Identifikace a ověřování: základní pojmy

2024 Autor: Howard Calhoun | [email protected]. Naposledy změněno: 2023-12-17 10:22

Identifikace a autentizace jsou základem moderních softwarových a hardwarových bezpečnostních nástrojů, protože jakékoli jiné služby jsou určeny hlavně k tomu, aby sloužily těmto subjektům. Tyto koncepty představují jakousi první linii obrany, která zajišťuje bezpečnost informačního prostoru organizace.

Co je to?

Identifikace a ověřování mají různé funkce. První dává subjektu (uživateli nebo procesu jednajícímu jeho jménem) možnost uvést své vlastní jméno. Pomocí autentizace se druhá strana konečně přesvědčí, že subjekt je skutečně tím, za koho se vydává. Identifikace a autentizace jsou často nahrazeny frázemi „zpráva o názvu“a „ověření“jako synonyma.

Samotné se dělí do několika odrůd. Dále se podíváme na to, co je identifikace a autentizace a co to je.

Authentication

Tento koncept poskytuje dva typy: jednostranný, kdy klientmusí nejprve prokázat svou pravost serveru, a to obousměrně, tedy při vzájemném potvrzování. Standardním příkladem toho, jak probíhá standardní identifikace a autentizace uživatele, je postup přihlášení do konkrétního systému. V různých objektech tak mohou být použity různé typy.

V síťovém prostředí, kde se identifikace a ověřování uživatelů provádějí na geograficky rozptýlených stranách, se daná služba liší ve dvou hlavních aspektech:

• který funguje jako autentizátor;
• jak přesně byla organizována výměna autentizačních a identifikačních údajů a jak je chráněna.

K prokázání totožnosti musí subjekt předložit jeden z následujících subjektů:

• určité informace, které zná (osobní číslo, heslo, speciální kryptografický klíč atd.);
• určitou věc, kterou vlastní (osobní kartu nebo jiné zařízení s podobným účelem);
• určitá věc, která je sama o sobě prvkem (otisky prstů, hlas a další biometrické prostředky k identifikaci a ověřování uživatelů).

Funkce systému

V otevřeném síťovém prostředí nemají strany důvěryhodnou cestu, což obecně znamená, že informace přenášené subjektem se nakonec nemusí shodovat s informacemi přijatými a použitýmipři ověřování. Je požadováno zajištění bezpečnosti aktivního a pasivního poslechu sítě, tedy ochrany před opravou, zachycením nebo přehráváním různých dat. Možnost přenosu hesel v prostém textu je neuspokojivá a stejně tak šifrování hesel nezachrání situaci, protože neposkytuje ochranu před reprodukcí. Proto se dnes používají složitější autentizační protokoly.

Spolehlivá identifikace je obtížná nejen kvůli různým online hrozbám, ale také z řady dalších důvodů. Za prvé, téměř každá autentizační entita může být ukradena, padělána nebo odvozena. Existuje také určitý rozpor mezi spolehlivostí použitého systému na jedné straně a pohodlím správce systému nebo uživatele na straně druhé. Z bezpečnostních důvodů je tedy nutné žádat uživatele, aby s určitou frekvencí znovu zadával své autentizační údaje (protože na jeho místě již může sedět jiná osoba), což nejen vytváří další potíže, ale také výrazně zvyšuje šance, že někdo může špehovat zadávání informací. Spolehlivost ochranných prostředků mimo jiné významně ovlivňuje jejich cenu.

Moderní identifikační a autentizační systémy podporují koncept jednotného přihlašování do sítě, což umožňuje především splnit požadavky z hlediska uživatelského pohodlí. Pokud má standardní podniková síť mnoho informačních služeb,poskytuje možnost nezávislého zacházení, pak se opakované zavádění osobních údajů stává příliš obtížným. V tuto chvíli ještě nelze říci, že používání jednotného přihlášení je považováno za normální, protože dominantní řešení se ještě nevytvořila.

Mnozí se tedy snaží najít kompromis mezi cenovou dostupností, pohodlím a spolehlivostí prostředků, které poskytují identifikaci / autentizaci. Autorizace uživatelů v tomto případě probíhá podle individuálních pravidel.

Zvláštní pozornost by měla být věnována skutečnosti, že použitá služba může být vybrána jako objekt útoku na dostupnost. Pokud je systém nakonfigurován tak, že po určitém počtu neúspěšných pokusů je možnost vstupu zablokována, pak v tomto případě mohou útočníci zastavit práci legálních uživatelů pouhými několika stisky kláves.

Ověření heslem

Hlavní výhodou takového systému je, že je extrémně jednoduchý a většině známý. Hesla jsou operačními systémy a dalšími službami používána již dlouhou dobu a při správném použití poskytují úroveň zabezpečení, která je pro většinu organizací celkem přijatelná. Ale na druhou stranu z hlediska celkového souboru charakteristik představují tyto systémy nejslabší prostředek, kterým lze identifikaci / autentizaci provádět. Autorizace je v tomto případě poměrně jednoduchá, protože hesla musí býtzapamatovatelné, ale zároveň jednoduché kombinace není těžké uhodnout, zvláště pokud člověk zná preference konkrétního uživatele.

Někdy se stává, že hesla v zásadě nejsou utajována, protože mají zcela standardní hodnoty specifikované v určité dokumentaci a ne vždy po instalaci systému jsou změněna.

Při zadávání hesla můžete vidět a v některých případech lidé dokonce používají specializovaná optická zařízení.

Uživatelé, hlavní subjekty identifikace a autentizace, mohou často sdílet hesla s kolegy, aby mohli na určitou dobu změnit vlastnictví. Teoreticky by v takových situacích bylo nejlepší použít speciální kontroly přístupu, ale v praxi to nikdo nepoužívá. A pokud dva lidé znají heslo, výrazně to zvyšuje šanci, že se o něm ostatní nakonec dozvědí.

Jak to opravit?

Existuje několik způsobů, jak lze zabezpečit identifikaci a autentizaci. Komponenta pro zpracování informací se může zabezpečit následovně:

• Uvalení různých technických omezení. Nejčastěji se nastavují pravidla pro délku hesla a také pro obsah určitých znaků v něm.
• Správa vypršení platnosti hesel, to znamená nutnost je pravidelně měnit.
• Omezení přístupu k souboru hlavního hesla.
• Omezením celkového počtu neúspěšných pokusů dostupných při přihlášení. DíkyV tomto případě by útočníci měli provádět akce pouze před provedením identifikace a autentizace, protože metodu hrubou silou nelze použít.
• Předběžné školení uživatelů.
• Pomocí specializovaného softwaru pro generátor hesel, který vám umožní vytvářet kombinace, které jsou dostatečně eufonické a zapamatovatelné.

Všechna tato opatření lze použít v každém případě, i když jsou spolu s hesly použity i jiné způsoby ověření.

Jednorázová hesla

Výše popsané možnosti jsou opakovaně použitelné, a pokud je kombinace odhalena, útočník získá příležitost provést určité operace jménem uživatele. Proto jsou jednorázová hesla používána jako silnější prostředek, odolný vůči možnosti pasivního síťového naslouchání, díky kterému se systém identifikace a autentizace stává mnohem bezpečnějším, i když ne tak pohodlným.

V současnosti je jedním z nejpopulárnějších softwarových generátorů jednorázových hesel systém nazvaný S/KEY, vydaný společností Bellcore. Základní koncept tohoto systému spočívá v tom, že existuje určitá funkce F, která je známá jak uživateli, tak autentizačnímu serveru. Následuje tajný klíč K, který zná pouze určitý uživatel.

Při úvodní administraci uživatele se tato funkce používá ke klíčiurčitý počet opakování, po kterém se výsledek uloží na server. V budoucnu bude postup ověřování vypadat takto:

1. Číslo přichází do uživatelského systému ze serveru, což je o 1 méně, než kolikrát byla funkce použita na klíč.
2. Uživatel použije funkci na dostupný tajný klíč tolikrát, kolikrát byl nastaven v prvním odstavci, poté je výsledek odeslán přes síť přímo na autentizační server.
3. Server použije tuto funkci na přijatou hodnotu, po které je výsledek porovnán s dříve uloženou hodnotou. Pokud se výsledky shodují, je uživatel ověřen a server uloží novou hodnotu a poté sníží počítadlo o jednu.

V praxi má implementace této technologie trochu složitější strukturu, ale v tuto chvíli to není tak důležité. Protože je funkce nevratná, i když je heslo zachyceno nebo je získán neautorizovaný přístup k ověřovacímu serveru, neposkytuje možnost získat tajný klíč a žádným způsobem předvídat, jak konkrétně bude vypadat další jednorázové heslo.

V Rusku se jako jednotná služba používá speciální státní portál - "Systém jednotné identifikace / autentizace" ("ESIA").

Dalším přístupem k silnému autentizačnímu systému je vygenerování nového hesla v krátkých intervalech, což je také implementováno prostřednictvímpoužívání specializovaných programů nebo různých čipových karet. V tomto případě musí autentizační server akceptovat příslušný algoritmus generování hesla, stejně jako určité parametry s ním spojené, a navíc musí existovat také synchronizace hodin serveru a klienta.

Kerberos

Autentizační server Kerberos se poprvé objevil v polovině 90. let minulého století, ale od té doby již prošel obrovským množstvím zásadních změn. V současné době jsou jednotlivé součásti tohoto systému přítomny téměř v každém moderním operačním systému.

Hlavním účelem této služby je vyřešit následující problém: existuje určitá nechráněná síť a v jejích uzlech jsou soustředěny různé subjekty v podobě uživatelů, ale i serverových a klientských softwarových systémů. Každý takový subjekt má svůj individuální tajný klíč, a aby měl subjekt C možnost prokázat subjektu S vlastní autenticitu, bez které mu prostě neobslouží, bude potřebovat nejen pojmenovat, ale i aby ukázal, že zná jistý Tajný klíč. Zároveň C nemá možnost jednoduše poslat svůj tajný klíč S, protože v první řadě je síť otevřená a kromě toho S to neví a v zásadě by to vědět neměl. V takové situaci se k prokázání znalosti těchto informací používá méně přímočará technika.

Poskytuje to elektronická identifikace/ověření prostřednictvím systému Kerberospoužívat jako důvěryhodnou třetí stranu, která má informace o tajných klíčích obsluhovaných objektů a v případě potřeby jim pomáhá při provádění párové autentizace.

Klient tedy nejprve odešle do systému požadavek, který obsahuje potřebné informace o něm i o požadované službě. Poté mu Kerberos poskytne jakýsi lístek, který je zašifrován tajným klíčem serveru a také kopii některých dat z něj, která je zašifrována klíčem klienta. V případě shody se zjistí, že klient dešifroval informace, které mu byly určeny, to znamená, že byl schopen prokázat, že tajný klíč skutečně zná. To naznačuje, že klient je přesně tím, za koho se vydává.

Zvláštní pozornost by zde měla být věnována skutečnosti, že přenos tajných klíčů neprobíhal přes síť a byly použity výhradně pro šifrování.

Biometrická autentizace

Biometrie zahrnuje kombinaci automatizovaných prostředků identifikace/ověřování osob na základě jejich behaviorálních nebo fyziologických charakteristik. Mezi fyzické prostředky autentizace a identifikace patří ověření sítnice a rohovky očí, otisky prstů, geometrie obličeje a ruky a další osobní informace. Mezi charakteristiky chování patří styl práce s klaviaturou a dynamika podpisu. Kombinovanýmetodami jsou analýza různých rysů hlasu člověka a také rozpoznávání jeho řeči.

Takové identifikační/ověřovací a šifrovací systémy jsou široce používány v mnoha zemích po celém světě, ale po dlouhou dobu byly extrémně drahé a obtížně použitelné. V poslední době výrazně vzrostla poptávka po biometrických produktech v důsledku rozvoje e-commerce, neboť z pohledu uživatele je mnohem pohodlnější se prezentovat, než si pamatovat nějaké informace. Poptávka tedy vytváří nabídku, a tak se na trhu začaly objevovat relativně levné produkty, které jsou zaměřeny především na rozpoznávání otisků prstů.

V naprosté většině případů se biometrie používá v kombinaci s jinými autentizátory, jako jsou čipové karty. Biometrická autentizace je často pouze první linií obrany a funguje jako prostředek k aktivaci čipových karet, které obsahují různá kryptografická tajemství. Při použití této technologie je biometrická šablona uložena na stejné kartě.

Aktivita v oblasti biometrie je poměrně vysoká. Vhodné konsorcium již existuje a poměrně aktivně se také pracuje na standardizaci různých aspektů technologie. Dnes můžete vidět spoustu reklamních článků, ve kterých jsou biometrické technologie prezentovány jako ideální prostředek ke zvýšení bezpečnosti a zároveň přístupný široké veřejnosti.masy.

ESIA

Systém identifikace a autentizace („ESIA“) je speciální služba vytvořená za účelem zajištění realizace různých úkolů spojených s ověřováním identity žadatelů a účastníků mezirezortní interakce v případě poskytování tzv. jakékoli komunální nebo státní služby v elektronické podobě.

Abyste získali přístup k „Jednotnému portálu vládních agentur“, stejně jako k jakýmkoli dalším informačním systémům infrastruktury současné e-governmentu, budete si muset nejprve zaregistrovat účet a v důsledku toho, získejte PES.

Úrovně

Portál jednotného identifikačního a autentizačního systému poskytuje tři hlavní úrovně účtů pro jednotlivce:

• Zjednodušené. K registraci stačí uvést své příjmení a jméno a také konkrétní komunikační kanál v podobě e-mailové adresy nebo mobilního telefonu. Toto je primární úroveň, přes kterou má osoba přístup pouze k omezenému seznamu různých veřejných služeb a také ke schopnostem stávajících informačních systémů.
• Standardní. K jeho získání je potřeba nejprve vystavit zjednodušený účet a poté poskytnout další údaje, včetně údajů z cestovního pasu a čísla individuálního osobního účtu pojištění. Zadané informace jsou automaticky kontrolovány prostřednictvím informačních systémůPenzijní fond, stejně jako Federální migrační službu, a pokud je kontrola úspěšná, je účet převeden na standardní úroveň, čímž se uživateli otevře rozšířený seznam veřejných služeb.
• Potvrzeno. Pro získání této úrovně účtu vyžaduje jednotný systém identifikace a autentizace standardní účet a ověření identity, které se provádí osobní návštěvou autorizované servisní pobočky nebo získáním aktivačního kódu doporučenou poštou. V případě úspěšného ověření identity se účet přesune na novou úroveň a uživatel bude mít přístup k úplnému seznamu nezbytných vládních služeb.

Navzdory tomu, že se postupy mohou zdát poměrně složité, ve skutečnosti se s úplným seznamem potřebných údajů můžete seznámit přímo na oficiálních stránkách, takže úplná registrace je docela možná během pár dní.