Identifiering och autentisering: grundläggande begrepp

2024 Författare: Howard Calhoun | [email protected]. Senast ändrad: 2023-12-17 10:41

Identifiering och autentisering är grunden för moderna säkerhetsverktyg för mjukvara och hårdvara, eftersom alla andra tjänster huvudsakligen är utformade för att tjäna dessa enheter. Dessa koncept representerar ett slags första försvarslinje som säkerställer säkerheten för organisationens informationsutrymme.

Vad är det här?

Identifiering och autentisering har olika funktioner. Den första ger försökspersonen (användaren eller processen som agerar på deras vägnar) möjlighet att ange sitt eget namn. Med hjälp av autentisering blir den andra parten slutligen övertygad om att subjektet verkligen är den han utger sig för att vara. Identifiering och autentisering ersätts ofta av fraserna "namnmeddelande" och "autentisering" som synonymer.

De är själva uppdelade i flera varianter. Därefter kommer vi att titta på vad identifiering och autentisering är och vad de är.

Autentisering

Detta koncept ger två typer: ensidig, när klientenmåste först bevisa dess äkthet för servern, och tvåvägs, det vill säga när ömsesidig bekräftelse genomförs. Ett standardexempel på hur standardanvändaridentifiering och -autentisering utförs är proceduren för att logga in i ett visst system. Således kan olika typer användas i olika objekt.

I en nätverksmiljö där användaridentifiering och autentisering utförs på geografiskt spridda sidor, skiljer sig tjänsten i fråga i två huvudsakliga aspekter:

• som fungerar som en autentisering;
• hur exakt utbytet av autentiserings- och identifieringsdata organiserades och hur det skyddas.

För att bevisa sin identitet måste försökspersonen presentera en av följande enheter:

• viss information som han känner till (personnummer, lösenord, speciell kryptografisk nyckel, etc.);
• viss sak som han äger (personligt kort eller någon annan enhet med liknande syfte);
• en viss sak som är en del av sig själv (fingeravtryck, röst och andra biometriska sätt att identifiera och autentisera användare).

Systemfunktioner

I en öppen nätverksmiljö har parterna inte en tillförlitlig väg, vilket innebär att informationen som överförs av försökspersonen i slutändan kanske inte matchar den information som tas emot och användsvid autentisering. Det krävs för att säkerställa säkerheten för aktiv och passiv lyssnande på nätverket, det vill säga skydd mot korrigering, avlyssning eller uppspelning av olika data. Möjligheten att överföra lösenord i klartext är otillfredsställande, och på samma sätt kan lösenordskryptering inte rädda dagen, eftersom de inte ger skydd mot reproduktion. Det är därför mer komplexa autentiseringsprotokoll används idag.

Tillförlitlig identifiering är svårt, inte bara på grund av olika onlinehot, utan också av en mängd andra skäl. Först och främst kan nästan alla autentiseringsenheter stjälas, förfalskas eller antas. Det finns också en viss motsägelse mellan tillförlitligheten hos det använda systemet, å ena sidan, och bekvämligheten för systemadministratören eller användaren, å andra sidan. Av säkerhetsskäl är det därför nödvändigt att be användaren att ange sin autentiseringsinformation igen med en viss frekvens (eftersom någon annan person kanske redan sitter på hans plats), och detta skapar inte bara ytterligare problem, utan ökar också avsevärt chans att någon kan spionera på att ange information. Bland annat påverkar skyddsutrustningens tillförlitlighet avsevärt dess kostnad.

Moderna identifierings- och autentiseringssystem stödjer konceptet med enkel inloggning till nätverket, vilket i första hand låter dig uppfylla kraven när det gäller användarvänlighet. Om ett standardföretagsnätverk har många informationstjänster,ger möjlighet till oberoende behandling, då blir det upprepade införandet av personuppgifter för betungande. För närvarande kan det ännu inte sägas att användningen av enkel inloggning anses vara normal, eftersom de dominerande lösningarna ännu inte har bildats.

Därför försöker många hitta en kompromiss mellan prisvärdhet, bekvämlighet och tillförlitlighet för de medel som tillhandahåller identifiering/autentisering. Auktorisering av användare i detta fall utförs enligt individuella regler.

Särskild uppmärksamhet bör ägnas åt det faktum att tjänsten som används kan väljas som föremål för en tillgänglighetsattack. Om systemet är konfigurerat på ett sådant sätt att möjligheten att komma in blockeras efter ett visst antal misslyckade försök, då kan angripare i detta fall stoppa legala användares arbete med bara några knapptryckningar.

Lösenordsautentisering

Den största fördelen med ett sådant system är att det är extremt enkelt och bekant för de flesta. Lösenord har använts av operativsystem och andra tjänster under lång tid, och när de används på rätt sätt ger de en säkerhetsnivå som är ganska acceptabel för de flesta organisationer. Men å andra sidan, i termer av den totala uppsättningen av egenskaper, representerar sådana system det svagaste sättet med vilket identifiering / autentisering kan utföras. Auktorisering i detta fall blir ganska enkel, eftersom lösenord måste vara detminnesvärda, men samtidigt är enkla kombinationer inte svåra att gissa, särskilt om en person känner till en viss användares preferenser.

Ibland händer det att lösenord i princip inte hålls hemliga, eftersom de har ganska standardvärden specificerade i viss dokumentation, och inte alltid efter att systemet har installerats ändras de.

När du anger lösenordet kan du se, och i vissa fall använder folk till och med specialiserade optiska enheter.

Användare, huvudämnena för identifiering och autentisering, kan ofta dela lösenord med kollegor för att de ska kunna byta ägare under en viss tid. I teorin skulle det i sådana situationer vara bäst att använda speciella åtkomstkontroller, men i praktiken används detta inte av någon. Och om två personer känner till lösenordet ökar det avsevärt chanserna att andra så småningom får reda på det.

Hur fixar jag detta?

Det finns flera sätt för hur identifiering och autentisering kan säkras. Informationsbehandlingskomponenten kan säkra sig själv enligt följande:

• Införande av olika tekniska begränsningar. Oftast sätts regler för längden på lösenordet, samt innehållet i vissa tecken i det.
• Hantera utgången av lösenord, det vill säga behovet av att ändra dem med jämna mellanrum.
• Begränsar åtkomst till huvudlösenordsfilen.
• Genom att begränsa det totala antalet misslyckade försök som är tillgängliga vid inloggning. Tack vareI det här fallet bör angripare endast utföra åtgärder innan de utför identifiering och autentisering, eftersom brute-force-metoden inte kan användas.
• Förutbildning av användare.
• Använda specialiserad programvara för lösenordsgenerering som låter dig skapa kombinationer som är välljudande och minnesvärda nog.

Alla dessa åtgärder kan användas i alla fall, även om andra metoder för autentisering används tillsammans med lösenord.

Engångslösenord

Alternativen som diskuteras ovan är återanvändbara, och om kombinationen avslöjas får angriparen möjlighet att utföra vissa operationer för användarens räkning. Det är därför engångslösenord används som ett starkare medel, resistenta mot möjligheten till passiv nätverkslyssning, tack vare vilket identifierings- och autentiseringssystemet blir mycket säkrare, även om det inte är lika bekvämt.

För närvarande är en av de mest populära engångslösenordsgeneratorerna ett system som heter S/KEY, släppt av Bellcore. Grundkonceptet för detta system är att det finns en viss funktion F som är känd för både användaren och autentiseringsservern. Följande är den hemliga nyckeln K, som bara är känd för en viss användare.

Under den initiala administrationen av användaren används denna funktion för att tangentenett visst antal gånger, varefter resultatet sparas på servern. I framtiden ser autentiseringsproceduren ut så här:

1. Ett nummer kommer till användarsystemet från servern, vilket är 1 mindre än antalet gånger funktionen används för nyckeln.
2. Användaren använder funktionen till den tillgängliga hemliga nyckeln det antal gånger som sattes i första stycket, varefter resultatet skickas via nätverket direkt till autentiseringsservern.
3. Server använder denna funktion till det mottagna värdet, varefter resultatet jämförs med det tidigare sparade värdet. Om resultaten matchar, autentiseras användaren och servern sparar det nya värdet och minskar sedan räknaren med ett.

I praktiken har implementeringen av denna teknik en lite mer komplex struktur, men för tillfället är det inte så viktigt. Eftersom funktionen är oåterkallelig, även om lösenordet avlyssnas eller obehörig åtkomst till autentiseringsservern erhålls, ger den inte möjligheten att erhålla en hemlig nyckel och på något sätt förutsäga hur nästa engångslösenord kommer att se ut specifikt.

I Ryssland används en speciell statlig portal som en enhetlig tjänst - "Unified Identification / Authentication System" ("ESIA").

Ett annat tillvägagångssätt för ett starkt autentiseringssystem är att få ett nytt lösenord genererat med korta intervaller, vilket också implementeras genomanvändning av specialiserade program eller olika smartkort. I det här fallet måste autentiseringsservern acceptera den lämpliga lösenordsgenereringsalgoritmen, såväl som vissa parametrar associerade med den, och dessutom måste det också finnas server- och klientklocksynkronisering.

Kerberos

Kerberos autentiseringsserver dök upp först i mitten av 90-talet av förra seklet, men sedan dess har den redan fått ett stort antal grundläggande förändringar. För närvarande finns individuella komponenter i detta system i nästan alla moderna operativsystem.

Huvudsyftet med denna tjänst är att lösa följande problem: det finns ett visst oskyddat nätverk, och olika ämnen är koncentrerade i dess noder i form av användare, såväl som server- och klientprogramvarusystem. Varje sådant ämne har en individuell hemlig nyckel, och för att ämnet C ska ha möjlighet att bevisa sin egen äkthet för ämnet S, utan vilken han helt enkelt inte kommer att tjäna honom, behöver han inte bara namnge sig själv utan också att visa att han kan en viss Den hemliga nyckeln. Samtidigt har C inte möjlighet att helt enkelt skicka sin hemliga nyckel till S, eftersom nätverket för det första är öppet, och förutom detta vet S inte och borde i princip inte veta det. I en sådan situation används en mindre okomplicerad teknik för att visa kunskap om denna information.

Elektronisk identifiering/autentisering genom Kerberos-systemet tillhandahåller detanvänd som en pålitlig tredje part som har information om de hemliga nycklarna för de betjänade objekten och, om nödvändigt, hjälper dem att utföra parvis autentisering.

Därmed skickar klienten först en förfrågan till systemet, som innehåller nödvändig information om honom, samt om den begärda tjänsten. Därefter förser Kerberos honom med en sorts biljett, som krypteras med serverns hemliga nyckel, samt en kopia av en del av data från den, som krypteras med klientens nyckel. Vid en matchning konstateras att klienten dekrypterade informationen som var avsedd för honom, det vill säga att han kunde visa att han verkligen känner till den hemliga nyckeln. Detta tyder på att klienten är precis den han utger sig för att vara.

Särskild uppmärksamhet här bör ägnas åt det faktum att överföringen av hemliga nycklar inte utfördes över nätverket, och de användes uteslutande för kryptering.

Biometrisk autentisering

Biometri innebär en kombination av automatiserade sätt att identifiera/autentisera personer baserat på deras beteendemässiga eller fysiologiska egenskaper. Fysiska metoder för autentisering och identifiering inkluderar verifiering av näthinnan och hornhinnan i ögonen, fingeravtryck, ansikts- och handgeometri och annan personlig information. Beteendeegenskaper inkluderar stilen att arbeta med tangentbordet och dynamiken i signaturen. Kombineradmetoder är analys av olika funktioner i en persons röst, samt igenkänning av hans tal.

Sådana system för identifiering/autentisering och kryptering används ofta i många länder runt om i världen, men under lång tid var de extremt dyra och svåra att använda. Nyligen har efterfrågan på biometriska produkter ökat avsevärt på grund av utvecklingen av e-handel, eftersom det från användarens synvinkel är mycket bekvämare att presentera sig själv än att memorera lite information. Följaktligen skapar efterfrågan utbud, så relativt billiga produkter började dyka upp på marknaden, som huvudsakligen är inriktade på fingeravtrycksigenkänning.

I de allra flesta fall används biometri i kombination med andra autentiseringsmedel som smartkort. Ofta är biometrisk autentisering bara den första försvarslinjen och fungerar som ett sätt att aktivera smarta kort som innehåller olika kryptografiska hemligheter. När du använder den här tekniken lagras den biometriska mallen på samma kort.

Aktiviteten inom biometriområdet är ganska hög. Ett lämpligt konsortium finns redan och det pågår också ett ganska aktivt arbete med att standardisera olika aspekter av tekniken. Idag kan du se många reklamartiklar där biometriska tekniker presenteras som ett idealiskt medel för att öka säkerheten och samtidigt tillgängliga för allmänheten.massorna.

ESIA

Identifierings- och autentiseringssystemet ("ESIA") är en speciell tjänst skapad för att säkerställa genomförandet av olika uppgifter relaterade till verifiering av identiteten för sökande och deltagare i interdepartemental interaktion i fallet med tillhandahållande av alla kommunala eller statliga tjänster i elektronisk form.

För att få tillgång till "Single Portal of Government Agencies", liksom alla andra informationssystem i infrastrukturen för den nuvarande e-förv altningen, måste du först registrera ett konto och som ett resultat, få en PES.

Levels

Portalen för det enhetliga identifierings- och autentiseringssystemet tillhandahåller tre huvudnivåer av konton för individer:

• Förenklad. För att registrera det behöver du bara ange ditt efternamn och förnamn, samt någon specifik kommunikationskanal i form av en e-postadress eller mobiltelefon. Detta är den primära nivån, genom vilken en person endast har tillgång till en begränsad lista över olika offentliga tjänster, såväl som kapaciteten hos befintliga informationssystem.
• Standard. För att få det måste du först utfärda ett förenklat konto och sedan också tillhandahålla ytterligare uppgifter, inklusive information från passet och numret på försäkringens individuella personliga konto. Den angivna informationen kontrolleras automatiskt genom informationssystemPensionsfonden, såväl som Federal Migration Service, och om kontrollen lyckas överförs kontot till standardnivån, vilket öppnar upp en utökad lista över offentliga tjänster för användaren.
• Bekräftad. För att erhålla denna kontonivå kräver det enhetliga identifierings- och autentiseringssystemet att användarna har ett standardkonto, samt identitetsverifiering, som utförs genom ett personligt besök på en auktoriserad servicefilial eller genom att erhålla en aktiveringskod via rekommenderad post. Om identitetsverifieringen lyckas flyttas kontot till en ny nivå och användaren får tillgång till hela listan över nödvändiga statliga tjänster.

Trots att procedurerna kan verka ganska komplicerade kan du faktiskt bekanta dig med hela listan över nödvändiga uppgifter direkt på den officiella webbplatsen, så en fullständig registrering är fullt möjlig inom några dagar.