Дьяченко Н.В., Отакулов А.С., Акушуев Р.Т.
Донской государственный технический университет
ИДЕНТИФИКАЦИЯ КАК МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ
Аннотация
В данной работе рассматриваются вопросы применения идентификации в повседневной жизни, недостатки и ее функционирование.
Ключевые слова: information security, Information security, identification
Keywords: information security, cloud technologies, information security
При разработке мер безопасности, будь то в масштабе конкретного механизма или всей инфраструктуры, идентификация и аутентификация, вероятно, будут ключевыми понятиями. Идентификация — это утверждение о том, что кто-то или что-то есть, а проверка подлинности устанавливает, является ли это утверждение истинным. Мы видим, что такие процессы происходят ежедневно различными способами.
Один из наиболее распространенных примеров транзакций идентификации и аутентификации можно найти в использовании платежных карт, для которых требуется персональный идентификационный номер (ПИН). Когда мы проводим магнитной полосой на карточке, мы утверждаем, что являемся лицом, указанным на карточке. На данный момент мы дали нашу идентификацию, но не более того. Когда нам будет предложено ввести PIN-код, связанный с картой, мы завершаем аутентификационную.
Некоторые из методов идентификации и аутентификации, которые мы используем в повседневной жизни, являются особенно хрупкими и во многом зависят от честности и усердия тех, кто участвует в транзакции. Многие такие обмены, которые включают в себя показ удостоверений личности, например, покупку предметов, предназначенных для лиц старше определенного возраста, основаны на теории, что отображаемое удостоверение личности является подлинным и точным. Мы также зависим от того, человек или система, выполняющая аутентификацию, компетентны и способны не только выполнять акт аутентификации, но и обнаруживать ложные или мошеннические действия.
Можем использовать ряд методов для идентификации и аутентификации, от простого использования имен пользователей и паролей до специальных аппаратных токенов, которые служат для установления нашей личности несколькими способами.
Удостоверение личности
Идентификация это просто утверждение того, кто мы есть. Это может включать в себя информацию о том, кого мы называем личностью, кого система утверждает, что он находится в сети, кто заявляет, что отправляющая сторона электронной почты заявляет, или подобные транзакции. Важно отметить, что процесс идентификации не выходит за рамки этого требования и не включает какой-либо проверки или подтверждения личности, которую мы требуем. Эта часть процесса называется аутентификацией и представляет собой отдельную транзакцию.
Мы можем идентифицировать себя по нашим полным именам, сокращенным версиям наших имен, псевдонимам, номерам счетов, именам пользователей, удостоверениям личности, отпечаткам пальцев, образцам ДНК и множеству других методов. К сожалению, за некоторыми исключениями, такие методы идентификации не являются уникальными, и даже некоторые из предположительно уникальных методов идентификации, такие как отпечатки пальцев, могут дублироваться во многих случаях.
То, кем человек себя называем, во многих случаях может быть источником информации, которая может измениться. Например, наши фамилии могут измениться, как в случае женщин, которые меняют свою фамилию после вступления в брак, людей, которые юридически меняют свое имя на совершенно другое имя, или даже людей, которые просто выбирают использовать другое имя. Кроме того, мы можем очень легко изменить логические формы идентификации, как в случае номеров счетов, имен пользователей и тому подобного. Даже физические идентификаторы, такие как рост, вес, цвет кожи и цвет глаз, могут быть изменены. Когда мы работаем с идентификацией, необходимо понять, что одним из важнейших факторов является то, что необоснованное утверждение о личности само по себе не является достоверной информацией.
Проверка личности
Проверка идентичности — это шаг за пределы идентификации, но он все еще не соответствует аутентификации. Когда нас просят показать водительские права, свидетельство о рождении или другую аналогичную форму идентификации, это обычно делается для проверки личности, а не для проверки подлинности. Это грубый эквивалент того, что кто-то заявляет о себе как «Николай Иванович», мы спрашиваем, действительно ли этот человек — Николай Иванович, и удовлетворены ответом «Конечно, я» от этого человека (плюс небольшая бумажная работа). Как подтверждение личности, это в лучшем случае очень шатко.
Может взять этот пример немного дальше и проверить форму идентификации — скажем, паспорта — по базе данных есть возможность посмотреть, как выглядит человек, а также сверить информацию, с стоящим человеком. Это может сделать нас немного ближе, но мы все еще не на уровне гарантии, которую мы получаем от аутентификации.
Проверка личности используется не только в наших личных взаимодействиях, но и в компьютерных системах. Во многих случаях, например, когда мы отправляем электронное письмо, идентифицируемая нами личность считается истинной, без каких-либо дополнительных шагов, предпринимаемых для аутентификации нас. Такие пробелы в безопасности способствуют огромному количеству спам-трафика.
Фальсификация идентификации
Методы идентификации могут быть изменены. Как таковые они также подлежат фальсификации. Все мы слышали о часто используемых мошеннических водительских правах, которые часто используются несовершеннолетними для покупки предметов, для которых они слишком молоды, чтобы их покупать, или для посещения баров или ночных клубов, когда они не достигли совершеннолетия, чтобы сделать это. Немного более зловещая нота: такие фальсифицированные средства идентификации также используются преступниками и террористами для решения различных задач. Некоторые основные средства идентификации, такие как свидетельства о рождении, также предоставляют способ получения дополнительных форм идентификации, тем самым усиливая ложную идентичность.
Кража личных данных, основанная на фальсифицированной информации, является сегодня серьезной проблемой. Этот тип атаки, к сожалению, распространен и прост в исполнении. Учитывая минимальный объем информации — обычно достаточно имени, адреса и номера социального страхования — можно выдать себя за кого-то в достаточной степени, чтобы он мог выступать в качестве этого лица во многих случаях. Жертвы кражи личных данных могут обнаружить, что кредитные линии, кредитные карты, ссуды на покупку автомобиля, ипотека и другие транзакции были совершены с использованием их украденной личности.
Такие преступления происходят из-за отсутствия требований аутентификации для многих видов деятельности, которыми мы занимаемся. В большинстве случаев единственной проверкой, которая имеет место, является проверка личности. Этот процесс, в лучшем случае, является небольшим препятствием, и его легко можно обойти, используя поддельные формы идентификации. Чтобы исправить эту ситуацию, нам необходимо завершить процесс идентификации и аутентификации людей, вовлеченных в эти транзакции, чтобы, по крайней мере, более убедительно доказать, что мы на самом деле взаимодействуем с людьми.
Когда мы смотрим на аналогичные проблемы для компьютерных систем и сред, мы видим много таких же трудностей. Вполне возможно отправить электронное письмо с адреса, отличного от фактического адреса отправки, и эта тактика используется спаммерами на регулярной основе. Мы можем видеть те же проблемы во многих других системах и протоколах, которые используются ежедневно и являются частью функциональности Интернета.
Литература
- Тарасов Ю Контрольно-пропускной режим на предприятии. Защита информации // Конфидент, 2002.
- Флорен М.В. Организация управления доступом // Защита информации «Конфидент», 2005.
- Варлатая, С.К. Аппаратно-программные средства и методы защиты информации. 2007г.