, kao dokaz o identitetu, koja se obavlja preko osobnog posjeta ovlašteni servis odjela ili dobivanje aktivacijski kod u obliku preporučenom pošiljkom. U slučaju da pojedinac potvrda uspješna, račun će ići na novu razinu, a korisniku će dobiti pristup potpuni popis potrebnih javnih usluga.

Unatoč činjenici da su postupci mogu činiti dovoljno složen da se zapravo vidjeti cijeli popis potrebnih podataka može se izravno na službenim stranicama, tako da je moguće završiti registraciju za nekoliko dana.