379 Shares 1588 views

Identyfikacja i uwierzytelnianie: podstawowe pojęcia

Identyfikacja i uwierzytelnienie są podstawą nowoczesnego oprogramowania i sprzętu bezpieczeństwa, jak wszelkie inne usługi są przeznaczone głównie do serwisowania tych przedmiotów. Pojęcia te stanowią rodzaj pierwszej linii obrony, zapewnienie bezpieczeństwa w przestrzeni informacyjnej organizacji.

Co to jest?

Identyfikacja i uwierzytelnienie mają różne funkcje. Pierwszą stanowi przedmiot (użytkownika lub proces, który działa w imieniu) okazję do opowiedzenia swoją własną nazwę. Za pomocą uwierzytelniania jest druga strona jest całkowicie przekonany, że temat jest naprawdę jeden, dla których twierdzi on być. Często jako synonim identyfikacji i uwierzytelniania zastępuje się zwrotem „nazwa post” i „uwierzytelniania”.

Oni sami są podzielone na kilka odmian. Następnie weźmiemy pod uwagę, że identyfikacja i uwierzytelnianie są i jakie są.

uwierzytelnianie

Ta koncepcja przewiduje dwa rodzaje: jednokierunkowy, klient musi najpierw udowodnić serwera uwierzytelniania i dwustronne, to znaczy, gdy wzajemne potwierdzenie jest prowadzona. Typowym przykładem tego, jak przeprowadzić standardową identyfikację i uwierzytelnianie użytkowników – to zalogować się do konkretnego systemu. Tak więc, różne rodzaje mogą być używane w różnych obiektów.

W środowisku sieciowym, gdzie identyfikacja i uwierzytelnianie użytkowników wykonany na geograficznie rozproszone stron, bada usługę wyróżnia się dwa główne aspekty:

  • który działa jako uwierzytelnienia;
  • jak to zostało zorganizowane przez wymianę danych uwierzytelniania i identyfikacji oraz jak je chronić.

W celu potwierdzenia jego autentyczności, przedmiot musi być przedstawiony do jednego z następujących podmiotów:

  • pewne informacje, które zna (osobisty numer, hasło specjalnego klucza kryptograficznego, itp …);
  • pewna rzecz, jaką posiada (dowód osobisty lub innego urządzenia o podobnym celu);
  • pewna rzecz, która jest elementem It (odcisk palca, głosu lub innych biometryczną identyfikację i uwierzytelnianie użytkowników).

cechy systemu

W otwartym środowisku sieciowym, strony nie mają zaufaną ścieżkę, a mówi się, że w ogóle, informacje przekazane przez podmiot może w końcu się różnić od informacji otrzymanych i wykorzystanych do uwierzytelniania. Wymagane bezpieczeństwa czynnego i biernego sniffera sieciowego, czyli ochrona przed przechwyceniem korekt lub odtwarzania różnych danych. Opcja transferu hasło w jasne nie jest zadowalająca, i po prostu nie można zapisać dzień i zaszyfrowane hasła, ponieważ nie są przewidziane, ochronę odtwarzania. Dlatego dziś jest używany bardziej złożone protokoły uwierzytelniania.

Niezawodna identyfikacja jest trudna nie tylko ze względu na różnego rodzaju zagrożeniami sieciowymi, ale również z wielu innych powodów. Pierwszy praktycznie każdy podmiot uwierzytelniania może zostać porwany lub fałszować lub Harcerstwa. napięcie między niezawodności systemu używanego jest również obecny, z jednej strony, a administrator lub użytkownik systemu obiektów – z drugiej. Tak więc, ze względów bezpieczeństwa wymagane przy niektórych częstotliwości poprosić użytkownika o ponowne wprowadzenie swoich informacji uwierzytelniania (zamiast, jak może on musiał siedzieć kilka innych osób), i to nie tylko stwarza dodatkowe problemy, ale także znacznie zwiększa szansę że ktoś może podważyć wejście informacyjnego. Ponadto wiarygodność ochrony oznacza znaczący wpływ na jej wartość.

Nowoczesne systemy identyfikacji i uwierzytelniania wspierać koncepcję pojedynczego logowania do sieci, który przeznaczony głównie do wymagań w zakresie obsługi. Jeśli średnia sieć firmowa ma wiele usług informacyjnych, zapewniając możliwość niezależnego obiegu, a następnie wielokrotne podawanie danych osobowych staje się zbyt uciążliwe. W tej chwili jest to jeszcze da się powiedzieć, że stosowanie pojedynczego logowania do sieci jest normalne, ponieważ dominujące rozwiązania nie zostały jeszcze utworzone.

Tak więc, wiele z nich stara się znaleźć kompromis między przystępność, wygodę i niezawodność środków, który zapewnia identyfikacji / uwierzytelniania. Autoryzacja użytkownika w tym przypadku odbywa się według indywidualnych zasad.

Szczególną uwagę należy zwrócić na fakt, że usługa jest wykorzystywana może być wybrany jako obiekt ataków na dostępność. Jeśli konfiguracja systemu jest wykonany w taki sposób, że po wielu nieudanych prób wprowadzenia możliwość została zablokowana, wówczas atakujący może zatrzymać pracę legalnych użytkowników przez zaledwie kilku klawiszy.

uwierzytelniania hasła

Główną zaletą tego systemu jest to, że jest niezwykle proste i znane większości. Hasła są od dawna stosowane w systemach operacyjnych i innych usług, a także z właściwego wykorzystania dostarczonych bezpieczeństwa, która jest całkiem do przyjęcia dla większości organizacji. Z drugiej strony, za pomocą wspólnego zestawu cech takich systemów są najsłabsze pomocą których identyfikacja / uwierzytelnianie może być realizowane. Autoryzacja w tym przypadku staje się dość proste, ponieważ hasła muszą być chwytliwe, ale to nie jest trudne do odgadnięcia kombinacji proste, zwłaszcza jeśli osoba zna preferencji danego użytkownika.

Czasami zdarza się, że hasła są, co do zasady, nie trzymane w tajemnicy, ponieważ są dość standardowe wartości określone w konkretnej dokumentacji, a nie zawsze po zainstalowaniu systemu, zmień je.

Po wpisaniu hasła widać, w niektórych przypadkach, ludzie nawet użyć specjalistycznych przyrządów optycznych.

Użytkownicy, główne tematy identyfikacji i uwierzytelniania, hasła są często informują kolegów do tych, w pewnych okresach zmieniły właściciela. Teoretycznie w takich sytuacjach byłoby bardziej poprawne stosowanie specjalnych kontroli dostępu, ale w praktyce nie jest w użyciu. A jeśli hasło wiedzieć dwie osoby, jest on bardzo znacznie zwiększa szanse, że w końcu to i dowiedz się więcej.

Jak to naprawić?

Istnieje kilka narzędzi, takich jak identyfikacja i uwierzytelnianie może być chronione. Komponent przetwarzający informacje mogą ubezpieczyć się następująco:

  • Nałożenie różnych ograniczeń technicznych. Najczęściej ustawić zasady dotyczące długości hasła i zawartość niektórych bohaterów.
  • ważności hasła biuro, czyli muszą być okresowo wymieniane.
  • Ograniczony dostęp do podstawowego pliku haseł.
  • Ograniczenie ogólnej liczbie nieudanych prób, które są dostępne po zalogowaniu się. Z tego powodu atakujących musi być przeprowadzona wyłącznie do wykonywania czynności identyfikacji i uwierzytelniania, jak również metodę sortowania nie może być używany.
  • Wstępne szkolenie użytkowników.
  • Korzystanie z oprogramowania specjalistycznego generator haseł, które mogą tworzyć takie kombinacje, które są wystarczająco melodyjny i niezapomniany.

Wszystkie te środki mogą być stosowane w każdym przypadku, nawet jeśli razem z haseł będzie również stosować inne sposoby uwierzytelniania.

haseł jednorazowych

Powyższe przykłady są wielokrotnego użytku, a także w przypadku otwarcia kombinacje atakująca jest w stanie wykonać pewne operacje w imieniu użytkownika. Dlatego jako silniejszych środków odpornych na możliwość pasywnego sniffer sieci, używać haseł jednorazowych przez który system identyfikacji i uwierzytelniania jest o wiele bardziej bezpieczne, choć nie tak wygodne.

W tej chwili jednym z najbardziej popularnych programów generator haseł jednorazowych jest system o nazwie S / Key, wydany przez Bellcore. Podstawowa koncepcja tego systemu jest to, że istnieje pewna funkcja F, która jest znana zarówno użytkownikiem a serwerem uwierzytelniania. Poniżej znajduje się tajny klucz K, znany tylko z konkretnym użytkownikiem.

Przy początkowym użytkownik administracji, ta funkcja jest używana, aby wprowadzić kilka razy, wtedy wynik jest zapisywany na serwerze. Następnie procedura uwierzytelniania jest następujący:

  1. W systemie użytkownika z serwera pochodzi z numeru, który jest mniej niż 1 liczbę razy z wykorzystaniem funkcji do klawisza.
  2. Funkcja użytkownika służy do tajnych kluczy w liczbie czasach, które zostały ustawione w pierwszym punkcie, po czym wynik jest przesyłany poprzez sieć bezpośrednio do serwera uwierzytelniania.
  3. Serwer Funkcja ta jest wykorzystywana do otrzymanej wartości, a następnie jest porównywana z poprzednio zapisaną wartością. Jeżeli wyniki są zgodne, wówczas tożsamość użytkownika jest ustanowiony, a serwer zapisuje nową wartość, a następnie zmniejsza licznik o jeden.

W praktyce realizacja tej technologii ma nieco bardziej skomplikowaną strukturę, ale w tej chwili nie ma znaczenia. Ponieważ funkcja ta jest nieodwracalna, nawet jeśli przechwycenie haseł lub uzyskania nieautoryzowanego dostępu do serwera uwierzytelniania nie zapewnia możliwość uzyskania klucza prywatnego i dowolny sposób przewidzieć, jak będzie dokładnie wyglądać następująco hasło jednorazowe.

W Rosji jako jednolity usługi, specjalny portal stan – „Unikalny system identyfikacji / uwierzytelniania” ( „ESIA”).

Innym podejściem do silnego uwierzytelniania systemu polega na tym, że nowe hasło zostało wygenerowane w krótkich odstępach czasu, co jest również realizowane dzięki zastosowaniu specjalistycznych programów lub różnych kart inteligentnych. W tym przypadku serwer uwierzytelniania musi przyjąć odpowiedni algorytm generowania hasła i niektóre parametry związane z nim, a ponadto musi być obecny jako serwer synchronizacji zegara a klientem.

Kerberos

Kerberos serwer uwierzytelniania po raz pierwszy pojawił się w połowie lat 90. ubiegłego wieku, ale od tamtej pory miał już otrzymał wiele zasadniczych zmian. W chwili obecnej poszczególne elementy systemu są obecne w prawie każdym nowoczesnym systemie operacyjnym.

Głównym celem tej usługi jest to, aby rozwiązać następujący problem: istnieje pewna systemy serwerowe i oprogramowanie klienckie niezabezpieczona sieć i węzły w swojej formie koncentratu w różnych użytkowników poddanych, i. Każdy taki podmiot jest obecny indywidualny klucz tajny, a także osób z okazji do wykazania ich autentyczności przedmiotu S, bez których po prostu nie będzie obsługiwał go, będzie musiał nie tylko nazywać siebie, ale także, aby pokazać, że zna jakiś tajny klucz. Jednocześnie w żaden sposób wystarczy wysłać w kierunku tajny klucz S jak w pierwszej kolejności sieć jest otwarta, a ponadto S nie wie, i co do zasady nie powinien go znać. W tej sytuacji należy użyć mniej prostą demonstrację technologii znajomości tej informacji.

Identyfikacja elektroniczna / Uwierzytelnianie za pomocą systemu Kerberos przewiduje jej stosowanie jako zaufaną stronę trzecią, która posiada informacje na temat tajnych kluczy obsługiwanych stron i pomóc im w razie konieczności przeprowadzenia uwierzytelniania parami.

W ten sposób, klient najpierw wysyłane w zapytaniu, które zawiera niezbędne informacje o tym, jak również żądanej usługi. Po tym, Kerberos daje mu rodzaj biletu, który jest szyfrowany za pomocą klucza prywatnego serwera, a także kopię niektórych danych z niego, który jest tajny klucz klienta. W przypadku, gdy zostanie stwierdzone, że klient został rozszyfrowany informacje przeznaczone go, to znaczy, że był w stanie wykazać, że klucz prywatny jest znany mu naprawdę. Oznacza to, że klient jest osobą, za którą jest.

Szczególną uwagę należy tu podjąć, aby zapewnić, że przekazywanie tajnych kluczy nie są przeprowadzane w sieci i są wykorzystywane wyłącznie do szyfrowania.

uwierzytelniania przy użyciu biometryczne

Biometria obejmuje połączenie zautomatyzowanej identyfikacji / uwierzytelniania osób na podstawie ich cech behawioralnych lub fizjologicznych. Fizyczne środki identyfikacji i uwierzytelniania zapewnić skanowania siatkówki i rogówki oka, odciski palców, twarzy i geometrię dłoni, a także inne dane osobowe. Cechy behawioralne obejmują także styl pracy z klawiaturą i dynamikę podpisu. Połączone są metody analizy różnych cech ludzkiego głosu, a także uznanie jego mowy.

Takie systemy identyfikacji / uwierzytelniania i szyfrowania są szeroko stosowane w wielu krajach na całym świecie, ale przez długi czas, są one niezwykle wysokie koszty i złożoność obsługi. W ostatnim czasie popyt na produkty biometrycznych znacząco wzrosła w związku z rozwojem handlu elektronicznego, ponieważ z punktu widzenia użytkownika, jest o wiele łatwiej się zaprezentować, niż pamiętać, pewne informacje. W związku z tym popyt tworzy podaż, więc na rynku zaczęły pojawiać się stosunkowo niskich cenach produktów, które koncentrują się głównie na rozpoznawaniu odcisków palców.

W przeważającej większości przypadków, biometria jest używany w połączeniu z innymi uwierzytelniających, takich jak karty inteligentne. Często uwierzytelniania biometrycznego jest tylko pierwsza linia obrony i działa jako środek zwiększania się karty elektronicznej, w tym różnych tajemnic kryptograficznych. Przy użyciu tej technologii, szablon biometryczne są zapisywane na tej samej karcie.

Aktywność w obszarze danych biometrycznych jest wystarczająco wysoka. Odpowiedniego istniejącego konsorcjum, a także bardzo aktywny trwają prace w celu ujednolicenia różnych aspektów technologii. Dziś możemy zobaczyć wiele artykułów reklamowych, że technologie biometryczne są prezentowane jako idealny środek zapewniający zwiększone bezpieczeństwo i jednocześnie przystępnej dla mas.

ESIA

System identyfikacji i uwierzytelniania ( „ESIA”) to specjalny serwis zaprojektowany, aby zapewnić realizację różnych zadań związanych z weryfikacją autentyczności wnioskodawców oraz członków współpracy międzyresortowej w przypadku jakichkolwiek usług komunalnych lub w formie elektronicznej.

Aby uzyskać dostęp do "Jednego portalu struktur państwowych", a także do innych systemów informacyjnych infrastruktury obecnego e-administracji, musisz najpierw zarejestrować konto, a tym samym uzyskać PEP.

Poziomy

Portal jednolitego systemu identyfikacji i uwierzytelniania zapewnia trzy podstawowe poziomy kont dla osób fizycznych:

  • Uproszczony. Aby ją zarejestrować, wystarczy tylko podać swoje imię i nazwisko, a także konkretny kanał komunikacji w formie adresu e-mail lub telefonu komórkowego. Jest to podstawowy poziom, za pomocą którego osoba może uzyskać dostęp tylko do ograniczonej listy różnych usług publicznych, a także możliwości istniejących systemów informacyjnych.
  • Standardowy. Aby je otrzymać, musisz najpierw wydać uproszczone konto, a następnie dostarczyć dodatkowe dane, w tym informacje z paszportu i numer konta indywidualnego ubezpieczenia. Określone informacje są sprawdzane automatycznie za pośrednictwem systemów informacyjnych Funduszu Emerytalnego, a także Federalnej Służby Migracji, a jeśli sprawdzenie zakończy się pomyślnie, konto zostanie przeniesione do poziomu standardowego, co otwiera użytkownikowi rozszerzoną listę usług publicznych.
  • Potwierdzony. Aby uzyskać taki poziom konta, ujednolicony system identyfikacji i uwierzytelniania wymaga od użytkowników standardowego konta, a także weryfikacji tożsamości, który jest przeprowadzany przez osobistą wizytę w oddziałie autoryzowanego serwisu lub poprzez otrzymanie kodu aktywacyjnego za pośrednictwem zarejestrowanej poczty. W przypadku potwierdzenia tożsamości konto zostanie przeniesione na nowy poziom, a użytkownik będzie miał dostęp do pełnej listy niezbędnych usług publicznych.

Mimo że procedury mogą się wydawać dość skomplikowane, w rzeczywistości można zobaczyć pełną listę niezbędnych danych bezpośrednio na oficjalnej stronie internetowej, więc pełna rejestracja jest całkiem możliwe przez kilka dni.