/ / Identifikation und Authentifizierung: Grundkonzepte

Identifikation und Authentifizierung: Grundbegriffe

Identifikation und Authentifizierung sinddie Grundlage moderner Software- und Hardware-Sicherheitstools, da alle anderen Dienste hauptsächlich für diese Einheiten konzipiert sind. Diese Konzepte stellen eine Art erste Verteidigungslinie dar, die die Sicherheit des Informationsraums einer Organisation gewährleistet.

Was ist das?

Identifizierung und Authentifizierung

Identität und Authentifizierung sind unterschiedlichFunktionen. Der erste gibt dem Betreff (einem Benutzer oder einem Prozess, der in seinem Namen handelt) die Möglichkeit, seinen eigenen Namen anzugeben. Mit Hilfe der Authentifizierung ist die zweite Partei schließlich davon überzeugt, dass das Thema wirklich das ist, was sie behauptet zu sein. Als Synonyme werden Identifikation und Authentifizierung häufig durch die Ausdrücke "Namensnachricht" und "Authentifizierung" ersetzt.

Sie selbst sind in verschiedene Sorten unterteilt. Als nächstes schauen wir uns an, was Identifikation und Authentifizierung sind und was sie sind.

Authentifizierung

Authentifizierungs- und Verschlüsselungsidentifikationssysteme

Dieses Konzept sieht zwei Arten vor:Einweg, wenn der Client dem Server zuerst seine Authentizität nachweisen muss, und Zweiweg, dh wenn eine gegenseitige Bestätigung vorliegt. Ein häufiges Beispiel für die Durchführung der Standardbenutzeridentifikation und -authentifizierung ist das Verfahren zum Anmelden an einem bestimmten System. Somit können verschiedene Typen in verschiedenen Objekten verwendet werden.

Wenn in einer Netzwerkumgebung die Identifizierung und Authentifizierung von Benutzern auf geografisch verteilten Seiten erfolgt, unterscheidet sich der betrachtete Dienst in zwei Hauptaspekten:

  • was als Authentifikator fungiert;
  • wie der Austausch von Authentifizierungs- und Identifikationsdaten organisiert wurde und wie diese geschützt sind.

Um seine Echtheit zu beweisen, muss eine der folgenden Entitäten vom Subjekt präsentiert werden:

  • bestimmte Informationen, die er kennt (persönliche Nummer, Passwort, spezieller kryptografischer Schlüssel usw.);
  • eine bestimmte Sache, die er besitzt (eine persönliche Karte oder ein anderes Gerät mit einem ähnlichen Zweck);
  • eine bestimmte Sache, die ein Element von sich selbst ist (Fingerabdrücke, Stimme und andere biometrische Mittel zur Identifizierung und Authentifizierung von Benutzern).

Systemfeatures

biometrische Mittel zur Benutzeridentifikation und -authentifizierung

In einer offenen Netzwerkumgebung haben die Parteien nichteine vertrauenswürdige Route, die darauf hindeutet, dass die vom Subjekt übertragenen Informationen im Allgemeinen möglicherweise nicht mit den bei der Authentifizierung empfangenen und verwendeten Informationen übereinstimmen. Es ist erforderlich, die Sicherheit des aktiven und passiven Abhörens im Netzwerk zu gewährleisten, dh den Schutz vor Korrektur, Abfangen oder Wiedergabe verschiedener Daten. Die Möglichkeit, Passwörter im Klartext zu übertragen, ist unbefriedigend, und ebenso kann die Verschlüsselung von Passwörtern den Tag nicht retten, da sie keinen Schutz vor Reproduktion bieten. Aus diesem Grund werden heute komplexere Authentifizierungsprotokolle verwendet.

Eine zuverlässige Identifizierung ist nicht nur schwierigaufgrund verschiedener Netzwerkbedrohungen, aber auch aus einer Vielzahl anderer Gründe. Erstens kann fast jede Authentifizierungseinheit gestohlen, gefälscht oder abgeleitet werden. Es besteht auch ein gewisser Widerspruch zwischen der Zuverlässigkeit des verwendeten Systems einerseits und der Bequemlichkeit des Systemadministrators oder Benutzers andererseits. Aus Sicherheitsgründen ist es daher erforderlich, den Benutzer mit einer gewissen Häufigkeit aufzufordern, seine Authentifizierungsinformationen erneut einzugeben (da möglicherweise bereits eine andere Person anstelle von ihm sitzt), was nicht nur zusätzlichen Aufwand verursacht, sondern auch den Aufwand erheblich erhöht Es besteht die Möglichkeit, dass jemand die Eingabe von Informationen ausspioniert. Unter anderem wirkt sich die Zuverlässigkeit der Schutzausrüstung erheblich auf deren Kosten aus.

Moderne Identifikationssysteme undDie Authentifizierung unterstützt das Konzept der einmaligen Anmeldung am Netzwerk, das in erster Linie die Anforderungen an die Benutzerfreundlichkeit erfüllt. Wenn ein Standard-Unternehmensnetzwerk über viele Informationsdienste verfügt, die die Möglichkeit eines unabhängigen Zugriffs bieten, wird die wiederholte Eingabe personenbezogener Daten zu aufwändig. Derzeit kann noch nicht gesagt werden, dass die Verwendung von Single Sign-On für das Netzwerk als normal angesehen wird, da sich die vorherrschenden Lösungen noch nicht gebildet haben.

Daher versuchen viele, einen Kompromiss zu finden.zwischen Erschwinglichkeit, Bequemlichkeit und Zuverlässigkeit der Mittel, mit denen die Identifizierung / Authentifizierung bereitgestellt wird. In diesem Fall erfolgt die Benutzerberechtigung nach individuellen Regeln.

Besonderes Augenmerk sollte auf die Tatsache gelegt werden, dassDer verwendete Dienst kann als Ziel eines Verfügbarkeitsangriffs ausgewählt werden. Wenn das System so konfiguriert ist, dass nach einer bestimmten Anzahl erfolgloser Versuche die Zugangsmöglichkeit blockiert wurde, können Angreifer die Arbeit legaler Benutzer mit buchstäblich wenigen Tastenanschlägen stoppen.

Passwortauthentifizierung

Der Hauptvorteil eines solchen Systems istdass es den meisten sehr einfach und vertraut ist. Kennwörter werden seit langem von Betriebssystemen und anderen Diensten verwendet. Bei korrekter Verwendung bieten sie ein Sicherheitsniveau, das für die meisten Unternehmen akzeptabel ist. Andererseits stellen solche Systeme in Bezug auf den allgemeinen Satz von Merkmalen die schwächsten Mittel dar, mit denen eine Identifizierung / Authentifizierung durchgeführt werden kann. In diesem Fall wird die Autorisierung recht einfach, da Kennwörter einprägsam sein sollten. Einfache Kombinationen sind jedoch nicht schwer zu erraten, insbesondere wenn eine Person die Vorlieben eines bestimmten Benutzers kennt.

Manchmal kommt es vor, dass Passwörter im Prinzip nicht funktionierenwerden geheim gehalten, da sie in bestimmten Dokumentationen Standardwerte haben und nicht immer nach der Installation des Systems geändert werden.

Wenn Sie das Passwort eingeben, können Sie sehen, und in einigen Fällen verwenden die Leute sogar spezielle optische Geräte.

Benutzer, Hauptidentifikationsgegenstände undBei der Authentifizierung können sie häufig Passwörter mit Kollegen teilen, damit diese den Eigentümer für eine bestimmte Zeit wechseln können. Theoretisch wäre es in solchen Situationen am richtigsten, spezielle Zugriffskontrollen zu verwenden, aber in der Praxis wird sie von niemandem verwendet. Und wenn zwei Personen das Passwort kennen, erhöht dies die Wahrscheinlichkeit, dass andere es irgendwann erfahren.

Wie man es repariert?

Portal Unified Identification System Authentifizierung esia

Es gibt verschiedene Möglichkeiten, wie Identifikation und Authentifizierung gesichert werden können. Die Informationsverarbeitungskomponente kann durch Folgendes gesichert werden:

  • Die Auferlegung verschiedener technischer Beschränkungen. In den meisten Fällen werden Regeln für die Länge des Kennworts sowie für den Inhalt bestimmter Zeichen festgelegt.
  • Verwaltung des Ablaufdatums von Passwörtern, dh der Notwendigkeit, diese regelmäßig zu ersetzen.
  • Einschränken des Zugriffs auf die Hauptkennwortdatei.
  • Indem Sie die Gesamtzahl der erfolglosen Versuche begrenzen,verfügbar beim Login. Dies stellt sicher, dass Angreifer vor der Identifizierung und Authentifizierung nur Aktionen ausführen müssen, da die Brute-Force-Methode nicht verwendet werden kann.
  • Vorbereitende Benutzerschulung.
  • Verwenden Sie spezielle Software-Passwortgeneratoren, mit denen Sie solche Kombinationen erstellen können, die euphonisch und einprägsam sind.

Alle diese Maßnahmen können in jedem Fall verwendet werden, auch wenn neben Kennwörtern auch andere Authentifizierungsmittel verwendet werden.

Einmalpasswörter

Aktionen vor der Identifizierung und Authentifizierung

Die oben diskutierten Optionen sindwiederverwendbar, und wenn die Kombination offengelegt wird, kann der Angreifer bestimmte Vorgänge im Namen des Benutzers ausführen. Aus diesem Grund werden Einmalkennwörter als stärkeres Mittel verwendet, das gegen die Möglichkeit des passiven Abhörens von Netzwerken resistent ist, wodurch das Identifikations- und Authentifizierungssystem viel sicherer wird, wenn auch nicht so bequem.

Derzeit einer der beliebtestenSoftware-Einmalkennwortgeneratoren sind ein System namens S / KEY, das von Bellcore veröffentlicht wird. Das Grundkonzept dieses Systems besteht darin, dass es eine spezifische Funktion F gibt, die sowohl dem Benutzer als auch dem Authentifizierungsserver bekannt ist. Das Folgende ist der geheime Schlüssel K, der nur einem bestimmten Benutzer bekannt ist.

Während der ersten BenutzerverwaltungDiese Funktion wird für den Schlüssel eine bestimmte Anzahl von Malen verwendet, danach wird das Ergebnis auf dem Server gespeichert. Zukünftig sieht das Authentifizierungsverfahren so aus:

  1. Vom Server wird eine Zahl an das Benutzersystem gesendet, die um 1 kleiner ist als die Häufigkeit, mit der die Funktion für den Schlüssel verwendet wird.
  2. Der Benutzer nutzt die Funktion zum bestehendengeheimer Schlüssel die Anzahl der Male, die im ersten Absatz festgelegt wurde, wonach das Ergebnis über das Netzwerk direkt an den Authentifizierungsserver gesendet wird.
  3. Der Server verwendet diese Funktion, umden erhaltenen Wert, wonach das Ergebnis mit dem zuvor gespeicherten Wert verglichen wird. Wenn die Ergebnisse übereinstimmen, wird der Benutzer authentifiziert und der Server speichert den neuen Wert und verringert dann den Zähler um eins.

In der Praxis hat die Implementierung dieser Technologie technologyetwas komplexere Struktur, aber im Moment ist sie nicht so wichtig. Da die Funktion irreversibel ist, selbst im Falle des Abfangens des Passworts oder des unbefugten Zugriffs auf den Authentifizierungsserver, bietet sie keine Möglichkeit, den geheimen Schlüssel zu erhalten und in irgendeiner Weise vorherzusagen, wie das nächste Einmalpasswort aussehen wird.

In Russland wird ein spezielles staatliches Portal - "Unified Identification / Authentication System" ("ESIA") als einheitlicher Dienst verwendet.

Ein weiterer Ansatz für ein starkes Authentifizierungssystembesteht darin, dass in kurzen Abständen ein neues Passwort generiert wird, das auch durch den Einsatz spezialisierter Programme oder verschiedener Chipkarten realisiert wird. In diesem Fall muss der Authentifizierungsserver den entsprechenden Passwortgenerierungsalgorithmus sowie bestimmte zugehörige Parameter akzeptieren und zusätzlich muss auch eine Synchronisation der Server- und Clientuhren erfolgen.

Kerberos

Der Kerberos-Authentifizierungsserver erschien erstmals inMitte der 90er Jahre des letzten Jahrhunderts, aber seitdem hat er bereits eine Vielzahl grundlegender Veränderungen erreicht. Derzeit sind einzelne Komponenten dieses Systems in fast jedem modernen Betriebssystem vorhanden.

Der Hauptzweck dieses Dienstes istdie Lösung des folgenden Problems: Es gibt ein gewisses ungeschütztes Netzwerk, und in seinen Knoten sind verschiedene Themen in Form von Benutzern sowie Server- und Client-Softwaresystemen konzentriert. Jedes solche Subjekt hat einen individuellen geheimen Schlüssel, und damit Subjekt C die Möglichkeit hat, seine eigene Identität gegenüber Subjekt S zu beweisen, ohne die es ihm einfach nicht dienen wird, muss es nicht nur sich selbst nennen, sondern auch zeigen dass er einen bestimmten Der geheime Schlüssel kennt. Gleichzeitig hat C nicht die Möglichkeit, einfach seinen geheimen Schlüssel an S zu senden, da zunächst das Netzwerk offen ist und S es außerdem nicht weiß und im Prinzip nicht wissen sollte. In einer solchen Situation wird eine weniger einfache Technik verwendet, um die Kenntnis dieser Informationen zu demonstrieren.

Elektronische Identifizierung / Authentifizierung überKerberos soll als vertrauenswürdiger Dritter eingesetzt werden, der über Informationen über die privaten Schlüssel der bedienten Objekte verfügt und diese gegebenenfalls bei der paarweisen Authentifizierung unterstützt.

Also geht der Kunde zuerst zuSystemanfrage, die die notwendigen Informationen über ihn enthält, sowie die angeforderte Leistung. Danach stellt ihm Kerberos eine Art Ticket zur Verfügung, das mit dem geheimen Schlüssel des Servers verschlüsselt ist, sowie eine Kopie eines Teils der Daten daraus, die mit dem Schlüssel des Clients klassifiziert wird. Bei einer Übereinstimmung wird festgestellt, dass der Client die für ihn bestimmten Informationen entschlüsselt hat, dh er nachweisen konnte, dass er den geheimen Schlüssel wirklich kennt. Dies deutet darauf hin, dass der Kunde genau die Person ist, für die er sich ausgibt.

Dabei ist besonders zu beachten, dass die Übertragung der geheimen Schlüssel nicht über das Netzwerk erfolgte und ausschließlich zur Verschlüsselung verwendet wurden.

Authentifizierung mit biometrischen Daten

Portal des einheitlichen Identifikations- und Authentifizierungssystems

Biometrie beinhaltet eine Kombinationautomatisierte Mittel zur Identifizierung / Authentifizierung von Personen basierend auf ihren Verhaltens- oder physiologischen Merkmalen. Physikalische Mittel zur Authentifizierung und Identifizierung umfassen die Überprüfung der Netzhaut und Hornhaut der Augen, Fingerabdrücke, Gesichts- und Handgeometrie und andere individuelle Informationen. Zu den Verhaltensmerkmalen gehören der Tastaturstil und die Signaturdynamik. Kombinierte Methoden sind eine Analyse verschiedener Merkmale der Stimme einer Person sowie die Erkennung ihrer Sprache.

Solche Identifikations-/Authentifizierungssysteme undVerschlüsselungen sind in vielen Ländern der Welt allgegenwärtig, aber lange Zeit waren sie extrem teuer und schwierig zu verwenden. In letzter Zeit ist die Nachfrage nach biometrischen Produkten durch die Entwicklung des E-Commerce deutlich gestiegen, da es aus Sicht des Benutzers viel bequemer ist, sich zu präsentieren, als sich an einige Informationen zu erinnern. Dementsprechend schafft Nachfrage das Angebot, so dass relativ preiswerte Produkte auf den Markt kamen, die sich hauptsächlich auf die Fingerabdruckerkennung konzentrieren.

In den allermeisten Fällen ist Biometriein Kombination mit anderen Authentifikatoren wie Smart Cards verwendet. Die biometrische Authentifizierung ist oft nur die erste Verteidigungslinie und dient als Mittel zur Aktivierung von Smartcards, die verschiedene kryptografische Geheimnisse enthalten. Bei dieser Technologie wird die biometrische Vorlage auf derselben Karte gespeichert.

Die Tätigkeit im Bereich Biometrie ist ausreichendhoch. Ein entsprechendes Konsortium gibt es bereits, und es wird auch recht aktiv an der Standardisierung verschiedener Aspekte der Technologie gearbeitet. Heute sind viele Werbeartikel zu sehen, die die biometrische Technologie als ideales Mittel zur Erhöhung der Sicherheit präsentieren und gleichzeitig der breiten Öffentlichkeit zugänglich sind.

ESIA

einheitliches Identifikations- und Authentifizierungssystem

Identifikations- und Authentifizierungssystem ("ESIA")ist ein spezieller Dienst, der geschaffen wurde, um die Durchführung verschiedener Aufgaben im Zusammenhang mit der Überprüfung der Authentizität von Antragstellern und Teilnehmern an interinstitutionellen Interaktionen im Falle der Erbringung von kommunalen oder staatlichen Dienstleistungen in elektronischer Form sicherzustellen.

Um auf das „EinzelportalStaatsstrukturen" sowie allen anderen Informationssystemen der Infrastruktur des aktuellen E-Government müssen Sie zunächst ein Konto registrieren und erhalten als Ergebnis einen PEP.

Ebenen

Das Portal des einheitlichen Identifizierungs- und Authentifizierungssystems sieht drei Hauptebenen von Konten für Einzelpersonen vor:

  • Vereinfacht.Um es zu registrieren, müssen Sie nur Ihren Nachnamen und Vornamen sowie einen bestimmten Kommunikationskanal in Form einer E-Mail-Adresse oder eines Mobiltelefons angeben. Dies ist die primäre Ebene, über die eine Person nur auf eine begrenzte Liste verschiedener öffentlicher Dienste sowie auf die Fähigkeiten bestehender Informationssysteme zugreifen kann.
  • Standard.Um es zu erhalten, müssen Sie zunächst ein vereinfachtes Konto erstellen und dann weitere Daten angeben, darunter Informationen aus dem Reisepass und die Nummer des individuellen Versicherungs-Personenkontos. Die angegebenen Informationen werden automatisch durch die Informationssysteme der Pensionskasse sowie des Eidgenössischen Migrationsdienstes geprüft und bei erfolgreicher Prüfung wird das Konto auf die Standardebene übertragen, wodurch der Benutzer eine erweiterte Liste öffentlicher Dienste erhält .
  • Bestätigt.Um diese Kontoebene zu erhalten, erfordert ein einheitliches Identifizierungs- und Authentifizierungssystem ein Standardkonto sowie einen Identitätsnachweis, der durch einen persönlichen Besuch bei einer autorisierten Serviceabteilung oder durch Erhalt eines Aktivierungscodes per Einschreiben erfolgt . Im Falle einer erfolgreichen Identitätsbestätigung wird das Konto auf eine neue Ebene verschoben und der Benutzer hat Zugriff auf die vollständige Liste der erforderlichen Regierungsdienste.

Obwohl die Verfahren scheinen mögenziemlich komplex, tatsächlich können Sie sich direkt auf der offiziellen Website mit der vollständigen Liste der erforderlichen Daten vertraut machen, sodass ein vollwertiges Design innerhalb weniger Tage möglich ist.

Lesen Sie auch

Gefahrenerkennung: Schlüsselkonzepte
OKATO-Codes. Was ist OKATO und wie finde ich den Code des Wohnorts heraus?
Wo gebe ich den Apple ID-Bestätigungscode ein und woher bekomme ich ihn?
Wer sind Moralphagen und warum mögen sie sie nicht?
Perzeptuelle Seite der Kommunikation: psychologischer Inhalt
Nation ist eine imaginäre Gemeinschaft
So stellen Sie in der Moskauer U-Bahn eine Verbindung zu WLAN her: Identifikation für den Zugang
So konfigurieren Sie The Bat
Fertigen Sie den Schläger besonders an! für Yandex: ausführliche Anleitung
Dokumentation der Managementaktivitäten und ihrer Grundkonzepte
Gefahrenidentifikation: Bestimmungsmethoden
Der wirtschaftliche Eigentümer ist ... Identifizierung des wirtschaftlichen Eigentümers