Средства идентификации и аутентификации

Автор работы: Пользователь скрыл имя, 08 Сентября 2014 в 01:29, реферат

Краткое описание

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

Содержание

Введение 2
1. КЛАССИФИКАЦИЯ СРЕДСТВ ИА 4
1.1 Основные понятия. 4
1.2 Режимы/методы аутентификации 7
1.3 Факторы аутентификации 9
1.4 Фактор знания 10
1.5 Вещественный фактор 13
1.6 Биофактор 16
1.7 Социальный фактор 19
2. ТЕХНОЛОГИИ ИДЕНТИФИКАЦИИ 20
2.1 Штрихкодовая идентификация 21
2.2 Радиочастотная идентификация 22
2.3 Биометрическая идентификация 22
2.4 Технологии идентификации на основе карт с магнитной полосой 27
3. ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ 29
3.1 Аутентификация по многоразовым паролям 29
3.2 Kerberos 30
3.3 Протоколы аутентификации для удаленного доступа 32
3.4 Аутентификация на основе одноразовых паролей 32
3.5 Аутентификация на основе токенов 34
3.6 Аутентификация по предъявлению цифрового сертификата 36
3.7 Использование смарт-карт и USB-ключей 36
Список используемой литературы 39

Прикрепленные файлы: 1 файл

ЗащитаИнформации.docx

— 157.46 Кб (Скачать документ)

ОГЛАВЛЕНИЕ

 

 

Введение

Информационные технологии (ИТ) все более пронизывают различные сферы деятельности человека. Из категории, поддерживающей бизнес, ИТ давно превратились в одну из движущих сил развития техники, технологий, услуг. В бурно развивающемся информационном обществе строятся как инфраструктурные решения, так и прикладные информационные системы различного назначения. Для любой информационной системы актуальна задача управления доступом пользователей, решение которой невозможно без идентификации и аутентификации (ИА) претендентов на право стать ее авторизованными пользователями.

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.

  1. Существует множество программных  и технических средств, позволяющих решать задачу идентификации/аутентификации пользователя. Некоторые из них уже стали традиционными и привычными, некоторые, обеспечивая, несомненно, более высокий класс защищённости, редки и мало распространены ввиду как высокой стоимости, так и неадекватности большинству задач, решаемых в повседневности. Таким образом, при построении системы идентификации/аутентификации пользователей главным критерием является экономическая целесообразность применений тех или иных схем. Рассмотрим наиболее актуальные способы и средства ИА пользователей. 
    КЛАССИФИКАЦИЯ СРЕДСТВ ИА

1.1 Основные понятия.

Идентификация (Identification) — процесс сообщения субъектом (неким лицом) своего имени или номера, с целью отличить данный субъект от других субъектов.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Аутентификация (Authentication) — процесс проверки соответствия субъекта (некоего лица) и учетной записи.

(Заметим  в скобках, что происхождение  русскоязычного термина "аутентификация" не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" - может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации - процедура входа пользователя в систему.

По основным видам процессы аутентификации как средство защиты от активных атак подразделяется на: аутентификацию сторон (партнёров) и аутентификацию источника данных или сообщений (защита от атак типа "фальсификация данных, сообщений и/или транзакций"). С первым видом аутентификации приходится встречаться наиболее часто, этот вид является on-line сервисом многих ИС. Второй вид является of-line сервисом.

Во многих ИС подсистемы аутентификации связывают со следующими задачами, которые можно классифицировать по их основному назначению (рис.1):

Рисунок 1.1 – Классификация аутентификации по видам и целям

    • для предоставления санкционированного доступа. Используется в системах управления логическим доступом к компьютеру, корпоративной сети, информационным ресурсам и сервисам. Также используется как фильтр "свой-чужой";
    • для установления доверительных отношений при удалённом доступе. Такая аутентификация может быть взаимной (двухсторонней) и односторонней. Типичный пример – сетевые протоколы обмена с предварительным установлением доверительных отношений и выработки сеансовых ключей (с помощью симметричных криптографических протоколов) на основе многоходового защищённого обмена подписанной сторонами информации на базе PKI (протокол АН – первая часть протокола SSL - может быть как односторонним, так и двухсторонним). Участниками (взаимодействующими сторонами) могут быть "субъект – объект" или "объект – объект" (например, IPSec и модный нынче М2М);
    • для установления (идентификации) личности обладателя электронной подписи, проверки наличия полномочий на право подписи и фиксации неотказуемости выполнения процедуры подписи электронного документа владельцем электронной подписи. Используется в системах электронного документооборота для придания юридической силы электронному документу.

С точки зрения применяемых технологий к средствам ИА применима следующая классификация:

Рисунок 1.2 – Классификация средств ИА с точки зрения применяемых технологий

Как видно из рис. 1.2, многие используемые сегодня устройства не могут обеспечить высокий уровень защищённости аутентификационной информации в силу ограничений технологий, на которых они основаны. Например, если аутентифицирующая информация записана в электронный ключ Touch Memory, то она может быть скопирована злоумышленником и перенесена в такое же устройство и использована для доступа вместо владельца. Сами же ключи Touch Memory предназначены только для идентификации их обладателя. Заметим, что биометрические технологии, даже самые сложные, являются технологиями идентификации, например, одна из самых передовых технологий Match on Card предназначена строго для подтверждения факта обладания смарт-картой. Это дополнительный идентификационный фактор, который позволяет повысить общий уровень защищённости в корпоративной сети и повысить уровень персональной ответственности. Прежде всего, это защита от такого распространенного явления, как передача устройства сменщику, товарищу по работе (например, с целью утаивания от руководства факта своего отсутствия на рабочем месте).

1.2 Режимы/методы аутентификации

Выделяют три режима проведения процедуры аутентификации:

    • основной;
    • резервный;
    • механизм «последней инстанции»

Режимы перечислены в порядке осуществления доступа к ним пользователем. В некоторых ИС второй метод может быть не представлен.

Основной метод аутентификации используется для штатного входа в систему. Самый распространённый из них — вход по паролю, использующийся в подавляющем большинстве компьютерных систем. Менее распространённым способом является использование аппаратных идентификаторов, на которые записываются ключи доступа или пользовательские пароли.

Также в корпоративном секторе популярна двухфакторная аутентификация. Как правило, под этим понимается связка из е-токена и пин-кода вводимого пользователем, но встречаются и более экзотические сочетания, состоящие из биометрического сканера и аппаратного идентификатора или пользовательского пароля.

Резервный метод аутентификации вступает в действие в случае потери пароля или е-токена, либо взлома учётной. Впрочем, это не столько методы аутентификации, сколько механизмы сброса пароля. Этот режим характерен для аутентификации на ресурсах сети Internet.

Наиболее распространены два метода: ответ на «секретный вопрос» и отправка пароля на доверенный почтовый ящик, указанный при регистрации. Эти методы входят в джентельменский набор любого, уважающего себя, информационного сервиса.

Есть много интересных модификаций данного способа аутентификации. Например, одним из первых было предложение использовать собственные «секретные вопросы».

Так же можно привести пример продвинутой системы резервной аутентификации основанной на вопросах из базы онлайн знакомств. Таких вопросов много, они просты сами по себе, но в совокупности по ним можно достаточно чётко представить себе характер человека. При обращении система задаёт часть вопросов, из тех на которые пользователь ответил при регистрации, если он сумеет правильно ответить на большинство из них, то аутентификация считается успешной.

Очень похожая идея была описана в недавних работах. Обе они пытались встроить аутентификацию на основе множества простых «секретных вопросов» в PKI архитектуру. И если в первой работе Ренди Баден, Нил Спринг и Боби Бхатачарджи пытались сгенерировать общий ключ шифрования для двух друзей на основе ответов на такие «секретные вопросы», составленные пользователями, то во второй работе в качестве второго пользователя выступал сервер авторизации с базой персональных данных.

Есть не менее оригинальные идеи о использовании пользовательской информации, например, все знают каптчу (и то, какой надоедливой она может быть): трудночитаемые сочетания букв и цифр, которые приходится вводить для того, чтобы, скажем, завершить регистрацию. И хотя, её задача заключается в защите информационных сервисов, от вездесущих ботов, инженеры Facebook решили скрестить её с «секретными вопросами» и использовать в качестве резервной системы аутентификации. Не та давно на Facebook ввели Social Authentication, что является в корне неверным названием. Пользователю демонстрируется несколько фотографий его друзей, и тот должен правильно ввести имена друзей.

Как было сказано в начале, вторым способом является отсылка пароля на доверенный почтовый ящик. Вообще, концепция перекладывания ответственности за аутентификацию человека с одной стороны на другую не нова. Аутентификация пользователей через альтернативный адрес электронной почты перекладывает ответственность по аутентификации на провайдера, того альтернативного адреса. Следует добавить, что так как ящик является не основным, то используется он реже, а потому вероятность забыть пароль или ответ на «секретный вопрос» становится гораздо выше. Правда, с тех пор как количество проданных в России сотовых телефонов превысило её общее население, у многих провайдеров появилась возможность отправлять новые пароли с помощью sms сообщений. Впервые эта система была использована банками для дополнительной аутентификации транзакций, после чего доказав свою эффективность, была перенята другими интернет сервисами. Но и у такой системой есть свои недостатки, свойственные всем аппаратным идентификаторам. Телефоны очень часто теряются, воруются или ломаются. Например, в статье 2008 года, сообщается о том, что только в нью-йоркских такси ежегодно забывается более 60 000 мобильных аппаратов.

Несмотря на все минусы и слабости таких механизмов резервного восстановления доступа к учётным записям, ведущие интернет компании вынуждены ими пользоваться, ведь альтернативой этому является использование «last-resort» аутентификации, что можно перевести как аутентификация «последней инстанции», то есть механизма, к которому прибегают в самых крайних случаях, когда все остальные способы оказались бессильны.

last-resort механизм («последней инстанции»). В данный момент это означает обращение к администраторам информационных систем, либо в специальные отделы поддержки клиентов, а это непомерно дорого если учесть, что всего у двух крупнейших почтовых провайдеров количество активных пользователей в год превышает миллиард. Но даже такие отделы практически беззащитны перед социальной инженерией, о чём писал ещё легендарный хакер Кевин Митник в 2002 году в своей книге. Он справедливо указывает, что человек будет являться самым слабым звеном даже в самой сложной системе защиты.

1.3 Факторы аутентификации

Используемый фактор аутентификации — аутентификация представляет из себя процесс сравнения информации, предоставляемой пользователем, с эталонной. В зависимости от типа информации её можно отнести к одному из четырёх основных факторов, либо к их комбинации:

    • Фактор знания (Парольная аутентификация)
    • Вещественный фактор (Аппаратная аутентификация)
    • Биофактор (Биометрическая аутентификация)
    • Социальный фактор (Социальная аутентификация)

1.4 Фактор знания

Фактор знания (Парольная аутентификация) — «то, что ты знаешь». Первый и самый распространённый на данный момент механизм аутентификации, ввод чего-либо, что известно только пользователю, например, пароля или ответа на секретный вопрос. Теоретически, это самый простой и безопасный метод проверки подлинности, так как он обладает достаточной криптостойкостью, его просто и дешево реализовать, а всё что нужно от пользователя, так это запомнить 8-12-ти символьную комбинацию из букв, цифр и различных знаков. Однако, на практике всё совершенно иначе.

Во-первых пользователи, как правило, задают слабые пароли, что связано с самой физиологией человека, точнее его мозга. Наше мышление ассоциативно и напрямую связано с речью, мы мыслим образами, каждый из которых имеет название, поэтому в качестве пароля мы выбираем название одного из них. Таким образом большинство паролей задаваемых пользователями мы можем найти в обычном словаре, а потому они легко подбираются методом перебора по словарю. О слабой криптостойкости выбираемых пользователями паролей написано множество статей. Одна из самых старых датируется 1990 годом. В ней Дэниель Клейн описывает, то как он вооружившись словарём из 62 727 слов смог за пару недель подобрать пароли к 3 340 учётным записям, что составило 24,2% от общего количества. Стоит при этом отметить два фактора:

    1. Люди не стали задавать более сложные пароли с тех пор.
    2. Согласно «закону Мура» вычислительные мощности компьютеров с тех пор выросли более чем в 16 тысяч раз.

Конечно, с тех пор проведено множество исследований и на их основе предложено немало систем построения сложных паролей на основе мнемонических фраз. Но в процентном отношении, мало кто ими пользуется.

К тому же, несмотря ни на какие чудо-системы, с ростом сложности пароля он всё труднее для запоминания. Исследование SafeNet от 2004 года обнаружило, что 47 % респондентов забывали свои пароли в течение года. А с ростом количества учётных записей от различных компьютерных систем, которых с каждым годом становится всё больше, ситуацию ещё более усугубляется. Способность помнить пароли была изучена в лаборатории Ву в 2007 году. После первой недели 12.5 % участников забыли их шестисимвольные буквенно-цифровые пароли. Из участников, которые должны были помнить пароли о пяти учетных записей, 25 % забыли по крайней мере один.

Информация о работе Средства идентификации и аутентификации