Identifisering og autentisering: grunnleggende konsepter

2024 Forfatter: Howard Calhoun | [email protected]. Sist endret: 2023-12-17 10:37

Identifisering og autentisering er grunnlaget for moderne programvare- og maskinvaresikkerhetsverktøy, siden alle andre tjenester hovedsakelig er utformet for å betjene disse enhetene. Disse konseptene representerer en slags første forsvarslinje som sikrer sikkerheten til informasjonsrommet til organisasjonen.

Hva er dette?

Identifisering og autentisering har forskjellige funksjoner. Den første gir emnet (brukeren eller prosessen som handler på deres vegne) muligheten til å oppgi sitt eget navn. Ved hjelp av autentisering blir den andre parten endelig overbevist om at subjektet virkelig er den han utgir seg for å være. Identifikasjon og autentisering blir ofte erstattet av setningene "navnmelding" og "autentisering" som synonymer.

De er selv delt inn i flere varianter. Deretter skal vi se på hva identifikasjon og autentisering er og hva de er.

Autentisering

Dette konseptet gir to typer: ensidig, når klientenmå først bevise sin autentisitet til serveren, og toveis, det vil si når gjensidig bekreftelse utføres. Et standard eksempel på hvordan standard brukeridentifikasjon og autentisering utføres er prosedyren for å logge inn på et bestemt system. Dermed kan forskjellige typer brukes i forskjellige objekter.

I et nettverksmiljø der brukeridentifikasjon og autentisering utføres på geografisk spredte sider, er den aktuelle tjenesten forskjellig på to hovedaspekter:

• som fungerer som en autentisering;
• hvordan nøyaktig utvekslingen av autentiserings- og identifiseringsdata ble organisert og hvordan den er beskyttet.

For å bevise identiteten sin må personen presentere en av følgende enheter:

• visse opplysninger han kjenner (personnummer, passord, spesiell kryptografisk nøkkel osv.);
• visse ting han eier (personlig kort eller annen enhet med lignende formål);
• en bestemt ting som er et element i seg selv (fingeravtrykk, stemme og andre biometriske midler for å identifisere og autentisere brukere).

Systemfunksjoner

I et åpent nettverksmiljø har ikke partene en klarert rute, noe som betyr at informasjonen som overføres av subjektet til slutt ikke stemmer overens med informasjonen som mottas og brukes.ved autentisering. Det er nødvendig for å sikre sikkerheten for aktiv og passiv lytting til nettverket, det vil si beskyttelse mot korreksjon, avlytting eller avspilling av ulike data. Muligheten for å overføre passord i klartekst er utilfredsstillende, og på samme måte kan ikke passordkryptering redde dagen, siden de ikke gir beskyttelse mot reproduksjon. Det er derfor mer komplekse autentiseringsprotokoller brukes i dag.

Pålitelig identifikasjon er vanskelig, ikke bare på grunn av ulike trusler på nettet, men også av en rekke andre årsaker. Først av alt kan nesten enhver autentiseringsenhet bli stjålet, forfalsket eller utledet. Det er også en viss motsetning mellom påliteligheten til systemet som brukes, på den ene siden, og bekvemmeligheten til systemadministratoren eller brukeren, på den andre. Av sikkerhetsgrunner er det derfor påkrevd å be brukeren om å legge inn autentiseringsinformasjonen på nytt med en viss frekvens (siden en annen person kanskje allerede sitter i hans sted), og dette skaper ikke bare ekstra problemer, men øker også betydelig sjansen for at noen kan spionere på å legge inn informasjon. Blant annet påvirker påliteligheten til verneutstyret kostnadene betydelig.

Moderne identifikasjons- og autentiseringssystemer støtter konseptet med enkel pålogging til nettverket, som først og fremst lar deg oppfylle kravene til brukervennlighet. Hvis et standard bedriftsnettverk har mange informasjonstjenester,gir mulighet for uavhengig behandling, da blir den gjentatte innføringen av personopplysninger for tyngende. Foreløpig kan det foreløpig ikke sies at bruken av single sign-on anses som normal, siden de dominerende løsningene ennå ikke er dannet.

Dermed prøver mange å finne et kompromiss mellom rimelighet, bekvemmelighet og pålitelighet av midlene som gir identifikasjon / autentisering. Autorisasjon av brukere i dette tilfellet utføres i henhold til individuelle regler.

Spesiell oppmerksomhet bør rettes mot det faktum at tjenesten som brukes kan velges som gjenstand for et tilgjengelighetsangrep. Hvis systemet er konfigurert på en slik måte at etter et visst antall mislykkede forsøk blokkeres muligheten til å komme inn, så i dette tilfellet kan angripere stoppe arbeidet til lovlige brukere med bare noen få tastetrykk.

Passordautentisering

Den største fordelen med et slikt system er at det er ekstremt enkelt og kjent for de fleste. Passord har blitt brukt av operativsystemer og andre tjenester i lang tid, og når de brukes riktig, gir de et sikkerhetsnivå som er ganske akseptabelt for de fleste organisasjoner. Men på den annen side, når det gjelder det totale settet av egenskaper, representerer slike systemer det svakeste middelet for identifikasjon / autentisering kan utføres. Autorisasjon i dette tilfellet blir ganske enkelt, siden passord må være detminneverdige, men samtidig er enkle kombinasjoner ikke vanskelige å gjette, spesielt hvis en person kjenner preferansene til en bestemt bruker.

Noen ganger hender det at passord i prinsippet ikke holdes hemmelig, da de har ganske standardverdier spesifisert i viss dokumentasjon, og ikke alltid etter at systemet er installert, endres de.

Når du skriver inn passordet, kan du se, og i noen tilfeller bruker folk til og med spesialiserte optiske enheter.

Brukere, hovedemnene for identifikasjon og autentisering, kan ofte dele passord med kolleger for at de skal endre eierskap for en viss tid. I teorien vil det i slike situasjoner være best å bruke spesielle tilgangskontroller, men i praksis brukes ikke dette av noen. Og hvis to personer kjenner passordet, øker det sjansene betraktelig for at andre til slutt finner ut om det.

Hvordan fikser jeg dette?

Det finnes flere metoder for hvordan identifikasjon og autentisering kan sikres. Informasjonsbehandlingskomponenten kan sikre seg selv på følgende måte:

• Innføring av ulike tekniske restriksjoner. Oftest er det satt regler for lengden på passordet, samt innholdet til enkelte tegn i det.
• Administrere utløpet av passord, det vil si behovet for å endre dem med jevne mellomrom.
• Begrenser tilgangen til hovedpassordfilen.
• Ved å begrense det totale antallet mislykkede forsøk tilgjengelig ved pålogging. Takk tilI dette tilfellet bør angripere bare utføre handlinger før de utfører identifikasjon og autentisering, siden brute-force-metoden ikke kan brukes.
• Foropplæring av brukere.
• Bruke spesialisert passordgeneratorprogramvare som lar deg lage kombinasjoner som er vellydende og minneverdige nok.

Alle disse tiltakene kan brukes uansett, selv om andre autentiseringsmetoder brukes sammen med passord.

Engangspassord

Alternativene diskutert ovenfor er gjenbrukbare, og hvis kombinasjonen avsløres, får angriperen muligheten til å utføre visse operasjoner på vegne av brukeren. Det er derfor engangspassord brukes som et sterkere middel, motstandsdyktig mot muligheten for passiv nettverkslytting, takket være at identifikasjons- og autentiseringssystemet blir mye sikrere, men ikke like praktisk.

For øyeblikket er en av de mest populære programvare-engangspassordgeneratorene et system k alt S/KEY, utgitt av Bellcore. Grunnkonseptet til dette systemet er at det er en viss funksjon F som er kjent for både brukeren og autentiseringsserveren. Følgende er den hemmelige nøkkelen K, som bare er kjent for en bestemt bruker.

Under den første administrasjonen av brukeren, brukes denne funksjonen til tastenet visst antall ganger, hvoretter resultatet lagres på serveren. I fremtiden ser autentiseringsprosedyren slik ut:

1. Et tall kommer til brukersystemet fra serveren, som er 1 mindre enn antall ganger funksjonen brukes til nøkkelen.
2. Brukeren bruker funksjonen til den tilgjengelige hemmelige nøkkelen det antall ganger som ble satt i første avsnitt, hvoretter resultatet sendes via nettverket direkte til autentiseringsserveren.
3. Server bruker denne funksjonen til den mottatte verdien, hvoretter resultatet sammenlignes med den tidligere lagrede verdien. Hvis resultatene samsvarer, blir brukeren autentisert og serveren lagrer den nye verdien, og reduserer deretter telleren med én.

I praksis har implementeringen av denne teknologien en litt mer kompleks struktur, men for øyeblikket er den ikke så viktig. Siden funksjonen er irreversibel, selv om passordet fanges opp eller uautorisert tilgang til autentiseringsserveren oppnås, gir den ikke muligheten til å skaffe en hemmelig nøkkel og på noen måte forutsi hvordan det neste engangspassordet vil se ut spesifikt.

I Russland brukes en spesiell statsportal som en enhetlig tjeneste - "Unified Identification / Authentication System" ("ESIA").

En annen tilnærming til et sterkt autentiseringssystem er å få et nytt passord generert med korte intervaller, som også implementeres gjennombruk av spesialiserte programmer eller ulike smartkort. I dette tilfellet må autentiseringsserveren godta den passende passordgenereringsalgoritmen, samt visse parametere knyttet til den, og i tillegg må det også være server- og klientklokkesynkronisering.

Kerberos

Kerberos-autentiseringsserveren dukket først opp på midten av 90-tallet av forrige århundre, men siden den gang har den allerede fått et stort antall grunnleggende endringer. For øyeblikket er individuelle komponenter til dette systemet tilstede i nesten alle moderne operativsystemer.

Hovedformålet med denne tjenesten er å løse følgende problem: det er et visst ubeskyttet nettverk, og ulike emner er konsentrert i dens noder i form av brukere, samt server- og klientprogramvaresystemer. Hvert slikt emne har en individuell hemmelig nøkkel, og for at emnet C skal ha muligheten til å bevise sin egen autentisitet for emnet S, uten hvilken han rett og slett ikke vil tjene ham, må han ikke bare navngi seg selv, men også å vise at han kan en viss Den hemmelige nøkkelen. Samtidig har ikke C muligheten til å bare sende sin hemmelige nøkkel til S, siden først og fremst nettverket er åpent, og i tillegg til dette vet ikke S, og burde i prinsippet ikke vite det. I en slik situasjon brukes en mindre enkel teknikk for å demonstrere kunnskap om denne informasjonen.

Elektronisk identifikasjon/autentisering gjennom Kerberos-systemet sørger for detbruk som en pålitelig tredjepart som har informasjon om de hemmelige nøklene til de serverte objektene og, om nødvendig, hjelper dem med å utføre parvis autentisering.

Dermed sender klienten først en forespørsel til systemet, som inneholder nødvendig informasjon om ham, samt om den forespurte tjenesten. Etter det gir Kerberos ham en slags billett, som er kryptert med serverens hemmelige nøkkel, samt en kopi av noen av dataene fra den, som er kryptert med klientens nøkkel. I tilfelle en match, er det fastslått at klienten dekrypterte informasjonen som var ment for ham, det vil si at han var i stand til å demonstrere at han virkelig kjenner den hemmelige nøkkelen. Dette antyder at klienten er nøyaktig den han utgir seg for å være.

Spesiell oppmerksomhet her bør vies til det faktum at overføringen av hemmelige nøkler ikke ble utført over nettverket, og de ble utelukkende brukt til kryptering.

Biometrisk autentisering

Biometri innebærer en kombinasjon av automatiserte metoder for å identifisere/autentisere personer basert på deres atferdsmessige eller fysiologiske egenskaper. Fysiske midler for autentisering og identifikasjon inkluderer verifisering av netthinnen og hornhinnen i øynene, fingeravtrykk, ansikts- og håndgeometri og annen personlig informasjon. Atferdsegenskaper inkluderer stilen på å jobbe med tastaturet og dynamikken i signaturen. Kombinertmetoder er analyse av ulike trekk ved en persons stemme, samt gjenkjennelse av talen hans.

Slike systemer for identifikasjon/autentisering og kryptering er mye brukt i mange land rundt om i verden, men i lang tid var de ekstremt dyre og vanskelige å bruke. Nylig har etterspørselen etter biometriske produkter økt betydelig på grunn av utviklingen av e-handel, siden det fra brukerens synspunkt er mye mer praktisk å presentere seg enn å huske litt informasjon. Følgelig skaper etterspørsel tilbud, så relativt rimelige produkter begynte å dukke opp på markedet, som hovedsakelig er fokusert på fingeravtrykkgjenkjenning.

I de aller fleste tilfeller brukes biometri i kombinasjon med andre autentiseringer som smartkort. Ofte er biometrisk autentisering bare den første forsvarslinjen og fungerer som et middel til å aktivere smartkort som inkluderer forskjellige kryptografiske hemmeligheter. Når du bruker denne teknologien, lagres den biometriske malen på samme kort.

Aktiviteten innen biometri er ganske høy. Et passende konsortium eksisterer allerede, og det jobbes også ganske aktivt med å standardisere ulike sider ved teknologien. I dag kan du se mange reklameartikler der biometriske teknologier presenteres som et ideelt middel for å øke sikkerheten og samtidig tilgjengelig for allmennheten.massene.

ESIA

Identifikasjons- og autentiseringssystemet ("ESIA") er en spesiell tjeneste opprettet for å sikre gjennomføringen av ulike oppgaver knyttet til verifisering av identiteten til søkere og deltakere i interdepartemental interaksjon i tilfelle levering av eventuelle kommunale eller statlige tjenester i elektronisk form.

For å få tilgang til "Single Portal of Government Agencies", så vel som alle andre informasjonssystemer i infrastrukturen til den nåværende e-forv altningen, må du først registrere en konto og som et resultat av dette, motta en PES.

Levels

Portalen til det enhetlige identifiserings- og autentiseringssystemet sørger for tre hovednivåer med kontoer for enkeltpersoner:

• Forenklet. For å registrere det, trenger du bare å angi etternavn og fornavn, samt en spesifikk kommunikasjonskanal i form av en e-postadresse eller mobiltelefon. Dette er primærnivået, der en person kun har tilgang til en begrenset liste over ulike offentlige tjenester, samt mulighetene til eksisterende informasjonssystemer.
• Standard. For å få det, må du først utstede en forenklet konto, og deretter gi tilleggsdata, inkludert informasjon fra passet og nummeret til forsikringens individuelle personlige konto. Den angitte informasjonen kontrolleres automatisk gjennom informasjonssystemerPensjonsfond, samt Federal Migration Service, og hvis sjekken er vellykket, overføres kontoen til standardnivå, noe som åpner for en utvidet liste over offentlige tjenester til brukeren.
• Bekreftet. For å oppnå dette kontonivået krever det enhetlige identifiserings- og autentiseringssystemet at brukerne har en standardkonto, samt identitetsverifisering, som utføres gjennom et personlig besøk til en autorisert serviceavdeling eller ved å få en aktiveringskode via registrert post. I tilfelle identitetsbekreftelsen er vellykket, vil kontoen flyttes til et nytt nivå, og brukeren vil ha tilgang til hele listen over nødvendige offentlige tjenester.

Til tross for at prosedyrene kan virke ganske kompliserte, kan du faktisk gjøre deg kjent med den fullstendige listen over nødvendige data direkte på den offisielle nettsiden, så en full registrering er fullt mulig innen få dager.