Identificació i autenticació: conceptes bàsics

Identificació i autenticació són la base de la seguretat del programari i el maquinari modern, com qualsevol altre servei estan destinades principalment al manteniment d'aquests subjectes. Aquests conceptes representen una mena de primera línia de defensa, el que garanteix la seguretat de l'espai d'informació organització.

Què és?

Identificació i autenticació tenen diferents funcions. El primer ofereix un subjecte (usuari o procés que actua en nom de) l'oportunitat d'explicar la seva propi nom. Per mitjà d'autenticació és la segona cara està completament convençut que el tema és realment la persona per qui diu ser. Sovint, com una identificació i autenticació de sinònims es substitueixen per la frase "nom Post" i "autenticació".

Ells mateixos es divideixen en diverses varietats. A continuació, es considera que una identificació i autenticació són i el que som.

autenticació

Aquest concepte preveu dos tipus: d'una sola via, el client ha de primer demostrar al servidor per autenticar, i bilateral, és a dir, quan es porta a terme una confirmació mútua. Un exemple típic de com dur a terme un estàndard d'identificació i autenticació dels usuaris - és per iniciar sessió en un sistema específic. Per tant, els diferents tipus es poden utilitzar en diversos objectes.

En un entorn de xarxa, on la identificació i autenticació dels usuaris prenguin a geogràficament disperses parts, ha d'examinar el servei es distingeix per dos aspectes principals:

• que actua com un autenticador;
• la forma en què va ser organitzada per l'intercanvi d'autenticació de dades i la identificació i com protegir-lo.

Per confirmar la seva autenticitat, el tema ha de ser presentat a una de les següents entitats:

• certa informació sabent (número personal, una contrasenya, una clau criptogràfica especial, etc ...);
• La veritat és amo (targeta personal o algun altre dispositiu que té un propòsit similar);
• La veritat, que és un element de la mateixa (d'empremtes digitals, veu o altra identificació biomètrica i l'autenticació dels usuaris).

les característiques del sistema

A l'entorn de xarxa oberta, les parts no tenen una ruta de confiança, i es diu que, en general, la informació transmesa pel subjecte amb el temps pot ser diferent de la informació rebuda i utilitzada per a l'autenticació. la seguretat requerida de sniffer de xarxa activa i passiva, és a dir, la protecció contra les correccions, la intercepció o la reproducció de dades diferents. opció de transferència contrasenya al clar no és satisfactòria, i simplement no pot salvar el dia, i contrasenyes xifrades, perquè no es proporcionen, la protecció de reproducció. És per això que s'utilitza avui en dia protocols d'autenticació més complexes.

La identificació fiable és difícil, no només a causa d'una varietat d'amenaces de la xarxa, sinó també per a una varietat d'altres raons. El primer pràcticament qualsevol entitat d'autenticació pot ser segrestat, o falsificar o escoltisme. una tensió entre la fiabilitat del sistema que està sent utilitzat també està present, d'una banda, i l'administrador de sistemes o usuari instal·lacions - per l'altre. Per tant, per raons de seguretat requerit amb certa freqüència demanar a l'usuari que torni a introduir la informació d'accés (com en comptes d'això pot tenir per seure algunes altres persones), i no només crea problemes addicionals, sinó que també augmenta significativament la possibilitat de que algú pugui fer palanca d'entrada d'informació. A més, la fiabilitat de la protecció significa un impacte significatiu en el seu valor.

sistemes d'identificació i autenticació actuals són compatibles amb el concepte d'inici de sessió únic a la xarxa, que proveeix principalment als requisits en termes de facilitat d'ús. Si l'estàndard de xarxa de l'empresa té una gran quantitat de serveis d'informació, que preveu la possibilitat d'una circulació independent, llavors l'administració múltiple de les dades personals es converteix en una càrrega massa pesada. De moment, encara és impossible dir que l'ús d'inici de sessió únic a la xarxa és normal, ja que les solucions dominants encara no es formen.

Per tant, molts estan tractant de trobar un compromís entre la assequibilitat, comoditat i fiabilitat dels fons, el que proporciona una identificació / autenticació. L'autorització de l'usuari en aquest cas es porta a terme d'acord amb les regles individuals.

Especial atenció ha de prestar al fet que el servei s'utilitza pot ser seleccionat com a objecte d'atacs a la disponibilitat. Si la configuració del sistema es fa de tal manera que després d'una sèrie d'intents fallits per introduir la possibilitat ha estat bloquejat, llavors l'atacant pot aturar l'operació dels usuaris legítims amb només prémer unes tecles.

autenticació de contrasenya

El principal avantatge d'aquest sistema és que és extremadament simple i familiar per a la majoria. Les contrasenyes han estat utilitzats pels sistemes operatius i altres serveis, i amb l'ús adequat de la seguretat proporcionada, la qual és bastant acceptable per a la majoria de les organitzacions. D'altra banda, per un conjunt comú de característiques de tals sistemes són els mitjans més febles pel qual la identificació / autenticació pot ser implementat. Autorització en aquest cas es fa molt senzilla, ja que les contrasenyes han de ser enganxós, però no és difícil d'endevinar la combinació de simple, especialment si la persona coneix les preferències d'un usuari en particular.

De vegades passa que les contrasenyes són, en principi, no es mantenen en secret, ja que són valors bastant estàndard especificades en la documentació específica, i no sempre després que el sistema està instal·lat, canviar-los.

Quan s'introdueix la contrasenya es pot veure, en alguns casos, la gent fins i tot utilitzar instruments òptics especialitzats.

Usuaris, els principals temes d'identificació i autenticació, les contrasenyes són sovint informen als col·legues als quals en determinats moments han canviat de propietari. En teoria, en aquestes situacions, seria més correcte utilitzar els controls d'accés especials, però en la pràctica no està en ús. I si la contrasenya coneix a dues persones, s'incrementa molt considerablement les possibilitats que al final de la mateixa i aprendre més.

Com solucionar-ho?

Hi ha diverses eines com ara la identificació i autenticació poden ser protegides. El component de processament de la informació pot assegurar segueix:

• La imposició de diverses limitacions tècniques. Molt sovint establir normes sobre la longitud de la contrasenya i el contingut de certs caràcters.
• contrasenya de caducitat d'oficina, és a dir, que necessiten ser reemplaçats periòdicament.
• L'accés limitat a l'arxiu de contrasenya bàsica.
• Limitació del nombre total d'intents fallits que estan disponibles quan es connecti. A causa d'això els atacants s'han de dur a terme només les accions per dur a terme la identificació i autenticació, així com el mètode de classificació no es poden utilitzar.
• formació prèvia a l'usuari.
• L'ús d'un generador de contrasenyes de programari especialitzat que pot crear aquest tipus de combinacions que són prou melòdica i memorable.

Totes aquestes mesures es poden utilitzar en qualsevol cas, fins i tot si juntament amb les contrasenyes també utilitzaran altres mitjans d'autenticació.

contrasenyes d'un sol ús

Les realitzacions anteriors són reutilitzables, i en el cas de l'obertura de combinacions atacant és capaç de realitzar certes operacions en nom de l'usuari. Per això, com un mitjà més forts resistents a la possibilitat d'un sniffer de xarxa passiva, utilitzar contrasenyes d'un sol la identificació i l'autenticació del sistema és molt més segur, encara que no tan convenient.

De moment, una de les generador de contrasenyes d'un sol cop el programari més popular és un sistema anomenat S / KEY, publicat per Bellcore. El concepte bàsic d'aquest sistema és que hi ha una certa funció de la F, que se sap que tant l'usuari com el servidor d'autenticació. La següent és una clau secreta K, coneguda només per un usuari específic.

A l'usuari de l'administració inicial, aquesta funció s'utilitza per introduir un nombre de vegades, llavors el resultat es guarda al servidor. Posteriorment, el procediment d'autenticació és el següent:

1. En el sistema de l'usuari des del servidor arriba al número 1 que és menor que el nombre de vegades utilitzant la funció a la tecla.
2. funció d'usuari s'utilitza per claus secretes en el nombre de vegades que s'ha establert en el primer punt, amb la qual cosa el resultat s'envia a través de la xarxa directament al servidor d'autenticació.
3. El servidor utilitza aquesta funció per al valor obtingut, i després el resultat es compara amb el valor emmagatzemat prèviament. Si els resultats coincideixen, llavors s'estableix la identitat de l'usuari i el servidor emmagatzema el nou valor i, a continuació, disminueix el comptador en un.

A la pràctica, l'aplicació d'aquesta tecnologia té una estructura una mica més complicat, però de moment no importa. Atès que la funció és irreversible, encara que la intercepció de contrasenyes o obtenir accés no autoritzat al servidor d'autenticació no proporciona la possibilitat d'obtenir la clau privada i cap manera de predir com es veurà exactament igual que la següent contrasenya d'un sol cop.

A Rússia com un servei unificat, un portal estat especial - "Sistema únic d'identificació / autenticació" ( "EIAS").

Un altre enfocament de la forta sistema d'autenticació rau en el fet que la nova es genera a intervals curts, que també es realitza mitjançant l'ús de programes especialitzats o diverses targetes intel·ligents. En aquest cas, el servidor d'autenticació han d'acceptar el corresponent algorisme de generació de contrasenya i certs paràmetres associats a ella, i, a més, ha d'estar present com a servidor de sincronització de rellotge i el client.

Kerberos

Kerberos servidor d'autenticació per primera vegada va aparèixer a mitjans dels anys 90 del segle passat, però des de llavors que ja havia rebut una gran quantitat de canvis fonamentals. De moment, els components individuals del sistema estan presents en gairebé tots els sistemes operatius moderns.

L'objectiu principal d'aquest servei és resoldre el següent problema: hi ha una certa xarxa no segura i els nodes en la seva forma concentrada en els diversos usuaris dels subjectes, i els sistemes de servidor i de client. Cada entitat està present clau secreta individual, i per a subjectes amb una oportunitat per provar la seva autenticitat al subjecte la S, sense la qual simplement no donarà servei a això, serà necessari no només cridar-se a si mateix, sinó també per mostrar que sap poc de clau secreta. Alhora Sense manera d'enviar només en la direcció del seu clau secreta S com en el primer cas, la xarxa està oberta, i, a més, S no sap, i, en principi, no li coneguessin. En aquesta situació, l'ús de demostració de tecnologia menys directa del coneixement d'aquesta informació.

identificació / autenticació electrònica a través del sistema Kerberos proporciona per al seu ús com un tercer de confiança, que té informació sobre les claus secretes de lots amb serveis i ajudar-los a dur a terme l'autenticació de dos a dos si cal.

D'aquesta manera, el client va enviar per primera vegada en una consulta que conté la informació necessària al respecte, així com el servei sol·licitat. Després d'això, Kerberos li dóna un tipus de bitllet que es xifra amb una clau secreta del servidor, així com una còpia de algunes de les dades d'ella, la qual cosa és clau secreta del client. En el cas que s'estableix la informació que el client es va desxifrar la va pensar, és a dir, ell va ser capaç de demostrar que la clau privada se li coneix realment. Això indica que el client és la persona a la qual es troba.

Especial atenció aquí s'ha de prendre per assegurar-se que la transmissió de claus secretes no es porten a terme a la xarxa, i s'utilitzen exclusivament per al xifrat.

autenticació biomètrica usant

Biometrics implica una combinació de la identificació / autenticació automatitzada de persones en funció de les seves característiques de comportament o fisiològics. Els mitjans físics d'identificació i autenticació proporcionen un escàner de retina i ull còrnia, empremtes dactilars, la cara i geometria de la mà, així com una altra informació personal. Les característiques de comportament també inclouen l'estil de treball amb el teclat i la dinàmica de la signatura. mètodes combinats són l'anàlisi de les diferents característiques de la veu humana, així com el reconeixement del seu discurs.

Tals sistemes d'identificació / autenticació i xifrat s'utilitzen àmpliament en molts països de tot el món, però durant molt de temps, són extremadament alt cost i la complexitat d'ús. Més recentment, la demanda de productes biomètrics ha augmentat significativament a causa del desenvolupament del comerç electrònic, ja que, des del punt de vista de l'usuari, és molt més fàcil de presentar-se a si mateixa, de recordar alguna informació. En conseqüència, la demanda crea l'oferta, de manera que el mercat va començar a aparèixer productes de preus relativament baixos, que se centren principalment en el reconeixement d'empremtes dactilars.

En la immensa majoria dels casos, la biometria s'utilitza en combinació amb altres autenticadors com targetes intel·ligents. Sovint, l'autenticació biomètrica és només la primera línia de defensa i actua com un mitjà per millorar la targeta intel·ligent, incloent diversos secrets criptogràfics. En utilitzar aquesta tecnologia, la plantilla biomètrica s'emmagatzema en la mateixa targeta.

L'activitat en el camp de la biometria és prou alta. Rellevant consorci existent, així com la feina molt actiu està en marxa per estandarditzar els diversos aspectes de la tecnologia. Avui dia podem veure una gran quantitat d'objectes de promoció que les tecnologies biomètriques es presenten com un mitjà ideal per proporcionar una major seguretat i al mateix temps accessible a les masses.

EIAS

sistema d'identificació i autenticació ( "EIAS") és un servei especial dissenyat per garantir l'execució de diverses tasques relacionades amb la verificació de l'autenticitat dels sol·licitants i els membres de la cooperació interinstitucional en el cas de qualsevol dels serveis municipals o públics en forma electrònica.

Per tal de tenir accés a un "portal únic de les estructures de l'Estat", així com qualsevol altra infraestructura dels sistemes d'informació de l'administració electrònica existent, primer ha de registrar el compte i, com a resultat, obtenir els antiepilèptics.

nivells

Portal d'un sistema unificat d'identificació i autenticació proporciona tres nivells bàsics de comptes per als individus:

• Simplificat. Per al seu registre, simplement incloure el seu nom i cognom, així com algun canal en particular de la comunicació en la forma d'una adreça de correu electrònic o un telèfon mòbil. Aquest nivell primari, pel qual una persona dóna accés només a una llista limitada de diversos serveis públics, així com les capacitats dels sistemes d'informació existents.
• Estàndard. Per obtenir inicialment necessari emetre un compte simplificada, i després també proporcionar informació addicional, incloent informació del nombre de passaport i l'assegurança de compte individual. Aquesta informació es comprova automàticament a través del sistema d'informació de la Caixa, així com el Servei Federal de Migració, i, si la prova té èxit, el compte es converteix en un nivell estàndard, s'obre a l'usuari una llista ampliada de serveis de l'estat.
• Confirmat. Per obtenir aquest nivell de compte, un sistema unificat d'identificació i autenticació requereix que els usuaris a un compte estàndard, així com a prova d'identitat, que es realitza a través d'una visita personal d'un departament de servei autoritzat o mitjançant l'obtenció d'un codi d'activació a través d' una carta certificada. En el cas que la confirmació de l'individu té èxit, el compte passarà a un nou nivell, ja que l'usuari tindrà accés a una llista completa dels serveis públics necessaris.

Tot i que els procediments poden semblar força complex per veure realment la llista completa de les dades requerides pot ser directament al lloc web oficial, per la qual cosa és possible completar el registre durant uns dies.