/ / Identificación y autenticación: conceptos básicos

Identificación y autenticación: conceptos básicos

La identificación y autenticación sonla base de herramientas de seguridad de software y hardware modernas, ya que cualquier otro servicio está diseñado principalmente para servir a estas entidades. Estos conceptos representan una especie de primera línea de defensa que garantiza la seguridad del espacio de información de la organización.

¿Qué es?

identificación y autenticación

La identidad y la autenticación son diferentesfunciones. El primero le da al sujeto (un usuario o un proceso que actúa en su nombre) la capacidad de proporcionar su propio nombre. Con la ayuda de la autenticación, la segunda parte finalmente se convence de que el sujeto realmente es quien dice ser. A menudo, como sinónimos, la identificación y la autenticación se sustituyen por las frases "mensaje de nombre" y "autenticación".

Ellos mismos se subdividen en varias variedades. A continuación, veremos qué son la identificación y la autenticación y qué son.

Autenticación

sistemas de identificación de autenticación y encriptación

Este concepto prevé dos tipos:unidireccional, cuando el cliente primero debe demostrar su autenticidad al servidor, y bidireccional, es decir, cuando hay confirmación mutua. Un ejemplo común de cómo se realiza la identificación y autenticación de usuario estándar es el procedimiento para iniciar sesión en un sistema en particular. Por lo tanto, se pueden usar diferentes tipos en diferentes objetos.

En un entorno de red, cuando la identificación y autenticación de los usuarios se llevan a cabo en lados geográficamente dispersos, el servicio considerado se diferencia en dos aspectos principales:

  • qué actúa como autenticador;
  • cómo se organizó el intercambio de datos de autenticación e identificación y cómo se protegen.

Para acreditar su autenticidad, el sujeto deberá presentar una de las siguientes entidades:

  • cierta información que conoce (número personal, contraseña, clave criptográfica especial, etc.);
  • una determinada cosa que posee (una tarjeta personal o algún otro dispositivo con un propósito similar);
  • algo que es un elemento de sí mismo (huellas dactilares, voz y otros medios biométricos de identificación y autenticación de los usuarios).

Características del sistema

medios biométricos de identificación y autenticación de usuarios

En un entorno de red abierta, las partes no tienenuna ruta confiable, lo que sugiere que, en general, la información transmitida por el sujeto puede, en última instancia, no coincidir con la información recibida y utilizada en la autenticación. Se requiere para garantizar la seguridad de las escuchas clandestinas activas y pasivas en la red, es decir, la protección contra la corrección, interceptación o reproducción de varios datos. La opción de transmitir contraseñas en texto no cifrado es insatisfactoria y, de la misma manera, el cifrado de contraseñas no puede salvar el día, ya que no brindan protección contra la reproducción. Es por eso que en la actualidad se utilizan protocolos de autenticación más sofisticados.

La identificación confiable no solo es difícildebido a varias amenazas de red, pero también por una variedad de otras razones. En primer lugar, casi cualquier entidad de autenticación puede ser robada, falsificada o deducida. También existe una cierta contradicción entre la fiabilidad del sistema utilizado, por un lado, y la comodidad del administrador o usuario del sistema, por otro. Por lo tanto, por razones de seguridad, se requiere con cierta frecuencia pedir al usuario que vuelva a ingresar su información de autenticación (ya que es posible que alguna otra persona ya esté sentada en su lugar), y esto no solo crea una molestia adicional, sino que también aumenta significativamente la posibilidad de que alguien pueda estar espiando la entrada de la información. Entre otras cosas, la confiabilidad del equipo de protección afecta significativamente su costo.

Sistemas de identificación modernos yLa autenticación admite el concepto de inicio de sesión único en la red, que principalmente cumple con los requisitos en términos de facilidad de uso. Si una red corporativa estándar tiene muchos servicios de información que brindan la posibilidad de acceso independiente, entonces la entrada repetida de datos personales se vuelve demasiado onerosa. Por el momento, todavía no se puede decir que el uso del inicio de sesión único en la red se considere normal, ya que las soluciones dominantes aún no se han formado.

Por lo tanto, muchos están tratando de encontrar un compromiso.entre asequibilidad, conveniencia y confiabilidad de los medios por los cuales se proporciona la identificación / autenticación. En este caso, la autorización del usuario se lleva a cabo de acuerdo con reglas individuales.

Se debe prestar especial atención al hecho de queel servicio que se utiliza se puede seleccionar como objetivo de un ataque de disponibilidad. Si el sistema está configurado de tal manera que, después de una cierta cantidad de intentos fallidos, se bloqueó la capacidad de ingresar, los atacantes pueden detener el trabajo de los usuarios legales literalmente con unas pocas pulsaciones de teclas.

Autenticación de contraseña

La principal ventaja de un sistema de este tipo es queque es extremadamente simple y familiar para la mayoría. Las contraseñas han sido utilizadas durante mucho tiempo por los sistemas operativos y otros servicios, y cuando se usan correctamente, brindan un nivel de seguridad aceptable para la mayoría de las organizaciones. Pero, por otro lado, en términos del conjunto general de características, tales sistemas representan el medio más débil por el cual se puede llevar a cabo la identificación / autenticación. La autorización en este caso se vuelve bastante simple, ya que las contraseñas deben ser memorables, pero las combinaciones simples son fáciles de adivinar, especialmente si una persona conoce las preferencias de un usuario en particular.

A veces sucede que las contraseñas, en principio, nose mantienen en secreto, ya que tienen valores bastante estándar especificados en cierta documentación, y no siempre se modifican después de la instalación del sistema.

Al ingresar la contraseña, puede ver y, en algunos casos, las personas incluso usan dispositivos ópticos especializados.

Usuarios, sujetos primarios de identificación yAutenticación, a menudo pueden compartir contraseñas con colegas para que puedan cambiar de propietario durante un tiempo determinado. En teoría, en tales situaciones, lo más correcto sería utilizar controles de acceso especiales, pero en la práctica nadie los utiliza. Y si dos personas conocen la contraseña, esto aumenta en gran medida las posibilidades de que otras personas finalmente la descubran.

¿Como arreglarlo?

portal sistema de identificación unificado autenticación esia

Hay varios medios para asegurar la identificación y autenticación. El componente de procesamiento de información se puede asegurar mediante lo siguiente:

  • La imposición de diversas restricciones técnicas. La mayoría de las veces, se establecen reglas para la longitud de la contraseña, así como el contenido de ciertos caracteres en ella.
  • Gestión de la fecha de caducidad de las contraseñas, es decir, la necesidad de reponerlas periódicamente.
  • Restringir el acceso al archivo de contraseña principal.
  • Al limitar el número total de intentos fallidos,disponible al iniciar sesión. Debido a esto, los atacantes solo tienen que realizar acciones antes de la identificación y autenticación, ya que no se puede utilizar el método de fuerza bruta.
  • Formación preliminar de usuarios.
  • Usando generadores de contraseñas de software especializado que le permiten crear combinaciones que son eufónicas y bastante memorables.

Todas estas medidas se pueden utilizar en cualquier caso, incluso si también se utilizan otros medios de autenticación junto con las contraseñas.

Contraseñas de un solo uso

acciones antes de la identificación y autenticación

Las opciones discutidas anteriormente sonreutilizable, y si se revela la combinación, el atacante puede realizar ciertas operaciones en nombre del usuario. Es por eso que las contraseñas de un solo uso se utilizan como un medio más fuerte y resistente a la posibilidad de escuchas pasivas de la red, gracias a lo cual el sistema de identificación y autenticación se vuelve mucho más seguro, aunque no tan conveniente.

Actualmente uno de los más popularesEl software generadores de contraseñas de un solo uso es un sistema llamado S / KEY, publicado por Bellcore. El concepto básico de este sistema es que existe una función específica F que es conocida tanto por el usuario como por el servidor de autenticación. La siguiente es la clave secreta K, que solo conoce un usuario específico.

Durante la administración inicial de usuariosesta función se utiliza para la clave un cierto número de veces, después de lo cual el resultado se guarda en el servidor. En el futuro, el procedimiento de autenticación se verá así:

  1. Se envía un número al sistema del usuario desde el servidor, que es 1 menos que el número de veces que se utiliza la función para la clave.
  2. El usuario usa la función para el existenteclave secreta el número de veces que se estableció en el primer párrafo, después de lo cual el resultado se envía a través de la red directamente al servidor de autenticación.
  3. El servidor utiliza esta función parael valor obtenido, después de lo cual el resultado se compara con el valor previamente guardado. Si los resultados coinciden, el usuario se autentica y el servidor almacena el nuevo valor y luego reduce el contador en uno.

En la práctica, la implementación de esta tecnología haEstructura algo más compleja, pero de momento no es tan importante. Dado que la función es irreversible, incluso en el caso de interceptar la contraseña u obtener acceso no autorizado al servidor de autenticación, no brinda la oportunidad de obtener la clave secreta y de ninguna manera predecir cómo será la próxima contraseña de un solo uso.

En Rusia, un portal estatal especial - "Sistema de identificación / autenticación unificado" ("ESIA") se utiliza como un servicio unificado.

Otro enfoque para un sistema de autenticación sólidoes que se genera una nueva contraseña a intervalos cortos, que también se implementa mediante el uso de programas especializados o diversas tarjetas inteligentes. En este caso, el servidor de autenticación debe aceptar el algoritmo de generación de contraseña apropiado, así como ciertos parámetros asociados, y además, también debe haber una sincronización de los relojes del servidor y del cliente.

Kerberos

El servidor de autenticación Kerberos apareció por primera vez enmediados de los 90 del siglo pasado, pero desde entonces ya ha conseguido una gran cantidad de cambios fundamentales. Por el momento, los componentes individuales de este sistema están presentes en casi todos los sistemas operativos modernos.

El objetivo principal de este servicio esla solución al siguiente problema: existe una determinada red desprotegida, y en sus nodos se concentran diversos sujetos en forma de usuarios, así como sistemas de software de servidor y cliente. Cada uno de estos sujetos tiene una clave secreta individual, y para que el sujeto C tenga la oportunidad de demostrar su propia identidad al sujeto S, sin la cual simplemente no le servirá, necesitará no solo nombrarse a sí mismo, sino también mostrar que conoce cierta La clave secreta. Al mismo tiempo, C no tiene la capacidad de enviar simplemente su clave secreta hacia S, ya que, en primer lugar, la red está abierta y, además, S no lo sabe y, en principio, no debería saberlo. En tal situación, se utiliza una técnica menos sencilla para demostrar el conocimiento de esta información.

Identificación / autenticación electrónica a través deKerberos está destinado a ser utilizado como un tercero de confianza que tiene información sobre las claves privadas de los objetos atendidos y, si es necesario, los ayuda a realizar la autenticación por pares.

Entonces el cliente primero va asolicitud del sistema, que contiene la información necesaria sobre él, así como el servicio solicitado. Posteriormente, Kerberos le proporciona una especie de ticket, que se cifra con la clave secreta del servidor, así como una copia de alguna parte de los datos del mismo, que se clasifica con la clave del cliente. En caso de coincidencia, se establece que el cliente ha descifrado la información destinada a él, es decir, pudo demostrar que realmente conoce la clave secreta. Esto sugiere que el cliente es exactamente la persona que dice ser.

Aquí se debe prestar especial atención al hecho de que la transferencia de claves secretas no se llevó a cabo a través de la red y se utilizaron exclusivamente para el cifrado.

Autenticación mediante datos biométricos

portal del sistema unificado de identificación y autenticación

La biometría incluye una combinaciónmedios automatizados de identificación / autenticación de personas en función de sus características fisiológicas o de comportamiento. Los medios físicos de autenticación e identificación incluyen la verificación de la retina y la córnea de los ojos, las huellas dactilares, la geometría de la cara y la mano y otra información individual. Las características de comportamiento incluyen el estilo del teclado y la dinámica de la firma. Los métodos combinados son un análisis de varias características de la voz de una persona, así como el reconocimiento de su habla.

Dichos sistemas de identificación / autenticación yLos cifrados son omnipresentes en muchos países del mundo, pero durante mucho tiempo han sido extremadamente costosos y difíciles de usar. Recientemente, la demanda de productos biométricos ha aumentado significativamente debido al desarrollo del comercio electrónico, ya que, desde el punto de vista del usuario, es mucho más conveniente presentarse que recordar alguna información. En consecuencia, la demanda crea oferta, por lo que comenzaron a aparecer en el mercado productos relativamente económicos, que se centran principalmente en el reconocimiento de huellas dactilares.

En la gran mayoría de los casos, la biometríautilizado en combinación con otros autenticadores como tarjetas inteligentes. A menudo, la autenticación biométrica es solo la primera línea de defensa y actúa como un medio para activar tarjetas inteligentes que incluyen varios secretos criptográficos. Al utilizar esta tecnología, la plantilla biométrica se guarda en la misma tarjeta.

La actividad en el campo de la biometría es suficienteelevado. Ya existe un consorcio correspondiente y también se está trabajando bastante activamente para estandarizar varios aspectos de la tecnología. Hoy en día, puede ver una gran cantidad de artículos promocionales que presentan la tecnología biométrica como un medio ideal para brindar mayor seguridad y, al mismo tiempo, accesible para el público en general.

ESIA

sistema unificado de identificación y autenticación

Sistema de identificación y autenticación ("ESIA")es un servicio especial creado con el fin de asegurar la implementación de diversas tareas relacionadas con la verificación de la autenticidad de los solicitantes y participantes en la interacción interinstitucional en el caso de la prestación de algún servicio municipal o estatal en forma electrónica.

Para acceder al "Portal únicoestructuras estatales ", así como cualquier otro sistema de información de la infraestructura del gobierno electrónico actual, primero deberá registrar una cuenta y, como resultado, obtener un PEP.

Niveles

El portal del sistema unificado de identificación y autenticación proporciona tres niveles principales de cuentas para las personas:

  • Simplificado.Para darlo de alta, solo debes indicar tu apellido y nombre, así como algún canal de comunicación específico en forma de dirección de correo electrónico o teléfono móvil. Este es el nivel primario a través del cual una persona tiene acceso a una lista limitada de varios servicios públicos, así como a las capacidades de los sistemas de información existentes.
  • Estándar.Para obtenerlo, inicialmente debe emitir una cuenta simplificada y luego proporcionar también datos adicionales, incluida la información del pasaporte y el número de la cuenta personal del seguro individual. La información especificada se verifica automáticamente a través de los sistemas de información del Fondo de Pensiones, así como del Servicio Federal de Migración, y si la verificación es exitosa, la cuenta se transfiere al nivel estándar, lo que abre al usuario a una lista extendida de servicios públicos. .
  • Confirmado.Para obtener este nivel de cuenta, un sistema unificado de identificación y autenticación requiere que los usuarios tengan una cuenta estándar, así como la confirmación de la identidad, que se realiza mediante una visita personal a un departamento de servicio autorizado o mediante la recepción de un código de activación a través de una carta certificada. . En el caso de que la verificación de identidad sea exitosa, la cuenta se moverá a un nuevo nivel y el usuario tendrá acceso a la lista completa de servicios gubernamentales requeridos.

Aunque los procedimientos pueden parecerbastante complejo, de hecho, puede familiarizarse con la lista completa de datos necesarios directamente en el sitio web oficial, por lo que un diseño completo es bastante posible en unos pocos días.

Lea también

Identificación de peligros: conceptos básicos
Códigos de OKATO. ¿Qué es OKATO y cómo averiguar el código del lugar de residencia?
¿Dónde ingreso el código de verificación de Apple ID y dónde lo obtengo?
¿Quiénes son morales y por qué no son amados?
Lado perceptivo de la comunicación: contenido psicológico
La nación es una comunidad imaginaria.
Cómo conectarse a WiFi en el metro de Moscú: identificación para el acceso
Cómo configurar The Bat
Personaliza el murciélago! Yandex: una guía detallada
Documentar las actividades de gestión y sus conceptos básicos.
Identificación de peligros: métodos de determinación
El beneficiario es ... Identificación del beneficiario final