זיהוי ואימות: מושגים בסיסיים

זיהוי ואימות הוא הבסיס של אבטחת תוכנה וחומרה מודרנית, כמו כל שירות אחר מיועד בעיקר לטפול בנושאים אלה. מושגים אלה מייצגים סוג של קו ההגנה הראשון, הבטחת הביטחון של מרחב המידע בארגון.

מה זה?

יש זיהוי ואימות פונקציות שונות. הראשון מספק נושא (משתמש או תהליך שפועל מטעם) את ההזדמנות לספר שם משלהם. באמצעות אימות הוא הצד השני הוא משוכנע לחלוטין כי הנושא באמת הוא אחד שעבורם שהוא מתיימר להיות. לעתים קרובות, כמו זיהוי נרדף ואימות מוחלפים על ידי הביטוי "שם פוסט" ו- "אימות".

הם עצמם נחלקים לכמה סוגים. הבא, אנו רואים כי זיהוי ואימות הם ומה הם.

אימות

מושג זה מספק עבור שני סוגים: חד סטרי, הלקוח צריך קודם להוכיח לשרת לאמת, ודו-צדדי, כלומר, כאשר אישור הדדי מתנהל. דוגמא אופיינית איך לנהל זיהוי סטנדרטי ואימות של משתמשים - היא להיכנס לתוך מערכת ספציפית. לפיכך, ניתן להשתמש בסוגים שונים וחפצים שונים.

בסביבת רשת, שבו זיהוי ואימות של משתמשים שנעשו על הצדדים מבוזרות גיאוגרפית, לבחון את השירות מתאפיין בשני היבטים עיקריים:

• שפועל כמאמת;
• איך זה אורגן על ידי החלפת אימות נתונים וזיהוי וכיצד להגן עליו.

כדי לאשר את אמיתותה, הנושא חייב להיות מוצג אחד מהגופים הבאים:

• מידע מסוים אשר הוא יודע (מספר אישי, סיסמא, מפתח הצפנה מיוחד, וכו '...);
• דבר מסוים שבבעלותו (כרטיס אישי או התקן אחר בעל מטרה דומה);
• דבר מסוים, המהווה אלמנט של זה (טביעת אצבע, קול או זיהוי ביומטרי אחר ואימות של משתמשים).

תכונות מערכת

בסביבת הרשת הפתוחה, הצדדים לא יהיו דרך מהימן, והוא אמר כי באופן כללי, המידע מועבר על ידי הנושא עלול בסופו של דבר להיות שונה מהמידע שהתקבל והשתמש לשם אימות. בטיחות חובה של רשת מריח אקטיבי ופסיבי, כלומר, הגנה מפני תיקונים, יירוט או השמעה של נתונים שונים. אפשרות העברה וסיסמא הברורה אינה משביעת רצון, ופשוט לא יכולה להציל את היום, וסיסמות מוצפנות, משום שהם לא מסופקים, הגנת השמעה. לכן היום משמש פרוטוקולי אימות מורכבים יותר.

זיהוי אמין קשה לא רק בגלל מגוון של איומים ברשת, אלא גם עבור מגוון רחב של סיבות אחרות. כל ישות אימות כמעט הראשונה עלולה להיחטף, או לזייף או צופים. מתח בין האמינות של המערכת בשימוש גם כיום, מצד אחד, ואת מתקני מנהל או משתמש במערכת - מאידך גיסא. לפיכך, מטעמים של ביטחון נדרש בתדירות מסוימת מבקש ממשתמש מחדש מבוא של מידע האימות שלה (כמו במקום שהוא עלול צריך לשבת כמה אנשים אחרים), וזה לא רק יוצר בעיות נוספות, אלא גם מגביר באופן משמעותי את הסיכוי כי מישהו יכול לחטט קלט מידע. בנוסף, האמינות של אמצעי ההגנה השפעה מהותית על הערך שלה.

מערכות זיהוי ואימות חדישות תומכות הקונספט של Single Sign-On לרשת, אשר חותרת בעיקר לדרישות מבחינת ידידותיות למשתמש. אם תקן הרשת הארגונית יש הרבה שירותי מידע, מתן האפשרות של זרימה עצמאית, אז הממשל המרובה של נתונים אישיים הופך מדי מעיק. כרגע זה עדיין בלתי אפשרי לומר כי השימוש Single Sign-On לרשת נורמלי, כמו הפתרונות הדומיננטיים הם עדיין לא גובשו.

לכן, רבים מנסים למצוא פשרה בין affordability, נוחות ואמינות של קרנות, אשר מספק זיהוי / אימות. אישור משתמש במקרה זה מתבצע על פי חוקים בודדים.

תשומת לב מיוחדת צריכה להינתן העובדה שהשירות משמש ניתן לבחור כמושא ההתקפות על הזמינות. אם תצורת המערכת נעשית בצורה כזאת כי לאחר מספר ניסיונות כושלים להיכנס לאפשרות ננעלת, אז התוקף יכול לעצור משתמשים לגיטימיים המבצע רק על ידי כמה קשה.

אימות סיסמא

היתרון העיקרי של מערכת זו הוא שזה מאוד פשוט ומוכר לרוב. סיסמאות ארוכות שימשו ידי מערכות הפעלה ושירותים אחרים, ועם שימוש נכון האבטחה המסופקים, אשר מקובל למדי עבור רוב הארגונים. מצד השני, על ידי קבוצה משותפת של מאפיינים של מערכות כאלה הם האמצעי החלש שבאמצעותו הזדהות / אימות עשויה להיות מיושמת. אישור במקרה זה הופך להיות די פשוט, כי סיסמות חייבות להיות קליטות, אבל זה לא קשה לנחש את הצירוף של פשוט, במיוחד אם האדם יודע את ההעדפות של משתמש מסוים.

לפעמים זה קורה כי סיסמאות, באופן עקרוני, לא נשמר בסוד, וכך גם ערכים די סטנדרטי שמצוין במסמך ספציפי, ולא תמיד אחרי שהמערכת מותקנת, לשנות אותם.

כאשר הזנת הסיסמה אתה יכול לראות, בחלק מהמקרים, אנשים אפילו להשתמש במכשירים אופטיים מיוחדים.

משתמשים, הנושאים העיקריים של זיהוי ואימות, סיסמאות לעיתים קרובות ליידע עמיתים לאלה בזמנים מסוימים השתנו הבעלים. בתאוריה, במצבים כאלה זה יהיה יותר נכון להשתמש בקרות גישה מיוחדות, אבל בפועל זה לא נמצא בשימוש. ואם את הסיסמה יודעת שני אנשים, זה מאוד מאוד מגביר את הסיכוי כי בסוף זה וללמוד עוד.

איך לתקן את זה?

ישנם מספר כלים כגון זיהוי ואימות יכולה להיות מוגנת. מרכיב עיבוד המידע עשוי להבטיח כדלקמן:

• הטלת מגבלות טכניות שונות. לרוב, קובע כללים אורך הסיסמה ואת התוכן של תווים מסוימים.
• משרד תפוגת סיסמא, כלומר הם צריכים להיות מוחלפים מדי פעם.
• גישה מוגבלת לקובץ סיסמאות בסיסיים.
• הגבלת המספר הכולל של ניסיונות כושלים זמינים כאשר אתה מתחבר. בגלל התוקפים זה חייב להתבצע אך ורק פעולות לבצע זיהוי ואימות וכן את שיטת המיון לא יכול לשמש.
• הכשרה ראשונית של משתמשים.
• באמצעות מחולל סיסמא תוכנה מיוחד שיכול ליצור שילובים כאלה שהם מספיק מתנגן ובלתי נשכחים.

כל הצעדים הללו יכולים לשמש בכל מקרה, גם אם יחד עם סיסמאות גם ישתמשו באמצעים אחרים של אימות.

סיסמאות חד-פעמיות

ההתגלמות לעיל היא לשימוש חוזר, ובמקרה של פתיחת תוקף שילובים היא מסוגל לבצע פעולות מסוימות בשמו של המשתמש. לכן כאמצעי חזק ועמיד בפני האפשרות של מריח רשת פסיבי, משתמשים בסיסמות חד פעמיות שבאמצעותו זיהוי מערכת אימות היא הרבה יותר בטוח, אם כי לא כמו נוח.

כרגע, אחת מחולל סיסמה חד-פעמית התוכנה הפופולרית ביותר היא מערכת בשם S / מפתח, שוחרר על ידי Bellcore. הרעיון הבסיסי של מערכת זו הוא כי קיימת פונקציה מסוימת של F, אשר ידוע כאחד המשתמש ואת שרת האימות. להלן K מפתח סודי, הידוע רק משתמש מסוים.

בשעת משתמשי ממשל ראשוניים, פונקציה זו משמשת מפתח מספר פעמים, אז התוצאה נשמרת בשרת. כתוצאה מכך, הליך האימות הוא כדלקמן:

1. על מערכת המשתמשים מהשרת מגיע למספר זה 1 פחות ממספר הפעמים באמצעות הפונקציה למקש.
2. פונקצית משתמש משמשת מפתחות סודיים של מספר הפעמים נקבעו על הנקודה הראשונה, ואז התוצאה נשלחת דרך הרשת ישירות לשרת האימות.
3. השרת עושה שימוש בפונקציה זו לערך המתקבל, ואז התוצאה היא לעומת שווי נשמרו קודם. אם התוצאות תואמות, אז את זהות המשתמש הוקמה, לבין השרת שמאחסן את הערך החדש, ולאחר מכן יורד הדלפק ידי אחד.

בפועל, היישום של הטכנולוגיה הזו יש מבנה מסובך קצת יותר, אבל כרגע זה לא משנה. מאז פונקציה הוא בלתי הפיך, גם אם יירוט הסיסמה או קבלת גישה לא מורשית אל שרת האימות אינו מספק את האפשרות להשיג את המפתח הפרטי בכל דרך לנבא איך זה בדיוק ייראה כמו סיסמה חד-פעמית הבאים.

ברוסיה כשירות מאוחדת, פורטל המדינה מיוחד - "מערכת ייחודית של זיהוי / אימות" ( "Esia").

גישה נוספת למערכת אימות חזקה נעוצה בעובדה כי הסיסמה החדשה הופעלה במרווחים קצרים, אשר הבינו גם באמצעות תוכניות מיוחדות או כרטיסים חכמים שונים. במקרה זה, הדבר ששרת האימות חייב לקבל את האלגוריתם יוצר סיסמת המקביל ופרמטרים מסוימים הקשורים אליו, ובנוסף, חייבים להיות נוכחים כשרת סנכרון השעון ואת הלקוח.

Kerberos

שרת האימות Kerberos בפעם הראשונה הופיעו באמצע שנות ה -90 של המאה הקודמת, אבל מאז הוא כבר קיבל הרבה שינויים יסודיים. כרגע, רכיבים בודדים של מערכת נוכחים כמעט בכל מערכת הפעלה מודרנית.

המטרה העיקרית של השירות הזה היא לפתור את הבעיה הבאה: יש רשת שאינה מאובטחת מסוימת ואת צומת בצורה המרוכזת שלה משתמש בנושאים שונים, ואת תוכנת שרת ולקוח מערכות. ישות כזו כל נוכחת מפתח סודי פרט, ועל נושאים עם הזדמנות להוכיח את האותנטיות שלהם לנושא ה- S, שבלעדיו הוא פשוט לא יהיה שירות זה, זה יהיה צריך לא רק לקרוא לעצמו, אלא גם כדי להראות שהוא יודע קצת מפתח סודי. במקביל ללא דרך פשוט לשלוח לכיוון S המפתח הסודי שלך כמו בערכאה הראשונה הרשת פתוחה, ובנוסף, S לא יודע, וגם, באופן עקרוני, לא צריך לדעת עליו. במצב זה, להשתמש הפגנת טכנולוגיה פשוטה פחות ידע של המידע.

זיהוי / אימות אלקטרונית באמצעות מערכת Kerberos מספקת עבור השימוש בו כצד שלישי אמין, שיש לו מידע על המפתחות הסודיים של אתרי שירות ולסייע להם בביצוע אימות pairwise במידת צורך.

לפיכך, הלקוח שלח לראשונה שאילתא המכילה את המידע הדרוש על זה, כמו גם את השירות המבוקש. אחרי זה, Kerberos נותן לו מעין הכרטיס שהוצפן בעזרת מפתח סודי של השרת, כמו גם עותק של חלק מהנתונים ממנו, שהוא מפתח סודי של הלקוח. במקרה זה נקבע כי הלקוח היה מידע פוענח ייעד אותה, כלומר, הוא הצליח להוכיח כי המפתח הפרטי ידוע לו באמת. הדבר מעיד כי הלקוח הוא האדם שלשם הוא.

תשומת לב מיוחדת יש לנקוט כאן כדי להבטיח כי העברת מפתחות סודיים אינן מתבצעות ברשת, והם משמשים אך ורק עבור הצפנה.

ביומטריה אימות באמצעות

ביומטריה כולל שילוב של זיהוי אוטומטי / אימות של אנשים על בסיס מאפיינים התנהגותיים או פיזיולוגיים שלהם. באמצעים פיסיים זיהוי והאימות לספק קרנית סריקת עין רשתית, טביעות אצבעות, פנים וגיאומטרית יד, כמו גם מידע אישי אחר. המאפיינים ההתנהגותיים כוללים גם את סגנון העבודה עם המקלדת ואת הדינמיקה של החתימה. שיטות משולבות הן הניתוח של המאפיינים השונים של הקול האנושי, כמו גם הכרה של נאומו.

מערכות זיהוי / אימות והצפנה כזה נמצא בשימוש נרחב במדינות רבות ברחבי העולם, אך במשך זמן רב, הם עלות גבוהה מאוד ומורכב שימוש. לאחרונה, הביקוש למוצרים ביומטריים גדל באופן משמעותי בשל התפתחות המסחר האלקטרוני, כי, מנקודת המבט של המשתמש, הוא הרבה יותר קל להציג את עצמה, מאשר לזכור מידע מסוים. בהתאם לכך, הביקוש יוצר האספקה, כך שהשוק התחיל להופיע יחסית מוצרים במחיר נמוך, אשר מתמקדים בעיקר על זיהוי טביעת אצבע.

ברוב המכריע של המקרים, ביומטריה משמש בשילוב עם authenticators אחרות כגון כרטיסים חכמים. לעתים קרובות אימות ביומטרי היא רק קו ההגנה הראשון משמשת כאמצעי להגברת הכרטיס החכם, לרבות סודות הצפנה שונים. בעת שימוש בטכנולוגיה זו, תבנית ביומטרי מאוחסנת על אותו הכרטיס.

פעילות בתחום ביומטריה היא גבוהה מספיק. קונסורציום קיים רלוונטי, כמו גם מאוד עבודה פעילה מתנהל לתקנן היבטים שונים של הטכנולוגיה. היום אנו יכולים לראות הרבה מאמרים לפרסום כי טכנולוגיות ביומטריות מוצגות כאמצעי אידיאלי של מתן בטיחות מוגבר בעת ובעונה האחת סבירה להמונים.

Esia

מערכת זיהוי והאימות ( "Esia") היא שירות מיוחד שנועד להבטיח את יישום משימות שונות הקשורות לאימות האותנטיות של המועמדים וחברי שיתוף הפעולה בין-משרדי במקרה של כל שירותים עירוניים או ציבור בצורה אלקטרונית.

על מנת לקבל גישה "פורטל יחיד של מבני המדינה", וכן כל תשתית מערכות מידע אחרת של הקיים הממשל זמין, תחילה עליך לרשום את החשבון וכתוצאה מכך, לקבל AEDs.

רמות

פורטל של מערכת אחידה של זיהוי ואימות מספק שלוש רמות בסיסיות של חשבונות ליחידים:

• פשוט. להרשמה שלה פשוט לכלול את השם הפרטי ושם המשפחה שלך, כמו גם כמה ערוץ מסוים של תקשורת בצורת כתובת הדוא"ל או הטלפון הנייד. ברמה ראשונית זו, שלפי אדם נותן גישה רק רשימה מצומצמת של שירותים ממשלתיים שונים, כמו גם את היכולות של מערכות מידע קיימות.
• תקן. כדי להשיג בתחילה צורך להנפיק חשבון פשוט, ולאחר מכן גם לספק מידע נוסף, לרבות מידע מן מספר הדרכון ואת חשבון ביטוח פרט. מידע זה נבדק באופן אוטומטי באמצעות מערכת המידע של קרן הפנסיה, כמו גם שירות ההעברה הפדרלי, וכן, אם הבדיקה הצליחה, שהחשבון מומר לרמה סטנדרטית, זה מפותח את המשתמש לאתר רשימת שירותים במצב מורחב.
• אושר. כדי להשיג רמה זו של חשבון, מערכת אחידה של זיהוי ואימות משתמשים מחייב חשבון רגיל, כמו גם הוכחת זהות, אשר מבוצע באמצעות ביקור אישי מחלקת שירות מורשה או על ידי קבלת קוד הפעלה באמצעות מכתב רשום. במקרה האישור היחיד הוא מוצלח, החשבון ילך לרמה חדשה, וכדי המשתמש יקבל גישת רשימה מלאה של שירותים ציבוריים דרושים.

למרות העובדה כי ההליכים אולי נראים מורכבים מספיק כדי באמת לראות את הרשימה המלאה של נתונים הנדרשים ניתן ישירות באתר הרשמי, כך אפשר להשלים רישום במשך כמה ימים.