Identificación e autenticación: conceptos básicos

Identificación e autenticación son a base da seguridade de software e hardware moderno, como outros servizos están pensados para o mantemento destes temas. Estes conceptos representan unha especie de primeira liña de defensa, garantindo a seguridade do espazo de información organización.

¿Que é iso?

Identificación e autenticación teñen funcións diferentes. O primeiro ofrece un asunto (usuario ou proceso que actúa en nome de) a oportunidade de dicir o seu propio nome. Por medio de identificación é a segunda parte é totalmente convencido de que o asunto é realmente aquel para quen di ser. Moitas veces, como unha identificación sinónimo e identificación son substituídas pola frase "Post nome" e "autenticación".

Eles mesmos son divididos en diversas variedades. Logo, consideramos que unha identificación e autenticación son eo que son.

autenticación

Este concepto prevé dous tipos: Unha forma, o cliente debe primeiro probar ao servidor para acceder e bilateral, é dicir, cando unha confirmación mutua é conducida. Un exemplo típico de como levar a un nivel de identificación e autenticación de usuarios - é para entrar nun sistema específico. Así, diferentes tipos poden ser usadas en varios obxectos.

Nun ambiente de rede, onde a identificación e autenticación de usuarios fixeron en xeograficamente dispersos partes, examine o servizo distínguese por dous aspectos principais:

• que actúa como un autenticador;
• como foi organizado polo troco de identificación de datos e identificación e como protexela.

Para confirmar a súa autenticidade, o tema debe ser presentado a unha das seguintes entidades:

• certas informacións que sabe (número persoal, un contrasinal, unha chave criptográfica especial, etc ...);
• certa cousa que posúe (tarxeta persoal ou algún outro dispositivo que ten un propósito similar);
• cousas ben, que é un elemento do mesmo (impresións dixitais, voz ou outro tipo de identificación biométrica e identificación de usuarios).

recursos do sistema

No ámbito de rede aberta, as partes non teñen un camiño de confianza, e dise que, en xeral, a información transmitidas polo suxeito pode eventualmente ser diferente a partir da información recibida e usada para autenticación. seguridade necesaria de sniffer de rede activa e pasiva, é dicir, a protección contra as correccións, secuestro ou reprodución de datos. opción de transferencia de contrasinal en claro non é satisfactoria, e só non pode gardar o día, e contrasinais cifradas, porque eles non son fornecidos, protección a reprodución. É por iso que hoxe se usa protocolos de autenticación máis complexos.

A identificación fiábel é difícil non só por mor de unha variedade de ameazas de rede, senón tamén para unha variedade de outras razóns. O primeiro practicamente calquera entidade de autenticación poden ser secuestrado, falsificar ou Escotismo. unha tensión entre a fiabilidade do sistema que está a ser usado tamén está presente, por unha banda, eo administrador do sistema ou do usuario instalacións - sobre o outro. Así, por razóns de seguridade necesario con algunha frecuencia solicitar que o usuario re-entrada da súa información de autenticación (como no seu lugar pode ter que sentir-se algunhas outras persoas), e non só crea problemas adicionais, pero tamén aumenta significativamente a posibilidade de que alguén pode forzar a entrada de información. Ademais, a fiabilidade da protección significa impacto significativo sobre o seu valor.

sistemas de identificación e autenticación modernos admiten o concepto de single sign-on para a rede, que atende principalmente aos requisitos en canto a facilidade de uso. Se o nivel de rede da empresa ten unha morea de servizos de información, que prevé a posibilidade dunha circulación independente, entón a administración múltiple de datos persoais pasa a ser demasiado onerosa. Polo momento, aínda é imposible dicir que o uso de single sign-on para a rede é normal, como as solucións dominantes non son formados.

Así, moitos están a tentar atopar un compromiso entre a accesibilidade, comodidade e fiabilidade de fondos, que ofrece a identificación / autenticación. autorización do usuario, neste caso, se realiza de acordo coas regras individuais.

Especial atención debe ser dada ao feito de que o servizo se usa pode ser seleccionado como o obxecto de ataques a dispoñibilidade. A configuración do sistema está feita de tal forma que, tras unha serie de tentativas fracasadas de entrar na posibilidade foi bloqueado, a continuación, o atacante pode impedir que os usuarios lexítimos de operación por só algunhas teclas.

autenticación de contrasinal

A principal vantaxe deste sistema é que é moi sinxelo e familiar para a maioría. Os contrasinais foron moi utilizados por sistemas operativos e outros servizos, e co uso axeitado de seguridade indicado, que é bastante aceptable para a maioría das organizacións. Por outra banda, por un conxunto común de características de tales sistemas son os máis débiles medios polos que a identificación / autenticación poden ser aplicadas. Autorización neste caso tórnase moi sinxelo, porque as claves deben ser atractivo, pero non é difícil de adiviñar a combinación de simple, sobre todo se a persoa sabe as preferencias de usuario particular.

Ás veces acontece que os contrasinais son, en principio, non mantivo en segredo, como son valores moi estándar especificados na documentación específica, e non sempre despois de que o sistema está instalado, cambia-los.

Cando insire o contrasinal verás, nalgúns casos, as persoas mesmo utilizar instrumentos ópticos especializados.

Usuarios, os principais temas de identificación e autenticación, os contrasinais son moitas veces informar compañeiros para aqueles en determinados momentos cambiaron propietario. En teoría, en tales situacións, sería máis correcto empregar os controis de acceso especiais, pero na práctica non está en uso. E se o contrasinal saber dúas persoas, e aumenta moi significativamente as posibilidades de que a finais do mesmo e aprender máis.

Como corrixir isto?

Existen varias ferramentas como a identificación e autenticación poden ser protexidas. O compoñente de procesamento de información pode soster segue:

• A imposición de varias limitacións técnicas. Na maioría das veces definir regras sobre a lonxitude do contrasinal e do contido de determinados personaxes.
• Oficina caducidade do contrasinal, é dicir, teñen que ser substituídos periodicamente.
• acceso limitado aos arquivos básico contrasinal.
• Limitación do número total de tentativas fracasadas que están dispoñibles cando entrar. Debido a esta atacantes farase só as accións a realizar identificación e autenticación, así como o método de clasificación non se poden empregar.
• formación preliminar dos usuarios.
• Usando xerador de contrasinal software especializado que pode crear tales combinacións que son suficientemente melodiosa e memorable.

Todas estas medidas poden ser usados en calquera caso, aínda que en conxunto con claves tamén utilizar outros medios de autenticación.

contrasinais de uso único

As formas de realización anteriores son reutilizables, e en caso de apertura de combinacións dianteiro é capaz de realizar certas operacións, en nome do usuario. É por iso que como un medio máis forte resistentes á posibilidade dun sniffer de rede pasiva, use claves de uso único polo que a identificación e sistema de autenticación é moito máis seguro, aínda que non tan cómodo.

Polo momento, un dos programas máis populares xerador de contrasinal de uso único é un sistema chamado S / Key, lanzado pola Bellcore. O concepto básico deste sistema é que hai unha certa función do F, que é coñecido por tanto o usuario eo servidor de autenticación. O seguinte é unha K clave secreta, coñecida só para un usuario específico.

Ao usuario de administración inicial, esta función é utilizada para inserir un número de veces, entón o resultado é gardado no servidor. Posteriormente, o procedemento de autenticación é como segue:

1. No sistema do usuario dende o servidor trata do número que é un menor que o número de veces que utilizan a función á tecla.
2. función do usuario úsase para as chaves secretas no número de veces que se define no primeiro punto, tras o que o resultado é enviado a través da rede directamente ao servidor de autenticación.
3. O servidor usa esta función ao valor obtido, a continuación, o resultado é comparado co valor previamente almacenado. Se os resultados corresponden, a continuación, a identidade do usuario establécese, eo servidor almacena o novo valor e, a continuación, diminúe o contador por un.

Na práctica, a posta en marcha desta tecnoloxía ten unha estrutura un pouco máis complicado, pero de momento non importa. Como a función é irreversible, aínda que a interceptación contrasinal ou obter acceso non autorizado ao servidor de autenticación non ofrece a posibilidade de obter a clave privada e calquera forma de predicir como se pode exactamente coma o contrasinal dunha vez seguinte.

En Rusia como un servizo unificado, un portal estado especial - "sistema único de identificación / autenticación" ( "ESIA").

Outra aproximación ao sistema de autenticación forte reside no feito de que o novo contrasinal foi xerada en intervalos curtos, o que tamén se realiza a través do uso de programas especializados ou varias tarxetas intelixentes. Neste caso, o servidor de autenticación debe aceptar o algoritmo de xeración de contrasinal correspondente e determinados parámetros asociados a el, e, ademais, deben estar presentes como servidor de sincronización do reloxo eo cliente.

Kerberos

servidor de autenticación Kerberos, por primeira vez apareceu a mediados dos anos 90 do século pasado, pero desde entón xa recibira unha serie de cambios fundamentais. Polo momento, os compoñentes individuais do sistema están presentes en case todos os sistema operativo moderno.

O principal obxectivo deste servizo é para resolver o seguinte problema: hai unha certa rede non segura e os nós na súa forma concentrada en varios usuarios suxeitos, e sistemas de software de servidor e cliente. Cada tal entidade está presente clave secreta individual e con individuos con unha oportunidade para demostrar a súa autenticidade ao tema do S, sen a cal simplemente non vai reparalos lo, terá de non só chamar a si mesmo, pero tamén para amosar que sabe algunha clave secreta. Á vez con ningunha forma de simplemente enviar na dirección dos seus S de claves secretas, como o primeiro exemplo, a rede está aberta, e, ademais, S non sabe, e, en principio, non debe coñecelo. Nesta situación, use demostración de tecnoloxía menos simple do coñecemento desa información.

Electrónico identificación / autenticación a través do sistema Kerberos prevé a súa utilización como unha terceira parte de confianza, que ten información sobre as claves secretas de sitios con servizos e axudalos na realización de autenticación de dous a dous, se é necesario.

Así, o cliente enviou por primeira vez nunha consulta que contén a información necesaria sobre o tema, así como o servizo solicitado. Despois diso, Kerberos dálle un tipo de billete que é criptografía cunha clave secreta do servidor, así como unha copia de algúns dos datos a partir del, que é a clave secreta do cliente. No caso de que se atopa establecida a información que o cliente se descifrado destina-lo, é dicir, foi capaz de demostrar que a clave privada coñéceselle realmente. Isto indica que o cliente é a persoa á que é.

Debe aquí tomarse atención especial para garantir que a transmisión de claves secretas non son realizados na rede, e son usados exclusivamente para o cifrado.

biometría de autenticación mediante

Biometrics implica unha combinación de automatizado de identificación / identificación de persoas segundo as súas características de comportamento ou fisiológicas. medios físicos de identificación e autenticación fornecen un varrido retina e ollo córnea, pegadas, cara e xeometría da man, así como outras informacións persoais. As características de comportamento inclúen tamén o estilo de traballo co teclado ea dinámica da sinatura. métodos combinados son a análise das diferentes características da voz humana, así como o recoñecemento do seu discurso.

Tales sistemas de identificación / autenticación e cifrado utilízanse amplamente en moitos países de todo o mundo, pero por un longo tempo, son moi alto custo e complexidade de uso. Máis recentemente, a demanda de produtos biométricos aumentou significativamente debido ao desenvolvemento de e-commerce, porque, desde o punto de vista do usuario, é moito máis doado de se presentar, que lembrar unha información. Así, a demanda crea a oferta, así que o mercado comezou a aparecer produtos a prezos relativamente baixos, que están enfocados principalmente no recoñecemento de pegadas.

Na maioría esmagadora dos casos, a biometría é usado en combinación con outros autenticadores como tarxetas intelixentes. Moitas veces, a identificación biométrica é só a primeira liña de defensa e actúa como un medio de aumentar o tarxeta intelixente, incluíndo varios segredos criptográficos. Usando esta tecnoloxía, o modelo biométrico almacénase na mesma tarxeta.

A actividade no campo da biometría é suficientemente alta. Relevante consorcio existente, así como o traballo moi activo está en marcha para estandarizar varios aspectos da tecnoloxía. Hoxe podemos ver unha chea de artigos de publicidade que as tecnoloxías biométricas preséntanse como un medio ideal de proporcionar maior seguridade e á vez accesible para as masas.

aias

sistema de identificación e autenticación ( "ESIA") é un servizo especial destinada a asegurar a posta en marcha de varias tarefas relacionadas coa comprobación da autenticidade dos candidatos e os membros da cooperación entre axencias en caso de calquera servizos municipais ou públicas, en formato electrónico.

A fin de gañar acceso a un "portal único das estruturas do Estado", así como calquera outra infraestrutura de sistemas de información do goberno electrónico existente, primeiro cómpre rexistrar a conta e, como resultado, obter DAE.

niveis

Portal dun sistema unificado de identificación e autenticación ofrece tres niveis básicos de contas para os individuos:

• Simplificada. Para o seu rexistro simplemente incluír o seu nome e apelidos, así como algún canle particular de comunicación na forma dun enderezo de correo electrónico ou un teléfono móbil. Este nivel primario, polo cal unha persoa dá acceso a unha lista limitada de distintos servizos gobernamentais, así como as capacidades dos sistemas de información existentes.
• Estándar. Para inicialmente necesario emitir unha conta simplificada, e despois tamén proporcionar información adicional, incluíndo información dende o número do pasaporte e conta individual de seguro. Esta información é posible automaticamente a través do sistema de información do Fondo de Pensións, así como o servizo de migración Federal, e, se a proba é exitoso, a conta é converter a un nivel predeterminado, abre o usuario a unha lista ampliada de servizos estatais.
• Confirmado. Para obter este nivel de conta, un sistema unificado de identificación e autenticación require que os usuarios a unha conta estándar, así como proba de identidade, que se realiza a través dunha visita persoal do departamento de servizo autorizado ou mediante a obtención dun código de activación través de carta rexistrada. No caso de que a confirmación individuo é un éxito, a conta vai para un novo nivel, e para o usuario terá acceso a unha lista completa de servizos públicos necesarios.

A pesar do feito de que os procedementos poden parecer complexo abondo para realmente ver a lista completa dos datos necesarios poden ser directamente na páxina web oficial, polo que é posible completar o rexistro por uns días.