449 Shares 9429 views

Identificazione e autenticazione: concetti di base

L'identificazione e l'autenticazione sono alla base della moderna software e hardware di sicurezza, come tutti gli altri servizi sono destinati principalmente per la manutenzione di questi soggetti. Questi concetti rappresentano una sorta di prima linea di difesa, garantire la sicurezza dello spazio informazioni dell'organizzazione.

Di cosa si tratta?

Identificazione e autenticazione hanno funzioni diverse. La prima fornisce un soggetto (utente o processo che agisce per conto del) la possibilità di raccontare il loro nome. Per mezzo di autenticazione è il secondo lato è del tutto convinto che il soggetto è davvero colui per il quale dice di essere. Spesso, come l'identificazione e l'autenticazione sinonimo sono sostituiti dalla frase "nome Post" e "autenticazione".

Si sono divisi in diverse varietà. Avanti, riteniamo che l'identificazione e l'autenticazione sono e ciò che siamo.

autenticazione

Questo concetto prevede due tipi: a senso unico, il cliente deve prima dimostrare al server per l'autenticazione, e bilaterale, cioè, quando è condotta conferma reciproca. Tipico esempio di come condurre un'identificazione standard e l'autenticazione degli utenti – è per accedere a un sistema specifico. Così, diversi tipi possono essere utilizzati in vari oggetti.

In un ambiente di rete, in cui l'identificazione e autenticazione degli utenti effettuate su geograficamente dispersi parti, esamina il servizio si distingue per due aspetti principali:

  • che agisce come autenticatore;
  • come è stato organizzato dallo scambio di autenticazione dei dati e di identificazione e come proteggerlo.

Per confermare la sua autenticità, il soggetto deve essere presentata ad uno dei seguenti soggetti:

  • alcune informazioni che conosce (numero personale, una password, una chiave crittografica speciale, ecc …);
  • certa cosa che possiede (tessera personale o qualche altro dispositivo che ha uno scopo simile);
  • certa cosa, che è un elemento di esso (impronte digitali, voce o altro tipo di identificazione biometrica e l'autenticazione degli utenti).

caratteristiche del sistema

Nell'ambiente di rete aperta, le parti non hanno un percorso di fiducia, e si dice che, in generale, le informazioni trasmesse dal soggetto può eventualmente essere diversa dalle informazioni ricevute e utilizzato per l'autenticazione. sicurezza richiesto di sniffer di rete attiva e passiva, cioè, la protezione contro le correzioni, l'intercettazione o la riproduzione di dati diversi. opzione di trasferimento password in chiaro non è soddisfacente, e solo non può salvare il giorno, e la password criptate, in quanto non sono previsti, la protezione della riproduzione. Ecco perché oggi è utilizzato protocolli di autenticazione più complessi.

un'identificazione affidabile è difficile non solo a causa di una serie di minacce di rete, ma anche per una serie di altri motivi. La prima virtualmente qualsiasi entità di autenticazione può essere rapita, falsificare o Scoutismo. una tensione tra l'affidabilità del sistema in uso è anche presente, da un lato, e l'amministratore di sistema o utente strutture – dall'altro. Così, per motivi di sicurezza richiesti con una certa frequenza chiedere all'utente di re-introduzione del suo informazioni di autenticazione (come invece egli può avere a sedersi alcune altre persone), e crea non solo problemi aggiuntivi, ma anche aumenta in modo significativo la possibilità di che qualcuno possa fare leva di ingresso informazioni. Inoltre, l'affidabilità della protezione fa impatto significativo sul suo valore.

I moderni sistemi di identificazione e autenticazione supportano il concetto di single sign-on alla rete, che si rivolge in primo luogo alle esigenze in termini di facilità d'uso. Se lo standard di rete aziendale ha un sacco di servizi di informazione, che prevede la possibilità di una circolazione indipendenti, allora la somministrazione multipla dei dati personali diventa troppo onerosa. Al momento non è ancora possibile dire che l'uso di Single Sign-On alla rete è normale, come le soluzioni dominanti non sono ancora formati.

Così, molti stanno cercando di trovare un compromesso tra accessibilità, convenienza e affidabilità dei fondi, che fornisce l'identificazione / autenticazione. l'autorizzazione per l'utente in questo caso viene effettuata in base alle regole individuali.

Particolare attenzione deve essere rivolta al fatto che il servizio viene utilizzato può essere selezionato come oggetto di attacchi sulla disponibilità. Se la configurazione del sistema è realizzato in modo tale che, dopo un certo numero di tentativi falliti di entrare la possibilità è stato bloccato, quindi l'attaccante può fermare il funzionamento degli utenti legittimi solo pochi tasti.

l'autenticazione della password

Il vantaggio principale di questo sistema è che è estremamente semplice e familiare ai più. Le password sono da tempo utilizzati dai sistemi operativi e altri servizi, e con l'uso corretto di condizione di sicurezza, che è abbastanza accettabile per la maggior parte delle organizzazioni. D'altra parte, da un insieme di caratteristiche comuni di questi sistemi sono il mezzo più deboli da cui l'identificazione / autenticazione può essere implementata. Autorizzazione in questo caso diventa abbastanza semplice, perché le password devono essere accattivante, ma non è difficile indovinare la combinazione di semplice, soprattutto se la persona conosce le preferenze di un particolare utente.

A volte capita che le password sono, in linea di principio, non siano tenuti segreti, così come lo sono i valori piuttosto standard specificate nella documentazione specifica, e non sempre dopo che il sistema è installato, li cambiano.

Quando si immette la password si può vedere, in alcuni casi, le persone anche utilizzare strumenti ottici specializzati.

Gli utenti, i principali temi di identificazione e autenticazione, le password sono spesso informare i colleghi a quelli in determinati orari sono cambiati proprietario. In teoria, in tali situazioni sarebbe più corretto usare i controlli di accesso speciali, ma in pratica non è in uso. E se la password conosce due persone, si aumenta molto notevolmente le probabilità che alla fine di esso e imparare di più.

Come risolvere il problema?

Ci sono diversi strumenti quali l'identificazione e l'autenticazione possono essere protetti. Il componente di elaborazione delle informazioni possono assicurare segue:

  • L'imposizione di varie limitazioni tecniche. Il più delle volte impostare regole sulla lunghezza della password e il contenuto di certi personaggi.
  • Ufficio scadenza della password, vale a dire che devono essere sostituiti periodicamente.
  • L'accesso limitato ai file di password di base.
  • Limitazione del numero totale di tentativi falliti che sono disponibili al momento del login. A causa di questo aggressori devono essere effettuate solo le azioni da eseguire identificazione e autenticazione, nonché il metodo di ordinamento non può essere utilizzato.
  • formazione preliminare degli utenti.
  • Utilizzando generatore di password del software specializzato in grado di creare tali combinazioni sufficientemente melodiosa e memorabile.

Tutte queste misure può essere utilizzato in ogni caso, anche se con le parole d'accesso potranno anche utilizzare altri mezzi di autenticazione.

one-time password

Le forme di realizzazione di cui sopra sono riutilizzabili, e in caso di apertura combinazioni malintenzionato è in grado di eseguire alcune operazioni sul conto dell'utente. È per questo che come un mezzo più forti resistenti alla possibilità di uno sniffer di rete passiva, utilizzare password monouso con cui l'identificazione e sistema di autenticazione è molto più sicuro, anche se non così conveniente.

Al momento, uno dei generatore di password one-time software più popolare è un sistema chiamato S / KEY, rilasciato da Bellcore. Il concetto di base di questo sistema è che c'è una certa funzione di F, che è noto sia al server di autenticazione dell'utente e. Il seguente è un K chiave segreta, nota solo a un utente specifico.

Alla utente iniziale dell'amministrazione, questa funzione permette di digitare un numero di volte, poi il risultato viene salvato sul server. Successivamente, la procedura di autenticazione è la seguente:

  1. Sul sistema dell'utente dal server arriva al numero che è inferiore a 1 il numero di volte usando la funzione al tasto.
  2. Funzione utente viene utilizzata per chiavi segrete del numero di volte che è stato impostato nel primo punto, dopo di che il risultato viene inviato attraverso la rete direttamente al server di autenticazione.
  3. Il server utilizza tale funzione al valore ottenuto, e quindi il risultato viene confrontato con il valore precedentemente memorizzato. Se i risultati corrispondono, allora l'identità dell'utente è stabilito, e il server memorizza il nuovo valore, e quindi diminuisce il contatore di uno.

In pratica, l'applicazione di questa tecnologia ha una struttura alquanto più complicata, ma al momento non importa. Dal momento che la funzione è irreversibile, anche se l'intercettazione password o ottenere accesso non autorizzato al server di autenticazione non fornisce la possibilità di ottenere la chiave privata e alcun modo di prevedere come sarà esattamente simile al seguente password monouso.

In Russia come un servizio unificato, un portale speciale stato – "sistema unico di identificazione / autenticazione" ( "ESIA").

Un altro approccio per l'autenticazione forte sistema sta nel fatto che la nuova password è stata generata a brevi intervalli, che si realizza anche attraverso l'utilizzo di programmi specializzati o diverse smart card. In questo caso, il server di autenticazione deve accettare l'algoritmo di generazione password corrispondente e alcuni parametri associati con esso, e in aggiunta, deve essere presente come server di sincronizzazione di clock e il client.

Kerberos

server di autenticazione Kerberos per la prima volta è apparso a metà degli anni '90 del secolo scorso, ma da allora aveva già ricevuto un sacco di cambiamenti fondamentali. Al momento, i singoli componenti del sistema sono presenti in quasi tutti i sistemi operativi moderni.

Lo scopo principale di questo servizio è quello di risolvere il seguente problema: c'è una certa sistemi server e software client di rete non sicura ed i nodi nella sua forma concentrata in vari utenti soggetti, e. Ogni tale entità è presente chiave segreta individuale, e ai soggetti con l'opportunità di dimostrare la loro autenticità al soggetto la S, senza la quale semplicemente non servirà esso, sarà necessario chiamare non solo se stesso, ma anche per mostrare che sa un po ' chiave segreta. Allo stesso tempo, con alcun modo per inviare proprio nella direzione dei vostri S chiave segreta, come nel primo caso la rete è aperta, e in aggiunta, S non lo sa, e, in linea di principio, non lo dovrebbe sapere. In questa situazione, utilizzare la tecnologia meno semplice dimostrazione di conoscenza di tali informazioni.

identificazione / autenticazione elettronica attraverso il sistema Kerberos prevede il suo utilizzo come una terza parte fidata, che contiene informazioni sulle chiavi segrete di siti attrezzati e li assiste nella realizzazione di autenticazione a due a due, se necessario.

Così, il primo client ha inviato in una query che contiene le informazioni necessarie su di esso, così come il servizio richiesto. Dopo questo, Kerberos gli dà una sorta di biglietto che è criptato con una chiave segreta del server, così come una copia di alcuni dei dati da esso, che è la chiave segreta del cliente. Nel caso in cui si accerti le informazioni che il client è stato decifrato destinato esso, cioè, è stato in grado di dimostrare che la chiave privata di lui si sa davvero. Ciò indica che il client è la persona per la quale essa è.

Particolare attenzione dovrebbe essere presa qui per garantire che la trasmissione di chiavi segrete non vengono effettuate sulla rete, e al loro uso esclusivo per la crittografia.

di autenticazione utilizzando la biometria

Biometria comporta una combinazione di identificazione / autenticazione automatizzata di persone in base alle loro caratteristiche comportamentali o fisiologici. mezzi fisici di identificazione e autenticazione prevedono la scansione della retina e dell'occhio cornea, impronte digitali, volto e geometria della mano, così come altre informazioni personali. Le caratteristiche comportamentali includono anche lo stile di lavoro con la tastiera e la dinamica della firma. metodi combinati sono l'analisi delle diverse caratteristiche della voce umana, così come il riconoscimento del suo discorso.

Tali sistemi di identificazione / autenticazione e crittografia sono ampiamente utilizzati in molti paesi in tutto il mondo, ma per lungo tempo, sono estremamente elevati costi e la complessità di utilizzo. Più di recente, la domanda di prodotti biometrici è aumentata in modo significativo a causa dello sviluppo del commercio elettronico, perché, dal punto di vista dell'utente, è molto più facile di presentarsi, di ricordare alcune informazioni. Di conseguenza, la domanda crea l'offerta, in modo che il mercato ha cominciato a comparire i prodotti relativamente a basso prezzo, che si concentrano principalmente sul riconoscimento delle impronte digitali.

Nella stragrande maggioranza dei casi, biometria è usato in combinazione con altri autenticatori come le smart card. Spesso l'autenticazione biometrica è solo la prima linea di difesa e agisce come un mezzo per migliorare la smart card, tra cui vari segreti crittografici. Quando si utilizza questa tecnologia, il modello biometrico è memorizzato sulla stessa scheda.

Attività nel campo della biometria è sufficientemente elevata. Rilevante consorzio esistente, così come il lavoro molto attivo è in corso di standardizzare i vari aspetti della tecnologia. Oggi siamo in grado di vedere un sacco di articoli pubblicitari che le tecnologie biometriche sono presentate come un mezzo ideale per fornire una maggiore sicurezza e allo stesso tempo accessibile alle masse.

ESIA

sistema di identificazione e autenticazione ( "ESIA") è un servizio speciale progettato per garantire l'attuazione delle varie attività legate alla verifica dell'autenticità dei candidati e dei membri della cooperazione tra agenzie in caso di eventuali servizi comunali o pubbliche in forma elettronica.

Al fine di ottenere l'accesso a un "portale unico delle strutture statali", così come qualsiasi altra infrastruttura dei sistemi informativi degli attuali e-government, è necessario prima registrare l'account e, di conseguenza, ottenere farmaci antiepilettici.

livelli

Portale di un sistema unificato di identificazione e autenticazione prevede tre livelli fondamentali di conti per gli individui:

  • Semplificata. Per la sua registrazione è sufficiente includere il tuo nome e cognome, così come qualche particolare canale di comunicazione sotto forma di un indirizzo email o un telefono cellulare. Questo livello primario, con la quale una persona dà accesso solo a un elenco limitato di vari servizi pubblici, così come le capacità dei sistemi informativi esistenti.
  • Standard. Per ottenere inizialmente necessaria per il rilascio di un conto semplificato, e quindi anche fornire ulteriori informazioni, anche dal numero di passaporto e l'assicurazione conto individuale. Questa informazione viene controllato automaticamente tramite il sistema informativo del fondo pensione, così come il Servizio federale della migrazione, e, se la prova è riuscita, l'account viene convertito in un livello standard, si apre l'utente a un elenco esteso di servizi statali.
  • Confermato. Per ottenere questo livello di account, un sistema unificato di identificazione e l'autenticazione richiede agli utenti di un account standard, così come prova di identità, che viene eseguita attraverso una visita personale di un centro di assistenza autorizzato o ottenendo un codice di attivazione tramite una lettera raccomandata. Nel caso in cui la conferma individuo è successo, l'account passerà ad un nuovo livello, e per l'utente avrà accesso ad una lista completa dei servizi pubblici necessari.

Nonostante il fatto che le procedure possono sembrare abbastanza complesso da vedere effettivamente l'elenco completo dei dati richiesti possono essere direttamente sul sito ufficiale, per cui è possibile per completare la registrazione per un paio di giorni.