Identificatie en authenticatie: basisbegrippen

Identificatie en authenticatie zijn de basis van de moderne software en hardware security, zoals elke andere diensten vooral bestemd zijn voor het onderhoud van deze onderwerpen. Deze concepten vormen een soort eerste verdedigingslinie, zorgen voor veiligheid van de informatie ruimte organisatie.

Wat is het?

Identificatie en authenticatie hebben verschillende functies. De eerste voorziet in een onderwerp (gebruiker of een proces dat optreedt namens) de kans om hun eigen naam te vertellen. Door middel van authenticatie is de tweede zijde is er volledig van overtuigd dat het onderwerp is echt degene voor wie hij beweert te zijn. Vaak, als een synoniem identificatie en authenticatie worden vervangen door de woorden "Bericht naam" en "authenticatie".

Zij zelf zijn onderverdeeld in verschillende variëteiten. Vervolgens zijn wij van mening dat een identificatie en authenticatie zijn en wat ze zijn.

authenticatie

Dit concept voorziet in twee soorten: one-way, moet de klant eerst bewijzen om de server te authenticeren, en bilaterale, dat wil zeggen wanneer een wederzijdse bevestiging wordt uitgevoerd. Typisch voorbeeld van hoe je een standaard identificatie en authenticatie van de gebruikers uit te voeren - is in te loggen op een specifiek systeem. Aldus kunnen verschillende typen worden gebruikt in verschillende objecten.

In een netwerkomgeving, waar de identificatie en authenticatie van gebruikers gedaan op geografisch verspreide partijen, onderzoekt de dienst wordt gekenmerkt door twee belangrijke aspecten:

• dat fungeert als een verificator;
• hoe het werd georganiseerd door de uitwisseling van gegevens authenticatie en identificatie en hoe het te beschermen.

Om de authenticiteit ervan te bevestigen, moet het onderwerp worden voorgelegd aan een van de volgende entiteiten:

• bepaalde informatie waarvan hij weet (persoonlijk nummer, een wachtwoord, een speciale cryptografische sleutel, enz ...);
• bepaald ding is hij eigenaar van (persoonlijke kaart of een ander apparaat met een soortgelijk doel);
• bepaald ding, dat een element ervan (fingerprint, stem of andere biometrische identificatie en authentificatie van gebruikers).

systeemfuncties

In de open netwerkomgeving, de partijen niet een vertrouwde pad hebben, en er wordt gezegd dat in het algemeen, de door de vakinformatie kan uiteindelijk afwijken van de ontvangen en voor authenticatie informatie. Vereiste veiligheid van actieve en passieve netwerk sniffer, dat wil zeggen, de bescherming tegen correcties, onderschepping of het afspelen van verschillende soorten gegevens. Password overdracht optie in het duidelijk is, is niet bevredigend is, en kan het gewoon niet redden van de dag, en versleutelde wachtwoorden, omdat ze niet zijn voorzien, bescherming afspelen. Dat is de reden waarom vandaag de dag gebruikt wordt complexer authenticatieprotocollen.

Betrouwbare identificatie is moeilijk, niet alleen als gevolg van een verscheidenheid van het netwerk van bedreigingen, maar ook voor een aantal andere redenen. De eerste vrijwel elke authenticatie entiteit worden ontvoerd of vervalsen of Scouting. een spanning tussen de betrouwbaarheid van het systeem dat wordt gebruikt is ook aanwezig, enerzijds, en de systeembeheerder of gebruikersfaciliteiten - anderzijds. Dus, om redenen van veiligheid nodig met enige regelmaat vragen aan de gebruiker om de herintroductie van de authenticatie-informatie (zoals in plaats daarvan hij kan zijn dat een aantal andere mensen zitten), en het schept niet alleen extra moeite, maar ook aanzienlijk verhoogt de kans op dat iemand kan wrikken informatie-input. Bovendien, de betrouwbaarheid van de beschermingsmiddelen significante invloed op de prijs.

Modern identificatie en authenticatie systemen ondersteunen het concept van single sign-on voor het netwerk, dat zich hoofdzakelijk richt op de eisen op het gebied van gebruiksvriendelijkheid. Als de standaard bedrijfsnetwerk heeft veel informatie-diensten, dat voorziet in de mogelijkheid van een onafhankelijke circulatie, dan is de herhaalde toediening van persoonsgegevens wordt te zwaar. Op dit moment is het nog onmogelijk om te zeggen dat het gebruik van single sign-on voor netwerk is normaal, als de dominante oplossingen nog niet gevormd.

Zo veel proberen een compromis te vinden tussen betaalbaarheid, gemak en betrouwbaarheid van de fondsen, die identificatie / authenticatie biedt vinden. Gebruiker toestemming is in dit geval volgens de individuele regels uitgevoerd.

Bijzondere aandacht moet worden besteed aan het feit dat de dienst wordt gebruikt kan worden gekozen als het voorwerp van aanvallen op beschikbaarheid. Indien de systeemconfiguratie wordt gemaakt op een zodanige wijze dat na een aantal mislukte pogingen om de mogelijkheid te voeren is vergrendeld, dan kan de aanvaller operatie bevoegde gebruikers stoppen door enkele toetsaanslagen.

wachtwoordauthenticatie

Het belangrijkste voordeel van dit systeem is dat het is uiterst eenvoudig en bekend bij de meeste. Wachtwoorden al lang gebruikt door besturingssystemen en andere diensten, en met het juiste gebruik van zekerheid heeft gesteld, dat is heel acceptabel voor de meeste organisaties. Anderzijds, door een aantal gemeenschappelijke kenmerken van deze systemen zijn de zwakste middelen waarmee identificatie / authenticatie kan worden uitgevoerd. Autorisatie in dit geval wordt het heel eenvoudig, omdat wachtwoorden catchy moet zijn, maar het is niet moeilijk om de combinatie van eenvoudige raden, vooral als de persoon kent de voorkeuren van een bepaalde gebruiker.

Soms gebeurt het dat de wachtwoorden worden in principe niet bewaard geheim, net als vrij standaard waarden die in de specifieke documentatie, en niet altijd nadat het systeem is geïnstalleerd, ze veranderen.

Wanneer u uw wachtwoord invoeren u kunt zien, in sommige gevallen, mensen zelfs gebruik maken van gespecialiseerde optische instrumenten.

Gebruikers, de belangrijkste onderwerpen van identificatie en authenticatie, wachtwoorden zijn vaak collega's te informeren die op bepaalde tijden eigenaar zijn veranderd. In theorie, in dergelijke situaties zou het correcter om speciale toegangscontrole te gebruiken, maar in de praktijk is het niet in gebruik is. En als het wachtwoord twee mensen weten, is het zeer sterk verhoogt de kans dat aan het einde van het en leer meer.

Hoe dit te verhelpen?

Er zijn verschillende hulpmiddelen zoals identificatie en authenticatie kunnen worden beschermd. Het informatieverwerkingssysteem component kan verzekeren volgt:

• Het opleggen van verschillende technische beperkingen. Meestal regels op lengte van het wachtwoord en de inhoud van bepaalde tekens.
• Office wachtwoord verlopen, oftewel: ze moeten periodiek worden vervangen.
• Beperkte toegang tot basisvoorzieningen wachtwoord bestand.
• Beperking van het totale aantal mislukte pogingen die beschikbaar zijn wanneer u zich aanmeldt. Door deze aanvallers alleen de acties om identificatie en authenticatie, alsmede de wijze van sortering uit te voeren moet worden uitgevoerd, kan niet worden gebruikt.
• Vooropleiding van de gebruikers.
• Met behulp van gespecialiseerde software wachtwoord generator die dergelijke combinaties die voldoende melodie en onvergetelijk kunnen maken.

Al deze maatregelen kunnen worden gebruikt in ieder geval, ook al samen met wachtwoorden ook andere vormen van authenticatie gebruiken.

Eenmalige wachtwoorden

De bovenstaande uitvoeringsvormen zijn herbruikbaar en bij openingcombinaties aanvaller in staat zijn om bepaalde bewerkingen uitvoeren namens de gebruiker. Dat is de reden waarom zo een sterkere middel resistent zijn tegen de mogelijkheid van een passief netwerk sniffer, gebruiken one-time passwords, waardoor identificatie en authenticatie systeem is veel veiliger, maar niet zo handig.

Op dit moment is een van de meest populaire software one-time password generator is een systeem genaamd S / KEY, uitgebracht door Bellcore. Het basisconcept van dit systeem is dat er een bepaalde functie van de F, waarvan bekend is dat zowel de gebruiker als de authentisatieserver. Het volgende is een geheime sleutel K, alleen bekend aan een specifieke gebruiker.

Bij de eerste toediening gebruiker, wordt deze functie gebruikt om een aantal keren, dan is het resultaat wordt opgeslagen op de server te drukken. Vervolgens wordt de authenticatie procedure is als volgt:

1. Op de gebruiker systeem van de server komt naar het nummer dat is 1 minder dan het aantal keren dat het gebruik van de functie aan de toets.
2. Gebruiker wordt gebruikt om geheime sleutels in het aantal keren dat is ingesteld in het eerste punt, waarna het resultaat via het netwerk direct aan de authentisatieserver wordt verzonden.
3. De server gebruikt deze functie aan de verkregen waarde en het resultaat wordt vergeleken met de eerder opgeslagen waarde. Als de resultaten overeenkomen, dan is de identiteit van de gebruiker is gevestigd, en de server slaat de nieuwe waarde, en vervolgens vermindert de teller met één.

In de praktijk is de implementatie van deze technologie heeft een wat meer gecompliceerde structuur, maar op dit moment maakt het niet uit. Omdat de functie is onomkeerbaar, zelfs als het wachtwoord onderschepping of het verkrijgen van ongeautoriseerde toegang tot de authenticatie-server de mogelijkheid om de persoonlijke sleutel en een manier om te voorspellen hoe het precies zal uitzien als de volgende eenmalige wachtwoord te verkrijgen niet voorziet.

In Rusland als een unified service, een speciale state portal - "Unique systeem voor identificatie / authenticatie" ( "ESIA").

Een andere benadering om sterke authenticatie systeem ligt in het feit dat het nieuwe wachtwoord werd gegenereerd met korte tussenpozen, die ook door het gebruik van gespecialiseerde programma's of verschillende smart cards wordt gerealiseerd. In dit geval moet de authentisatieserver het bijbehorende wachtwoord genererend algoritme en bepaalde parameters geassocieerd met accepteren, en bovendien moet aanwezig kloksynchronisatie server en de client.

Kerberos

Kerberos-verificatie server voor het eerst verschenen in het midden van de jaren '90 van de vorige eeuw, maar sindsdien had hij al heel wat fundamentele veranderingen ontvangen. Op dit moment, de afzonderlijke componenten van het systeem aanwezig zijn in bijna elk modern besturingssysteem.

Het belangrijkste doel van deze dienst is om het volgende probleem op te lossen: er is een bepaalde niet-beveiligd netwerk en de knooppunten in zijn geconcentreerde vorm in verschillende vakken gebruikers en server en client software systemen. Elk van deze entiteit is aanwezig individuele geheime sleutel, en bij personen met een kans om hun authenticiteit te bewijzen aan het onderwerp van de S, zonder welke hij gewoon niet onderhouden, zal het nodig hebben om zich niet alleen bellen, maar ook om te laten zien dat hij wat weet geheime sleutel. Tegelijkertijd met geen manier om gewoon te sturen in de richting van uw geheime sleutel S als in de eerste plaats het netwerk open is, en bovendien, heeft S niet kent, en in principe zou hem niet. In deze situatie, gebruiken minder eenvoudig demonstratie van de technologie van de kennis van die informatie.

Elektronische identificatie / authenticatie via Kerberos-systeem voorziet in het gebruik ervan als een vertrouwde derde partij, die informatie heeft over de geheime sleutels van de serviced sites en hen te helpen bij het uitvoeren van paarsgewijs authenticatie indien nodig.

Zo, de client eerst verzonden in een query die de nodige informatie over, evenals de gevraagde dienst bevat. Na deze, Kerberos geeft hem een soort ticket dat is versleuteld met een geheime sleutel van de server, evenals een kopie van een deel van de gegevens uit het, dat is geheime sleutel van de klant. In het geval dat wordt vastgesteld dat de cliënt was ontcijferd informatie bedoeld heeft, dat wil zeggen, in staat om aan te tonen dat de private sleutel hem echt bekend was hij. Dit geeft aan dat de klant is de persoon voor wie het is.

Bijzondere aandacht moet hier worden genomen om ervoor te zorgen dat de overdracht van geheime sleutels niet op het netwerk worden uitgevoerd, en zij worden uitsluitend gebruikt voor de codering.

verificatie met biometrie

Biometrie is een combinatie van automatische identificatie / authenticatie van mensen op basis van hun gedrags- of fysiologische kenmerken. Fysische middelen ter identificatie en authenticatie een retina scan en ooghoornvlies, vingerafdrukken, gezicht en handgeometrie, en andere persoonlijke informatie. De gedragskenmerken ook de stijl van het werk met het toetsenbord en de dynamiek van de handtekening. Gecombineerde methoden zijn de analyse van de verschillende kenmerken van de menselijke stem, evenals erkenning van zijn toespraak.

Een dergelijke identificatie / authenticatie en encryptie-systemen worden op grote schaal gebruikt in vele landen over de hele wereld, maar voor een lange tijd, ze zijn zeer hoge kosten en de complexiteit van het gebruik. Meer recent, is de vraag naar biometrische producten aanzienlijk toegenomen als gevolg van de ontwikkeling van e-commerce, omdat vanuit het oogpunt van de gebruiker, is veel gemakkelijker om zich te presenteren, dan om wat informatie te onthouden. Daarom vraag creëert aanbod, zodat de markt begon te relatief laag geprijsde producten, die voornamelijk gericht zijn op de herkenning van vingerafdrukken verschijnen.

In de overgrote meerderheid van de gevallen wordt biometrie gebruikt in combinatie met andere authenticators zoals smart cards. Vaak biometrische authentificatie slechts de eerste verdedigingslinie en dient als middel om de smartcard, waaronder diverse cryptografische geheimen. Bij het gebruik van deze technologie, wordt de biometrische template opgeslagen op dezelfde kaart.

Activiteit op het gebied van biometrie voldoende hoog. Relevante bestaande consortium, evenals zeer actief wordt gewerkt aan verschillende aspecten van de technologie te standaardiseren. Vandaag kunnen we veel reclame artikelen die biometrische technologieën worden voorgesteld als een ideaal middel van het verstrekken van meer veiligheid en tegelijkertijd betaalbaar voor de massa's te zien.

ESIA

systeem voor identificatie en authenticatie ( "ESIA") is een speciale service ontwikkeld om de uitvoering van diverse taken met betrekking tot de verificatie van de authenticiteit van de aanvragers en de leden van de samenwerking tussen verschillende instanties in het geval van een gemeentelijke of openbare diensten in elektronische vorm te waarborgen.

Met het oog op de toegang tot een "single portaal van de staatsstructuren", alsmede alle andere informatiesystemen infrastructuur van bestaande e-government te krijgen, moet u eerst de account te registreren en als gevolg daarvan, krijgen AED's.

levels

Portal van een uniform systeem van identificatie en authenticatie biedt drie fundamentele niveaus van de rekeningen voor particulieren:

• Vereenvoudigd. Voor de registratie eenvoudig ook uw voor- en achternaam, evenals een aantal specifiek kanaal van de communicatie in de vorm van een e-mailadres of een mobiele telefoon. Dit primair niveau, waarbij een persoon geeft alleen toegang tot een beperkte lijst van de verschillende overheidsdiensten, alsmede de mogelijkheden van bestaande informatiesystemen.
• Standard. In eerste instantie verkrijgen die nodig is om een vereenvoudigde weergave te geven, en dan ook nog aanvullende informatie verstrekken, waaronder informatie uit de paspoortnummer en verzekeringen individuele rekening. Deze informatie wordt automatisch gecontroleerd door middel van het informatiesysteem van het Pensioenfonds, alsook de Federale Migratie Dienst, en, als de test succesvol is, wordt het account geconverteerd naar een standaard niveau, opent het de gebruiker in staat om een uitgebreide lijst van overheidsdiensten.
• Bevestigd. Om dit niveau van de rekening, een uniform systeem van identificatie en authenticatie te verkrijgen vereist gebruikers om een standaard-account, evenals bewijs van identiteit, die wordt uitgevoerd door middel van een persoonlijk bezoek een geautoriseerde service-afdeling of door het verkrijgen van een activeringscode via een aangetekend schrijven. In het geval dat het individu bevestiging succesvol is, zal de rekening naar een nieuw niveau, en om de gebruiker toegang tot een volledige lijst van de benodigde openbare diensten te verkrijgen.

Ondanks het feit dat de procedures complex genoeg om daadwerkelijk de volledige lijst van de vereiste gegevens kunnen direct op de officiële website ook mag lijken, zodat het mogelijk is om de registratie te voltooien voor een paar dagen.