Identyfikacja i uwierzytelnianie: podstawowe pojęcia

2024 Autor: Howard Calhoun | [email protected]. Ostatnio zmodyfikowany: 2023-12-17 10:38

Identyfikacja i uwierzytelnianie są podstawą nowoczesnych narzędzi bezpieczeństwa oprogramowania i sprzętu, ponieważ wszelkie inne usługi są przeznaczone głównie do obsługi tych podmiotów. Koncepcje te stanowią rodzaj pierwszej linii obrony, która zapewnia bezpieczeństwo przestrzeni informacyjnej organizacji.

Co to jest?

Identyfikacja i uwierzytelnianie mają różne funkcje. Pierwsza daje podmiotowi (użytkownikowi lub procesowi działającemu w jego imieniu) możliwość podania własnego nazwiska. Za pomocą uwierzytelniania druga strona jest ostatecznie przekonana, że podmiot naprawdę jest tym, za kogo się podaje. Identyfikacja i uwierzytelnianie są często zastępowane wyrażeniami „nazwa wiadomość” i „uwierzytelnianie” jako synonimy.

Sami są podzielone na kilka odmian. Następnie przyjrzymy się, czym są i czym są identyfikacja i uwierzytelnianie.

Uwierzytelnianie

Ta koncepcja przewiduje dwa rodzaje: jednostronne, gdy klientmusi najpierw udowodnić serwerowi swoją autentyczność, i to dwukierunkowo, czyli w przypadku przeprowadzania wzajemnego potwierdzania. Standardowym przykładem tego, jak odbywa się standardowa identyfikacja i uwierzytelnianie użytkownika, jest procedura logowania do konkretnego systemu. W ten sposób różne typy mogą być używane w różnych obiektach.

W środowisku sieciowym, w którym identyfikacja i uwierzytelnianie użytkowników odbywa się po stronach rozproszonych geograficznie, omawiana usługa różni się w dwóch głównych aspektach:

• który działa jako uwierzytelniający;
• jak dokładnie została zorganizowana wymiana danych uwierzytelniających i identyfikacyjnych i jak jest chroniona.

Aby udowodnić swoją tożsamość, podmiot musi przedstawić jedną z następujących jednostek:

• pewne informacje, które zna (numer osobisty, hasło, specjalny klucz kryptograficzny itp.);
• pewna rzecz, którą posiada (karta osobista lub inne urządzenie o podobnym przeznaczeniu);
• pewna rzecz, która jest elementem samej siebie (odciski palców, głos i inne biometryczne środki identyfikacji i uwierzytelniania użytkowników).

Funkcje systemu

W otwartym środowisku sieciowym strony nie mają zaufanej trasy, co oznacza, że ogólnie informacje przesyłane przez podmiot mogą ostatecznie nie odpowiadać informacjom otrzymanym i wykorzystanympodczas uwierzytelniania. Wymagane jest zapewnienie bezpieczeństwa aktywnego i pasywnego nasłuchiwania sieci, czyli ochrony przed korektą, przechwyceniem lub odtwarzaniem różnych danych. Opcja przesyłania haseł w postaci zwykłego tekstu jest niezadowalająca, podobnie szyfrowanie haseł nie może uratować dnia, ponieważ nie zapewnia ochrony przed powielaniem. Dlatego obecnie używane są bardziej złożone protokoły uwierzytelniania.

Niezawodna identyfikacja jest trudna nie tylko z powodu różnych zagrożeń internetowych, ale także z wielu innych powodów. Przede wszystkim prawie każdy podmiot uwierzytelniający może zostać skradziony, sfałszowany lub wywnioskowany. Istnieje również pewna sprzeczność między niezawodnością używanego systemu z jednej strony, a wygodą administratora lub użytkownika systemu z drugiej. W związku z tym ze względów bezpieczeństwa wymagane jest proszenie użytkownika o ponowne wprowadzenie swoich danych uwierzytelniających z pewną częstotliwością (ponieważ inna osoba może już siedzieć na jego miejscu), a to nie tylko stwarza dodatkowe kłopoty, ale także znacznie zwiększa szansa, że ktoś może szpiegować wprowadzane informacje. Między innymi niezawodność sprzętu ochronnego znacząco wpływa na jego koszt.

Nowoczesne systemy identyfikacji i uwierzytelniania obsługują koncepcję pojedynczego logowania do sieci, co przede wszystkim pozwala spełnić wymagania dotyczące wygody użytkownika. Jeśli standardowa sieć firmowa ma wiele usług informacyjnych,zapewniając możliwość samodzielnego leczenia, wówczas wielokrotne wprowadzanie danych osobowych staje się zbyt uciążliwe. W tej chwili nie można jeszcze powiedzieć, że korzystanie z pojedynczego logowania jest uważane za normalne, ponieważ dominujące rozwiązania jeszcze się nie uformowały.

W związku z tym wiele osób próbuje znaleźć kompromis między przystępną ceną, wygodą i niezawodnością środków zapewniających identyfikację/uwierzytelnianie. Autoryzacja użytkowników w tym przypadku odbywa się według indywidualnych reguł.

Szczególną uwagę należy zwrócić na fakt, że wykorzystywana usługa może zostać wybrana jako obiekt ataku dostępności. Jeżeli system jest skonfigurowany w taki sposób, że po określonej liczbie nieudanych prób możliwość wejścia jest zablokowana, to w takim przypadku atakujący mogą zatrzymać pracę legalnych użytkowników zaledwie kilkoma naciśnięciami klawiszy.

Uwierzytelnianie hasłem

Główną zaletą takiego systemu jest to, że jest on niezwykle prosty i znajomy większości. Hasła są używane przez systemy operacyjne i inne usługi od dawna, a gdy są używane prawidłowo, zapewniają poziom bezpieczeństwa, który jest akceptowalny dla większości organizacji. Ale z drugiej strony, pod względem całkowitego zestawu cech, takie systemy stanowią najsłabszy sposób, za pomocą którego można przeprowadzić identyfikację/uwierzytelnianie. Autoryzacja w tym przypadku staje się dość prosta, ponieważ hasła muszą byćniezapomniane, ale jednocześnie proste kombinacje nie są trudne do odgadnięcia, zwłaszcza jeśli dana osoba zna preferencje konkretnego użytkownika.

Czasami zdarza się, że hasła w zasadzie nie są utrzymywane w tajemnicy, ponieważ mają dość standardowe wartości określone w określonej dokumentacji i nie zawsze po zainstalowaniu systemu są one zmieniane.

Podczas wprowadzania hasła można zobaczyć, aw niektórych przypadkach ludzie używają nawet specjalistycznych urządzeń optycznych.

Użytkownicy, będący głównymi podmiotami identyfikacji i uwierzytelniania, często mogą udostępniać hasła współpracownikom w celu zmiany właściciela na określony czas. Teoretycznie w takich sytuacjach najlepiej byłoby zastosować specjalne kontrole dostępu, ale w praktyce nikt z nich nie korzysta. A jeśli dwie osoby znają hasło, znacznie zwiększa to szanse, że inni w końcu się o tym dowiedzą.

Jak to naprawić?

Istnieje kilka sposobów zabezpieczenia identyfikacji i uwierzytelniania. Komponent przetwarzający informacje może się zabezpieczyć w następujący sposób:

• Nakładanie różnych ograniczeń technicznych. Najczęściej ustalane są reguły dotyczące długości hasła, a także zawartości poszczególnych znaków w nim.
• Zarządzanie wygasaniem haseł, czyli konieczność okresowej ich zmiany.
• Ograniczanie dostępu do głównego pliku haseł.
• Poprzez ograniczenie całkowitej liczby nieudanych prób dostępnych podczas logowania. DziękiW takim przypadku atakujący powinni wykonywać działania tylko przed wykonaniem identyfikacji i uwierzytelnienia, ponieważ nie można użyć metody brute-force.
• Wstępne szkolenie użytkowników.
• Korzystanie ze specjalistycznego oprogramowania do generowania haseł, które pozwala tworzyć kombinacje, które są wystarczająco eufoniczne i zapadające w pamięć.

Wszystkie te środki można zastosować w każdym przypadku, nawet jeśli wraz z hasłami używane są inne sposoby uwierzytelniania.

Hasła jednorazowe

Opisane powyżej opcje są wielokrotnego użytku, a jeśli kombinacja zostanie ujawniona, osoba atakująca ma możliwość wykonania pewnych operacji w imieniu użytkownika. Dlatego hasła jednorazowe są wykorzystywane jako silniejszy środek, odporny na możliwość pasywnego nasłuchiwania sieci, dzięki czemu system identyfikacji i uwierzytelniania staje się znacznie bezpieczniejszy, choć nie tak wygodny.

W tej chwili jednym z najpopularniejszych programowych generatorów jednorazowych haseł jest system o nazwie S/KEY, wydany przez firmę Bellcore. Podstawowa koncepcja tego systemu polega na tym, że istnieje pewna funkcja F, która jest znana zarówno użytkownikowi, jak i serwerowi uwierzytelniającemu. Poniżej znajduje się tajny klucz K, który jest znany tylko określonemu użytkownikowi.

Podczas początkowego administrowania użytkownikiem ta funkcja jest używana do klawiszaokreśloną liczbę razy, po czym wynik zostanie zapisany na serwerze. W przyszłości procedura uwierzytelniania wygląda następująco:

1. Liczba dociera do systemu użytkownika z serwera, która jest o 1 mniejsza niż liczba użyć funkcji do klawisza.
2. Użytkownik używa funkcji do dostępnego tajnego klucza tyle razy, co zostało ustawione w pierwszym akapicie, po czym wynik jest wysyłany przez sieć bezpośrednio do serwera uwierzytelniania.
3. Server używa tej funkcji do otrzymanej wartości, po czym wynik jest porównywany z poprzednio zapisaną wartością. Jeśli wyniki są zgodne, użytkownik jest uwierzytelniany, a serwer zapisuje nową wartość, a następnie zmniejsza licznik o jeden.

W praktyce wdrożenie tej technologii ma nieco bardziej złożoną strukturę, ale w tej chwili nie jest to tak ważne. Ponieważ funkcja jest nieodwracalna, nawet w przypadku przechwycenia hasła lub uzyskania nieautoryzowanego dostępu do serwera uwierzytelniającego, nie daje możliwości uzyskania tajnego klucza i w żaden sposób nie przewiduje konkretnie, jak będzie wyglądało następne hasło jednorazowe.

W Rosji specjalny portal państwowy jest używany jako ujednolicona usługa - „Ujednolicony system identyfikacji / uwierzytelniania” („ESIA”).

Innym podejściem do silnego systemu uwierzytelniania jest wygenerowanie nowego hasła w krótkich odstępach czasu, co jest również realizowane poprzezkorzystanie ze specjalistycznych programów lub różnych kart inteligentnych. W takim przypadku serwer uwierzytelniający musi zaakceptować odpowiedni algorytm generowania hasła, a także pewne parametry z nim związane, a dodatkowo musi być także synchronizacja zegara serwera i klienta.

Kerberos

Serwer uwierzytelniający Kerberos pojawił się po raz pierwszy w połowie lat 90. ubiegłego wieku, ale od tego czasu przeszedł już ogromną liczbę fundamentalnych zmian. W chwili obecnej poszczególne komponenty tego systemu są obecne w prawie każdym nowoczesnym systemie operacyjnym.

Głównym celem tej usługi jest rozwiązanie następującego problemu: istnieje pewna niezabezpieczona sieć, a w jej węzłach koncentrują się różne tematy w postaci użytkowników, a także systemów oprogramowania serwera i klienta. Każdy taki podmiot ma indywidualny tajny klucz i aby podmiot C miał możliwość udowodnienia swojej autentyczności podmiotowi S, bez czego po prostu mu nie będzie służył, będzie musiał nie tylko się nazywać, ale także aby pokazać, że zna pewien tajny klucz. Jednocześnie C nie ma możliwości po prostu wysłania swojego tajnego klucza do S, ponieważ przede wszystkim sieć jest otwarta, a poza tym S nie wie i w zasadzie nie powinien tego wiedzieć. W takiej sytuacji do wykazania znajomości tych informacji używana jest mniej prosta technika.

Elektroniczna identyfikacja/uwierzytelnianie przez system Kerberos zapewnia toużywaj jako zaufana strona trzecia, która posiada informacje o tajnych kluczach obsługiwanych obiektów i, jeśli to konieczne, pomaga im w przeprowadzeniu uwierzytelniania parami.

W ten sposób klient najpierw wysyła żądanie do systemu, które zawiera niezbędne informacje o nim, a także o żądanej usłudze. Następnie Kerberos dostarcza mu rodzaj biletu, który jest zaszyfrowany tajnym kluczem serwera, a także kopię niektórych danych z niego, która jest zaszyfrowana kluczem klienta. W przypadku dopasowania ustala się, że klient odszyfrował przeznaczone dla niego informacje, czyli był w stanie wykazać, że naprawdę zna tajny klucz. Sugeruje to, że klient jest dokładnie tym, za kogo się podaje.

Szczególną uwagę należy zwrócić na fakt, że przesyłanie tajnych kluczy nie odbywało się przez sieć i były one używane wyłącznie do szyfrowania.

Uwierzytelnianie biometryczne

Biometria to połączenie zautomatyzowanych sposobów identyfikacji/uwierzytelniania osób na podstawie ich cech behawioralnych lub fizjologicznych. Fizyczne sposoby uwierzytelniania i identyfikacji obejmują weryfikację siatkówki i rogówki oczu, odciski palców, geometrię twarzy i dłoni oraz inne dane osobowe. Charakterystyki behawioralne obejmują styl pracy z klawiaturą i dynamikę podpisu. Łącznymetody to analiza różnych cech głosu osoby, a także rozpoznawanie jej mowy.

Takie systemy identyfikacji/uwierzytelniania i szyfrowania są szeroko stosowane w wielu krajach na całym świecie, ale przez długi czas były niezwykle drogie i trudne w użyciu. W ostatnim czasie, w związku z rozwojem e-commerce, znacznie wzrosło zapotrzebowanie na produkty biometryczne, gdyż z punktu widzenia użytkownika o wiele wygodniej jest się zaprezentować niż zapamiętywać niektóre informacje. W związku z tym popyt tworzy podaż, więc na rynku zaczęły pojawiać się stosunkowo niedrogie produkty, które skupiają się głównie na rozpoznawaniu linii papilarnych.

W zdecydowanej większości przypadków dane biometryczne są używane w połączeniu z innymi elementami uwierzytelniającymi, takimi jak karty inteligentne. Często uwierzytelnianie biometryczne jest tylko pierwszą linią obrony i służy do aktywacji kart inteligentnych, które zawierają różne tajemnice kryptograficzne. Podczas korzystania z tej technologii szablon biometryczny jest przechowywany na tej samej karcie.

Aktywność w dziedzinie biometrii jest dość wysoka. Odpowiednie konsorcjum już istnieje, a także dość aktywnie prowadzone są prace mające na celu standaryzację różnych aspektów technologii. Dziś można zobaczyć wiele artykułów reklamowych, w których technologie biometryczne są przedstawiane jako idealny sposób na zwiększenie bezpieczeństwa, a jednocześnie dostępny dla ogółu społeczeństwa.masy.

ESIA

System Identyfikacji i Uwierzytelniania ("ESIA") to specjalna usługa stworzona w celu zapewnienia realizacji różnych zadań związanych z weryfikacją tożsamości wnioskodawców i uczestników interakcji międzywydziałowej w przypadku świadczenia usług wszelkie usługi miejskie lub państwowe w formie elektronicznej.

Aby uzyskać dostęp do „Pojedynczego Portalu Agencji Rządowych”, a także wszelkich innych systemów informatycznych infrastruktury obecnego e-administracji, musisz najpierw zarejestrować konto i w rezultacie, odbierz PES.

Poziomy

Portal ujednoliconego systemu identyfikacji i uwierzytelniania zapewnia trzy główne poziomy kont dla osób fizycznych:

• Uproszczone. Aby go zarejestrować, wystarczy podać swoje nazwisko i imię, a także określony kanał komunikacji w postaci adresu e-mail lub telefonu komórkowego. Jest to podstawowy poziom, przez który dana osoba ma dostęp tylko do ograniczonej listy różnych usług publicznych, a także do możliwości istniejących systemów informatycznych.
• Standard. Aby go uzyskać, należy najpierw wystawić konto uproszczone, a następnie podać dodatkowe dane, w tym informacje z paszportu oraz numer indywidualnego konta ubezpieczeniowego. Podane informacje są automatycznie sprawdzane przez systemy informatyczneFundusz Emerytalny, a także Federalna Służba Migracyjna, a jeśli kontrola się powiedzie, konto jest przenoszone na poziom standardowy, co otwiera użytkownikowi rozszerzoną listę usług publicznych.
• Potwierdzono. Aby uzyskać ten poziom konta, ujednolicony system identyfikacji i uwierzytelniania wymaga od użytkowników posiadania standardowego konta, a także weryfikacji tożsamości, która odbywa się poprzez osobistą wizytę w autoryzowanym oddziale serwisowym lub poprzez otrzymanie kodu aktywacyjnego listem poleconym. W przypadku pomyślnej weryfikacji tożsamości konto zostanie przeniesione na nowy poziom, a użytkownik będzie miał dostęp do pełnej listy niezbędnych usług rządowych.

Pomimo tego, że procedury mogą wydawać się dość skomplikowane, w rzeczywistości z pełną listą niezbędnych danych można zapoznać się bezpośrednio na oficjalnej stronie internetowej, dzięki czemu pełna rejestracja jest całkiem możliwa w ciągu kilku dni.