Централізоване управління засобами аутентифікації

Зміст

ВСТУП 2

1. Поняття та види аутентифікації 3

2. Біометрична аутентифікація 6

3. Токени 8

4. Генератори одноразових паролів 12

5. Java-токени 13

6. Централізоване управління засобами аутентифікації 15

Висновки 17

Література 18

ВСТУП

Інформація у наш час  – найдорожчий та найпотрібніший товар. Вона дає владу над людськими  масами або дозволяє обігнати конкурентів. На захист інформації мобілізовані найвищі  технології. Найперше їхнє завдання –  не допустити до неї сторонньої людини, тобто надійно розпізнати, хто  «свій», а хто ні. Та, якщо карту  доступу можна елементарно вкрасти, а PIN-коди не особливо зручні, їх доводиться запам'ятовувати і кожного разу вводити. Очевидний вихід – використовувати  для ідентифікації саме людське  тіло, його параметри, по-науковому  звані біометричними.

Ідентифікацію й аутентификацію можна вважати основою програмно-технічних засобів безпеки, оскільки інші сервіси розраховані на обслуговування іменованих суб'єктів.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Поняття та види аутентифікації

Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від  імені певного користувача, або  іншому апаратно-програмному компоненту) назвати себе ( повідомити своє ім'я). За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. У якості синоніма слова "аутентифікація" іноді використовують словосполучення "перевірка дійсності".

Використовуються методи:

• однобічної аутентифікації, коли клієнт системи доступу до інформації доводить свою аутентичність;
• двобічної аутентифікації, коли крім клієнта свою аутентичність повинна підтверджувати і система (наприклад, банк);
• трибічної аутентифікації, коли використовується так звана нотаріальна служба аутентифікації для підтвердження достовірності кожного з партнерів в обміні інформацією.

Методи аутентифікації також  умовно можна поділити на однофакторні та двофакторні.

Однофакторні методи діляться на:

• логічні (паролі, ключові фрази, які вводяться з клавіатури комп'ютера чи клавіатури спеціалізованого пристрою);
• ідентифікаційні (носієм ключової інформації є фізичні об'єкти: дискета, магнітна карта, смарт-карта, штрих-кодова карта тощо. Недоліки: для зчитування інформації з фізичного об'єкта (носія) необхідний спеціальний рідер; носій можна загубити, випадково пошкодити, його можуть викрасти або зробити копію).
• біометричні (в їх основі - аналіз унікальних характеристик людини, наприклад: відбитки пальців, малюнок райдужної оболонки ока, голос, обличчя. Недоліки: біометричні методи дорогі і складні в обслуговуванні; чутливі до зміни параметрів носія інформації; володіють низькою достовірністю; призначені тільки для аутентифікації людей, а не програм або інших ресурсів).

Парольна аутентифікація

Головне достоїнство парольної  аутентифікації - простота і звичність. Паролі давно вбудовані в операційні системи і інші сервіси. При правильному  використанні паролі можуть забезпечити  прийнятний для багатьох організацій  рівень безпеки. Проте, по сукупності характеристик  їх слід визнати найслабкішим засобом  перевірки достовірності.

Щоб пароль був таким, що запам'ятовується, його частенько роблять простим (ім'я подруги, назва спортивної команди  і тому подібне). Проте простий  пароль неважко вгадати, особливо якщо знати пристрасті даного користувача. Відома класична історія про радянського  розвідника Ріхарда Зорге, об'єкт  уваги якого через слово говорив "карамба"; зрозуміло, цим же словом відкривався надсекретний сейф.

Інколи паролі із самого початку  не зберігаються в таємниці, оскільки мають стандартні значення, вказані  в документації, і далеко не завжди після установки системи виробляється їх зміна.

Введення пароля можна  підглянути. Іноді для підглядання  використовуються навіть оптичні прилади.

Паролі нерідко повідомляють колегам, щоб ті могли, наприклад, підмінити  на деякий час власника пароля. Теоретично в подібних випадках більш правильно  задіяти засоби управління доступом, але на практиці так ніхто не поступає, а таємниця, яку знають двоє, це вже  не таємниця.

Пароль можна вгадати "методом  грубої сили", використовуючи, скажімо, словник. Якщо файл паролів зашифрований, але доступний для читання, його можна завантажити до себе на комп'ютер і спробувати підібрати пароль, запрограмувавши  повний перебір (передбачається, що алгоритм шифрування відомий).

Тим не менш, такі заходи дозволяють значно підвищити надійність парольного захисту:

накладення технічних  обмежень (пароль повинен бути не занадто  коротким, він повинен містити  літери, цифри, знаки пунктуації і  т.п.);

управління терміном дії  паролів, їх періодична зміна;

обмеження доступу до файлу  паролів;

обмеження числа невдалих спроб входу в систему (це утруднить  застосування "методу грубої сили");

навчання користувачів;

використання програмних генераторів паролів (така програма, грунтуючись на нескладних правилах, може породжувати тільки благозвучні  і, отже, що запам'ятовуються паролі).

Перераховані заходи доцільно застосовувати завжди, навіть якщо поряд з паролями використовуються інші методи аутентифікації.    Одноразові паролі

    Розглянуті вище паролі можна назвати багаторазовими; їх розкриття дозволяє зловмисникові діяти від імені легального користувача. Набагато більш сильним засобом, стійким до пасивного прослуховування мережі, є одноразові паролі.

Інший підхід до надійної аутентифікації полягає в генерації нового пароля через невеликий проміжок часу (наприклад, кожні 60 секунд), для чого можуть використовуватися  програми або спеціальні інтелектуальні карти (з практичної точки зору такі паролі можна вважати одноразовими). Серверу аутентифікації повинен бути відомий алгоритм генерації паролів та асоційовані з ним параметри; крім того, годинник клієнта і сервера повинні бути синхронізовані

2. Біометрична  аутентифікація

Аутентифікація за відбитками пальців.

Переваги засобів доступу  по відбитку пальця - простота використання, зручність і надійність. Весь процес ідентифікації здійснюється досить швидко і не вимагає особливих  зусиль від користувачів. Вірогідність помилки при ідентифікації користувача  набагато менша порівняно з іншими біометричними методами.    Найбільш поширені два типи:

- оптичне сканування за допомогою маленької камери, вбудованої, наприклад, в клавіатуру. Отримане зображення перетворюється у цифрову згортку - карту мікрокрапок, яка характеризується розривами і перетинами ліній. Вона шифрується і записується в базу даних. При цьому сам відбиток пальця не зберігається і не може бути відтворений по мікрокрапках. Однак недорогі сканери легко піддаються обману;

--  ультразвукове сканування. Перевагою даного методу є можливість роботи з брудними пальцями і пальцями в рукавичках;

Використання геометрії  руки.

Цей метод сьогодні застосовується в більш ніж 8000 організацій, включаючи  Колумбійський законодавчий орган, Міжнародний Аеропорт Сан-Франциско, лікарні і імміграційні служби. Переваги ідентифікації по геометрії долоні порівнянні з аутентифікацією по відбитку пальця в питаннях надійності, хоча пристрій для прочитування відбитків  долонь займає більше місця. Найбільш досконалий пристрій, Напсікеу, сканує як внутрішню, так і бічну сторону руки.

Аутентифікація за райдужною  оболонкою ока.

Перевага сканування райдужної  оболонки полягає в тому, що зразок плям на оболонці знаходиться на поверхні ока, і від користувача не вимагається  спеціальних зусиль. Фактично відеозображення  ока може бути відскановане на відстані метра, що робить можливим використання таких сканерів в банкоматах. Ідентифікуючі  параметри можуть скануватися і  кодуватися, зокрема, і у людей з ослабленим зором, але непошкодженою райдужною оболонкою.

Аутентифікація за сітківкою  ока.

Сканування сітківки відбувається з використанням інфрачервоного світла низької інтенсивності, направленого через зіницю до кровоносних судин  на задній стінці ока. Сканери для  сітківки ока набули великого поширення  в надсекретних системах контролю доступу, оскільки ці засоби аутентифікації характеризуються одним з найнижчих відсотків  відмови в доступі зареєстрованим користувачам і майже нульовим відсотком помилкового доступу.

По формі обличчя.

 Більш складний метод ідентифікації, я якому будується трьохмірний образ обличчя людини. На обличчі виділяють контури брів, очей, носа, губ і т. д.,  вираховується відстань між ними та конфігурується багато варіантів на випадок повороту або нахилу голови, зміни виразу обличчя.

По термограмі обличчя.

 Спеціальні інфрачервоні  камери знімають термограму обличчя,  зчитуючи положення кровоносних  судин та інші теплові характеристики.

Інші методи статичної  біометрії, включаючи ідентифікацію по запаху, по ДНК і т. д. Метод ДНК відноситься до числа найбільш точних, але застосовується лише в надзвичайних випадках.

По рукописному почерку.

 Як правило, для цього  використовується підпис або  кодове слово. Цифровий код  формується в залежності від  необхідного ступеню захисту  та при наявності відповідного  обладнання.

По клавіатурному почерку.

Основа методу --  динаміка набору кодової фрази. Якщо у вигляді  кодової фрази використовується пароль, то відразу виходить двох факторна аутентифікація.

3. Токени

Для підвищення безпеки на практиці використовують кілька факторів аутентифікації відразу. Однак, при  цьому важливо розуміти, що не всяка  комбінація декількох методів є  багатофакторної аутентифікацією. Наприклад, використання для аутентифікації обличчя і голосу користувача не може бути визнана такою, оскільки обидва фактора що використовуються відносяться до одного типу  - на основі біометричних даних. Фахівці з інформаційної безпеки найчастіше відносять біометрію  до додаткових методів, що дозволяє ідентифікувати користувача.

В основі самого надійного  на сьогодні методу багатофакторної  аутентифікації лежить застосування персональних апаратних пристроїв - токенів. Аутентифікація на базі токенів є високотехнологічною  і, головне, надійною альтернативою  і парольним, і біометричних методів, і крім того вона істотно перевершує їх по простоті інтеграції та подальшої  експлуатації.

По суті, токен - це невеликий USB-кард-рідер з інтегрованим чипом смарт-карти. Токени, реалізовані на основі смарт-карт, дозволяють генерувати і зберігати ключі шифрування, забезпечуючи тим самим сувору аутентифікацію при доступі до комп'ютерів, даних і інформаційних систем.

Токен можна використовувати  для вирішення цілого ряду різних завдань, пов'язаних з шифруванням  даних користувача, електронним  цифровим підписом документів і аутентифікацією  самого користувача. З однієї і тієї ж смарт-карти користувач може входити в операційну систему, брати участь в захищеному інформаційному обміні з віддаленим офісом (наприклад, за допомогою технології VPN), працювати з web-сервісами (технологія SSL), підписувати документи (ЕЦП), а також надійно зберігати закриті ключі, логіни, паролі та сертифікати в пам'яті свого токена.

У поєднанні з криптографічним  шифруванням системних дисків, захистом окремих файлів і знімних носіїв, а також аутентифікацією до завантаження операційної системи, токени дозволяють забезпечити необхідний рівень безпеки  ІС для організацій будь-якого  масштабу з яким завгодно високим рівнем вимог до системи інформаційної безпеки та захисту даних.

Тенденції на ринку сучасних токенів

Смарт-карти, і USB-ключі з чіпом смарт-карти, а так само будь-який інший персональний засіб аутентифікації користувача, прийнято називати токеном (від англійського token - мітка, жетон).

Токени успішно використовуються в різних областях, від систем накопичувальних  знижок до кредитних і дебетових  карт, студентських квитків, телефонів  стандарту GSM (знайома всім SIM-карта, по суті та ж смарт-карта, тільки без  зайвого пластику та зі спеціальним ПО), проїзних квитків .

Як і будь-яка сучасна  технологія, токени постійно модифікуються  і розвиваються. Розглянемо основні  напрямки цього розвитку.

У поєднанні з криптографічним  шифруванням системних дисків, захистом окремих файлів і знімних носіїв, а також аутентифікацією до завантаження операційної системи, токени дозволяють забезпечити необхідний рівень безпеки  ІС для організацій будь-якого  масштабу зі як завгодно високим рівнем вимог до системи інформаційної  безпеки та захисту даних.

Як і будь-яка сучасна  технологія, токени постійно модифікуються  і розвиваються. Розглянемо основні  напрямки цього розвитку.

Інтеграція з системами управління доступом

При використанні апаратних USB-ключів або смарт-карт для аутентифікації користувачів, наприклад, при вході  в операційну систему, робоча станція  автоматично блокується при відключенні  токена. Як правило, згідно з корпоративним  політикам безпеки кожен співробітник, залишаючи своє робоче місце повинен  забирати токен з собою, але на практиці, на жаль, це не завжди виконується. Залишений без нагляду комп'ютер до включення програми-заставки є  серйозною проломом в системі  безпеки.

Для вирішення цього завдання в сучасні токени виробники пропонують вбудовувати RFID-мітки, повністю аналогічні тим, що вбудовані в безконтактних  проксіміті-картах, що так широко використовуються в сучасних офісах. Досить встановити на дверях приміщення зчитувач, поєднаний із замком і співробітник виходячи з кімнати фактично буде змушений від'єднати токен і тим самим заблокувати робочу станцію.

Іншою сферою використання міток  в токен є контроль виносу цих  апаратних засобів аутентифікації за межі території організації. Для цих цілей вбудовуються інші, з більшим радіусом дії мітки, а всі прохідні обладнуються детекторами, аналогічними тим, що використовуються в супермаркетах.