Информационные технологии (ИТ) все более пронизывают различные сферы деятельности человека. Из категории, поддерживающей бизнес, ИТ давно превратились в одну из движущих сил развития техники, технологий, услуг. В бурно развивающемся информационном обществе строятся как инфраструктурные решения, так и прикладные информационные системы различного назначения. Для любой информационной системы актуальна задача управления доступом пользователей, решение которой невозможно без идентификации и аутентификации (ИА) претендентов на право стать ее авторизованными пользователями.
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, «проходная» информационного пространства организации. Без порядка на проходной не будет порядка и внутри охраняемой территории.
-
Существует множество программных и технических средств, позволяющих решать задачу идентификации/аутентификации пользователя. Некоторые из них уже стали традиционными и привычными, некоторые, обеспечивая, несомненно, более высокий класс защищённости, редки и мало распространены ввиду как высокой стоимости, так и неадекватности большинству задач, решаемых в повседневности. Таким образом, при построении системы идентификации/аутентификации пользователей главным критерием является экономическая целесообразность применений тех или иных схем. Рассмотрим наиболее актуальные способы и средства ИА пользователей.
КЛАССИФИКАЦИЯ СРЕДСТВ ИА
1.1 Основные понятия.
Идентификация (Identification) — процесс сообщения субъектом (неким лицом) своего имени или номера, с целью отличить данный субъект от других субъектов.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).
Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности».
Аутентификация (Authentication) — процесс проверки соответствия субъекта (некоего лица) и учетной записи.
(Заметим в скобках, что происхождение русскоязычного термина «аутентификация» не совсем понятно. Английское «authentication» скорее можно прочитать как «аутентикация»; трудно сказать, откуда в середине взялось еще «фи» — может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.)
Система виброиспытаний средств информационной и вычислительной техники
... процедуры Таблица 2 Таблица 3 1.1 Методика испытаний Объект испытаний (ОИ) - Бортовая информационно-вычислительная система (БИАВС). Требования к вибрационным воздействиям: диапазон частот - 10-2500 ... необходимо проанализировать влияние вибрационных воздействий на скорость обработки информации, а также на безотказность работы всех систем испытуемой системы. Испытания проводятся в лабораторных ...
Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной).
Пример односторонней аутентификации — процедура входа пользователя в систему.
По основным видам процессы аутентификации как средство защиты от активных атак подразделяется на: аутентификацию сторон (партнёров) и аутентификацию источника данных или сообщений (защита от атак типа «фальсификация данных, сообщений и/или транзакций»).
С первым видом аутентификации приходится встречаться наиболее часто, этот вид является on-line сервисом многих ИС. Второй вид является of-line сервисом.
Во многих ИС подсистемы аутентификации связывают со следующими задачами, которые можно классифицировать по их основному назначению (рис.1):
Рисунок 1.1 – Классификация аутентификации по видам и целям
С точки зрения применяемых технологий к средствам ИА применима следующая классификация:
Рисунок 1.2 – Классификация средств ИА с точки зрения применяемых технологий
Как видно из рис. 1.2, многие используемые сегодня устройства не могут обеспечить высокий уровень защищённости аутентификационной информации в силу ограничений технологий, на которых они основаны. Например, если аутентифицирующая информация записана в электронный ключ Touch Memory, то она может быть скопирована злоумышленником и перенесена в такое же устройство и использована для доступа вместо владельца. Сами же ключи Touch Memory предназначены только для идентификации их обладателя. Заметим, что биометрические технологии, даже самые сложные, являются технологиями идентификации, например, одна из самых передовых технологий Match on Card предназначена строго для подтверждения факта обладания смарт-картой. Это дополнительный идентификационный фактор, который позволяет повысить общий уровень защищённости в корпоративной сети и повысить уровень персональной ответственности. Прежде всего, это защита от такого распространенного явления, как передача устройства сменщику, товарищу по работе (например, с целью утаивания от руководства факта своего отсутствия на рабочем месте).
1.2 Режимы/методы аутентификации
Выделяют три режима проведения процедуры аутентификации:
Режимы перечислены в порядке осуществления доступа к ним пользователем. В некоторых ИС второй метод может быть не представлен.
Основной метод аутентификации используется для штатного входа в систему. Самый распространённый из них — вход по паролю, использующийся в подавляющем большинстве компьютерных систем. Менее распространённым способом является использование аппаратных идентификаторов, на которые записываются ключи доступа или пользовательские пароли.
Также в корпоративном секторе популярна двухфакторная аутентификация. Как правило, под этим понимается связка из е-токена и пин-кода вводимого пользователем, но встречаются и более экзотические сочетания, состоящие из биометрического сканера и аппаратного идентификатора или пользовательского пароля.
«Облачные технологии работы с документами». Лекционное занятие ...
... много проблем, в которых предстоит разобраться. Выбор облачных технологий для работы с документами актуален в связи с тем, что он предполагает принципиально иной механизм доступа ... Облачные технологии в госсекторе: преимущества и проблемы внедрения // Электронный вестник Ростовского социально-экономического института. 2015. № 4. С.23. Там же. С. 24. настраиваемых вычислительных ресурсов (например, ...
Резервный метод аутентификации вступает в действие в случае потери пароля или е-токена, либо взлома учётной. Впрочем, это не столько методы аутентификации, сколько механизмы сброса пароля. Этот режим характерен для аутентификации на ресурсах сети Internet.
Наиболее распространены два метода: ответ на «секретный вопрос» и отправка пароля на доверенный почтовый ящик, указанный при регистрации. Эти методы входят в джентельменский набор любого, уважающего себя, информационного сервиса.
Есть много интересных модификаций данного способа аутентификации. Например, одним из первых было предложение использовать собственные «секретные вопросы».
Так же можно привести пример продвинутой системы резервной аутентификации основанной на вопросах из базы онлайн знакомств. Таких вопросов много, они просты сами по себе, но в совокупности по ним можно достаточно чётко представить себе характер человека. При обращении система задаёт часть вопросов, из тех на которые пользователь ответил при регистрации, если он сумеет правильно ответить на большинство из них, то аутентификация считается успешной.
Очень похожая идея была описана в недавних работах. Обе они пытались встроить аутентификацию на основе множества простых «секретных вопросов» в PKI архитектуру. И если в первой работе Ренди Баден, Нил Спринг и Боби Бхатачарджи пытались сгенерировать общий ключ шифрования для двух друзей на основе ответов на такие «секретные вопросы», составленные пользователями, то во второй работе в качестве второго пользователя выступал сервер авторизации с базой персональных данных.
Есть не менее оригинальные идеи о использовании пользовательской информации, например, все знают каптчу (и то, какой надоедливой она может быть): трудночитаемые сочетания букв и цифр, которые приходится вводить для того, чтобы, скажем, завершить регистрацию. И хотя, её задача заключается в защите информационных сервисов, от вездесущих ботов, инженеры Facebook решили скрестить её с «секретными вопросами» и использовать в качестве резервной системы аутентификации. Не та давно на Facebook ввели Social Authentication, что является в корне неверным названием. Пользователю демонстрируется несколько фотографий его друзей, и тот должен правильно ввести имена друзей.
Как было сказано в начале, вторым способом является отсылка пароля на доверенный почтовый ящик. Вообще, концепция перекладывания ответственности за аутентификацию человека с одной стороны на другую не нова. Аутентификация пользователей через альтернативный адрес электронной почты перекладывает ответственность по аутентификации на провайдера, того альтернативного адреса. Следует добавить, что так как ящик является не основным, то используется он реже, а потому вероятность забыть пароль или ответ на «секретный вопрос» становится гораздо выше. Правда, с тех пор как количество проданных в России сотовых телефонов превысило её общее население, у многих провайдеров появилась возможность отправлять новые пароли с помощью sms сообщений. Впервые эта система была использована банками для дополнительной аутентификации транзакций, после чего доказав свою эффективность, была перенята другими интернет сервисами. Но и у такой системой есть свои недостатки, свойственные всем аппаратным идентификаторам. Телефоны очень часто теряются, воруются или ломаются. Например, в статье 2008 года, сообщается о том, что только в нью-йоркских такси ежегодно забывается более 60 000 мобильных аппаратов.
Аутентификация и её виды
... пароля: "Сезам, откройся!". В настоящее время в связи с обширным развитием сетевых технологий, автоматическая аутентификация используется повсеместно. Для корректной аутентификации ... хорошими статистическими свойствами. Пароль же, который является, например, словом из ... пароль может передаваться в сети двумя способами: Незашифрованно, в открытом виде, на основе протокола парольной аутентификации ...
Несмотря на все минусы и слабости таких механизмов резервного восстановления доступа к учётным записям, ведущие интернет компании вынуждены ими пользоваться, ведь альтернативой этому является использование «last-resort» аутентификации, что можно перевести как аутентификация «последней инстанции», то есть механизма, к которому прибегают в самых крайних случаях, когда все остальные способы оказались бессильны.
last-resort механизм («последней инстанции»).
В данный момент это означает обращение к администраторам информационных систем, либо в специальные отделы поддержки клиентов, а это непомерно дорого если учесть, что всего у двух крупнейших почтовых провайдеров количество активных пользователей в год превышает миллиард. Но даже такие отделы практически беззащитны перед социальной инженерией, о чём писал ещё легендарный хакер Кевин Митник в 2002 году в своей книге. Он справедливо указывает, что человек будет являться самым слабым звеном даже в самой сложной системе защиты.
1.3 Факторы аутентификации
Используемый фактор аутентификации — аутентификация представляет из себя процесс сравнения информации, предоставляемой пользователем, с эталонной. В зависимости от типа информации её можно отнести к одному из четырёх основных факторов, либо к их комбинации:
1.4 Фактор знания
Фактор знания (Парольная аутентификация) — «то, что ты знаешь». Первый и самый распространённый на данный момент механизм аутентификации, ввод чего-либо, что известно только пользователю, например, пароля или ответа на секретный вопрос. Теоретически, это самый простой и безопасный метод проверки подлинности, так как он обладает достаточной криптостойкостью, его просто и дешево реализовать, а всё что нужно от пользователя, так это запомнить 8-12-ти символьную комбинацию из букв, цифр и различных знаков. Однако, на практике всё совершенно иначе.
Во-первых пользователи, как правило, задают слабые пароли, что связано с самой физиологией человека, точнее его мозга. Наше мышление ассоциативно и напрямую связано с речью, мы мыслим образами, каждый из которых имеет название, поэтому в качестве пароля мы выбираем название одного из них. Таким образом большинство паролей задаваемых пользователями мы можем найти в обычном словаре, а потому они легко подбираются методом перебора по словарю. О слабой криптостойкости выбираемых пользователями паролей написано множество статей. Одна из самых старых датируется 1990 годом. В ней Дэниель Клейн описывает, то как он вооружившись словарём из 62 727 слов смог за пару недель подобрать пароли к 3 340 учётным записям, что составило 24,2% от общего количества. Стоит при этом отметить два фактора:
Влияние нефтяного фактора на систему международных отношений в Европе
... сфере добычи нефти и природного газа, а также производства продуктов переработки этих природных ресурсов. Рынок энергетики в настоящее время оказывает существенное влияние на мировую политику и систему международных отношений ...
Конечно, с тех пор проведено множество исследований и на их основе предложено немало систем построения сложных паролей на основе мнемонических фраз. Но в процентном отношении, мало кто ими пользуется.
К тому же, несмотря ни на какие чудо-системы, с ростом сложности пароля он всё труднее для запоминания. Исследование SafeNet от 2004 года обнаружило, что 47 % респондентов забывали свои пароли в течение года. А с ростом количества учётных записей от различных компьютерных систем, которых с каждым годом становится всё больше, ситуацию ещё более усугубляется. Способность помнить пароли была изучена в лаборатории Ву в 2007 году. После первой недели 12.5 % участников забыли их шестисимвольные буквенно-цифровые пароли. Из участников, которые должны были помнить пароли о пяти учетных записей, 25 % забыли по крайней мере один.