Identifikace a autentizace: základní pojmy

Identifikace a autentizace jsou základem moderního softwarového a hardwarového zabezpečení, jako všechny ostatní služby jsou určeny především pro obsluhu těchto předmětů. Tyto pojmy představují jakousi první linii obrany, zajištění bezpečnosti informačních kosmické organizace.

Co je to?

Identifikace a autentizace mají různé funkce. První poskytuje objekt (uživatel nebo proces, který jedná jménem), možnost sdělit své jméno. Prostřednictvím autentizace je druhá strana je zcela přesvědčen o tom, že předmět je skutečně jeden pro koho on tvrdí, že je. Často se stává, jako identifikace a autentizace synonymum se nahrazují slovy „jméno Post“ a „autentizace“.

Oni sami jsou rozděleny do několika odrůd. Dále se domníváme, že identifikace a autentizace jsou a co jsou.

ověření pravosti

Tento koncept umožňuje dva typy: jednosměrné, klient musí nejprve prokázat serveru k ověření a bilaterální, to znamená, že pokud je vzájemná potvrzení provedeny. Typickým příkladem toho, jak vést standardní identifikaci a autentizaci uživatelů - je přihlásit do konkrétního systému. Tak, různé druhy mohou být použity v různých objektů.

V síťovém prostředí, kde je identifikace a autentizace uživatelů vyrobené z geograficky rozptýlených strany, prověří služba se vyznačuje dvěma hlavními aspekty:

• která působí jako ověřovací;
• jak to bylo organizováno výměnu autentizace a identifikace dat a jak ji chránit.

Pro potvrzení jeho pravosti, musí být předmět předložen jeden z těchto subjektů:

• určité informace, které zná (osobní číslo, heslo, speciální šifrovací klíč, atd ...);
• jistá věc, kterou vlastní (osobní průkaz nebo jiný přístroj, který má podobný účel);
• jistá věc, což je prvek ní (otisk prstu, hlas nebo jiné biometrické identifikaci a autentizaci uživatele).

funkce systému

V otevřeném síťovém prostředí, účastníci nemají důvěryhodné cestu, a říká se, že obecně platí, že informace předané subjektu může nakonec být odlišné od informací, které obdržel a overuje. Předepsané bezpečnostní aktivního a pasivního sítě cvičenými, to znamená, že ochrana proti opravy odposlechu nebo přehrávání různých dat. Možnost přenosu hesla v jasné není uspokojivý, a prostě nemůže zachránit den a šifrovaných hesel, protože nejsou k dispozici, ochranu přehrávání. To je důvod, proč se dnes používají složitější ověřovacích protokolů.

Spolehlivá identifikace je obtížná a to nejen proto, že z různých síťových hrozeb, ale také z různých jiných důvodů. První prakticky každý autentizace entity může být unesen, falšování nebo skauting. napětí mezi spolehlivost systému, který se používá, je také přítomen na jedné straně a správce systému nebo uživatel zařízení - na straně druhé. Tak, z bezpečnostních důvodů vyžadováno určitou frekvencí požádat uživatele, aby znovu-zavedení své ověřovací údaje (jako místo on může sedět několik dalších lidí), a to nejen vytváří další problémy, ale také významně zvyšuje pravděpodobnost že někdo může vypáčit vstupní informace. Kromě toho, spolehlivost ochrany znamená, že významný vliv na jeho hodnotu.

Moderní systémy identifikace a autentizace podporuje koncept jednotné přihlášení k síti, který primárně vychází vstříc požadavkům z hlediska uživatelské přívětivosti. V případě, že standardní podnikové sítě má mnoho informačních služeb, které poskytují možnost nezávislého oběhu, pak násobkem správa osobních údajů příliš zatěžující. V tuto chvíli je to stále není možné říci, že použití jednotného přihlášení k síti je normální, protože dominantní řešení nejsou dosud tvořil.

Tak, mnoho z nich se snaží najít kompromis mezi cenovou dostupnost, pohodlí a spolehlivost finančních prostředků, které poskytuje Identifikace / ověřování. autorizace uživatele v tomto případě se provádí podle jednotlivých pravidel.

Zvláštní pozornost by měla být věnována tomu, že služba se používá může být vybrán jako předmět útoků na dostupnosti. V případě, že konfigurace systému je provedeno takovým způsobem, že poté, co byl uzamčen počet neúspěšných pokusů o zadání možnost, pak útočník může vyřadit z provozu oprávněné uživatele pomocí několika málo stisků kláves.

ověřování pomocí hesla

Hlavní výhodou tohoto systému je, že je velmi jednoduchá a známá nejvíce. Hesla již dlouho používá od operačních systémů a dalších služeb, a řádné využívání poskytnutých bezpečnosti, což je docela přijatelné pro většinu organizací. Na druhé straně, společný soubor vlastností těchto systémů jsou nejslabšími prostředky, kterými může být identifikace / autentifikace implementovány. Povolení v tomto případě se stává docela jednoduchý, protože hesla musí být chytlavé, ale to není těžké uhodnout kombinace jednoduchá, a to zejména v případě, že člověk ví, preference konkrétního uživatele.

Někdy se stává, že hesla jsou v zásadě není drženo v tajnosti, protože jsou docela standardní hodnoty uvedené ve specifických částí dokumentace, a ne vždy se po instalaci systému změnit.

Po zadání hesla můžete vidět, v některých případech lidé dokonce použít speciální optické přístroje.

Uživatelé jsou hlavními tématy identifikace a autentizace, hesla jsou často informovali kolegy na ty v určité době změnily majitele. Teoreticky by v takových situacích by bylo správnější používat speciální řízení přístupu, ale v praxi to není v provozu. A v případě, že heslo znát dva lidi, je to velmi výrazně zvyšuje šance, že na konci to a dozvíte se více.

Jak to opravit?

Existuje několik nástrojů, jako je identifikace a autentizace mohou být chráněny. Zpracování informací složka může pojistit následujícím způsobem:

• Uložení různých technických omezení. Nejčastěji se stanovit pravidla týkající se délky a obsahu určitých znaků hesla.
• vypršení platnosti hesla Office, to znamená, že je třeba pravidelně měnit.
• Omezený přístup k základnímu souboru s hesly.
• Omezení celkového počtu neúspěšných pokusů, které jsou k dispozici, když se přihlásíte. Kvůli tomuto útočníků musí být provedena pouze akce, které provádějí identifikaci a autentizaci, jakož i způsob řazení nelze použít.
• Předběžné školení uživatelů.
• Pomocí specializovaného software generátor hesel, které mohou vytvářet takové kombinace, které jsou dostatečně melodický a zapamatovatelné.

Všechna tato opatření mohou být použity v každém případě, i když spolu s hesla budou také používat jiný způsob ověření pravosti.

Jednorázová hesla

Výše uvedená provedení jsou opakovaně použitelné, a v případě otevření kombinace útočník je schopen provádět určité operace na účet uživatele. To je důvod, proč jako silnější prostředků odolných vůči možnosti pasivní sítě cvičenými, používat jednorázová hesla, kterými identifikační a autentizační systém je mnohem bezpečnější, i když ne tak pohodlné.

V současné době je jedním z nejvíce populární softwarové jednorázový generátor hesel je systém s názvem S / KEY, vydané Bellcore. Základní koncept tohoto systému je to, že existuje určitá funkce F, která je známá pro uživatele i ověřovací server. Následující je tajný klíč K, znám pouze ke konkrétnímu uživateli.

Při počátečním Správa uživatelů, tato funkce se používá k zadání několikrát, pak výsledek je uložen na serveru. Potom se postup ověřování je následující:

1. Na uživatelském systému ze serveru jde o číslo, které je o 1 méně, než je počet časových obdobích při použití funkce k tlačítku.
2. Funkce User se používá pro tajné klíče v počtu časy, které byly stanoveny v prvním bodě, přičemž výsledek je odeslán prostřednictvím sítě přímo na ověřovací server.
3. Server používá tuto funkci k získané hodnoty, a pak se výsledek ve srovnání s dříve uložené hodnoty. V případě shody výsledků, pak se uživatelova identita je založena, a server ukládá novou hodnotu, a pak se sníží čítač o jedničku.

V praxi je implementace této technologie má poněkud složitější struktury, ale v tuto chvíli na tom nezáleží. Protože funkce je nevratná, a to iv případě, že heslo odposlech nebo získání neoprávněného přístupu k ověřovacím serverem neposkytuje možnost získat soukromý klíč a nějaký způsob, jak předpovědět, jak to bude přesně vypadat následovně jednorázového hesla.

V Rusku jako jednotný servis, speciální státní portál - „Unikátní systém identifikace / ověření“ ( „ESIA“).

Jiným přístupem k silné autentizační systém spočívá v tom, že nové heslo bylo vytvořeno v krátkých časových intervalech, což je také realizovat pomocí specializovaných programů nebo různých čipových karet. V tomto případě je ověřovací server musí přijmout odpovídající algoritmus generující hesla a určité parametry s ním spojené, a kromě toho musí být přítomen jako synchronizační hodiny serverem a klientem.

Kerberos

Kerberos authentication server poprvé objevil v polovině 90. let minulého století, ale od té doby se již obdržela řadu zásadních změn. V tomto okamžiku se jednotlivé komponenty systému jsou přítomny v téměř každé moderní operační systém.

Hlavním účelem této služby je vyřešit následující problém: existuje určitý nezabezpečená síť a uzly v koncentrované formě v různých uživatelů předmětů a serverem a klientem softwarové systémy. Každý takový subjekt je přítomen individuální tajný klíč, a subjekty s příležitostí prokázat jejich pravost subjektu S, bez kterého se prostě nebude to služby, bude muset říkat nejen, ale také ukázat, že on ví, že některé tajný klíč. Současně s žádným způsobem stačí poslat ve směru z vašich tajných klíčových S jako v prvním případě bude síť otevřená, a navíc S nezná, av zásadě by ho neznal. V této situaci, používat méně přímočarou technologií demonstrace znalostí těchto informací.

Elektronická identifikace / autentifikace přes systém Kerberos umožňuje jeho použití jako důvěryhodná třetí strana, která má informace o tajných klíčů obsluhovaných míst a pomáhat jim v případě potřeby provádět párové ověřování.

To znamená, že klient nejprve poslán do dotazu, který obsahuje potřebné informace o tom, stejně jako požadované služby. Poté systém Kerberos mu dává jakousi vstupenkou který je šifrován s tajným klíčem serveru, stejně jako kopie některé údaje z něj, což je tajný klíč klienta. V případě, že se prokáže, že klient byl rozluštěn informace zamýšleli, to znamená, že se mu podařilo prokázat, že soukromý klíč je mu známo, opravdu. To znamená, že klient je osoba, pro kterou je.

Zde je třeba věnovat zvláštní pozornost, aby zajistily, že předání tajných klíčů nejsou prováděny na síti, a jsou použity výhradně pro šifrování.

autentizace pomocí biometrie

Biometrie zahrnuje kombinaci automatizovanou identifikaci / ověření lidí na základě jejich chování a fyziologických vlastností. Fyzikální způsoby identifikace a ověření autentičnosti poskytují sítnice skenování a oční rohovku, otisky prstů, obličeje a geometrie ruky, jakož i další osobní informace. Charakteristiky chování patří i styl práce s klávesnicí a dynamiku podpisu. Kombinované metody jsou analýza různých charakteristik lidského hlasu, stejně jako uznání jeho projevu.

Taková identifikace / ověření a šifrovací systémy jsou široce využívány v mnoha zemích po celém světě, ale po dlouhou dobu, oni jsou extrémně vysoké náklady a složitost použití. V poslední době se poptávka po biometrických produktů výrazně vzrostl v důsledku rozvoje elektronického obchodování, protože z pohledu uživatele, je mnohem snazší prezentovat, než mít na paměti některé informace. V souladu s tím, poptávka vytváří nabídku, takže na trhu se začaly objevovat relativně nízkým cenám produktů, které jsou zaměřeny hlavně na rozpoznávání otisků prstů.

V drtivé většině případů, biometrie se používá v kombinaci s jinými autentizátory jako jsou čipové karty. Často biometrické ověření je jen první linii obrany a působí jako prostředek ke zvýšení inteligentní karty, včetně různých kryptografických tajemství. Při použití této technologie se biometrická šablona je uložena na stejnou kartu.

Činnost v oblasti biometrických údajů je dostatečně vysoká. Příslušné stávající konsorcium, stejně jako velmi aktivní probíhají práce na standardizaci různých aspektů technologie. Dnes můžeme vidět spoustu reklamních předmětů, které biometrické technologie jsou prezentovány jako ideální prostředek pro zajištění vyšší bezpečnosti a zároveň cenově dostupné pro masy.

ESIA

systém identifikace a autentizace ( „ESIA“) je speciální služba určená k zajištění plnění různých úkolů souvisejících s ověřením pravosti žadatelů a členů meziresortní spolupráce v případě jakýchkoli komunálních nebo veřejných služeb v elektronické podobě.

S cílem získat přístup do „jednotného portálu státních struktur“, stejně jako jakýkoli jiný informačních systémů infrastruktury stávajících e-government, musíte se nejprve zaregistrovat na účet a v důsledku toho dostat antiepileptika.

úrovně

Portál jednotného systému identifikace a autentizace poskytuje tři základní úrovně účtů pro fyzické osoby:

• Zjednodušena. Pro svou registraci jednoduše uvést své jméno a příjmení, stejně jako některé zvláštní komunikační kanál ve formě e-mailovou adresu nebo mobilní telefon. Tato základní úroveň, při kterých osoba umožňuje přístup jen k omezenému seznamu různých veřejných služeb, jakož i schopnosti stávajících informačních systémů.
• Standardní. Chcete-li získat nejprve nutné vystavit zjednodušenou účet, a pak také poskytnout další informace, včetně informací od číslo pasu a pojišťovnictví individuální účet. Tyto informace se automaticky kontroluje prostřednictvím informačního systému penzijního fondu, jakož i Federální migrační služby, a pokud je test úspěšný, účet je převeden na standardní úrovni, otevře uživatele na rozšířeném seznamu státních služeb.
• Potvrzena. Chcete-li získat tuto úroveň účtu, jednotný systém identifikace a autentizace vyžaduje, aby uživatelé standardní účet, stejně jako doklad totožnosti, který se provádí prostřednictvím osobní návštěvy na autorizované servisní oddělení nebo získáním aktivačního kódu prostřednictvím doporučeného dopisu. V případě, že jednotlivec potvrzení bude úspěšná, bude účet přejít na novou úroveň, a pro uživatele bude přístup ke kompletnímu seznamu potřebných veřejných služeb.

Navzdory skutečnosti, že postupy se může zdát dost složité, aby skutečně vidět úplný seznam požadovaných údajů může být přímo na oficiálních stránkách, takže je možné dokončit registraci po dobu několika dní.