ПОИСК
ВЫБЕРИТЕ НОМЕР
         
Показать все
статьи из этой
рубрики
Показать все
статьи этого
автора
Показать все
статьи по этой теме
НАШИ ИЗДАНИЯ
Connect! Мир Связи
Каталог-справочник
НАШИ ПРОЕКТЫ
Наши авторы о важном
СОТРУДНИЧЕСТВО
Выставки и конференции
Connect Conferences
РЕКЛАМА



Яндекс Цитирования





Rambler's Top100 Rambler's Top100


Бизнес и технологии
Чужой среди своих?   Сергей Панасенко
Методы и протоколы аутентификации пользователей


Сейчас для любой компании, государственной организации или отдельного индивидуума, которым требуется защитить данные, транзакции, репутацию, и... даже самих себя, как никогда важны безопасность и проверка идентификации. Внедрение интеллектуальных технологий обработки данных позволяет повысить безопасность функционирования различных компьютеризированных систем, которые в том числе связаны с принятием стратегических решений, отвечающих за безопасное развитие технологических процессов. Уже сейчас на смену распространенным паролям, вводимым и передаваемым в открытом виде и уязвимым с точки зрения безопасности компьютерных систем, приходят более надежные технологические решения, основанные на применении технических новинок и математических методов засекречивания парольной информации.

Предметы, используемые для аутентификации, и оборудование для работы с нимиИдентификация и аутентификация

Процесс узнавания пользователя компьютером начинается с его идентификации, т. е. ответа на вопрос «А кто это?». Например, при входе пользователя в различные операционные системы следует ввести логин – имя, по которому пользователь известен данной системе. По логину из многих пользователей, зарегистрированных в системе, компьютер выбирает одного. На этом идентификация заканчивается, и начинается аутентификация – процесс доказательства пользователем, что это именно он, а не кто-либо еще.
Идентификацию часто называют опознаванием «один из многих» – определение одного пользователя из многих вероятных, а аутентификацию – опознаванием «один к одному», т. е. правильно ли пользователь идентифицирован. Компьютер выполняет аутентификацию на основе определенной уникальной информации, которая характеризует конкретного пользователя системы. Такая информация называется аутентификационной. В зависимости от ее типа методы аутентификации классифицируют следующим образом.
1. Пользователь знает некую уникальную информацию, которую он предъявляет компьютеру при аутентификации. Например, пароль, который необходимо ввести для входа в систему. В «правильно» администрируемых системах каждый пользователь должен иметь уникальный пароль, соответственно, ввода пароля вполне достаточно для узнавания пользователя.
2. Пользователь имеет уникальный предмет или предмет с уникальным содержимым.
В обычной жизни таким предметом является ключ от любого замка. Компьютеру же предъявить такой ключ достаточно сложно, поэтому используются другие предметы, более характерные для компьютера. Рассмотрим их позже.
3. Аутентификационная информация является неотъемлемой частью пользователя. На такой информации основаны методы биометрической аутентификации, т. е. аутентификации пользователей по их уникальным биометрическим признакам. Достаточно часто методы аутентификации комбинируют, например, используя одновременно пароль пользователя и отпечаток его пальца. Такая аутентификация называется двухфакторной. Одновременное применение нескольких видов аутентификационной информь аутентификации.

Этапы аутентификации

Процесс аутентификации пользователя компьютером можно разделить на два этапа:
• подготовительный – выполняется при регистрации пользователя в системе. Именно тогда у пользователя запрашивается образец аутентификационной информации, например, пароль или контрольный отпечаток пальца, который будет рассматриваться системой как эталон при аутентификации;
• штатный – образец аутентификационной информации запрашивается у пользователя снова и сравнивается с хранящимся в системе эталоном. Если образец схож с эталоном с заданной точностью – пользователь считается узнанным, в противном случае пользователь будет считаться чужим, результатом чего будет, скажем, отказ в доступе на компьютер.
Для аутентификации пользователя компьютер должен хранить некую таблицу имен пользователей и соответствующих им эталонов:
В наиболее простом варианте эталоном может быть просто пароль, хранящийся в открытом виде. Однако такое хранение защищает только от непривилегированных пользователей системы – администратор системы вполне сможет получить все пароли пользователей, хранящиеся в таблице, и впоследствии входить в систему от имени любого пользователя (скажем, для выполнения каких-либо злоумышленных действий, которые будут записаны на другого). Кроме того, известен факт, что подавляющее большинство пользователей используют 1–3 пароля на все случаи жизни. Поэтому узнанный злоумышленником пароль может быть применен и к другим системам или программам, в которых зарегистрирован его владелец. Наиболее часто эталон представляет собой результат какой-либо обработки аутентификационной информации, то есть Ei = f(Ai), где Ai – аутентификационная информация, а f(...) – например, функция хэширования (расчет контрольной суммы данных с использованием криптографических методов – хэша). Хэширование достаточно часто применяется в протоколах межсетевого обмена данными, а также необходимо для использования электронной цифровой подписи.
Есть и другие варианты хранения эталонов, например, такой: Ei = f(IDi, Ai). Этот вариант лучше предыдущего тем, что при одинаковых паролях двух пользователей их эталоны будут выглядеть по-разному. Впрочем, в данном случае вместо имен пользователей подойдет и любая случайная последовательность, ее лишь придется хранить в той же таблице для последующего вычисления эталонов в процессе аутентификации.
В любом случае функция вычисления эталона из аутентификационной информации должна быть однонаправленной, т. е. легко рассчитываться, но представлять собой вычислительную проблему при попытке вычисления в обратном направлении.

Парольная аутентификация

Метод аутентификации по паролю является наиболее традиционным и распространенным. Конечно же, нет ничего проще проверить, знает ли пользователь некое кодовое слово или последовательность. Однако парольная аутентификация имеет настолько много недостатков, что в ситуациях, где неверные результаты аут используется в паре с каким-то другим методом. Основные недостатки парольной аутентификации таковы:
• достаточно часто пользователи применяют легко предсказуемые пароли, например:
– пароль эквивалентен имени пользователя или имени пользователя в обратной последовательности, или какой-либо другой производной от имени пользователя;
– пароль является словом или фразой какого-либо языка – пароль может быть подобран путем словарной атаки, т. е. перебора в качестве пароля всех слов по словарю; программы, выполняющие подобные атаки, существуют в Интернете в великом множестве; правда, пользователи стали хитрее – они пытаются заменить некоторые буквы слова похожими по написанию цифрами и значками, например, password Ѓ p@ssw0rd, но и программы, реализующие словарные атаки, теперь умеют то же самое: заменять ‘a’ на ‘@’, ‘i’ на ‘1’ и т. д.; – короткие пароли еще хуже – они могут быть подобраны простым перебором всех возможных вариантов;
• существуют различные программы подбора паролей для наиболее популярных приложений и операционных систем. Например, на сайте www.lostpassword.com можно найти программу Word Password Recovery Key, которая позволяет подобрать пароль к документу Microsoft Word, защищенному паролем. Это достаточно мощное средство, позволяющее перебирать пароли как полным перебором (для коротких паролей), так и словарной атакой, причем с подключением словарей различных языков, а также перебором при некоторых известных или предполагаемых символах пароля. Программа Word Password Recovery Key является абсолютно легальной и адресована тем пользователям, кто забыл пароль какого-либо важного документа. Однако она может быть использована и любым злоумышленником уже для не столь безобидных целей;
• пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу.

Аутентификация по уникальному предмету

Уникальность предм




Заказать полную PDF-версию свежего номера Connect!



Показать все статьи по теме Информационная безопасность

Поставьте свою оценку:
   1   2   3   4   5   

< Предыдущая статья

  
Следующая статья >

НАШИ ПРОЕКТЫ
ПРОСМОТР ПО ТЕМАМ
IP-телефония
Беспроводная связь
Бизнес-аналитика
Биллинг и OSS/BSS решения
Видеоконференцсвязь
Измерительная техника
Инфокоммунникации регионов
Информационная безопасность
ИТ-услуги
КИС (Корпоративные информационные системы)
Контакт-центры
КСПД (Корпоративные сети передачи данных)
Мобильная связь
Облачные технологии
Профессиональная радиосвязь
Серверные решения
Системы бесперебойного питания
Системы хранения данных
Ситуационные центры
Спутниковая связь
УПАТС
Фиксированная связь
Цифровое телевидение
TOP 20 СТАТЕЙ
Роль государства в обеспечении информационной безопасности
Консолидация телекоммуникационных ресурсов отраслей топливно-энергетического комплекса
Реквием по SoftSwitch
Трехсайтовая архитектура – реальная защита от катастроф
В Тулу за кальяноваром, или Что такое адаптивный call-центр
Ненадежность IP-телефонии: мифы и реальность
Четвертым будешь?
Путеводитель по рынку OSS-решений
В жизни все бывает, поэтому сделайте резервную копию…
Оптимизация энергопотребления в современном ЦОД
VSATизация России – промежуточные итоги
Современные программные телефоны
Аккумуляторные батареи для современных ИБП
Особенности информатизации телекоммуникационных компаний в России
Отечественные производители телекоммуникационного оборудования
Проблемы нормативно-правового, организационно-технического и программного обеспечения защиты информационных систем
Смена поколений в стандартизации СКС
Проблемы и перспективы формирования мобильной медиасреды в России
Принципы организации сетевой инфраструктуры ООО «ЛУКОЙЛ-ИНФОРМ»
Модульные отказоустойчивые системы бесперебойного питания: за и против
Все ТОПовые статьи >>