Ідентифікація та аутентифікація: основні поняття

Ідентифікація та аутентифікація є основою сучасних програмно-технічних засобів безпеки, так як будь-які інші сервіси в основному розраховані на обслуговування зазначених суб`єктів. Ці поняття є своєрідним першу лінію оборони, що забезпечує безпеку інформаційного простору організації.

Що це таке?

Ідентифікація та аутентифікація мають різні функції. Перша надає суб`єкту (користувачеві або процесу, який діє від його імені) можливість повідомити власне ім`я. За допомогою аутентифікації вже друга сторона остаточно переконується в тому, що суб`єкт дійсно є того, за кого він себе видає. Нерідко в якості синонімів ідентифікація і аутентифікація замінюються словосполученнями «повідомлення імені» і «перевірка справжності».

Самі вони поділяються на кілька різновидів. Далі ми розглянемо, що собою представляють ідентифікація і аутентифікація і якими вони бувають.

аутентифікація

Дане поняття передбачає два види: односторонню, коли клієнт попередньо повинен довести сервера свою справжність, і двосторонню, тобто коли ведеться взаємне підтвердження. Стандартний приклад того, як проводиться стандартна ідентифікація і аутентифікація користувачів, - це процедура входу в певну систему. Таким чином, різні типи можуть використовуватися в різних об`єктах.

В мережевому середовищі, коли ідентифікація і аутентифікація користувачів здійснюються на територіально рознесених сторонах, розглянутий сервіс відрізняється двома основними аспектами:

• що виступає в якості аутентифікатора;
• як саме був організований обмін даними аутентифікації і ідентифікації і як забезпечується його захист.

Щоб підтвердити свою автентичність, суб`єктом повинна бути пред`явлена одна з наступних сутностей:

• певна інформація, яка йому відома (особистий номер, пароль, спеціальний криптографічний ключ і т. д.);
• певна річ, якою він володіє (особиста картка або якесь інше пристрій, що має аналогічне призначення);
• певна річ, яка є елементом його самого (відбитки пальців, голос і інші біометричні засоби ідентифікації і аутентифікації користувачів).

особливості систем

У відкритій мережевому середовищі сторони не мають довіреної маршруту, а це говорить про те, що в загальному випадку інформація, що передається суб`єктом, може в кінцевому підсумку не збігатися з інформацією, отриманою і використовуваної при перевірці автентичності. Потрібно забезпечення безпеки активного і пасивного прослуховування мережі, тобто захист від коригування, перехоплення або відтворення різних даних. Варіант передачі паролів у відкритому вигляді є незадовільним, і точно так само не може врятувати становище і шифрування паролів, так як їм не забезпечується захист від відтворення. Саме тому сьогодні використовуються більш складні протоколи аутентифікації.

Надійна ідентифікація має труднощі не тільки з причини різних мережевих загроз, але ще і з цілої низки інших причин. В першу чергу практично будь-які аутентифікаційні сутності можуть викрадатися, вдавати або вивідувати. Також присутній певна суперечність між надійністю використовуваної системи, з одного боку, і зручностями системного адміністратора або користувача - з іншого. Таким чином, з міркування безпеки потрібно з певною частотою запитувати у користувача повторне введення його аутентификационной інформації (так як замість нього може вже сидіти який-небудь інша людина), а це не тільки створює додатковий клопіт, але ще і значно збільшує шанс на те, що хтось може підглядати введення інформації. Крім усього іншого, надійність засоби захисту істотно позначається на його вартості.

Сучасні системи ідентифікації і аутентифікації підтримують концепцію єдиного входу в мережу, що в першу чергу дозволяє задовольняти вимоги в плані зручності для користувачів. якщо стандартна корпоративна мережа має безліч інформаційних сервісів, які передбачають можливість незалежного звернення, то в такому випадку багаторазове введення особистих даних стає надто обтяжливим. На даний момент поки ще не можна сказати, що використання єдиного входу в мережу вважається нормальним, так як домінуючі рішення ще не сформувалися.

Таким чином, багато хто намагається знайти компроміс між доступністю за ціною, зручністю і надійністю засобів, якими забезпечується ідентифікація / аутентифікація. Авторизація користувачів в даному випадку здійснюється за індивідуальними правилами.

Окрему увагу варто приділити тому, що використовуваний сервіс може бути обраний як об`єкт атаки на доступність. якщо конфігурація системи виконана таким чином, щоб після деякого числа невдалих спроб можливість введення була заблокована, то в такому випадку зловмисниками може зупинятися робота легальних користувачів шляхом буквально декількох натискань клавіш.

Парольная аутентифікація

Головним достоїнством такої системи є те, що вона є гранично простий і звичної для більшості. Паролі вже давним-давно використовуються операційними системами та іншими сервісами, і при грамотному використанні ними забезпечується рівень безпеки, який є цілком прийнятним для більшості організацій. Але з іншого боку, по загальній сукупності характеристик подібні системи являють собою найслабше засіб, яким може здійснюватися ідентифікація / аутентифікація. Авторизація в такому випадку стає досить простий, так як паролі повинні бути такими, що запам`ятовуються, але при цьому прості комбінації неважко вгадати, особливо якщо людина знає пристрасті конкретного користувача.

Іноді буває так, що паролі, в принципі, не тримаються в секреті, так як мають цілком стандартні значення, зазначені в певній документації, і далеко не завжди після того, як встановлюється система, їх змінюють.

При введенні пароль можна подивитися, причому в деяких випадках люди використовують навіть спеціалізовані оптичні прилади.

Користувачі, основні суб`єкти ідентифікації і аутентифікації, нерідко можуть повідомляти паролі колегам для того, щоб ті на певний час підмінили власника. В теорії в таких ситуаціях буде найправильніше застосовувати спеціальні засоби управління доступом, але на практиці це ніким не використовується. А якщо пароль знають двоє людей, це вкрай сильно збільшує шанси на те, що в результаті про нього дізнаються й інші.

Як це виправити?

Є кілька засобів, як може бути захищена ідентифікація і аутентифікація. Компонент обробки інформації може убезпечитися наступним:

• Накладенням різних технічних обмежень. Найчастіше встановлюються правила на довжину пароля, а також вміст у ньому певних символів.
• Управлінням терміну дії паролів, тобто необхідністю їх періодичної заміни.
• Обмеженням доступу до основного файлу паролів.
• Обмеженням загальної кількості невдалих спроб, доступних при вході в систему. Завдяки цьому зловмисниками повинні виконуватися тільки дії до виконання ідентифікації і аутентифікації, так як метод перебору не можна буде використовувати.
• Попереднім навчанням користувачів.
• Використанням спеціалізованих програмних генераторів паролів, які дозволяють створювати такі комбінації, які є милозвучними і досить запам`ятовуються.

Всі зазначені заходи можуть використовуватися в будь-якому випадку, навіть якщо разом з паролями будуть застосовуватися також і інші засоби аутентифікації.

одноразові паролі

Розглянуті вище варіанти є багаторазовими, і в разі розкриття комбінації зловмисник отримує можливість виконувати певні операції від імені користувача. Саме тому в якості більш сильного кошти, стійкого до можливості пасивного прослуховування мережі, використовуються одноразові паролі, завдяки яким система ідентифікації і аутентифікації стає набагато безпечнішою, хоч і не такою зручною.

На даний момент одним з найбільш популярних програмних генераторів одноразових паролів є система під назвою S / KEY, випущена компанією Bellcore. Основна концепція цієї системи полягає в тому, що є певна функція F, яка відома як користувачу, так і сервера аутентифікації. Далі представлений секретний ключ К, який відомий тільки певному користувачеві.

При початковому адмініструванні користувача дана функція використовується до ключу певну кількість разів, після чого відбувається збереження отриманого результату на сервері. Надалі процедура перевірки достовірності виглядає так:

1. На призначену для користувача систему від сервера приходить число, яке на 1 менше кількості раз використання функції до ключу.
2. Користувачем використовується функція до наявного секретного ключа то кількість разів, яке було встановлено в першому пункті, після чого результат відправляється через мережу безпосередньо на сервер аутентифікації.
3. Сервером використовується дана функція до отриманого значення, після чого результат порівнюється зі збереженою раніше величиною. Якщо результати збігаються, то в такому випадку справжність користувача є встановленої, а сервер зберігає нове значення, після чого знижує лічильник на одиницю.

На практиці реалізація даної технології має дещо складнішу структуру, але на даний момент це не настільки важливо. Так як функція є незворотною, навіть в разі перехоплення пароля або отримання несанкціонованого доступу до сервера аутентифікації не надає можливості отримати секретний ключ і будь-яким чином передбачити, як конкретно виглядатиме наступний одноразовий пароль.

У Росії в якості об`єднаного сервісу використовується спеціальний державний портал - "Єдина система ідентифікації / аутентифікації" ("ЕСІА").

Ще один підхід до надійної системи аутентифікації полягає в тому, щоб новий пароль генерувався через невеликі проміжки часу, що теж реалізується через використання спеціалізованих програм або різних інтелектуальних карт. В даному випадку сервер аутентифікації повинен сприймати відповідний алгоритм генерації паролів, а також певні асоційовані з ним параметри, а крім цього, має бути присутня також синхронізація годин сервера і клієнта.

Kerberos

Вперше сервер аутентифікації Kerberos з`явився в середині 90-х років минулого століття, але з тих пір він вже встиг отримати величезну кількість принципових змін. На даний момент окремі компоненти даної системи присутні практично в кожній сучасній операційній системі.

Головним призначенням даного сервісу є рішення наступного завдання: присутня певна незахищена мережа, і в її вузлах зосереджені різні суб`єкти в особі користувачів, а також серверних і клієнтських програмних систем. У кожного такого суб`єкта присутній індивідуальний секретний ключ, і для того щоб у суб`єкта З з`явилася можливість довести власну справжність суб`єкту S, без якої той просто не стане його обслуговувати, йому необхідно буде не тільки назвати себе, але ще і показати, що він знає певний секретний ключ. При цьому у С немає можливості просто відправити в сторону S свій секретний ключ, так як в першу чергу мережа є відкритою, а крім цього, S не знає, та й, в принципі, не повинен знати його. У такій ситуації використовується менш прямолінійна технологія демонстрації знання цієї інформації.

Електронна ідентифікація / аутентифікація через систему Kerberos передбачає її використання в якості довіреної третьої сторони, яка має інформацію про секретні ключі обслуговуваних об`єктів і при необхідності надає їм допомогу в проведенні попарной перевірки автентичності.

Таким чином, клієнтом спочатку відправляється в систему запит, який містить необхідну інформацію про нього, а також про запитуваної послуги. Після цього Kerberos надає йому своєрідний квиток, який шифрується секретним ключем сервера, а також копію деякої частини даних з нього, яка утаємничується ключем клієнта. У разі збігу встановлюється, що клієнтом була розшифрована призначена йому інформація, тобто він зміг продемонструвати, що секретний ключ йому дійсно відомий. Це говорить про те, що клієнт є саме тією особою, за яке себе видає.

Окрему увагу тут слід приділити тому, що передача секретних ключів не здійснювалася через мережу, і вони використовувалися виключно для шифрування.

Перевірка автентичності з використанням біометричних даних

Біометрія включає в себе комбінацію автоматизованих засобів ідентифікації / аутентифікації людей, засновану на їх поведінкових або фізіологічних характеристиках. Фізичні засоби аутентифікації і ідентифікації передбачають перевірку сітківки та рогівки очей, відбитків пальців, геометрії обличчя і рук, а також іншої індивідуальної інформації. Поведінкові ж характеристики включають в себе стиль роботи з клавіатурою і динаміку підпису. Комбіновані методи являють собою аналіз різних особливостей голосу людини, а також розпізнавання його мови.

Такі системи ідентифікації / аутентифікації і шифрування використовуються повсюдно в багатьох країнах по всьому світу, але протягом тривалого часу вони відрізнялися вкрай високою вартістю і складністю в застосуванні. Останнім же час попит на біометричні продукти значно збільшився через розвитку електронної комерції, так як, з точки зору користувача, набагато зручніше пред`являти себе самого, ніж запам`ятовувати якусь інформацію. Відповідно, попит народжує пропозицію, тому на ринку почали з`являтися відносно недорогі продукти, які в основному орієнтовані на розпізнавання відбитків пальців.

У переважній більшості випадків біометрія використовується в комбінації з іншими аутентифікаторі зразок інтелектуальних карт. Нерідко біометрична аутентифікація є тільки перший рубіж захисту і виступає в якості засобу активізації інтелектуальних карт, включають в себе різні криптографічні секрети. При використанні даної технології біометричний шаблон зберігається на цій же карті.

Активність в сфері біометрії є досить високою. Вже існує відповідний консорціум, а також досить активно ведуться роботи, спрямовані на стандартизацію різних аспектів технології. Сьогодні можна побачити безліч рекламних статей, в яких біометричні технології підносяться як ідеального засоби забезпечення підвищеної безпеки і при цьому доступного широким масам.

ЕСІА

Система ідентифікації і аутентифікації ("ЕСІА") Являє собою спеціальний сервіс, створений для того, щоб забезпечити реалізацію різних завдань, пов`язаних з перевіркою достовірності заявників та учасників міжвідомчої взаємодії в разі надання будь-яких муніципальних або державних послуг в електронній формі.

Для того щоб отримати доступ до "Єдиним порталу державних структур", А також будь-яким іншим інформаційним системам інфраструктури чинного електронного уряду, для початку потрібно буде пройти реєстрацію облікового запису і, як наслідок, отримати ПЕП.

Відео: Біометрична Сурва ZKTeco S922

рівні

Портал єдиної системи ідентифікації і аутентифікації передбачає три основні рівні облікових записів для фізичних осіб:

• Спрощена. Для її реєстрації досить просто вказати своє прізвище та ім`я, а також якийсь певний канал комунікації у вигляді адреси електронної пошти або мобільного телефону. Це первинний рівень, за допомогою якого у людини відкривається доступ тільки до обмеженого переліку різних державних послуг, а також можливостей існуючих інформаційних систем.
• Стандартна. Для її отримання спочатку потрібно оформити спрощену обліковий запис, а потім вже надати також додаткові дані, включаючи інформацію з паспорта і номер страхового індивідуального особового рахунку. Зазначена інформація автоматично перевіряється через інформаційні системи Пенсійного фонду, а також Федеральну міграційну службу, і, якщо перевірка проходить успішно, обліковий запис переводиться на стандартний рівень, що відкриває користувачеві розширений перелік державних послуг.
• Підтверджена. Для отримання такого рівня облікового запису єдина система ідентифікації і аутентифікації вимагає від користувачів стандартний аккаунт, а також підтвердження особи, яке виконується через особисте відвідування відділення уповноваженої служби або за допомогою отримання коду активації через рекомендований лист. У тому випадку, якщо підтвердження особи виявиться успішним, обліковий запис перейде на новий рівень, а перед користувачем відкриється доступ до повного переліку необхідних державних послуг.

Незважаючи на те що процедури можуть здатися досить складними, насправді ознайомитися з повним переліком необхідних даних можна безпосередньо на офіційному сайті, тому повноцінне оформлення цілком можливо протягом декількох днів.