Идентификација и провера идентитета: основни појмови

Идентификација и провера аутентичности су основа модерне софтвера и хардвера безбедности, као и било које друге услуге су углавном намењени за сервисирање ових субјеката. Ови концепти представљају неку врсту прве линије одбране, обезбеђивање сигурности информационог простора организације.

Шта је то?

Идентификација и аутентикација имају различите функције. Први даје предмет (корисника или процес који делује у име) прилику да каже своје име. Помоћу аутентификације је друга страна је потпуно уверен да је предмет заиста онај за кога тврди да је. Често, као идентификације и аутентификације синонима су замењена изразом "порука назива" и "аутхентицатион".

Они сами су подељени у неколико варијанти. Даље, сматрамо да је идентификација и провера идентитета су и шта су.

провера идентитета

Овај концепт предвиђа две врсте: једне начин, клијент мора прво да докаже на сервер за проверу аутентичности, и билатералне, који је, када се врши узајамно потврда. Типичан пример како да се спроведе стандардне идентификацију и аутентификацију корисника - је да се пријави у одређеном систему. Тако, различите врсте могу се користити у разним предметима.

У мрежном окружењу, где је идентификација и провера идентитета корисника направљен на географски расутих странака, испитати услугу одликује два главна аспекта:

• који делује као аутентификатора;
• како је организовао размену аутентификације података и идентификације и како да га заштити.

Да потврди своју аутентичност, предмет мора бити представљен на једном од следећих субјеката:

• извесне информације које зна (лични број, шифру, посебан кључ за шифровање, итд ...);
• извесна ствар је власник (личну карту или неки други уређај који има сличну сврху);
• извесна ствар, што је елемент тога (отисак прста, глас или друге биометријске идентификације и проверу идентитета корисника).

карактеристике система

У отвореном мрежном окружењу, странке немају поверења пут, а каже се да је генерално, информације преносе субјекта може евентуално да се разликују од података добијених и користе за проверу идентитета. Потребна сигурност активне и пасивне мрежне сниффер, то јест, заштита од корекција, пресретање или репродукције различитих података. Опција пренос лозинка је потпуно није задовољавајућа, а не могу да спаси дан, и енкриптоване лозинке, јер се не обезбеди, заштиту репродукције. Зато се данас сложеније аутентикационих протоколе.

Поуздана идентификација је тешко не само због разних претњи, али и из разних других разлога. Први практично било која провера аутентичности лице може бити отето, или фалсификовати или Сцоутинг. напетост између поузданост система се користи је такође присутан, с једне стране, а администратор система или постројењима корисника - на другој. Тако, из разлога безбедности потребно уз одређену учесталост питати корисника да поново увођење свог информације за потврду идентитета (као уместо тога могу да седим и неке друге људе), и то не само ствара додатне проблеме, али и знатно повећава шансе за да неко може да одвојите информација улаз. Поред тога, поузданост заштите подразумева значајан утицај на његову вредност.

Модерни идентификацију и утврђивање аутентичности системи подржавају концепт јединственог знака-на мрежу, која се првенствено опскрбљује захтевима у погледу једноставности. Ако је стандардни корпоративна мрежа има много информационих услуга, пружајући могућност независног циркулације, онда је више администрација личних података постаје велики терет. У овом тренутку још увек је немогуће рећи да употреба јединственим пријављивањем на на мрежу је нормално, јер су доминантни решења још нису формирани.

Тако, многи покушавају да пронађу компромис између ниску цену, практичност и поузданост средстава, који обезбеђује идентификацију / проверу идентитета. Корисник овлашћење у том случају врши се у складу са индивидуалним правилима.

Посебну пажњу треба обратити на чињеницу да је сервис користи може бити изабран као предмет напада на доступности. Ако је конфигурација система је направљен на такав начин да након што је закључан низ неуспелих покушаја да уђу у могућности, онда нападач може да прекинете са легитимне кориснике од само неколико притисака на тастере.

Пассворд Аутхентицатион

Основна предност овог система је да је изузетно једноставан и познат највише. Лозинке су већ дуго користе оперативне системе и других услуга, а уз правилну употребу обезбеђивали, што је сасвим прихватљиво за већину организација. С друге стране, заједнички скуп карактеристика оваквих система су најслабије средства помоћу којих идентификација / аутхентицатион могу да се примене. Овлашћење у том случају постаје прилично једноставан, јер лозинке мора бити привлачан, али није тешко погодити комбинацију једноставно, нарочито ако особа зна преференце одређеног корисника.

Понекад се дешава да су лозинке, у принципу, не чува тајну, као и прилично стандардне вредности наведене у одређеном документацијом, а не увек након инсталације система, промени их.

Када унесете лозинку можете видети, у неким случајевима, људи чак користе специјализоване оптичке инструменте.

Корисници који су главни предмет идентификације и аутентификације, лозинке се често информишу колеге онима у одређеним тренуцима су се променила власника. У теорији, у таквим ситуацијама да би било исправније користити специјалне контролу приступа, али у пракси то није у употреби. А ако је лозинка знам двоје људи, што је веома великој мери повећава шансе да на крају њега и сазнајте више.

Како то поправити?

Постоји неколико алатки, као што су идентификације и аутентификације може бити заштићене. Компонента обрада информација може осигурати следеће:

• Наметање различитих техничких ограничења. Најчешће постављена правила о дужини лозинке и садржаја појединих ликова.
• Канцеларија лозинка истека, односно треба да се замени периодично.
• Ограничен приступ основном лозинком датотеку.
• Ограничење од укупног броја неуспелих покушаја који су на располагању када се пријавите. Због овог нападача мора спровести само акције које обављају идентификацију и проверу идентитета, као и начин сортирања не може да се користи.
• Прелиминарни обука корисника.
• Користећи специјализоване генератор софтвер лозинка која може да створи такве комбинације које су довољно мелодичан и незаборавно.

Све ове мере могу се користити у сваком случају, чак и ако заједно са ће лозинке такође користе и друга средства за проверу идентитета.

Једнократни лозинке

Наведени облици су за вишекратну употребу, а у случају отварања комбинације нападача је у стању да обавља одређене послове у име корисника. Зато што јачи начин отпорних на могућност пасивног Нетворк Сниффер, користите једнократне лозинке, што је много сигурније идентификације и аутентификацију система, али не као згодно.

У овом тренутку, један од најпопуларнијих софтвера једнократне генератор лозинки је систем који се зове С / Кеи, објавио Беллцоре. Основни концепт овог система је да постоји одређена функција Ф, који је познат како корисника и за потврду идентитета сервера. Следећи је тајна кључ К, познат само за одређеног корисника.

На први корисника управе, ова функција се користи за унос више пута, онда је резултат је сачувано на серверу. Након тога, поступак аутентикација је следећи:

1. На корисника система са сервера у питању број који је 1 мањи од броја времена користећи функцију тастера.
2. Корисник функција се користи за тајних кључева у броју пута који је поставила у првој тачки, након чега је резултат се шаље преко мреже директно на сервер за проверу идентитета.
3. Сервер користи ову функцију на добијеном вредности, а онда је резултат у поређењу са претходно сачуване вредности. Ако се резултати поклапају, онда идентитет корисника је успостављена, а сервер смешта нову вредност, а затим смањује бројач за један.

У пракси, примена ове технологије има нешто више сложену структуру, али у овом тренутку није битно. Пошто је функција је неповратна, чак и ако је лозинка пресретање или добијање неовлашћеног приступа на сервер за потврду идентитета не даје могућност да добију приватни кључ и на било који начин да се предвиди како ће то тачно изгледати следећи једнократне лозинке.

У Русији као јединствене службе, посебна држава портал - "јединствен систем идентификације / аутхентицатион" ( "ЕСИА").

Други приступ јаке провере аутентичности система лежи у чињеници да је нова лозинка генерише у кратким временским интервалима, што се остварује кроз употребу специјализованих програма или различитим смарт картица. У овом случају, аутентичности сервер мора да прихвати одговарајући алгоритам лозинке генерисање и одређене параметре повезане са њим, и поред тога, мора бити присутна као сервер цлоцк синхронизационог и клијента.

керберос

Керберос потврде идентитета сервер за први пут појавио средином 90-их година прошлог века, али од тада је већ добила доста промјена. У овом тренутку, појединачне компоненте система су присутне у скоро сваком модерном оперативном систему.

Главни циљ овог сервиса је да реши следећи проблем: постоји одређена не-сигурна мрежа и чворови у свом концентрисаном облику у различитим корисницима предмете, а сервер и клијент софтверски системи. Сваки такав ентитет присутан индивидуални тајни кључ, и да особа са прилику да докажу своју аутентичност субјекту С, без које он једноставно неће да сервисира, она ће морати не само да се назове, али и да покаже да зна неке тајни кључ. Истовремено, без могућности да само послати у правцу својих тајних кључних С као у првом степену мрежа је отворен, и поред тога, С не зна, и, у принципу, не би требало да га зна. У овој ситуацији, користе мање јасан технологије демонстрацију знања те информације.

Електронска идентификација / потврда идентитета преко Керберос система обезбеђује његову употребу као поузданом трећом страном, која има информације о тајним кључевима сервисирају локација и помогне им у обављању паровима проверу идентитета, ако је потребно.

Дакле, клијент прво послао у упит који садржи потребне информације о томе, као и тражену услугу. Након тога, Кербероса му даје неку врсту улазнице која је шифрована са тајним кључем сервера, као и копију неког од података из ње, која је тајни кључ клијента. У случају да се утврди да је клијент је дешифровао информације да је намера, то јест, био је у стању да покаже да је приватни кључ га стварно познат. Ово указује на то да је клијент лице за које је.

Посебна пажња треба овде треба предузети како би се осигурало да се пренос тајних кључева се не спроводи на мрежи, а користе се искључиво за шифровање.

аутентичности помоћу биометрија

Биометрија подразумева комбинацију аутоматизованог идентификације / аутентификације људи на основу њихових понашања или физиолошким карактеристикама. Физички средство идентификације и аутентификације пружају мрежњаче скенирања и очију рожњаче, отиске прстију, лица и геометрију руке, као и друге личне податке. Карактеристике понашања укључују и стил рада са тастатуром и динамику потписивања. Комбиновани методе су анализа различитих карактеристика људског гласа, као и признање његовог говора.

Таква идентификација / аутентичности и шифровање системи се нашироко користи у многим земљама широм света, али дуго времена, они су изузетно високи трошкови и сложеност коришћења. У скорије време, потражња за биометријских производа значајно је повећан због развоја е-трговине, јер, са становишта корисника, је много лакше да се представи, него да се сетим неке информације. Сходно томе, потражња ствара залихе, тако да је тржиште почели да се појављују релативно ниски цени производа, који су углавном фокусирани на препознавање отиска прста.

У великој већини случајева, биометрија се користи у комбинацији са другим аутхентицаторс попут смарт картица. Често биометријске потврде идентитета је само прва линија одбране и делује као средство за јачање СмартЦард, укључујући и различите криптографских тајни. Када користите ову технологију, биометријски шаблон се чувају на истом картицом.

Активности на пољу биометрије је довољно висока. Релевантни постојећи конзорцијум, као и веома активан рад је у току да се стандардизује различите аспекте технологије. Данас можемо да видимо много рекламних текстова који су биометријске технологије представљене као идеално средство обезбеђивања повећану безбедност и истовремено приступачан масама.

ЕСИА

Систем идентификације и провере идентитета ( "ЕСИА") је специјална услуга дизајниран да обезбеди примену различитих задатака везаних за верификацију аутентичности подносилаца пријава и чланови међуагенцијске сарадње у случају било каквих комуналних или јавних услуга у електронском облику.

Да би добили приступ "једна портал државних структура", као и било који други информациони системи инфраструктуру постојећих е-управе, прво треба да се региструје рачун и као резултат тога, да АЕДС.

nivo

Портал јединственог система идентификације и аутентификације даје три основна нивоа налога за појединце:

• Поједностављена. За његову регистрацију једноставно укључити ваше име и презиме, као и неки посебан канал комуникације у виду е-поште или мобилног телефона. Овај примарни ниво, којим се лице које даје приступ само ограниченом списак разних услуга владе, као и могућности постојећих информационих система.
• Стандард. Да бисте добили прво је потребно да се изда налог поједностављено, а затим и пружају додатне информације, укључујући информације из броја пасоша и осигурања индивидуалном рачуну. Ова информација се аутоматски проверава кроз информациони систем пензионог фонда, као и Федералне миграције службе, и, ако је тест успешно, рачун се конвертује у стандардном нивоу, што отвара корисника на списку проширеном државних служби.
• Потврђена. Да бисте добили овај ниво рачуна, јединствен систем идентификације и провере идентитета захтева корисника у стандардном рачуну, као и доказ о идентитету, који се обавља кроз лични посетити робне овлашћени сервис или добијање активациони код путем препорученим писмом. У случају да је појединац потврда је успешно, рачун ће ићи на нови ниво, а кориснику ће добити приступ комплетну листу потребних јавних услуга.

Упркос чињеници да су поступци могу изгледати довољно сложен да виде комплетан списак потребних података може бити директно на званичном сајту, тако да је могуће да се заврши регистрацију за неколико дана.