Identifikacija i autentifikacija: osnovni koncepti

2024 Autor: Howard Calhoun | [email protected]. Zadnja izmjena: 2023-12-17 10:20

Identifikacija i autentifikacija su osnova modernih softverskih i hardverskih sigurnosnih alata, budući da su sve druge usluge uglavnom dizajnirane da služe ovim entitetima. Ovi koncepti predstavljaju neku vrstu prve linije odbrane koja osigurava sigurnost informacionog prostora organizacije.

Šta je ovo?

Identifikacija i autentifikacija imaju različite funkcije. Prvi daje subjektu (korisniku ili procesu koji djeluje u njihovo ime) mogućnost da navede svoje ime. Uz pomoć autentifikacije, druga strana se konačno uvjerava da je subjekt zaista onaj za koga se predstavlja. Identifikacija i autentifikacija se često zamjenjuju frazama "poruka imena" i "autentifikacija" kao sinonimima.

Oni su sami podijeljeni u nekoliko varijanti. Zatim ćemo pogledati šta su identifikacija i autentifikacija i šta su.

Autentifikacija

Ovaj koncept predviđa dva tipa: jednostrani, kada je klijentmora prvo serveru dokazati njegovu autentičnost, i to dvosmjerno, odnosno kada se vrši međusobna potvrda. Standardni primjer načina na koji se provodi standardna identifikacija i autentifikacija korisnika je procedura za prijavu na određeni sistem. Dakle, različite vrste se mogu koristiti u različitim objektima.

U mrežnom okruženju u kojem se identifikacija i autentifikacija korisnika provode na geografski raspoređenim stranama, dotična usluga se razlikuje u dva glavna aspekta:

• koji služi kao autentifikator;
• kako je tačno organizovana razmena podataka za autentifikaciju i identifikaciju i kako je zaštićena.

Da bi dokazao svoj identitet, subjekt mora predstaviti jedan od sljedećih entiteta:

• određene informacije koje on zna (lični broj, lozinka, poseban kriptografski ključ, itd.);
• određena stvar koju posjeduje (lična kartica ili neki drugi uređaj slične namjene);
• određena stvar koja je sama po sebi (otisci prstiju, glas i druga biometrijska sredstva za identifikaciju i autentifikaciju korisnika).

Sistemske karakteristike

U otvorenom mrežnom okruženju, strane nemaju pouzdanu rutu, što znači da, generalno, informacije koje subjekt prenosi možda se u konačnici ne podudaraju s informacijama primljenim i korištenimprilikom autentifikacije. Potrebno je osigurati sigurnost aktivnog i pasivnog slušanja mreže, odnosno zaštitu od ispravljanja, presretanja ili reprodukcije različitih podataka. Mogućnost prenošenja lozinki u otvorenom tekstu je nezadovoljavajuća, a na isti način šifriranje lozinke ne može spasiti dan, jer ne pružaju zaštitu od reprodukcije. Zbog toga se danas koriste složeniji protokoli za autentifikaciju.

Pouzdana identifikacija je teška ne samo zbog raznih prijetnji na mreži, već i iz niza drugih razloga. Prije svega, gotovo svaki entitet za autentifikaciju može biti ukraden, krivotvoren ili zaključen. Postoji i određena kontradikcija između pouzdanosti korišćenog sistema, s jedne strane, i pogodnosti administratora ili korisnika sistema, s druge strane. Stoga je iz sigurnosnih razloga potrebno od korisnika tražiti da ponovo unese svoje autentifikacijske podatke s određenom učestalošću (jer neka druga osoba već sjedi na njegovom mjestu), a to ne samo da stvara dodatne probleme, već i značajno povećava mogućnost da taj neko špijunira unos informacija. Između ostalog, pouzdanost zaštitne opreme značajno utiče na njenu cijenu.

Moderni sistemi identifikacije i autentikacije podržavaju koncept jedinstvene prijave na mrežu, što vam prvenstveno omogućava da ispunite zahtjeve u smislu pogodnosti korisnika. Ako standardna korporativna mreža ima mnogo informacijskih usluga,pružajući mogućnost nezavisnog tretmana, onda ponovno unošenje ličnih podataka postaje preteško. Trenutno se još ne može reći da se upotreba jedinstvene prijave smatra normalnom, jer dominantna rješenja još nisu formirana.

Tako, mnogi pokušavaju pronaći kompromis između pristupačnosti, pogodnosti i pouzdanosti sredstava koja pružaju identifikaciju/autentifikaciju. Autorizacija korisnika u ovom slučaju se vrši prema individualnim pravilima.

Posebnu pažnju treba obratiti na činjenicu da se servis koji se koristi može biti odabran kao predmet napada dostupnosti. Ako je sistem konfigurisan tako da se nakon određenog broja neuspješnih pokušaja blokira mogućnost ulaska, tada napadači u ovom slučaju mogu zaustaviti rad legalnih korisnika sa samo nekoliko pritisaka na tipku.

Provjera autentičnosti lozinke

Glavna prednost ovakvog sistema je da je izuzetno jednostavan i većini poznat. Lozinke već dugo koriste operativni sistemi i drugi servisi, a kada se koriste pravilno, pružaju nivo sigurnosti koji je za većinu organizacija sasvim prihvatljiv. Ali s druge strane, u smislu ukupnog skupa karakteristika, ovakvi sistemi predstavljaju najslabije sredstvo pomoću kojeg se može izvršiti identifikacija/autentifikacija. Autorizacija u ovom slučaju postaje prilično jednostavna, jer lozinke moraju bitinezaboravne, ali u isto vrijeme jednostavne kombinacije nije teško pogoditi, pogotovo ako osoba zna preferencije određenog korisnika.

Ponekad se desi da se lozinke, u principu, ne čuvaju u tajnosti, jer imaju sasvim standardne vrijednosti navedene u određenoj dokumentaciji, a ne uvijek se nakon instaliranja sistema mijenjaju.

Kada unesete lozinku, možete vidjeti, au nekim slučajevima ljudi čak koriste i specijalizovane optičke uređaje.

Korisnici, glavni subjekti identifikacije i autentifikacije, često mogu podijeliti lozinke sa kolegama kako bi oni promijenili vlasništvo na određeno vrijeme. U teoriji bi u takvim situacijama najbolje bilo koristiti posebne kontrole pristupa, ali to u praksi niko ne koristi. A ako dvoje ljudi znaju lozinku, to uvelike povećava šanse da će drugi na kraju saznati za nju.

Kako to popraviti?

Postoji nekoliko načina kako se identifikacija i autentifikacija mogu osigurati. Komponenta za obradu informacija može se osigurati na sljedeći način:

• Nametanje raznih tehničkih ograničenja. Najčešće se postavljaju pravila za dužinu lozinke, kao i za sadržaj određenih znakova u njoj.
• Upravljanje istekom lozinki, odnosno potrebom da ih se periodično mijenjaju.
• Ograničavanje pristupa glavnom fajlu lozinke.
• Ograničavanjem ukupnog broja neuspjelih pokušaja dostupnih prilikom prijave. Hvala zaU ovom slučaju, napadači bi trebali izvršiti samo radnje prije izvođenja identifikacije i autentifikacije, pošto se metoda grube sile ne može koristiti.
• Prethodna obuka korisnika.
• Korišćenje specijalizovanog softvera za generisanje lozinki koji vam omogućava da kreirate kombinacije koje su dovoljno eufonične i nezaboravne.

Sve ove mjere se mogu koristiti u svakom slučaju, čak i ako se koriste drugi načini provjere autentičnosti zajedno sa lozinkama.

Jednokratne lozinke

Opcije o kojima se govorilo mogu se ponovo koristiti, a ako se otkrije kombinacija, napadač dobija priliku da izvrši određene operacije u ime korisnika. Zato se jednokratne lozinke koriste kao jače sredstvo, otporno na mogućnost pasivnog slušanja mreže, zahvaljujući čemu sistem identifikacije i autentifikacije postaje mnogo sigurniji, iako ne tako praktičan..

U ovom trenutku, jedan od najpopularnijih softverskih generatora jednokratnih lozinki je sistem pod nazivom S/KEY, koji je objavio Bellcore. Osnovni koncept ovog sistema je da postoji određena funkcija F koja je poznata i korisniku i serveru za autentifikaciju. Slijedi tajni ključ K, koji je poznat samo određenom korisniku.

Tokom početne administracije korisnika, ova funkcija se koristi za ključodređeni broj puta, nakon čega se rezultat pohranjuje na server. Ubuduće, procedura autentifikacije izgleda ovako:

1. Broj dolazi u korisnički sistem sa servera, što je 1 manje od broja puta kada se funkcija koristi za ključ.
2. Korisnik koristi funkciju dostupnog tajnog ključa onoliko puta koliko je postavljeno u prvom paragrafu, nakon čega se rezultat šalje preko mreže direktno na server za autentifikaciju.
3. Server koristi ovu funkciju do primljene vrijednosti, nakon čega se rezultat upoređuje sa prethodno sačuvanom vrijednošću. Ako se rezultati poklapaju, tada je korisnik autentifikovan i server sprema novu vrijednost, a zatim smanjuje brojač za jedan.

U praksi implementacija ove tehnologije ima malo složeniju strukturu, ali to trenutno nije toliko bitno. Budući da je funkcija nepovratna, čak i ako se lozinka presretne ili dobije neovlašteni pristup serveru za autentifikaciju, ne pruža mogućnost dobivanja tajnog ključa i na bilo koji način predviđanja kako će sljedeća jednokratna lozinka konkretno izgledati.

U Rusiji se kao jedinstvena usluga koristi poseban državni portal - "Jedinstveni sistem identifikacije / autentikacije" ("ESIA").

Drugi pristup snažnom sistemu autentifikacije je da se nova lozinka generira u kratkim intervalima, koja se također implementira putemkorištenje specijaliziranih programa ili raznih pametnih kartica. U ovom slučaju, server za autentifikaciju mora prihvatiti odgovarajući algoritam generiranja lozinke, kao i određene parametre povezane s njim, a osim toga, mora postojati i sinhronizacija sata servera i klijenta.

Kerberos

Kerberos autentifikacioni server se prvi put pojavio sredinom 90-ih godina prošlog veka, ali je od tada već pretrpeo ogroman broj fundamentalnih promena. Trenutno su pojedinačne komponente ovog sistema prisutne u skoro svakom modernom operativnom sistemu.

Osnovna svrha ovog servisa je rješavanje sljedećeg problema: postoji određena nezaštićena mreža, a u njenim čvorovima su koncentrisani različiti subjekti u vidu korisnika, kao i serverskih i klijentskih softverskih sistema. Svaki takav subjekt ima individualni tajni ključ, a da bi subjekt C imao mogućnost da dokaže vlastitu autentičnost subjektu S, bez čega mu jednostavno neće služiti, moraće ne samo da se imenuje, već i da pokaže da zna određeni Tajni ključ. U isto vrijeme, C nema priliku jednostavno poslati svoj tajni ključ S-u, jer je, prije svega, mreža otvorena, a osim toga, S ne zna i, u principu, ne bi trebao znati. U takvoj situaciji koristi se manje jednostavna tehnika za demonstriranje znanja o ovim informacijama.

Elektronska identifikacija/autentifikacija kroz Kerberos sistem to omogućavakoristiti kao treća strana od povjerenja koja ima informacije o tajnim ključevima opsluženih objekata i, ako je potrebno, pomaže im u provođenju autentifikacije u paru.

Na taj način klijent prvo šalje zahtjev sistemu, koji sadrži potrebne podatke o njemu, kao io traženoj usluzi. Nakon toga, Kerberos mu daje neku vrstu tiketa, koji je šifrovan tajnim ključem servera, kao i kopiju nekih podataka sa njega, koji je šifrovan ključem klijenta. U slučaju podudaranja, utvrđuje se da je klijent dešifrovao informacije koje su mu bile namenjene, odnosno da je mogao da dokaže da zaista poznaje tajni ključ. Ovo sugerira da je klijent upravo ono za koga se predstavlja.

Ovdje posebnu pažnju treba obratiti na činjenicu da prijenos tajnih ključeva nije obavljen preko mreže, već su korišteni isključivo za šifriranje.

Biometrijska autentikacija

Biometrija uključuje kombinaciju automatizovanih sredstava za identifikaciju/autentifikaciju ljudi na osnovu njihovog ponašanja ili fizioloških karakteristika. Fizička sredstva autentifikacije i identifikacije uključuju provjeru mrežnice i rožnjače očiju, otisaka prstiju, geometrije lica i šake i druge lične podatke. Karakteristike ponašanja uključuju stil rada s tastaturom i dinamiku potpisa. Kombinovanometode su analiza različitih karakteristika glasa osobe, kao i prepoznavanje njegovog govora.

Ovakvi sistemi identifikacije/autentifikacije i enkripcije se široko koriste u mnogim zemljama širom svijeta, ali su dugo vremena bili izuzetno skupi i teški za korištenje. U posljednje vrijeme potražnja za biometrijskim proizvodima značajno je porasla zbog razvoja e-trgovine, jer je, sa stanovišta korisnika, mnogo zgodnije predstaviti se nego zapamtiti neke informacije. Shodno tome, potražnja stvara ponudu, pa su se na tržištu počeli pojavljivati relativno jeftini proizvodi, koji su uglavnom fokusirani na prepoznavanje otisaka prstiju.

U velikoj većini slučajeva, biometrija se koristi u kombinaciji sa drugim autentifikatorima kao što su pametne kartice. Često je biometrijska autentifikacija samo prva linija odbrane i djeluje kao sredstvo za aktiviranje pametnih kartica koje uključuju različite kriptografske tajne. Kada koristite ovu tehnologiju, biometrijski predložak se pohranjuje na istoj kartici.

Aktivnost u oblasti biometrije je prilično visoka. Odgovarajući konzorcij već postoji, a prilično se aktivno radi i na standardizaciji različitih aspekata tehnologije. Danas možete vidjeti mnoštvo reklamnih članaka u kojima su biometrijske tehnologije predstavljene kao idealno sredstvo za povećanje sigurnosti, a istovremeno dostupne široj javnosti.mase.

ESIA

Sistem za identifikaciju i autentifikaciju ("ESIA") je posebna usluga stvorena kako bi se osigurala implementacija različitih zadataka vezanih za provjeru identiteta podnositelja zahtjeva i učesnika u međuodjelskoj interakciji u slučaju pružanja bilo koje općinske ili državne usluge u elektronskom obliku.

Da biste pristupili "Jedinstvenom portalu državnih organa", kao i svim drugim informacionim sistemima infrastrukture trenutne e-uprave, prvo ćete morati da registrujete nalog i kao rezultat, primite PES.

Nivoi

Portal jedinstvenog sistema identifikacije i autentifikacije pruža tri glavna nivoa računa za fizička lica:

• Pojednostavljeno. Da biste ga registrovali, potrebno je samo da navedete svoje prezime i ime, kao i neki specifičan kanal komunikacije u vidu email adrese ili mobilnog telefona. Ovo je primarni nivo, preko kojeg osoba ima pristup samo ograničenoj listi raznih javnih usluga, kao i mogućnostima postojećih informacionih sistema.
• Standard. Da biste ga dobili, prvo morate izdati pojednostavljeni račun, a zatim dati i dodatne podatke, uključujući podatke iz pasoša i broj ličnog računa osiguranja. Navedene informacije se automatski provjeravaju putem informacionih sistemaPenzionog fonda, kao i Federalne službe za migracije, a ako je provjera uspješna, račun se prenosi na standardni nivo, čime se korisniku otvara proširena lista javnih usluga.
• Potvrđeno. Za dobijanje ovog nivoa naloga, jedinstveni sistem identifikacije i autentifikacije zahteva od korisnika standardni nalog, kao i proveru identiteta, koja se vrši ličnom posetom ovlašćenom servisu ili dobijanjem aktivacionog koda putem preporučene pošte. U slučaju da je provjera identiteta uspješna, račun će preći na novi nivo, a korisnik će imati pristup cijeloj listi potrebnih državnih usluga.

Uprkos činjenici da procedure mogu izgledati prilično komplikovano, u stvari, možete se upoznati sa kompletnom listom potrebnih podataka direktno na službenoj web stranici, tako da je potpuna registracija sasvim moguća u roku od nekoliko dana.