Identifikacija in avtentikacija: osnovni koncepti

2024 Avtor: Howard Calhoun | [email protected]. Nazadnje spremenjeno: 2023-12-17 10:40

Identifikacija in avtentikacija sta osnova sodobnih varnostnih orodij programske in strojne opreme, saj so vse druge storitve namenjene predvsem tem subjektom. Ti koncepti predstavljajo nekakšno prvo obrambno linijo, ki zagotavlja varnost informacijskega prostora organizacije.

Kaj je to?

Identifikacija in preverjanje pristnosti imata različni funkciji. Prvi daje subjektu (uporabniku ali procesu, ki deluje v njegovem imenu) možnost, da navede svoje ime. S pomočjo avtentikacije se druga stranka dokončno prepriča, da je subjekt res tak, za katerega se trdi, da je. Identifikacija in preverjanje pristnosti se pogosto nadomestita z besednima zvezama "ime sporočilo" in "avtentikacija" kot sopomenki.

Sami so razdeljeni na več vrst. Nato si bomo ogledali, kaj sta identifikacija in avtentikacija in kaj sta.

Preverjanje pristnosti

Ta koncept predvideva dve vrsti: enostransko, ko odjemalecmora najprej strežniku dokazati svojo pristnost in dvosmerno, torej ko poteka medsebojno potrditev. Standardni primer izvajanja standardne identifikacije in avtentikacije uporabnika je postopek prijave v določen sistem. Tako se lahko v različnih predmetih uporabljajo različne vrste.

V omrežnem okolju, kjer se identifikacija in preverjanje pristnosti uporabnikov izvajata na geografsko razpršenih straneh, se zadevna storitev razlikuje v dveh glavnih vidikih:

• ki deluje kot overitelj;
• kako natančno je bila organizirana izmenjava avtentifikacijskih in identifikacijskih podatkov in kako je zaščitena.

Za dokaz svoje identitete mora subjekt predstaviti eno od naslednjih entitet:

• določeni podatki, ki jih pozna (osebna številka, geslo, poseben kriptografski ključ itd.);
• določena stvar, ki jo ima (osebna kartica ali kakšna druga naprava s podobnim namenom);
• določena stvar, ki je sam po sebi element (prstni odtisi, glas in druga biometrična sredstva za identifikacijo in preverjanje pristnosti uporabnikov).

Sistemske funkcije

V odprtem omrežnem okolju strani nimata zaupanja vredne poti, kar pomeni, da se informacije, ki jih posreduje subjekt, na splošno morda ne ujemajo s prejetimi in uporabljenimi informacijamipri preverjanju pristnosti. Potrebno je zagotoviti varnost aktivnega in pasivnega poslušanja omrežja, torej zaščito pred popravkom, prestrezanjem ali predvajanjem različnih podatkov. Možnost posredovanja gesel v golem besedilu je nezadovoljiva, prav tako pa šifriranje gesel ne more rešiti dneva, saj ne zagotavlja zaščite pred razmnoževanjem. Zato se danes uporabljajo bolj zapleteni protokoli za preverjanje pristnosti.

Zanesljiva identifikacija ni težka le zaradi različnih spletnih groženj, ampak tudi zaradi številnih drugih razlogov. Prvič, skoraj vsako avtentifikacijsko entiteto je mogoče ukrasti, ponarediti ali sklepati. Obstaja tudi določeno protislovje med zanesljivostjo uporabljenega sistema na eni strani in udobjem sistemskega skrbnika ali uporabnika na drugi strani. Tako je treba iz varnostnih razlogov od uporabnika zahtevati, da svoje podatke za preverjanje pristnosti večkrat ponovno vnese (saj na njegovem mestu morda že sedi kakšna druga oseba), kar ne le povzroča dodatne težave, ampak tudi znatno poveča možnost, da lahko ta nekdo vohuni za vnosom informacij. Zanesljivost zaščitne opreme med drugim pomembno vpliva na njeno ceno.

Sodobni sistemi za identifikacijo in avtentikacijo podpirajo koncept enotne prijave v omrežje, ki vam omogoča predvsem izpolnjevanje zahtev glede udobja uporabnika. Če ima standardno korporativno omrežje veliko informacijskih storitev,zagotavljanje možnosti neodvisne obravnave, postane večkratno vnašanje osebnih podatkov preobremenjujoče. Trenutno še ne moremo reči, da se uporaba enotne prijave šteje za normalno, saj prevladujoče rešitve še niso oblikovane.

Tako mnogi poskušajo najti kompromis med cenovno dostopnostjo, priročnostjo in zanesljivostjo sredstev, ki zagotavljajo identifikacijo/avtentikacijo. Avtorizacija uporabnikov v tem primeru poteka po posameznih pravilih.

Posebno pozornost je treba nameniti dejstvu, da je mogoče uporabljeno storitev izbrati kot predmet napada na razpoložljivost. Če je sistem konfiguriran tako, da je po določenem številu neuspešnih poskusov možnost vstopa blokirana, potem lahko v tem primeru napadalci prekinejo delo zakonitih uporabnikov le z nekaj pritiski tipk.

Preverjanje pristnosti gesla

Glavna prednost takšnega sistema je, da je izjemno preprost in večini poznan. Gesla že dolgo uporabljajo operacijski sistemi in druge storitve in ob pravilni uporabi zagotavljajo raven varnosti, ki je za večino organizacij povsem sprejemljiva. Toda po drugi strani, v smislu celotnega nabora značilnosti, takšni sistemi predstavljajo najšibkejše sredstvo, s katerim je mogoče izvesti identifikacijo/avtentikacijo. Avtorizacija v tem primeru postane precej preprosta, saj morajo biti geslanepozabnih, a hkrati preprostih kombinacij ni težko uganiti, še posebej, če človek pozna preference določenega uporabnika.

Včasih se zgodi, da gesla načeloma niso skrivnost, saj imajo precej standardne vrednosti, določene v določeni dokumentaciji, in se ne vedno po namestitvi sistema spremenijo.

Ko vnesete geslo, lahko vidite, v nekaterih primerih pa ljudje celo uporabljajo specializirane optične naprave.

Uporabniki, glavni subjekti identifikacije in avtentikacije, lahko pogosto delijo gesla s sodelavci, da lahko za določen čas spremenijo lastništvo. Teoretično bi bilo v takšnih situacijah najbolje uporabiti posebne kontrole dostopa, v praksi pa tega ne uporablja nihče. In če dve osebi poznata geslo, to močno poveča možnosti, da bodo drugi sčasoma izvedeli zanj.

Kako to popraviti?

Obstaja več načinov, kako je mogoče zavarovati identifikacijo in avtentikacijo. Komponenta za obdelavo informacij se lahko zavaruje na naslednji način:

• Uvedba različnih tehničnih omejitev. Najpogosteje so določena pravila za dolžino gesla, pa tudi za vsebino določenih znakov v njem.
• Upravljanje poteka veljavnosti gesel, to je, da jih je treba občasno spreminjati.
• Omejitev dostopa do glavne datoteke z geslom.
• Z omejitvijo skupnega števila neuspelih poskusov, ki so na voljo ob prijavi. Zahvale gredoV tem primeru naj napadalci izvedejo samo dejanja pred izvedbo identifikacije in preverjanja pristnosti, saj metode bruteforce ni mogoče uporabiti.
• Prehodna usposabljanja uporabnikov.
• Uporaba specializirane programske opreme za generiranje gesel, ki vam omogoča ustvarjanje kombinacij, ki so dovolj zvočne in nepozabne.

Vse te ukrepe je mogoče uporabiti v vsakem primeru, tudi če se poleg gesla uporabljajo tudi drugi načini preverjanja pristnosti.

Enkratna gesla

Možnosti, o katerih smo razpravljali, se lahko ponovno uporabijo, in če se kombinacija razkrije, dobi napadalec priložnost, da izvede določene operacije v imenu uporabnika. Zato se enkratna gesla uporabljajo kot močnejše sredstvo, odporno na možnost pasivnega poslušanja omrežja, zaradi česar postane sistem identifikacije in avtentikacije veliko bolj varen, čeprav ne tako priročen..

Trenutno je eden izmed najbolj priljubljenih programskih generatorjev enkratnih gesel sistem imenovan S/KEY, ki ga je izdal Bellcore. Osnovni koncept tega sistema je, da obstaja določena funkcija F, ki je znana tako uporabniku kot strežniku za preverjanje pristnosti. Sledi skrivni ključ K, ki je znan samo določenemu uporabniku.

Med začetnim upravljanjem uporabnika se ta funkcija uporablja za ključdoločeno število krat, nato pa se rezultat shrani na strežnik. V prihodnosti bo postopek preverjanja pristnosti videti takole:

1. Številka pride v uporabniški sistem iz strežnika, ki je 1 manjša od števila, kolikokrat je funkcija uporabljena za ključ.
2. Uporabnik uporabi funkcijo do razpoložljivega tajnega ključa tolikokrat, kot je bilo nastavljeno v prvem odstavku, nato pa se rezultat pošlje prek omrežja neposredno na strežnik za preverjanje pristnosti.
3. strežnik uporabi to funkcijo do prejete vrednosti, po kateri se rezultat primerja s predhodno shranjeno vrednostjo. Če se rezultati ujemajo, je uporabnik overjen in strežnik shrani novo vrednost, nato pa zmanjša števec za eno.

V praksi ima implementacija te tehnologije nekoliko bolj zapleteno strukturo, ki pa trenutno ni tako pomembna. Ker je funkcija nepovratna, tudi če je geslo prestreženo ali pridobljen nepooblaščen dostop do strežnika za preverjanje pristnosti, ne zagotavlja možnosti pridobitve tajnega ključa in kakor koli predvidevanja, kako bo konkretno izgledalo naslednje enkratno geslo.

V Rusiji se kot enotna storitev uporablja poseben državni portal - "Enotni sistem identifikacije/avtentikacije" ("ESIA").

Drug pristop k močnemu sistemu preverjanja pristnosti je, da se novo geslo generira v kratkih intervalih, kar se izvaja tudi prekuporaba specializiranih programov ali različnih pametnih kartic. V tem primeru mora strežnik za preverjanje pristnosti sprejeti ustrezen algoritem generiranja gesla, pa tudi določene parametre, povezane z njim, poleg tega pa mora obstajati tudi sinhronizacija ure strežnika in odjemalca.

Kerberos

Strežnik za preverjanje pristnosti Kerberos se je prvič pojavil sredi 90. let prejšnjega stoletja, od takrat pa je doživel že ogromno temeljnih sprememb. Trenutno so posamezne komponente tega sistema prisotne v skoraj vsakem sodobnem operacijskem sistemu.

Glavni namen te storitve je rešiti naslednji problem: obstaja določeno nezaščiteno omrežje, v njegovih vozliščih pa so skoncentrirani različni subjekti v obliki uporabnikov ter strežniških in odjemalskih programskih sistemov. Vsak tak subjekt ima individualni skrivni ključ in da bi imel subjekt C možnost dokazati lastno pristnost subjektu S, brez katerega mu preprosto ne bo služil, se bo moral ne le poimenovati, ampak tudi pokazati, da pozna določen skrivni ključ. Hkrati C nima možnosti preprosto poslati svojega skrivnega ključa S, saj je najprej omrežje odprto, poleg tega pa S ne ve in ga načeloma ne bi smel vedeti. V takšni situaciji se za dokazovanje poznavanja teh informacij uporablja manj preprosta tehnika.

Za to zagotavlja elektronska identifikacija/avtentikacija prek sistema Kerberosuporabite kot zaupanja vredna tretja oseba, ki ima informacije o tajnih ključih streženih objektov in jim po potrebi pomaga pri izvajanju parne avtentikacije.

Tako naročnik najprej pošlje sistemu zahtevo, ki vsebuje potrebne podatke o njem, pa tudi o zahtevani storitvi. Po tem mu Kerberos zagotovi nekakšno vstopnico, ki je šifrirana s tajnim ključem strežnika, ter kopijo nekaterih podatkov iz nje, ki je šifrirana s ključem odjemalca. V primeru ujemanja se ugotovi, da je stranka dešifrirala informacije, ki so mu bile namenjene, to pomeni, da je lahko dokazal, da res pozna skrivni ključ. To nakazuje, da je stranka točno to, za katero trdi, da je.

Tukaj je treba posebno pozornost nameniti dejstvu, da prenos skrivnih ključev ni bil izveden preko omrežja in so bili uporabljeni izključno za šifriranje.

Biometrična avtentikacija

Biometrika vključuje kombinacijo avtomatiziranih sredstev za identifikacijo/avtentifikacijo ljudi na podlagi njihovih vedenjskih ali fizioloških značilnosti. Fizična sredstva za preverjanje pristnosti in identifikacije vključujejo preverjanje mrežnice in roženice oči, prstnih odtisov, geometrije obraza in rok ter drugih osebnih podatkov. Značilnosti vedenja vključujejo stil dela s tipkovnico in dinamiko podpisa. Kombiniranometode so analiza različnih značilnosti človekovega glasu, pa tudi prepoznavanje njegovega govora.

Takšni sistemi za identifikacijo/avtentifikacijo in šifriranje se pogosto uporabljajo v mnogih državah po svetu, vendar so bili dolgo časa izjemno dragi in težki za uporabo. V zadnjem času se je zaradi razvoja e-trgovine močno povečalo povpraševanje po biometričnih izdelkih, saj se je z vidika uporabnika veliko bolj priročno predstaviti kot zapomniti nekaj informacij. V skladu s tem povpraševanje ustvarja ponudbo, zato so se na trgu začeli pojavljati razmeroma poceni izdelki, ki so osredotočeni predvsem na prepoznavanje prstnih odtisov.

V veliki večini primerov se biometrija uporablja v kombinaciji z drugimi avtentikatorji, kot so pametne kartice. Pogosto je biometrična avtentikacija le prva obrambna linija in deluje kot sredstvo za aktiviranje pametnih kartic, ki vključujejo različne kriptografske skrivnosti. Pri uporabi te tehnologije je biometrična predloga shranjena na isti kartici.

Aktivnost na področju biometrike je precej visoka. Ustrezen konzorcij že obstaja, precej aktivno pa poteka tudi delo za standardizacijo različnih vidikov tehnologije. Danes lahko vidite veliko oglaševalskih člankov, v katerih so biometrične tehnologije predstavljene kot idealno sredstvo za povečanje varnosti in hkrati dostopne širši javnosti.množice.

ESIA

Sistem za identifikacijo in avtentifikacijo (»ESIA«) je posebna storitev, ustvarjena z namenom zagotavljanja izvajanja različnih nalog v zvezi s preverjanjem identitete prijaviteljev in udeležencev v medresorski interakciji v primeru zagotavljanja vse občinske ali državne storitve v elektronski obliki.

Za dostop do "enotnega portala državnih organov" kot tudi do vseh drugih informacijskih sistemov infrastrukture trenutne e-uprave boste morali najprej registrirati račun in posledično, prejmite PES.

ravni

Portal enotnega sistema identifikacije in avtentikacije zagotavlja tri glavne ravni računov za posameznike:

• poenostavljeno. Če ga želite registrirati, morate samo navesti svoj priimek in ime ter določen komunikacijski kanal v obliki elektronskega naslova ali mobilnega telefona. To je primarni nivo, prek katerega ima oseba dostop le do omejenega seznama različnih javnih storitev, pa tudi do zmogljivosti obstoječih informacijskih sistemov.
• Standardno. Če ga želite pridobiti, morate najprej izdati poenostavljen račun, nato pa navesti tudi dodatne podatke, vključno s podatki iz potnega lista in številko osebnega računa zavarovalnice. Navedene informacije se samodejno preverjajo preko informacijskih sistemovPokojninski sklad, pa tudi Zvezna služba za migracije, in če je preverjanje uspešno, se račun prenese na standardno raven, ki uporabniku odpre razširjen seznam javnih storitev.
• Potrjeno. Za pridobitev te ravni računa enotni sistem identifikacije in avtentikacije zahteva od uporabnikov standardni račun ter preverjanje identitete, ki se opravi z osebnim obiskom pooblaščene servisne poslovalnice ali s pridobitvijo aktivacijske kode po priporočeni pošti. V primeru, da je preverjanje identitete uspešno, se bo račun premaknil na novo raven in uporabnik bo imel dostop do celotnega seznama potrebnih državnih storitev.

Kljub temu, da se postopki morda zdijo precej zapleteni, se lahko s celotnim seznamom potrebnih podatkov seznanite neposredno na uradni spletni strani, tako da je popolna registracija povsem možna v nekaj dneh.