/ / Идентификација и аутентификација: основни појмови

Идентификација и аутентикација: основни концепти

Идентификација и аутентификација суоснову савремених софтверских и хардверских безбедносних алата, будући да су све друге услуге углавном дизајниране да служе овим ентитетима. Ови концепти представљају неку врсту прве линије одбране која осигурава сигурност информационог простора организације.

Шта је то?

идентификацију и аутентификацију

Идентитет и аутентификација су различитифункције. Први даје субјекту (кориснику или процесу који делује у његово име) могућност да наведе своје име. Уз помоћ аутентификације, друга страна је коначно убеђена да је субјект заиста онај за кога се представља. Често се, као синоними, идентификација и аутентификација замењују изразима "порука са именом" и "аутентификација".

Сами су подељени у неколико сорти. Затим ћемо погледати шта су идентификација и аутентификација и шта су.

Аутентикација

системи за идентификацију аутентификације и шифровања

Овај концепт предвиђа две врсте:једносмерни, када клијент прво мора да докаже своју аутентичност серверу, и двосмерни, односно када постоји међусобна потврда. Уобичајен пример како се врши стандардна идентификација корисника и аутентификација је поступак пријављивања на одређени систем. Тако се различите врсте могу користити у различитим објектима.

У мрежном окружењу, када се идентификација и аутентификација корисника обављају на географски раштрканим странама, услуга која се разматра разликује се у два главна аспекта:

  • шта делује као аутентификатор;
  • како је организована размена аутентификационих и идентификационих података и како је заштићена.

Да би се доказала његова аутентичност, субјекат мора представити један од следећих ентитета:

  • одређене податке које зна (лични број, лозинка, посебан криптографски кључ итд.);
  • одређена ствар коју поседује (лична карта или неки други уређај са сличном наменом);
  • одређена ствар која је његов елемент (отисци прстију, глас и друга биометријска средства за идентификацију и аутентификацију корисника).

Карактеристике система

биометријска средства идентификације и аутентификације корисника

У отвореном мрежном окружењу, стране немајупоуздан пут, који сугерише да се, генерално, информације које преноси субјект на крају можда не подударају са информацијама које су примљене и коришћене у аутентификацији. Потребно је осигурати сигурност активног и пасивног прислушкивања на мрежи, односно заштиту од исправљања, пресретања или репродукције различитих података. Опција преноса лозинки у чистом тексту није задовољавајућа, а на исти начин шифрирање лозинки не може спасити дан, јер не пружају заштиту од репродукције. Због тога се данас користе софистициранији протоколи за аутентификацију.

Поуздана идентификација није само тешказбог различитих мрежних претњи, али и из разних других разлога. Прво, скоро сваки ентитет за потврду идентитета може бити украден, промењен или сређен. Такође постоји извесна контрадикција између поузданости система који се користи, с једне стране, и погодности администратора система или корисника, с друге стране. Стога је из сигурносних разлога потребно с одређеном учесталошћу тражити од корисника да поново унесе своје податке за провјеру аутентичности (будући да нека друга особа можда већ сједи умјесто њега), а то не само да ствара додатне проблеме, већ и значајно повећава постоји могућност да неко шпијунира унос информација. Између осталог, поузданост заштитне опреме значајно утиче на њену цену.

Савремени системи идентификације иАутентикација подржава концепт јединственог пријављивања на мрежу, који првенствено испуњава захтеве у смислу прилагођености корисницима. Ако стандардна корпоративна мрежа има много информационих услуга које пружају могућност независног приступа, тада поновљени унос личних података постаје превише оптерећујући. Тренутно се још не може рећи да се употреба јединственог пријављивања на мрежу сматра нормалном, будући да доминантна рјешења још нису формирана.

Стога многи покушавају пронаћи компромис.између приступачности, погодности и поузданости средстава помоћу којих се обезбеђује идентификација / аутентификација. У овом случају, ауторизација корисника се врши према индивидуалним правилима.

Посебну пажњу треба обратити на чињеницу дауслуга која се користи може бити изабрана као мета напада на доступност. Ако је систем конфигурисан на такав начин да је, након одређеног броја неуспешних покушаја, могућност уласка блокирана, нападачи могу зауставити рад легалних корисника буквално неколико притисака на тастере.

Потврда лозинке

Главна предност таквог система једа је изузетно једноставан и већини познат. Лозинке се већ дуго користе у оперативним системима и другим услугама, а када се правилно користе, пружају ниво сигурности који је прихватљив за већину организација. Али с друге стране, у смислу општег скупа карактеристика, такви системи представљају најслабије средство помоћу којег се може извршити идентификација / аутентификација. У том случају ауторизација постаје прилично једноставна, јер би лозинке требале бити запамћене, али једноставне комбинације није тешко погодити, поготово ако особа зна преференције одређеног корисника.

Понекад се дешава да лозинке, у принципу, немајучувају се у тајности, јер имају сасвим стандардне вредности наведене у одређеној документацији, а не увек након инсталације система се мењају.

Приликом уноса лозинке можете видети, а у неким случајевима људи чак користе и специјализоване оптичке уређаје.

Корисници, примарни субјекти идентификације иПотврда аутентичности, често могу да деле лозинке са колегама како би им променили власника на одређено време. У теорији би у таквим ситуацијама било најисправније користити посебне контроле приступа, али у пракси то нико не користи. А ако двоје људи зна лозинку, ово увелико повећава шансе да други на крају сазнају за њу.

Како то поправити?

портал обједињени идентификациони систем за аутентификацију есиа

Постоји неколико начина на који се могу осигурати идентификација и аутентификација. Компонента за обраду информација може бити осигурана на следећи начин:

  • Увођење различитих техничких ограничења. Најчешће се утврђују правила за дужину лозинке, као и садржај одређених знакова у њој.
  • Управљање датумом истека лозинки, односно потреба за њиховом периодичном заменом.
  • Ограничавање приступа датотеци главне лозинке.
  • Ограничавањем укупног броја неуспешних покушаја,доступно при пријављивању. Ово осигурава да нападачи само морају извршити радње пре идентификације и аутентификације, јер се метода бруте форце не може користити.
  • Претходна обука корисника.
  • Коришћење специјализованих софтверских генератора лозинки који вам омогућавају да створите такве комбинације које су милосрдне и које се памте.

Све ове мере се могу користити у сваком случају, чак и ако се уз лозинке користе и други начини аутентификације.

Једнократне лозинке

радње пре идентификације и аутентификације

Горе наведене опције суза вишекратну употребу, а ако се открије комбинација, нападач је у могућности да изврши одређене операције у име корисника. Зато се једнократне лозинке користе као јаче средство отпорно на могућност пасивног прислушкивања мреже, захваљујући чему систем идентификације и аутентификације постаје много сигурнији, иако није тако згодан.

Тренутно један од најпопуларнијихсофтверски генератор једнократних лозинки је систем под називом С / КЕИ, који је објавила Беллцоре. Основни концепт овог система је да постоји специфична функција Ф која је позната и кориснику и серверу за аутентификацију. Следи тајни кључ К, који је познат само одређеном кориснику.

Током почетне администрације корисникаова функција се користи за кључ одређени број пута, након чега се резултат чува на серверу. Убудуће поступак аутентификације изгледа овако:

  1. Кориснички систем се са сервера шаље број, што је 1 мање од броја кориштења функције за кључ.
  2. Корисник користи функцију за постојећутајни кључ колико је пута било подешено у првом пасусу, након чега се резултат шаље преко мреже директно на сервер за потврду идентитета.
  3. Сервер користи ову функцију задобијену вредност, након чега се резултат упоређује са претходно сачуваном вредношћу. Ако се резултати подударају, тада је корисник аутентификован и сервер складишти нову вредност, а затим смањује бројач за један.

У пракси, примена ове технологије иманешто сложеније структуре, али у овом тренутку то није толико важно. Пошто је функција неповратна, чак и у случају пресретања лозинке или неовлашћеног приступа серверу за потврду идентитета, она не пружа могућност добијања тајног кључа и на било који начин предвиђа како ће изгледати следећа једнократна лозинка.

У Русији се као јединствена услуга користи посебан државни портал - „Јединствени систем идентификације / аутентификације“ („ЕСИА“).

Још један приступ јаком систему за аутентификацијује да се нова лозинка генерише у кратким интервалима, што се такође примењује коришћењем специјализованих програма или различитих паметних картица. У овом случају сервер за потврду идентитета мора прихватити одговарајући алгоритам генерисања лозинке, као и одређене повезане параметре, а осим тога мора постојати и синхронизација сатова сервера и клијента.

Керберос

Керберос сервер за потврду идентитета први пут се појавио усредином 90 -их година прошлог века, али је од тада већ успео да добије огроман број фундаменталних промена. Тренутно су појединачне компоненте овог система присутне у готово сваком савременом оперативном систему.

Главна сврха ове услуге јерешење следећег проблема: постоји одређена незаштићена мрежа, а у њеним чворовима концентрисани су различити субјекти у облику корисника, као и серверских и клијентских софтверских система. Сваки такав субјект има индивидуални тајни кључ, а да би субјект Ц имао прилику да докаже сопствени идентитет субјекту С, без којег му једноставно неће служити, мораће не само да се именује, већ и да покаже да зна извесни Тајни кључ. Истовремено, Ц нема могућност да једноставно пошаље свој тајни кључ према С, пошто је, пре свега, мрежа отворена, а осим тога, С не зна, и, у принципу, то не би требало да зна. У таквој се ситуацији користи мање једноставна техника за доказивање познавања ових информација.

Електронска идентификација / аутентификација путемКерберос се намерава користити као поуздана трећа страна која има информације о приватним кључевима сервисираних објеката и, ако је потребно, помаже им у извршавању аутентификације у пару.

Дакле, купац прво иде насистемски захтев, који садржи потребне податке о њему, као и тражену услугу. Након тога, Керберос му пружа својеврсну карту, која је шифрована тајним кључем сервера, као и копију неког дела података са њега, који је класификован са кључем клијента. У случају подударања, утврђује се да је клијент дешифровао податке који су му намењени, односно успео је да покаже да заиста зна тајни кључ. Ово сугерише да је клијент управо особа за коју се представља.

Посебну пажњу овде треба посветити чињеници да се пренос тајних кључева није вршио преко мреже, а они су коришћени искључиво за шифровање.

Аутентификација помоћу биометријских података

портал јединственог система идентификације и аутентификације

Биометрија укључује комбинацијуаутоматизована средства идентификације / аутентификације људи на основу њихових понашања или физиолошких карактеристика. Физички начини аутентификације и идентификације укључују проверу мрежњаче и рожњаче очију, отиске прстију, геометрије лица и шаке и друге појединачне податке. Карактеристике понашања укључују стил тастатуре и динамику потписа. Комбиноване методе су анализа различитих особина гласа особе, као и препознавање његовог говора.

Такви системи идентификације / аутентификације иШифровање је свеприсутно у многим земљама широм света, али дуго је било изузетно скупо и тешко га је користити. У последње време потражња за биометријским производима значајно је порасла због развоја е-трговине, будући да је, са становишта корисника, много згодније представити се него запамтити неке податке. Сходно томе, потражња ствара понуду, па су се на тржишту почели појављивати релативно јефтини производи, који су углавном фокусирани на препознавање отиска прста.

У великој већини случајева биометријакористи се у комбинацији са другим аутентификаторима попут паметних картица. Често је биометријска аутентификација само прва линија одбране и делује као средство за активирање паметних картица које укључују различите криптографске тајне. Када се користи ова технологија, биометријски предложак се чува на истој картици.

Активности у области биометрије су довољневисоко. Већ постоји одговарајући конзорцијум, а такође је у току прилично активан рад на стандардизацији различитих аспеката технологије. Данас можете видети много промотивних чланака који представљају биометријску технологију као идеално средство за повећање безбедности, а да су и даље доступни широј јавности.

ЕСИА

јединствени систем идентификације и аутентификације

Систем идентификације и аутентификације („ЕСИА“)је посебна услуга створена како би се осигурало спровођење различитих задатака везаних за проверу аутентичности пријављених и учесника у међуресорној интеракцији у случају пружања било каквих општинских или државних услуга у електронском облику.

Да бисте приступили „Јединственом порталудржавне структуре “, као и све друге информационе системе инфраструктуре садашње е-управе, прво ћете морати да региструјете налог и, као резултат тога, набавите ПЕП.

Нивои

Портал јединственог система идентификације и аутентификације пружа три главна нивоа рачуна за појединце:

  • Поједностављено.Да бисте га регистровали, потребно је само да наведете своје презиме и име, као и неки одређени комуникациони канал у облику адресе е-поште или мобилног телефона. Ово је примарни ниво, уз помоћ којег особа има приступ само ограниченој листи различитих јавних услуга, као и могућностима постојећих информационих система.
  • Стандард.Да бисте га добили, прво морате издати поједностављени рачун, а затим доставити и додатне податке, укључујући податке из пасоша и број личног рачуна осигурања. Наведене информације се аутоматски проверавају преко информационих система Пензијског фонда, као и Федералне службе за миграције, а ако је провера успешна, рачун се пребацује на стандардни ниво, чиме се кориснику отвара проширена листа јавних услуга .
  • Потврђено.Да би стекли овај ниво рачуна, обједињени систем идентификације и аутентификације захтева од корисника да имају стандардни налог, као и доказ о идентитету, који се врши личном посетом овлашћеном сервису или пријемом активационог кода путем препорученог писма . У случају да потврда идентитета успе, налог ће прећи на нови ниво, а корисник ће имати приступ целој листи неопходних државних услуга.

Иако се поступци могу чинитиприлично сложено, у ствари, можете се упознати са потпуном листом потребних података директно на службеној веб страници, тако да је пуноправни дизајн сасвим могућ у року од неколико дана.

Прочитајте такође

Идентификација опасности: кључни појмови
ОКАТО кодови. Шта је ОКАТО и како сазнати шифру места пребивалишта?
Где да унесете Аппле ИД верификациони код и где да га набавите?
Ко су морални фагови и зашто их не воле?
Перцепцијска страна комуникације: психолошки садржај
Народ је имагинарна заједница
Како се повезати на ВиФи у московском метроу: идентификација за приступ
Како конфигурирати Бат
Постављање палице! за Иандек: детаљан водич
Документирање активности управљања и његови основни концепти
Идентификација опасности: методе одређивања
Корисни власник је ... Идентификација стварног власника