Identifikacije i autentifikacije: osnovni pojmovi

Identifikacija i autentifikacija su osnova modernog softvera i hardvera sigurnost, kao i svaka druga usluge uglavnom su namijenjene za servisiranje tih subjekata. Ovi koncepti predstavljaju neku vrstu prva linija odbrane, osiguravajući sigurnost informacija prostora organizacije.

Šta je to?

Identifikacije i autentifikacije imaju različite funkcije. Prvi daje predmet (korisnika ili proces koji djeluje u ime) priliku da kaže svoje ime. Pomoću autentifikacije je druga strana je potpuno uvjeren da je predmet zaista je onaj za kojeg tvrdi da bude. Često, kao identifikacija sinonim i autentifikacije zamjenjuju se fraza "Post ime" i "authentication".

Oni sami su podijeljeni u nekoliko varijanti. Dalje, mi smatramo da je identifikacije i autentifikacije su i šta su.

autentifikaciju

Ovaj koncept predviđa dvije vrste: jednom pravcu, klijent prvo mora dokazati na server za autentifikaciju, i bilateralnih, to jest, kada se obavlja zajednički potvrdu. Tipičan primjer kako se vodi standardni identifikacije i autentifikacije korisnika - je da se prijavite na određeni sistem. Dakle, različite vrste mogu se koristiti u raznim objektima.

U umreženom okruženju, gdje je identifikacija i autentifikacija korisnika je na geografski raspršeni stranaka, ispitati usluga se razlikuje po dva glavna aspekta:

• da se ponaša kao autentifikaciju;
• kako je u organizaciji razmjene autentifikacije podataka i identifikacija i kako bi ga zaštitili.

Da potvrdi svoju autentičnost, predmet mora biti predstavljen na jednom od sljedećih subjekata:

• određene informacije koje zna (matični broj, lozinku, poseban kriptografski ključ, itd ...);
• određena stvar koju posjeduje (lične karte ili neki drugi uređaj koji ima slične namjene);
• određene stvari, što je element to (otisak prsta, glas ili druge biometrijske identifikacije i autentifikacije korisnika).

karakteristike sistema

U mrežnom okruženju otvoren, stranke nemaju poverenja put, a to je rekao da je u principu, informacije koje se prenose od subjekta može na kraju biti drugačiji od primljene informacije i koristiti za provjeru autentičnosti. Potrebna sigurnost aktivne i pasivne mrežne njuškalo, to jest, zaštita od korekcije, presretanje ili reprodukcije različitih podataka. opcija transfer lozinku u čistoj nije zadovoljavajuća, a jednostavno ne mogu spasiti dan, i šifrirane lozinke, jer oni nisu predviđeni, zaštita reprodukciju. To je razlog zašto se danas koristi složenija protokola provjere autentičnosti.

Pouzdanu identifikaciju je teško ne samo zbog različitih mrežnih prijetnji, ali i za niz drugih razloga. Prvi gotovo bilo autentifikaciju subjekt može biti otet, ili krivotvoriti ili treninga. napetost između pouzdanost sistema koji se koristi je također prisutan, s jedne strane, i sistem administrator ili korisnik objekata - s druge strane. Prema tome, iz razloga sigurnosti potrebne neke frekvencije pitati korisnika da ponovno uvođenje svoje provjere informacija (kao što je umjesto toga mora da sjediti neki drugi ljudi), i to ne samo da stvara dodatne probleme, ali i značajno povećava šanse da neko može zagledati ulazne informacije. Osim toga, pouzdanost zaštite znači značajan utjecaj na njegovu vrijednost.

Moderni identifikacije i autentifikacije sistemi podržavaju koncept jedinstvenog prijavljivanja na mrežu, što prije svega zadovoljava zahtjevima u pogledu razumljivost. Ako je standard korporativne mreže ima puno informacija usluga, pružajući mogućnost nezavisnog cirkulaciju, onda više administracije osobnih podataka postaje preveliki teret. U ovom trenutku još uvijek je nemoguće reći da je upotreba jednostruke prijave na mrežu je normalno, kao dominantna rješenja još nisu formirane.

Prema tome, mnogi pokušavaju pronaći kompromis između pristupačnost, praktičnost i pouzdanost sredstava, koja pruža identifikacije / provjere autentičnosti. Autorizaciju korisnika u ovom slučaju vrši se u skladu sa individualnim pravilima.

Posebnu pažnju treba obratiti na činjenicu da se usluga koristi može biti izabrana kao objekt napada na dostupnosti. Ako je konfiguracija sistema je napravljen na takav način da se nakon što je zaključana niz propalih pokušaja da unesete mogućnost, tada napadač može zaustaviti rad legitimni korisnici za samo nekoliko otkucaja.

autentifikaciju lozinku

Glavna prednost ovog sistema je u tome što je izuzetno jednostavan i poznat većini. Lozinke već dugo koriste operativne sisteme i druge usluge, kao i sa pravilnom upotrebom pruža sigurnost, što je sasvim prihvatljivo za većinu organizacija. S druge strane, zajednički skup karakteristika takvih sistema su najslabije sredstvo kojim se mogu implementirati identifikacije / provjere autentičnosti. Autorizacija u ovom slučaju postaje prilično jednostavan, jer lozinke mora biti privlačan, ali to nije teško pogoditi kombinaciju jednostavnih, posebno ako je osoba zna preferencije određenog korisnika.

Ponekad se dešava da su lozinke, u principu, ne drži u tajnosti, jer su prilično standardne vrijednosti navedene u konkretnom dokumentaciju, a ne uvijek nakon instalacije sistema, promijenite ih.

Kada unesete lozinku možete vidjeti, u nekim slučajevima, ljudi čak koriste specijalizovane optičkih instrumenata.

Korisnika, glavne teme identifikacije i autentifikacije, lozinke se često obavijestiti kolege onima u određeno doba su se promijenile vlasnika. U teoriji, u takvim situacijama bi bilo ispravnije koristiti posebne kontrole pristupa, ali u praksi to nije u upotrebi. A ako je lozinka zna dvoje ljudi, što je vrlo značajno povećava šanse da na kraju to i naučiti više.

Kako to popraviti?

Postoji nekoliko alata, kao što su identifikacije i autentifikacije može biti zaštićen. Komponenta za obradu informacija može osigurati slijedi:

• Nametanje raznih tehničkih ograničenja. Najčešće postavljena pravila o dužini lozinkom i sadržaj pojedinih znakova.
• isteka ured lozinke, odnosno što im je potrebno da se zameni periodično.
• Ograničen pristup osnovnim datoteku lozinke.
• Ograničenje ukupnog broja neuspjelih pokušaja koji su na raspolaganju kad se prijavite. Zbog ovog napadača mora se obavljati samo akcije za obavljanje identifikacije i autentifikacije kao i način sortiranja se ne može koristiti.
• Preliminarna obuka korisnika.
• Koristeći specijaliziranog softvera lozinku generator koji može stvoriti takve kombinacije koje su dovoljno melodičan i nezaboravnim.

Sve ove mjere mogu se koristiti u svakom slučaju, čak i ako zajedno sa će lozinki također koristiti druga sredstva provjere autentičnosti.

Jednokratna lozinke

Gore embodiments su za višekratnu upotrebu, au slučaju otvaranja kombinacija napadač je u mogućnosti za obavljanje određenih poslova u ime korisnika. Zato je kao jači otporan na mogućnost pasivne mrežne sniffer sredstvima, koristite jednokratne lozinke kojim sistem identifikacije i autentifikacije je mnogo sigurniji, ali ne kao zgodno.

U ovom trenutku, jedan od generatora lozinku jednokratne najpopularniji softver je sistem koji se zove S / KLJUČ, objavio Bellcore. Osnovni koncept ovog sistema je da postoji određena funkcija F, koji je poznat kako korisnika i servera provjeru autentičnosti. U nastavku su tajni ključ K, poznat samo određenog korisnika.

Na početni administracija korisnika, ova funkcija se koristi za unos nekoliko puta, a zatim rezultat se čuva na serveru. Nakon toga, postupak provjere autentičnosti je kako slijedi:

1. Na korisnika sistema sa servera dolazi na broj koji je 1 manje od broja puta pomoću funkcije za ključ.
2. funkcija korisnik se koristi za tajne ključeve u koliko je puta koji je postavljen u prvom trenutku, nakon čega je rezultat se šalje preko mreže direktno na server provjeru autentičnosti.
3. Server koristi ovu funkciju dobijenim vrijednosti, a zatim se rezultat u odnosu na prethodno pohranjene vrijednosti. Ukoliko rezultati podudaraju, onda identitet korisnika je uspostavljen, a server pohranjuje novu vrijednost, a zatim smanjuje brojač za jedan.

U praksi, primjena ove tehnologije ima nešto složenije strukture, ali u ovom trenutku nije važno. Budući da je funkcija je nepovratna, čak i ako presretanje lozinke ili dobivanje neovlaštenog pristupa na server autentifikaciju ne pruža mogućnost da dobije privatni ključ i bilo koji način predvidjeti kako će tačno izgledati kao na jednokratnu lozinku.

U Rusiji kao jedinstvena služba, poseban državni portal - "Jedinstveni sistem identifikacije / autentifikacije" ( "ESIA").

Drugi pristup jak sistem autentifikacije leži u činjenici da je nova lozinka je generirana u kratkim vremenskim intervalima, koji se ostvaruje kroz upotrebu specijaliziranih programa ili različitih pametnih kartica. U ovom slučaju, server autentifikacija mora prihvatiti odgovarajući generiranje lozinke algoritam i određenih parametara u vezi sa njim, i pored toga, mora biti prisutan kao server sat sinhronizaciju i klijenta.

Kerberos

Kerberos autentifikaciju poslužitelja po prvi put se pojavio sredinom 90-ih godina prošlog stoljeća, ali od tada je on već dobio mnogo fundamentalnih promjena. U ovom trenutku, pojedinačne komponente sistema su prisutni u gotovo svakom modernom operativni sistem.

Glavna svrha ove usluge je da se riješi sljedeći problem: postoji određena ne¹tićene mreže i čvorova u koncentrovanom obliku u raznim korisnicima predmeta, i sistema servera i softvera klijenta. Svaki takav entitet prisutan individualni tajni ključ, a subjektima priliku da dokažu svoju autentičnost na predmet S, bez kojih on jednostavno neće servisirati, to će morati da se nazove, ne samo, ali i da pokaže da zna neke tajni ključ. U isto vrijeme s nema načina da se samo poslati u pravcu svog tajnog ključa S kao u prvom stepenu mreže je otvoren, a osim toga, S ne zna, i, u principu, ne bi trebalo da ga znam. U ovoj situaciji, koristite manje jasan tehnologiju demonstraciju znanja tih informacija.

Elektronske identifikacije / autentifikaciju preko Kerberos sistem omogućava njegovu upotrebu kao pouzdani treća strana, koja ima informacije o tajnom ključeve servisiran lokacija i pomaže im u izvršavanju parova autentifikaciju ako je to potrebno.

Dakle, klijent prvi poslao upit koji sadrži potrebne informacije o tome, kao i traženu uslugu. Nakon toga, Kerberos mu daje neku vrstu karte koja šifrirana je pomoću tajnog ključa servera, kao i kopiju neke podatke od njega, što je tajni ključ klijenta. U slučaju da se utvrdi da je klijent bio odgonetnuo informacije namijenjene, to jest, bio je u stanju da pokaže da mu je privatni ključ poznat stvarno. Ovo ukazuje na to da je klijent osoba za koje je.

Posebnu pažnju treba ovdje bi se osiguralo da prijenos tajnih ključeva se ne vrši na mreži, i koriste se isključivo za enkripciju.

autentičnosti pomoću biometrije

Biometrija uključuje kombinaciju automatskih identifikacije / autentifikaciju ljudi na osnovu njihovog ponašanja ili fiziološkim karakteristikama. Fizička sredstva identifikacije i autentifikacije pružaju retina skeniranje i oko rožnice, otiske prstiju, lica i geometrija ruke, kao i druge osobne podatke. Karakteristike ponašanja uključuju i stil rada sa tastaturom i dinamike potpisa. U kombinaciji metode analize različitih karakteristika ljudskog glasa, kao i priznanje za svoj govor.

Takva identifikacija / autentifikaciju i enkripciju sistemi su naširoko koristi u mnogim zemljama širom svijeta, ali za dugo vremena, oni su izuzetno visoke troškove i složenost korištenja. U novije vrijeme, potražnja za biometrijskih proizvoda je znatno povećana zbog razvoja e-trgovine, jer, sa stanovišta korisnika, je mnogo lakše da se predstavi, nego da se setim neke informacije. U skladu s tim, potražnja stvara ponude, tako da na tržištu počele da se pojavljuju relativno jeftinu proizvode, koji su uglavnom usmjerena na prepoznavanje otiska prsta.

U ogromnoj većini slučajeva, biometrija se koristi u kombinaciji s drugim ovjerovitelja, kao što su pametne kartice. Često biometrijske autentifikacije je samo prva linija obrane i djeluje kao sredstvo za jačanje pametne kartice, uključujući razne kriptografske tajne. Kada koristite ovu tehnologiju, biometrijske predložak je pohranjena na istoj kartici.

Aktivnost u području biometrije je dovoljno visoka. Relevantnih postojećih konzorcija, kao i vrlo aktivan rad je u toku na standardizaciji različitim aspektima tehnologije. Danas možemo vidjeti mnogo reklama članaka koji biometrijske tehnologije su predstavljene kao idealno sredstvo za pružanje povećane sigurnosti i istovremeno pristupačan masama.

ESIA

sistem identifikacije i autentifikacije ( "ESIA") je posebna usluga koji će osigurati provedbu različitih zadataka koji se odnose na provjeru autentičnosti podnosilaca i članovi međuagencijske saradnje u slučaju općinskih i javnih službi u elektronskom obliku.

Kako bi dobili pristup na "jedan portal državnih struktura", kao i sve ostale informacije infrastrukturnih sistema postojećih e-uprave, prvo se morate registrirati na račun i kao rezultat toga, dobiti AED.

razine

Portal jedinstvenog sistema identifikacije i autentifikacije nudi tri osnovna nivoa računa za pojedince:

• Pojednostavljena. Za svoje registracije jednostavno sadrži vaše ime i prezime, kao i neke posebne kanal komunikacije u obliku e-mail adresu ili mobilni telefon. Ovo primarnom nivou, kojom osoba daje pristup samo u ograničenom popis različitih usluga vlade, kao i mogućnosti postojećih informacionih sistema.
• Standard. Da biste dobili na početku je potrebno da izda pojednostavljen račun, a zatim i pružiti dodatne informacije, uključujući informacije iz broj putovnice i osiguranje individualnom računu. Ova informacija se automatski proverava kroz informacioni sistem Fonda PIO, kao i Savezne migracije usluga, i, ako je test uspješan, račun se pretvara u standardnom nivou, otvara korisniku da prošireni popis državnih službi.
• Potvrdio. Da biste dobili ovaj nivo računa, jedinstvenog sistema identifikacije i autentifikacije zahtijeva da korisnici standardni račun, kao i dokaz o identitetu, koji se obavlja preko privatnu posjetu ovlaštenog servisera ili dobivanje aktivacijskog koda putem preporučenom poštom. U slučaju da je pojedinac potvrda je uspješan, račun će ići na novi nivo, a da korisnik će dobiti pristup kompletnu listu potrebnih javnih usluga.

Unatoč činjenici da je postupak može izgledati dovoljno kompleksan da zaista vidjeli potpuni popis traženih podataka može biti direktno na službenoj web stranici, tako da je moguće završiti registracije za nekoliko dana.