ПОНЯТИЕ АУТЕНТИФИКАЦИИ, ЕЕ ПРИМЕНЕНИЕ И ОСОБЕННОСТИ

Дьяченко Н.В., Отакулов А.С., Шатомиров И.С.

Донской государственный технический университет

ПОНЯТИЕ АУТЕНТИФИКАЦИИ, ЕЕ ПРИМЕНЕНИЕ И ОСОБЕННОСТИ

Аннотация

В данной работе рассматриваются вопросы, касающиеся разновидности аутентификации ее применения и особенности. Многофакторная аутентификация и ее виды.

Ключевые слова: аутентификация, безопасность сети, информационная безопасность

Keywords: authentication, network security, information security

Один из наиболее распространенных способов контроля доступа к компьютерным системам — это определить, кто находится за клавиатурой (и доказать это удостоверение личности), а затем решить, что им разрешено делать. Эти двойные элементы управления, аутентификация и авторизация, соответственно, гарантируют, что авторизованные пользователи получают доступ к соответствующим вычислительным ресурсам, в то же время блокируя доступ для неавторизованных пользователей. Аутентификация — это средство проверки того, кем является человек, а авторизация определяет, что ему разрешено делать. Это всегда должно быть сделано в соответствии с принципом наименьших привилегий — предоставляя каждому человеку только тот объем доступа, который ему необходим для эффективной работы, и не более.

Аутентификация

Аутентификация — это процесс, посредством которого люди доказывают, что они те, кем они себя называют. Он состоит из двух частей: публичное заявление о личности (обычно в форме имени пользователя) в сочетании с личным ответом на вызов (например, пароль). Секретный ответ на запрос аутентификации может основываться на одном или нескольких факторах: что-то, что вы знаете (например, секретное слово, номер или пароль), что-то, что у вас есть (например, смарт-карта, идентификационная метка или генератор кода), или что-то, чем вы являетесь (например, биометрический фактор, такой как отпечаток пальца или отпечаток сетчатки). Сам по себе пароль, который является средством идентификации себя с помощью чего-то, что вы только должны знать, является примером однофакторной аутентификации. Это не считается методом строгой аутентификации, поскольку пароль может быть перехвачен или украден различными способами — например, пароли часто записываются или передаются другим лицам, их можно получить из системы или сети, и они часто слабы и легко угадываются.

Представьте себе, если бы вы могли опознать своих друзей, только получив предварительно согласованную секретную фразу на листе бумаги вместо того, чтобы смотреть на них или слышать их голос. Насколько надежным это будет? Этот тип идентификации часто изображается в шпионских фильмах, где секретный агент использует пароль, чтобы выдать себя за того, кого жертва должна встретить, но никогда не видела. Этот трюк работает именно потому, что он так ошибочен — пароль является единственным средством идентификации личности. Пароли просто не очень хороший способ аутентификации.

К сожалению, аутентификация на основе паролей была самым простым типом для реализации в первые дни вычислений, и модель сохранилась до наших дней.

Другие однофакторные методы аутентификации лучше, чем пароли. Токены и смарт-карты лучше, чем пароли, потому что они должны находиться в физическом владении пользователя. Биометрия, которая использует датчик или сканер для идентификации уникальных особенностей отдельных частей тела, лучше, чем пароли, потому что они не могут быть общими — пользователь должен присутствовать при входе в систему. Однако есть способы победить эти методы. Так например карты могут быть потеряны или украдены, а биометрия может быть подделана. Однако сделать это гораздо сложнее, чем украсть или получить пароль. Пароли являются наихудшим из возможных способов подтверждения личности несмотря на то, что это самый распространенный метод.

Многофакторная аутентификация относится к использованию двух или более методов проверки личности. Эти методы включают (перечислены в порядке возрастания силы):

  • Что-то, что вы знаете (пароль или PIN-код)
  • Что-то, что у вас есть (например, карта)
  • То, что вы есть (уникальная физическая характеристика)

Двухфакторная аутентификация является наиболее распространенной формой многофакторной аутентификации, такой как устройство токена, генерирующее пароль, с ЖК-экраном, на котором отображается число (основанное на времени или последовательное) вместе с паролем, или смарт-карта вместе с паролем. Опять же, пароли не очень хороший выбор для второго фактора, но они внедрены в нашу технологию и коллективное сознание, они встроены во все компьютерные системы, и их удобно и дешево внедрить. Токен или смарт-карта вместе с биометрикой были бы намного лучше — эту комбинацию практически невозможно победить. Однако большинство организаций не оснащены биометрическими устройствами.

В следующих разделах представлено более подробное введение в эти типы систем аутентификации, доступных сегодня:

  • Системы, которые используют комбинации имени пользователя и пароля, включая Kerberos;
  • Системы, которые используют сертификаты или токены;
  • Биометрические имена пользователей и пароли;

В известном методе аутентификации по паролю компьютер выдает запрос, и сторона, желающая быть идентифицированной, предоставляет ответ. Если ответ может быть подтвержден, пользователь считается аутентифицированным, и пользователю разрешен доступ к системе. В противном случае пользователь лишен доступа к системе.

Протокол Kerberos был разработан в середине 80-х годов в Массачусетском технологическом институте для сетей TCT/IP (в начале для проекта Athena). Компоненты Kerberos присутствуют в большинстве современных ОС: Windows, Solaris.

Система Kerberos представляет централизованную службу аутентификации (с выделенным сервером аутентификации), основной функцией которой является аутентификация пользователей для серверов и серверов для пользователей.

Kerberos использует исключительно традиционное шифрование.

Популярны 2 версии Kerberos: версии 4 и 5. В версии 5 исправлены недостатки версии 4. Версии 1-3 – рабочие.

Kerberos V5 предложена в качестве стандарта Internet и описана в RFC 1510.

В V4 применяется DES и 56-битные ключи.

В V5 ( в Win2000 на территории США) применяется RC4 и 128-битные ключи.

Поддерживается DES в режиме CBC (сцепленных шифрованных блоков) и могут применяться другие алгоритмы шифрования.

Используется алгоритм хэширования MD5.

Система Kerberos имеет распределенную архитектуру клиент-сервер и может использовать один или несколько серверов Kerberos.

Требования, выдвигаемые разработчиками Kerberos:

Защита. Противник, перехватывающий сообщения в сети, не должен получить информацию, достаточную чтобы имитировать другого пользователя,

Надежность. Недоступность системы Kerberos должна означать недоступность службы,

Прозрачность. Пользователь не должен замечать процедуры аутентификации, за исключением ввода пароля.

Масштабируемость. Система должна поддерживать большое количество клиентов и серверов.

 Существует множество систем аутентификации по паролю. Следующие типы систем обычно используются сегодня:

  • Локальное хранение и сравнение
  • Центральное хранилище и сравнение
  • Вызов и ответ
  • Kerberos
  • Одноразовый пароль (OTP)

В настоящее время с развитием интернета, также развивается и киберпреступность. Аутентификация является одной из возможных способов защиты информации, которая предназначается для определенного человека. Для максимальной защиты стоит применять более сложную аутентификацию (биометрические данные). Так, например некоторые нанки начали делать банковские карты с биометрическим кличем входа, а обслуживание карты или перевод можно сделать по телефону связавшись с оператором. Аутентификация в такой варианта обслуживания является ваш голос.

Литература

  1. Махтаев М.Ш. Методика расследования компьютерных преступлений: учебное пособие -2007.
  1. Брюхомицкий Ю.А., Казарин М.Н. система аутентификации личности сборник трудов научно-практической конференции с международным участием «информационная безопасность». 2002.
  2. Тихонов И.А. Информативные параметры биометрической аутентификации пользователей информационных систем по инфракрасному изображению сосудистого русла 2010.