Identifikácia a autentifikácia: základné pojmy

2024 Autor: Howard Calhoun | [email protected]. Naposledy zmenené: 2023-12-17 10:39

Identifikácia a autentifikácia sú základom moderných softvérových a hardvérových bezpečnostných nástrojov, pretože akékoľvek iné služby sú určené hlavne na to, aby slúžili týmto subjektom. Tieto koncepty predstavujú akúsi prvú líniu obrany, ktorá zaisťuje bezpečnosť informačného priestoru organizácie.

Čo je toto?

Identifikácia a autentifikácia majú rôzne funkcie. Prvý dáva subjektu (používateľovi alebo procesu konajúcemu v ich mene) možnosť uviesť svoje vlastné meno. Pomocou autentifikácie sa druhá strana konečne presvedčí, že subjekt je skutočne tým, za koho sa vydáva. Identifikácia a autentifikácia sa často nahrádzajú frázami „správa s menom“a „autentifikácia“ako synonymá.

Samotné sa delia do niekoľkých odrôd. Ďalej sa pozrieme na to, čo je identifikácia a autentifikácia a čo to je.

Autentifikácia

Tento koncept poskytuje dva typy: jednostranný, kedy klientmusí najprv preukázať svoju pravosť serveru, a to obojsmerne, to znamená, keď sa vykonáva vzájomné potvrdenie. Štandardným príkladom toho, ako prebieha štandardná identifikácia a autentifikácia používateľa, je postup prihlásenia sa do konkrétneho systému. V rôznych objektoch teda možno použiť rôzne typy.

V sieťovom prostredí, kde sa identifikácia a autentifikácia používateľov vykonáva na geograficky rozptýlených stranách, sa príslušná služba líši v dvoch hlavných aspektoch:

• ktorý funguje ako autentifikátor;
• ako presne bola organizovaná výmena autentifikačných a identifikačných údajov a ako je chránená.

Na preukázanie totožnosti musí subjekt predložiť jeden z nasledujúcich subjektov:

• určité informácie, ktoré pozná (osobné číslo, heslo, špeciálny kryptografický kľúč atď.);
• istú vec, ktorú vlastní (osobnú kartu alebo iné zariadenie s podobným účelom);
• určitá vec, ktorá je sama osebe prvkom (odtlačky prstov, hlas a iné biometrické prostriedky na identifikáciu a autentifikáciu používateľov).

Funkcie systému

V otvorenom sieťovom prostredí nemajú strany dôveryhodnú cestu, čo znamená, že vo všeobecnosti sa informácie prenášané subjektom nemusia zhodovať s informáciami prijatými a použitýmipri autentifikácii. Je potrebné zabezpečiť bezpečnosť aktívneho a pasívneho počúvania siete, teda ochranu pred opravou, odpočúvaním alebo prehrávaním rôznych údajov. Možnosť prenosu hesiel v otvorenom texte je neuspokojivá a rovnako ani šifrovanie hesiel nemôže zachrániť situáciu, keďže neposkytuje ochranu pred reprodukciou. Preto sa dnes používajú zložitejšie autentifikačné protokoly.

Spoľahlivá identifikácia je náročná nielen z dôvodu rôznych online hrozieb, ale aj z rôznych iných dôvodov. V prvom rade je možné ukradnúť, sfalšovať alebo odvodiť takmer akúkoľvek autentifikačnú entitu. Existuje tiež určitý rozpor medzi spoľahlivosťou používaného systému na jednej strane a pohodlím správcu systému alebo používateľa na strane druhej. Z bezpečnostných dôvodov je preto potrebné požiadať používateľa, aby znova zadával svoje autentifikačné údaje s určitou frekvenciou (keďže na jeho mieste už môže sedieť iná osoba), čo nielenže vytvára ďalšie problémy, ale tiež výrazne zvyšuje šanca, že niekto môže špehovať zadávanie informácií. Spoľahlivosť ochranných prostriedkov okrem iného výrazne ovplyvňuje ich cenu.

Moderné identifikačné a autentifikačné systémy podporujú koncepciu jednotného prihlásenia do siete, čo umožňuje predovšetkým splniť požiadavky z hľadiska užívateľského komfortu. Ak má štandardná podniková sieť veľa informačných služieb,poskytuje možnosť nezávislého zaobchádzania, potom sa opakované uvádzanie osobných údajov stáva príliš obtiažnym. V súčasnosti ešte nemožno povedať, že používanie jednotného prihlásenia sa považuje za normálne, keďže dominantné riešenia sa ešte nevytvorili.

Mnohí sa teda snažia nájsť kompromis medzi cenovou dostupnosťou, pohodlnosťou a spoľahlivosťou prostriedkov, ktoré poskytujú identifikáciu/overenie. Autorizácia používateľov v tomto prípade prebieha podľa individuálnych pravidiel.

Zvláštnu pozornosť treba venovať skutočnosti, že používanú službu je možné zvoliť ako objekt útoku na dostupnosť. Ak je systém nakonfigurovaný tak, že po určitom počte neúspešných pokusov je možnosť vstupu zablokovaná, potom v tomto prípade môžu útočníci zastaviť prácu legálnych používateľov iba niekoľkými stlačeniami kláves.

Autentifikácia heslom

Hlavnou výhodou takéhoto systému je, že je mimoriadne jednoduchý a väčšina ho pozná. Heslá používajú operačné systémy a iné služby už dlhú dobu a pri správnom používaní poskytujú úroveň zabezpečenia, ktorá je pre väčšinu organizácií celkom prijateľná. Ale na druhej strane, pokiaľ ide o celkový súbor charakteristík, takéto systémy predstavujú najslabší prostriedok, ktorým je možné vykonať identifikáciu / autentifikáciu. Autorizácia je v tomto prípade pomerne jednoduchá, pretože heslá musia byťzapamätateľné, no zároveň jednoduché kombinácie nie je ťažké uhádnuť, najmä ak človek pozná preferencie konkrétneho používateľa.

Niekedy sa stáva, že heslá v zásade nie sú utajované, keďže majú celkom štandardné hodnoty uvedené v určitej dokumentácii a nie vždy po inštalácii systému dôjde k ich zmene.

Pri zadávaní hesla môžete vidieť av niektorých prípadoch dokonca ľudia používajú špecializované optické zariadenia.

Používatelia, hlavné subjekty identifikácie a autentifikácie, môžu často zdieľať heslá s kolegami, aby mohli na určitý čas zmeniť vlastníctvo. Teoreticky by v takýchto situáciách bolo najlepšie použiť špeciálne kontroly prístupu, ale v praxi to nikto nepoužíva. A ak heslo poznajú dvaja ľudia, výrazne to zvyšuje šance, že sa o ňom ostatní dozvedia.

Ako to opraviť?

Existuje niekoľko spôsobov, ako zabezpečiť identifikáciu a autentifikáciu. Komponent spracovania informácií sa môže zabezpečiť takto:

• Uloženie rôznych technických obmedzení. Najčastejšie sa stanovujú pravidlá pre dĺžku hesla, ako aj obsah určitých znakov v ňom.
• Správa uplynutia platnosti hesiel, teda potreba ich pravidelnej zmeny.
• Obmedzenie prístupu k súboru s hlavným heslom.
• Obmedzením celkového počtu neúspešných pokusov dostupných pri prihlásení. VďakaV tomto prípade by útočníci mali vykonať akcie iba pred vykonaním identifikácie a autentifikácie, pretože nemožno použiť metódu hrubej sily.
• Predbežné školenie používateľov.
• Používanie špecializovaného softvéru na generovanie hesiel, ktorý vám umožňuje vytvárať kombinácie, ktoré sú dostatočne eufónne a zapamätateľné.

Všetky tieto opatrenia možno použiť v každom prípade, aj keď sa spolu s heslami použijú aj iné prostriedky overenia.

Jednorazové heslá

Vyššie uvedené možnosti sú opakovane použiteľné a ak sa kombinácia odhalí, útočník dostane príležitosť vykonať určité operácie v mene používateľa. Preto sa ako silnejší prostriedok používajú jednorazové heslá, odolné voči možnosti pasívneho sieťového odpočúvania, vďaka čomu sa systém identifikácie a autentifikácie stáva oveľa bezpečnejším, aj keď nie tak pohodlným.

V súčasnosti je jedným z najpopulárnejších softvérových generátorov jednorazových hesiel systém s názvom S/KEY, ktorý vydala spoločnosť Bellcore. Základnou koncepciou tohto systému je, že existuje určitá funkcia F, ktorá je známa používateľovi aj autentifikačnému serveru. Nasleduje tajný kľúč K, ktorý pozná iba určitý používateľ.

Pri úvodnej administrácii užívateľa sa táto funkcia používa na kľúčurčitý počet krát, po ktorých sa výsledok uloží na server. V budúcnosti bude postup overovania vyzerať takto:

1. Do systému používateľa prichádza zo servera číslo, ktoré je o 1 menšie, než koľkokrát bola funkcia použitá na kľúč.
2. Používateľ použije funkciu na dostupný tajný kľúč toľkokrát, koľkokrát bol nastavený v prvom odseku, potom sa výsledok odošle cez sieť priamo na autentifikačný server.
3. Server použije túto funkciu na prijatú hodnotu, po ktorej sa výsledok porovná s predtým uloženou hodnotou. Ak sa výsledky zhodujú, používateľ je overený a server uloží novú hodnotu a potom zníži počítadlo o jeden.

V praxi má implementácia tejto technológie trochu zložitejšiu štruktúru, no momentálne to nie je až také dôležité. Keďže funkcia je nevratná, aj keď je heslo zachytené alebo je získaný neoprávnený prístup k autentifikačnému serveru, neposkytuje možnosť získať tajný kľúč a žiadnym spôsobom predpovedať, ako konkrétne bude vyzerať ďalšie jednorazové heslo.

V Rusku sa ako jednotná služba používa špeciálny štátny portál – „Systém jednotnej identifikácie/autentizácie“(„ESIA“).

Ďalším prístupom k silnému autentifikačnému systému je generovanie nového hesla v krátkych intervaloch, čo je tiež implementované prostredníctvompoužívanie špecializovaných programov alebo rôznych čipových kariet. V tomto prípade musí autentifikačný server akceptovať príslušný algoritmus generovania hesla, ako aj určité parametre, ktoré sú s ním spojené, a navyše musí existovať synchronizácia hodín servera a klienta.

Kerberos

Autentifikačný server Kerberos sa prvýkrát objavil v polovici 90. rokov minulého storočia, no odvtedy už prešiel obrovským množstvom zásadných zmien. V súčasnosti sú jednotlivé komponenty tohto systému prítomné takmer v každom modernom operačnom systéme.

Hlavným účelom tejto služby je vyriešiť nasledovný problém: existuje určitá nechránená sieť a v jej uzloch sú sústredené rôzne subjekty v podobe užívateľov, ako aj serverových a klientskych softvérových systémov. Každý takýto subjekt má individuálny tajný kľúč a na to, aby mal subjekt C možnosť preukázať subjektu S vlastnú autenticitu, bez ktorej mu jednoducho neobslúži, bude potrebovať nielen meno, ale aj aby ukázal, že pozná istý Tajný kľúč. Zároveň C nemá možnosť jednoducho poslať svoj tajný kľúč S, pretože v prvom rade je sieť otvorená a okrem toho S to nevie a v zásade by to vedieť nemal. V takejto situácii sa na preukázanie znalosti týchto informácií používa menej priamočiara technika.

Zabezpečuje to elektronická identifikácia/autentifikácia prostredníctvom systému Kerberospoužívať ako dôveryhodná tretia strana, ktorá má informácie o tajných kľúčoch obsluhovaných objektov a v prípade potreby im pomáha pri vykonávaní párovej autentifikácie.

Klient teda najskôr odošle do systému požiadavku, ktorá obsahuje potrebné informácie o ňom, ako aj o požadovanej službe. Potom mu Kerberos poskytne akýsi lístok, ktorý je zašifrovaný tajným kľúčom servera, ako aj kópiu niektorých údajov z neho, ktorá je zašifrovaná kľúčom klienta. V prípade zhody sa zistí, že klient dešifroval informácie, ktoré mu boli určené, to znamená, že bol schopný preukázať, že skutočne pozná tajný kľúč. To naznačuje, že klient je presne tým, za koho sa vydáva.

Zvláštnu pozornosť tu treba venovať skutočnosti, že prenos tajných kľúčov sa neuskutočňoval cez sieť a používali sa výlučne na šifrovanie.

Biometrická autentifikácia

Biometria zahŕňa kombináciu automatizovaných prostriedkov identifikácie/autentifikácie ľudí na základe ich behaviorálnych alebo fyziologických charakteristík. Fyzické prostriedky autentifikácie a identifikácie zahŕňajú overenie sietnice a rohovky očí, odtlačky prstov, geometriu tváre a ruky a ďalšie osobné informácie. Medzi charakteristiky správania patrí štýl práce s klávesnicou a dynamika podpisu. Kombinovanémetódami sú analýza rôznych čŕt hlasu človeka, ako aj rozpoznávanie jeho reči.

Takéto identifikačné/overovacie a šifrovacie systémy sú široko používané v mnohých krajinách po celom svete, no po dlhú dobu boli extrémne drahé a ťažko použiteľné. V poslednej dobe výrazne vzrástol dopyt po biometrických produktoch v dôsledku rozvoja elektronického obchodu, keďže z pohľadu užívateľa je oveľa pohodlnejšie prezentovať sa ako memorovať niektoré informácie. V súlade s tým dopyt vytvára ponuku, a tak sa na trhu začali objavovať relatívne lacné produkty, ktoré sú zamerané najmä na rozpoznávanie odtlačkov prstov.

V drvivej väčšine prípadov sa biometria používa v kombinácii s inými autentifikátormi, ako sú smart karty. Biometrická autentifikácia je často len prvou obrannou líniou a funguje ako prostriedok na aktiváciu čipových kariet, ktoré obsahujú rôzne kryptografické tajomstvá. Pri použití tejto technológie je biometrická šablóna uložená na tej istej karte.

Aktivita v oblasti biometrie je pomerne vysoká. Vhodné konzorcium už existuje a pomerne aktívne sa pracuje aj na štandardizácii rôznych aspektov technológie. Dnes môžete vidieť množstvo reklamných článkov, v ktorých sú biometrické technológie prezentované ako ideálny prostriedok na zvýšenie bezpečnosti a zároveň dostupný širokej verejnosti.masy.

ESIA

Identifikačný a autentizačný systém (ďalej len „ESIA“) je špeciálna služba vytvorená za účelom zabezpečenia realizácie rôznych úloh súvisiacich s overovaním identity žiadateľov a účastníkov medzirezortnej interakcie v prípade poskytovania tzv. akékoľvek komunálne alebo štátne služby v elektronickej forme.

Ak chcete získať prístup k „Jednotnému portálu vládnych agentúr“, ako aj akýmkoľvek iným informačným systémom infraštruktúry súčasného e-governmentu, musíte si najskôr zaregistrovať účet a v dôsledku toho, získajte PES.

Úrovne

Portál jednotného systému identifikácie a autentifikácie poskytuje tri hlavné úrovne účtov pre jednotlivcov:

• Zjednodušené. Na registráciu stačí uviesť svoje priezvisko a meno, ako aj konkrétny komunikačný kanál vo forme e-mailovej adresy alebo mobilného telefónu. Toto je primárna úroveň, prostredníctvom ktorej má osoba prístup len k obmedzenému zoznamu rôznych verejných služieb, ako aj k možnostiam existujúcich informačných systémov.
• Štandard. Na jeho získanie je potrebné najskôr vystaviť zjednodušený účet a následne poskytnúť aj ďalšie údaje vrátane údajov z pasu a čísla individuálneho osobného účtu poistenia. Uvedené informácie sú automaticky kontrolované prostredníctvom informačných systémovdôchodkového fondu, ako aj Federálnej migračnej služby, a ak je kontrola úspešná, účet sa prevedie na štandardnú úroveň, čím sa používateľovi otvorí rozšírený zoznam verejných služieb.
• Potvrdené. Na získanie tejto úrovne konta jednotný systém identifikácie a autentifikácie vyžaduje od používateľov štandardné konto, ako aj overenie identity, ktoré sa vykonáva osobnou návštevou v autorizovanej pobočke servisu alebo získaním aktivačného kódu doporučenou poštou. V prípade úspešného overenia identity sa účet presunie na novú úroveň a používateľ bude mať prístup k úplnému zoznamu potrebných vládnych služieb.

Napriek tomu, že sa postupy môžu zdať dosť komplikované, v skutočnosti sa s úplným zoznamom potrebných údajov môžete zoznámiť priamo na oficiálnej stránke, takže úplná registrácia je celkom možná v priebehu niekoľkých dní.