Identifikacija i autentifikacija: osnovni koncepti

2024 Autor: Howard Calhoun | [email protected]. Zadnja promjena: 2023-12-17 10:29

Identifikacija i autentifikacija temelj su modernih softverskih i hardverskih sigurnosnih alata, budući da su sve druge usluge uglavnom dizajnirane da služe tim entitetima. Ovi koncepti predstavljaju svojevrsnu prvu liniju obrane koja osigurava sigurnost informacijskog prostora organizacije.

Što je ovo?

Identifikacija i autentifikacija imaju različite funkcije. Prvi daje subjektu (korisniku ili procesu koji djeluje u njihovo ime) mogućnost da navede svoje ime. Uz pomoć provjere autentičnosti, druga strana se konačno uvjerava da je subjekt doista onaj za koga se predstavlja. Identifikacija i provjera autentičnosti često se zamjenjuju izrazima "poruka s nazivom" i "autentifikacija" kao sinonimima.

Oni su sami podijeljeni u nekoliko varijanti. Zatim ćemo pogledati što su identifikacija i autentifikacija i što su.

Autentifikacija

Ovaj koncept predviđa dvije vrste: jednostrano, kada klijentmora prvo poslužitelju dokazati svoju autentičnost, i to dvosmjerno, odnosno kada se provodi međusobna potvrda. Standardni primjer kako se provode standardna identifikacija i autentifikacija korisnika je postupak prijave u određeni sustav. Stoga se različite vrste mogu koristiti u različitim objektima.

U mrežnom okruženju u kojem se identifikacija i autentifikacija korisnika provode na geografski raštrkanim stranama, dotična usluga razlikuje se u dva glavna aspekta:

• koji služi kao autentifikator;
• kako je točno organizirana razmjena autentifikacijskih i identifikacijskih podataka i kako je zaštićena.

Da bi dokazao svoj identitet, subjekt mora predstaviti jedan od sljedećih entiteta:

• određene informacije koje on zna (osobni broj, lozinka, poseban kriptografski ključ, itd.);
• određena stvar koju posjeduje (osobna kartica ili neki drugi uređaj slične namjene);
• određena stvar koja je sama po sebi (otisci prstiju, glas i druga biometrijska sredstva za identifikaciju i autentifikaciju korisnika).

Značajke sustava

U otvorenom mrežnom okruženju, strane nemaju pouzdanu rutu, što znači da, općenito, informacije koje subjekt prenosi možda u konačnici ne odgovaraju informacijama primljenim i korištenimprilikom provjere autentičnosti. Potrebno je osigurati sigurnost aktivnog i pasivnog slušanja mreže, odnosno zaštitu od ispravljanja, presretanja ili reprodukcije različitih podataka. Mogućnost prijenosa lozinki u otvorenom tekstu je nezadovoljavajuća, a na isti način šifriranje lozinki ne može spasiti dan jer ne pružaju zaštitu od reprodukcije. Zato se danas koriste složeniji protokoli za autentifikaciju.

Pouzdana identifikacija je teška ne samo zbog raznih mrežnih prijetnji, već i iz niza drugih razloga. Prije svega, gotovo svaki entitet za provjeru autentičnosti može biti ukraden, krivotvoren ili zaključen. Također postoji određena kontradikcija između pouzdanosti korištenog sustava, s jedne strane, i pogodnosti administratora ili korisnika sustava, s druge strane. Stoga je iz sigurnosnih razloga potrebno od korisnika tražiti da ponovno unese svoje autentifikacijske podatke s određenom učestalošću (jer neka druga osoba već sjedi na njegovom mjestu), a to ne samo da stvara dodatne probleme, već i značajno povećava vjerojatnost da taj netko može špijunirati unos podataka. Između ostalog, pouzdanost zaštitne opreme značajno utječe na njenu cijenu.

Moderni sustavi identifikacije i autentikacije podržavaju koncept jedinstvene prijave na mrežu, što prvenstveno omogućuje ispunjavanje zahtjeva u smislu praktičnosti korisnika. Ako standardna korporativna mreža ima mnogo informacijskih usluga,pružajući mogućnost neovisnog tretmana, tada ponovno unošenje osobnih podataka postaje preteško. Trenutno se još ne može reći da se korištenje jedinstvene prijave smatra normalnom, budući da dominantna rješenja još nisu formirana.

Tako, mnogi pokušavaju pronaći kompromis između pristupačnosti, praktičnosti i pouzdanosti sredstava koja omogućuju identifikaciju/autentifikaciju. Autorizacija korisnika u ovom slučaju se provodi prema pojedinačnim pravilima.

Posebnu pozornost treba obratiti na činjenicu da se korištena usluga može odabrati kao objekt napada dostupnosti. Ako je sustav konfiguriran na način da se nakon određenog broja neuspješnih pokušaja blokira mogućnost ulaska, tada napadači u tom slučaju mogu zaustaviti rad legalnih korisnika samo s nekoliko pritisaka na tipku.

Provjera autentičnosti lozinkom

Glavna prednost ovakvog sustava je da je iznimno jednostavan i većini poznat. Lozinke već duže vrijeme koriste operativni sustavi i druge usluge, a kada se koriste ispravno, pružaju razinu sigurnosti koja je za većinu organizacija sasvim prihvatljiva. No, s druge strane, u smislu ukupnog skupa karakteristika, takvi sustavi predstavljaju najslabije sredstvo pomoću kojeg se može provesti identifikacija / autentifikacija. Autorizacija u ovom slučaju postaje prilično jednostavna, budući da lozinke moraju bitinezaboravne, ali u isto vrijeme jednostavne kombinacije nije teško pogoditi, pogotovo ako osoba poznaje preferencije određenog korisnika.

Ponekad se dogodi da se lozinke, u principu, ne čuvaju u tajnosti, jer imaju sasvim standardne vrijednosti navedene u određenoj dokumentaciji, a ne uvijek se nakon instalacije sustava mijenjaju.

Kada unesete lozinku, možete vidjeti, au nekim slučajevima ljudi čak koriste specijalizirane optičke uređaje.

Korisnici, glavni subjekti identifikacije i autentifikacije, često mogu dijeliti lozinke s kolegama kako bi oni promijenili vlasništvo na određeno vrijeme. U teoriji bi u takvim situacijama najbolje bilo koristiti posebne kontrole pristupa, no u praksi to nitko ne koristi. A ako dvoje ljudi znaju lozinku, to uvelike povećava šanse da će drugi na kraju saznati za nju.

Kako to popraviti?

Postoji nekoliko načina kako se identifikacija i autentifikacija mogu osigurati. Komponenta za obradu informacija može se osigurati na sljedeći način:

• Nametanje raznih tehničkih ograničenja. Najčešće se postavljaju pravila za duljinu lozinke, kao i za sadržaj određenih znakova u njoj.
• Upravljanje istekom lozinki, odnosno potrebom da ih se povremeno mijenja.
• Ograničavanje pristupa glavnoj datoteci lozinke.
• Ograničavanjem ukupnog broja neuspjelih pokušaja dostupnih pri prijavi. ZahvaljujućiU ovom slučaju, napadači bi trebali izvršiti samo radnje prije izvođenja identifikacije i provjere autentičnosti, budući da se metoda grube sile ne može koristiti.
• Prethodna obuka korisnika.
• Upotreba specijaliziranog softvera za generiranje lozinki koji vam omogućuje stvaranje kombinacija koje su dovoljno zvučne i nezaboravne.

Sve se ove mjere mogu koristiti u svakom slučaju, čak i ako se uz lozinke koriste drugi načini provjere autentičnosti.

Jednokratne lozinke

Opcije o kojima se raspravljalo mogu se ponovno koristiti, a ako se otkrije kombinacija, napadač dobiva priliku izvršiti određene operacije u ime korisnika. Zato se jednokratne lozinke koriste kao jače sredstvo, otporno na mogućnost pasivnog mrežnog slušanja, zahvaljujući kojem sustav identifikacije i autentifikacije postaje puno sigurniji, iako ne tako praktičan..

U ovom trenutku, jedan od najpopularnijih softverskih generatora jednokratnih lozinki je sustav pod nazivom S/KEY, koji je objavio Bellcore. Osnovni koncept ovog sustava je da postoji određena funkcija F koja je poznata i korisniku i autentifikacijskom poslužitelju. Slijedi tajni ključ K, koji je poznat samo određenom korisniku.

Tijekom početne administracije korisnika, ova se funkcija koristi za ključodređeni broj puta, nakon čega se rezultat sprema na poslužitelj. U budućnosti postupak provjere autentičnosti izgleda ovako:

1. Broj dolazi u korisnički sustav s poslužitelja, što je 1 manje od broja puta kada se funkcija koristi za ključ.
2. Korisnik koristi funkciju dostupnog tajnog ključa onoliko puta koliko je postavljeno u prvom paragrafu, nakon čega se rezultat šalje putem mreže izravno na poslužitelj za autentifikaciju.
3. Poslužitelj koristi ovu funkciju do primljene vrijednosti, nakon čega se rezultat uspoređuje s prethodno spremljenom vrijednošću. Ako se rezultati podudaraju, tada je korisnik autentificiran i poslužitelj sprema novu vrijednost, a zatim smanjuje brojač za jedan.

U praksi implementacija ove tehnologije ima malo složeniju strukturu, ali u ovom trenutku to nije toliko važno. Budući da je funkcija nepovratna, čak i ako se lozinka presretne ili se dobije neovlašteni pristup autentifikacijskom poslužitelju, ne pruža mogućnost dobivanja tajnog ključa i na bilo koji način predviđanja kako će konkretno izgledati sljedeća jednokratna lozinka.

U Rusiji se kao jedinstvena usluga koristi poseban državni portal - "Jedinstveni sustav za identifikaciju / autentifikaciju" ("ESIA").

Drugi pristup snažnom autentifikacijskom sustavu je generiranje nove lozinke u kratkim intervalima, koja se također implementira putemkorištenje specijaliziranih programa ili raznih pametnih kartica. U tom slučaju poslužitelj za autentifikaciju mora prihvatiti odgovarajući algoritam generiranja lozinke, kao i određene parametre povezane s njim, a osim toga, mora postojati i sinkronizacija sata poslužitelja i klijenta.

Kerberos

Kerberos autentifikacijski poslužitelj prvi se put pojavio sredinom 90-ih godina prošlog stoljeća, ali od tada je već doživio ogroman broj temeljnih promjena. Trenutno su pojedine komponente ovog sustava prisutne u gotovo svakom modernom operativnom sustavu.

Glavna svrha ovog servisa je rješavanje sljedećeg problema: postoji određena nezaštićena mreža, a u njezinim čvorovima koncentrirani su različiti subjekti u obliku korisnika, kao i poslužiteljski i klijentski softverski sustavi. Svaki takav subjekt ima individualni tajni ključ, a da bi subjekt C imao mogućnost dokazati vlastitu autentičnost subjektu S, bez čega mu jednostavno neće služiti, morat će se ne samo imenovati, već i pokazati da zna određeni Tajni ključ. Istodobno, C nema priliku jednostavno poslati svoj tajni ključ S, budući da je, prije svega, mreža otvorena, a osim toga, S ne zna i, u principu, ne bi to trebao znati. U takvoj situaciji koristi se manje jednostavna tehnika za demonstriranje znanja o ovim informacijama.

Omogućuje elektronička identifikacija/autentifikacija putem Kerberos sustavakoristiti kao povjerljivu treću stranu koja ima informacije o tajnim ključevima posluženih objekata i, ako je potrebno, pomaže im u provođenju provjere autentičnosti u paru.

Tako klijent prvo šalje zahtjev sustavu koji sadrži potrebne podatke o njemu, kao io traženoj usluzi. Nakon toga Kerberos mu daje svojevrsni tiket, koji je šifriran tajnim ključem poslužitelja, kao i kopiju nekih podataka s njega, koji je šifriran klijentovim ključem. U slučaju podudaranja, utvrđuje se da je klijent dešifrirao informacije koje su mu bile namijenjene, odnosno uspio je dokazati da stvarno poznaje tajni ključ. To sugerira da je klijent upravo onaj za koga se predstavlja.

Ovdje posebnu pozornost treba obratiti na činjenicu da prijenos tajnih ključeva nije obavljen preko mreže, već su korišteni isključivo za šifriranje.

Biometrijska autentifikacija

Biometrija uključuje kombinaciju automatiziranih sredstava identifikacije/autentifikacije ljudi na temelju njihovog ponašanja ili fizioloških karakteristika. Fizička sredstva provjere autentičnosti i identifikacije uključuju provjeru mrežnice i rožnice očiju, otisaka prstiju, geometrije lica i šake i druge osobne podatke. Karakteristike ponašanja uključuju stil rada s tipkovnicom i dinamiku potpisa. Kombiniranometode su analiza različitih karakteristika glasa osobe, kao i prepoznavanje njegovog govora.

Takvi sustavi identifikacije/autentifikacije i enkripcije naširoko se koriste u mnogim zemljama diljem svijeta, ali su dugo vremena bili iznimno skupi i teški za korištenje. U posljednje je vrijeme potražnja za biometrijskim proizvodima značajno porasla zbog razvoja e-trgovine, budući da je s stajališta korisnika puno praktičnije predstaviti se nego zapamtiti neke informacije. Sukladno tome, potražnja stvara ponudu, pa su se na tržištu počeli pojavljivati relativno jeftini proizvodi koji su uglavnom usmjereni na prepoznavanje otisaka prstiju.

U velikoj većini slučajeva biometrija se koristi u kombinaciji s drugim autentifikatorima poput pametnih kartica. Često je biometrijska autentifikacija samo prva linija obrane i djeluje kao sredstvo za aktiviranje pametnih kartica koje uključuju različite kriptografske tajne. Kada koristite ovu tehnologiju, biometrijski predložak je pohranjen na istoj kartici.

Aktivnost u području biometrije je prilično visoka. Odgovarajući konzorcij već postoji, a također se prilično aktivno radi na standardizaciji različitih aspekata tehnologije. Danas se može vidjeti mnoštvo reklamnih članaka u kojima se biometrijske tehnologije predstavljaju kao idealno sredstvo za povećanje sigurnosti, a ujedno dostupno široj javnosti.mase.

ESIA

Sustav za identifikaciju i autentifikaciju ("ESIA") posebna je usluga stvorena kako bi se osigurala provedba različitih zadataka vezanih uz provjeru identiteta podnositelja zahtjeva i sudionika u međuodjelskoj interakciji u slučaju pružanja bilo koje općinske ili državne usluge u elektroničkom obliku.

Da biste pristupili "Jedinstvenom portalu državnih tijela", kao i svim drugim informacijskim sustavima infrastrukture postojeće e-uprave, prvo ćete morati registrirati račun i kao rezultat, primite PES.

Razine

Portal jedinstvenog sustava identifikacije i provjere autentičnosti pruža tri glavne razine računa za pojedince:

• Pojednostavljeno. Za registraciju potrebno je samo navesti svoje prezime i ime, kao i neki specifičan komunikacijski kanal u obliku e-mail adrese ili mobitela. Ovo je primarna razina, preko koje osoba ima pristup samo ograničenom popisu raznih javnih usluga, kao i mogućnostima postojećih informacijskih sustava.
• Standardno. Da biste ga dobili, prvo morate izdati pojednostavljeni račun, a zatim navesti dodatne podatke, uključujući podatke iz putovnice i broj osobnog računa osiguranja. Navedene informacije se automatski provjeravaju putem informacijskih sustavaMirovinskog fonda, kao i Federalne migracijske službe, a ako je provjera uspješna, račun se prenosi na standardnu razinu, čime se korisniku otvara prošireni popis javnih usluga.
• Potvrđeno. Za dobivanje ove razine računa, jedinstveni sustav identifikacije i autentifikacije zahtijeva od korisnika standardni račun, kao i provjeru identiteta, koja se obavlja osobnim posjetom ovlaštenom servisu ili dobivanjem aktivacijskog koda putem preporučene pošte. U slučaju da je provjera identiteta uspješna, račun će preći na novu razinu, a korisnik će imati pristup cijelom popisu potrebnih državnih usluga.

Unatoč činjenici da se postupci mogu činiti poprilično kompliciranima, zapravo se s punim popisom potrebnih podataka možete upoznati izravno na službenoj web stranici, tako da je potpuna registracija sasvim moguća u roku od nekoliko dana.