Системы аутентификации и идентификации.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".
Современные СИА по виду используемых идентификационных признаков разделяются на электронные, биометрические и комбинированные (см. рис. 1).
Рисунок 1 — Классификация СИА по виду идентификационных признаков
В электронных системах идентификационные признаки представляются в виде цифрового кода, хранящегося в памяти идентификатора. Такие СИА разрабатываются на базе следующих идентификаторов:
контактных смарт-карт;
бесконтактных смарт-карт;
USB-ключей (другое название — USB-токенов);
идентификаторов iButton.
В биометрических системах идентификационными признаками являются индивидуальные особенности человека, называемые биометрическими характеристиками. В зависимости от вида используемых характеристик биометрические системы делятся на статические и динамические.
Статическая биометрия (также называемая физиологической) основывается на данных, получаемых из измерений анатомических особенностей человека (отпечатки пальцев, форма кисти руки, узор радужной оболочки глаза, схема кровеносных сосудов лица, рисунок сетчатки глаза, черты лица, фрагменты генетического кода и др.).
Динамическая биометрия (также называемая поведенческой) основывается на анализе совершаемых человеком действий (параметры голоса, динамика и форма подписи).
В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями.
В комбинированных системах для идентификации используется одновременно несколько идентификационных признаков. Такая интеграция позволяет воздвигнуть перед злоумышленником дополнительные преграды, которые он не сможет преодолеть, а если и сможет, то со значительными трудностями. Разработка комбинированных систем осуществляется по двум направлениям:
- интеграция идентификаторов в рамках системы одного класса;
- интеграция систем разного класса.
В первом случае для защиты компьютеров от НСД используются системы, базирующиеся на бесконтактных смарт-картах и USB-ключах, а также на гибридных (контактных и бесконтактных) смарт-картах. Во втором случае разработчики умело «скрещивают» биометрические и электронные СИА (далее в статье такой конгломерат называется биоэлектронной системой идентификации и аутентификации).
13. Системы аутентификации и идентификации построенные по технологии единого входа: реализации, преимущества и недостатки
Технология единого входа (англ. Single Sign On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой без повторной аутентификации.
Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, человек автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
Реализация
Kerberos;
Kerberos — сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации. Он ориентирован в первую очередь на клиент-серверную модель и обеспечивает взаимную аутентификацию — оба пользователя через сервер подтверждают личности друг друга. Данная модель является одним из вариантов Нидхем-Шрёдер-протокола аутентификации на основе доверенной третьей стороны и его модификациях, предложенных Denning и Sacco
Смарт-карты;
Смарт-карты представляют собой пластиковые карты со встроенной микросхемой В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Кроме того, смарт-карты, как правило, обладают возможностью проводить криптографические вычисления.
Одноразовые пароли;
Одноразовый пароль— это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определённым промежутком времени. Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).
Встроенная аутентификация Windows.
Преимущества
К основным преимуществам технологии единого входа относятся:
уменьшение парольного хаоса между различными комбинациями имени пользователя и пароля;
уменьшение времени на повторный ввод пароля для одной и той же учетной записи;
поддержка традиционных механизмов аутентификации, таких как имя пользователя и пароль;
снижение расходов на IT-службу за счёт уменьшения количества запросов по восстановлению забытых паролей;
обеспечение безопасности на каждом уровне входа/выхода/доступа к системе без причинения неудобств пользователям.
В технологии единого входа применяются централизованные серверы аутентификации, используемые другими приложениями и системами, которые обеспечивают ввод пользователем своих учётных данных только один раз.
Недостатки
Некоторыми экспертами в качестве главного недостатка технологии единого входа отмечается увеличивающаяся важность единственного пароля, при получении которого злоумышленник обретает доступ ко всем ресурсам пользователя, использующего единый вход. Поставщики менеджеров паролей также отмечают использование различных паролей к разным информационным ресурсам как более надёжное решение по сравнению с технологией единого входа.