Autentificarea ( autentificare în engleză ← greacă αὐθεντικός [authentikos] „real, autentic” ← αὐτός [autos] „însuși; el este cel mai mult”) este o procedură de autentificare, de exemplu:
În rusă, termenul este folosit în principal în domeniul tehnologiei informației .
Având în vedere gradul de încredere și politica de securitate a sistemelor, autentificarea oferită poate fi unidirecțională sau reciprocă . De obicei, se realizează folosind metode criptografice .
Autentificarea nu trebuie confundată cu autorizarea (procedura de acordare a anumitor drepturi unui subiect) și identificarea (procedura de recunoaștere a unui subiect după identificatorul său ).
Din cele mai vechi timpuri, oamenii s-au confruntat cu o sarcină destul de dificilă - să verifice autenticitatea mesajelor importante. Au fost inventate parole vocale, sigilii complexe. Apariția metodelor de autentificare care utilizează dispozitive mecanice a simplificat foarte mult sarcina, de exemplu, o încuietoare convențională și o cheie au fost inventate cu mult timp în urmă. Un exemplu de sistem de autentificare poate fi văzut în vechiul basm „Aventurile lui Ali Baba și cei patruzeci de hoți” . Această poveste povestește despre comori ascunse într-o peșteră. Peștera a fost blocată de o piatră. Poate fi respins doar cu o parolă unică de vorbire : „ Sim-Sim , deschide !”.
În zilele noastre, datorită dezvoltării extinse a tehnologiilor de rețea, autentificarea automată este folosită peste tot.
Documente care definesc standardele de autentificare
GOST R ISO/IEC 9594-8-98 - Fundamentele autentificăriiAcest standard:
Acest standard internațional specifică două tipuri de autentificare: simplă, folosind o parolă ca verificare a unei identități revendicate, și puternică, folosind identități create folosind tehnici criptografice.
FIPS 113 - Autentificarea datelor computeruluiAcest standard specifică un algoritm de autentificare a datelor (DAA) care poate fi utilizat pentru a detecta modificări neautorizate ale datelor, atât intenționate, cât și accidentale, pe baza algoritmului specificat în Publicația standardelor federale de procesare a informațiilor (FIPS PUB) din Standardul de criptare a datelor (DES) 46 , și este compatibil atât cu Politica de transfer electronic de fonduri și securitate a Departamentului Trezoreriei, cât și cu Institutul Național American de Standarde (ANSI) și cu Standardul pentru autentificarea mesajelor instituțiilor financiare.
Acest standard este utilizat pentru a controla integritatea informațiilor transmise prin autentificare criptografică.
În orice sistem de autentificare, pot fi de obicei distinse mai multe elemente:
Element de autentificare | Peștera celor 40 de hoți | Înregistrarea în sistem | ATM |
---|---|---|---|
Subiect | Persoana care cunoaște parola | Utilizator autorizat | Deținătorul cardului bancar |
Caracteristică | Parola " Sim-Sim , deschide !" | Parolă secretă | Card bancar și identificator personal |
Proprietarul sistemului | 40 de tâlhari | Compania care deține sistemul | bancă |
Mecanism de autentificare | Dispozitiv magic care reacționează la cuvinte | Software de verificare a parolei | Software care verifică cardul și ID-ul personal |
Mecanism de control acces | Mecanismul care îndepărtează piatra de la intrarea în peșteră | Proces de înregistrare, control acces | Permisiunea de a desfasura activitati bancare |
Chiar înainte de apariția computerelor, au fost folosite diverse trăsături distinctive ale subiectului, caracteristicile sale. Acum, utilizarea uneia sau alteia caracteristici în sistem depinde de fiabilitatea, securitatea și costul implementării necesare. Există 3 factori de autentificare:
Legea federală nr. 63-FZ din 6 aprilie 2011 „Cu privire la semnătura electronică” (modificată) prevede următoarele tipuri de semnătură electronică:
Una dintre modalitățile de autentificare într-un sistem informatic este să introduceți ID-ul de utilizator, denumit colocvial „ login ” ( în engleză login - nume de utilizator, cont) și o parolă - câteva informații confidențiale. O pereche validă (de referință) autentificare-parolă este stocată într-o bază de date specială.
Autentificarea simplă are următorul algoritm general :
Parola introdusă de subiect poate fi transmisă prin rețea în două moduri:
Din punctul de vedere al celei mai bune securități la stocarea și transmiterea parolelor, ar trebui utilizate funcții unidirecționale . În mod obișnuit, în aceste scopuri sunt utilizate funcții hash puternice din punct de vedere criptografic . În acest caz, doar imaginea parolei este stocată pe server. După ce a primit parola și a făcut transformarea hash , sistemul compară rezultatul cu imaginea de referință stocată în ea. Dacă sunt identice, parolele sunt aceleași. Pentru un atacator care a obținut acces la imagine, este aproape imposibil să calculeze parola în sine.
Utilizarea parolelor reutilizabile are o serie de dezavantaje semnificative. În primul rând, parola principală în sine sau imaginea sa hashing este stocată pe serverul de autentificare. Adesea, parola este stocată fără transformări criptografice , în fișierele de sistem. După ce a obținut acces la acestea, un atacator poate ajunge cu ușurință la informații confidențiale. În al doilea rând, subiectul este forțat să-și amintească (sau să noteze) parola sa reutilizabilă. Un atacator îl poate obține prin simpla aplicare a abilităților de inginerie socială , fără niciun mijloc tehnic. În plus, securitatea sistemului este mult redusă în cazul în care subiectul își alege propria parolă. Adesea se dovedește a fi un cuvânt sau o combinație de cuvinte prezente în dicționar. În GOST 28147-89 , lungimea cheii este de 256 de biți (32 de octeți). Când utilizați un generator de numere pseudo-aleatoare, cheia are proprietăți statistice bune. Parola, care este, de exemplu, un cuvânt dintr-un dicționar, poate fi redusă la un număr pseudo-aleatoriu lung de 16 biți, care este de 16 ori mai scurt decât cheia GOST. Având suficient timp, un atacator poate sparge parola cu un simplu atac de forță brută. Soluția la această problemă este folosirea parolelor aleatoare sau limitarea duratei parolei subiectului, după care parola trebuie schimbată.
Baze de date de conturiPe computerele cu sisteme de operare UNIX, baza este fișierul /etc/master.passwd (în distribuțiile Linux, fișierul /etc/shadow este de obicei citit doar de root ), în care parolele utilizatorului sunt stocate ca funcții hash din parolele deschise, în plus, același fișier stochează informații despre drepturile utilizatorului. Inițial, pe sistemele Unix, parola (în formă criptată) a fost stocată în fișierul /etc/passwd , care era lizibil de toți utilizatorii, ceea ce era nesigur.
Pe computerele care rulează Windows NT / 2000 / XP / 2003 (nu sunt incluse în domeniul Windows ), o astfel de bază de date se numește SAM ( Security Account Manager - Account Protection Manager). Baza SAM stochează conturi de utilizator , care includ toate datele necesare pentru funcționarea sistemului de protecție. Situat în directorul %windir%\system32\config\.
În domeniile Windows Server 2000/2003 , această bază de date este Active Directory .
Cu toate acestea, utilizarea hardware-ului (componentelor) speciale este recunoscută ca o modalitate mai fiabilă de a stoca datele de autentificare.
Dacă este necesar să se asigure munca angajaților pe diferite computere (cu suport pentru un sistem de securitate), aceștia folosesc sisteme hardware și software care permit stocarea datelor de autentificare și a cheilor criptografice pe serverul organizației. Utilizatorii pot lucra liber pe orice computer ( stație de lucru ), având acces la datele lor de autentificare și cheile criptografice.
Autentificare cu parolă unicăOdată obținută parola reutilizabilă a subiectului, atacatorul are acces permanent la informațiile confidențiale compromise. Această problemă este rezolvată prin utilizarea parolelor unice ( OTP - One Time Password ). Esența acestei metode este că parola este valabilă doar pentru o singură autentificare, cu fiecare solicitare de acces ulterioară, este necesară o nouă parolă. Mecanismul de autentificare pentru parolele unice poate fi implementat atât în hardware cât și în software.
Tehnologiile pentru utilizarea parolelor unice pot fi împărțite în:
Prima metodă folosește un generator de numere pseudoaleatoare cu aceeași valoare pentru subiect și pentru sistem. O parolă generată de subiect poate fi transmisă sistemului la utilizarea consecutivă a unei funcții unidirecționale sau la fiecare cerere nouă, bazată pe informații unice dintr-o solicitare anterioară.
A doua metodă utilizează marcaje temporale. Un exemplu de astfel de tehnologie este SecurID . Se bazează pe utilizarea tastelor hardware și pe sincronizarea orei. Autentificarea se bazează pe generarea de numere aleatorii la anumite intervale de timp. Cheia secretă unică este stocată numai în baza sistemului și în dispozitivul hardware al subiectului. Când subiectul solicită acces la sistem, i se cere să introducă un PIN, precum și un număr generat aleatoriu afișat în acel moment pe dispozitivul hardware. Sistemul potrivește PIN-ul introdus și cheia secretă a subiectului din baza sa de date și generează un număr aleator pe baza parametrilor cheii secrete din baza de date și a orei curente. În continuare, se verifică identitatea numărului generat și numărul introdus de subiect.
A treia metodă se bazează pe o bază de date unică de parole pentru subiect și sistem și sincronizare de înaltă precizie între ele. În acest caz, fiecare parolă din set poate fi folosită o singură dată. Din acest motiv, chiar dacă un atacator interceptează parola folosită de subiect, aceasta nu va mai fi valabilă.
În comparație cu utilizarea parolelor reutilizabile, parolele unice oferă un grad mai ridicat de securitate.
Urgența asigurării securității comunicațiilor mobile, precum ip-phone, stimulează noi evoluții în acest domeniu. Printre acestea se numără autentificarea prin mesaje SMS.
Procedura de autentificare include următorii pași:
Atractivitatea acestei metode constă în faptul că cheia nu este obținută prin canalul prin care se realizează autentificarea (out-of-band), ceea ce elimină practic atacul tipului „ om in the middle ”. Un nivel suplimentar de securitate poate fi asigurat prin cerința de a introduce codul PIN al dispozitivului mobil.
Această metodă a devenit larg răspândită în operațiunile bancare prin internet.
Metodele de autentificare bazate pe măsurarea parametrilor biometrici umani asigură o identificare aproape 100%, rezolvând problemele de pierdere a parolelor și a identificatorilor personali.
Exemple de implementare a acestor metode sunt sistemele de identificare a utilizatorilor bazate pe modelul irisului, amprentele palmei, formele urechilor, imaginea în infraroșu a vaselor capilare, scrisul de mână, mirosul, timbrul vocii și chiar ADN-ul.
O nouă direcție este utilizarea caracteristicilor biometrice în cardurile de plată inteligente, jetoanele de trecere și elementele de comunicare celulară. De exemplu, atunci când plătește într-un magazin, deținătorul cardului își pune degetul pe scaner pentru a confirma că cardul este cu adevărat al lui.
Cele mai utilizate atribute biometrice și sisteme aferenteÎn același timp, autentificarea biometrică are o serie de dezavantaje:
Cea mai recentă tendință în autentificare este de a dovedi autenticitatea unui utilizator de la distanță în funcție de locație. Acest mecanism de apărare se bazează pe utilizarea unui sistem de navigație spațială precum GPS ( Global Positioning System ).
Un utilizator cu echipament GPS trimite în mod repetat coordonatele sateliților dați care se află în linia de vedere. Subsistemul de autentificare, cunoscând orbitele sateliților, poate determina locația utilizatorului cu o precizie de până la un metru. Fiabilitatea ridicată a autentificării este determinată de faptul că orbitele sateliților sunt supuse fluctuațiilor, care sunt greu de prezis. În plus, coordonatele se schimbă constant, ceea ce anulează posibilitatea interceptării lor.
Complexitatea piratarii sistemului constă în faptul că echipamentul transmite un semnal satelit digitizat fără a face niciun calcul. Toate calculele locației sunt efectuate pe serverul de autentificare.
Echipamentul GPS este simplu și fiabil de utilizat și relativ ieftin. Acest lucru îi permite să fie utilizat în cazurile în care un utilizator autorizat de la distanță trebuie să fie în locul potrivit.
Autentificare bazată pe locație pe internetAcest mecanism se bazează pe utilizarea informațiilor despre locația serverelor, puncte de acces wireless prin care se realizează conexiunea la Internet.
Ușurința relativă a hacking-ului constă în faptul că informațiile despre locație pot fi modificate folosind așa-numitele servere proxy sau sisteme de acces anonim.
Recent, așa-numita autentificare extinsă sau multifactor a fost folosită din ce în ce mai mult. Este construit pe partajarea mai multor factori de autentificare. Acest lucru crește foarte mult securitatea sistemului.
Un exemplu este utilizarea cartelelor SIM în telefoanele mobile . Subiectul își introduce cardul hardware (dispozitivul de autentificare) în telefon și, când este pornit, introduce codul PIN (parola).
De asemenea, de exemplu, în unele laptop-uri moderne există un scanner de amprente . Astfel, atunci când se conectează, subiectul trebuie să treacă prin această procedură ( biometrie ), apoi să introducă o parolă .
Atunci când alegeți unul sau altul factor sau metodă de autentificare pentru sistem, este necesar, în primul rând, să se construiască pe gradul de securitate necesar, costul construirii sistemului și asigurarea mobilității subiectului.
Iată un tabel de comparație:
Nivelul de risc | Cerințe de sistem | Tehnologia de autentificare | Exemple de aplicații |
---|---|---|---|
Mic de statura | Autentificarea este necesară pentru a accesa sistemul, iar furtul, piratarea, dezvăluirea informațiilor confidențiale nu vor avea consecințe semnificative | Cerința minimă recomandată este utilizarea parolelor reutilizabile | Înregistrare pe portal de pe Internet |
In medie | Este necesară autentificarea pentru a accesa sistemul, iar furtul, hackingul, dezvăluirea informațiilor confidențiale vor cauza pagube mici | Cerința minimă recomandată este utilizarea parolelor unice | Performanța de către subiectul operațiunilor bancare |
Înalt | Autentificarea este necesară pentru a accesa sistemul, iar furtul, piratarea, dezvăluirea informațiilor confidențiale vor cauza daune semnificative | Cerința minimă recomandată este utilizarea autentificării cu mai mulți factori | Efectuarea de tranzacții interbancare majore de către personalul de conducere |
Procedura de autentificare este utilizată în schimbul de informații între computere, în timp ce protocoale criptografice foarte complexe sunt folosite pentru a proteja linia de comunicație de interceptarea sau înlocuirea unuia dintre participanții la interacțiune. Și întrucât, de regulă, autentificarea este necesară pentru ambele obiecte care stabilesc interacțiunea în rețea, atunci autentificarea poate fi reciprocă.
Astfel, se pot distinge mai multe familii de autentificare:
Autentificarea utilizatorului pe PC:
Autentificare retea:
Sistemele de operare ale familiei Windows NT 4 folosesc protocolul NTLM (NT LAN Manager). Și în domeniile Windows 2000/2003, este utilizat protocolul Kerberos mult mai avansat .
Autentificarea este necesară atunci când accesați servicii precum:
Un rezultat pozitiv al autentificarii (pe langa stabilirea relatiilor de incredere si generarea unei chei de sesiune) este autorizarea utilizatorului, adica acordarea drepturilor de acces la resursele definite pentru indeplinirea sarcinilor sale.
Protocoale de autentificare și schimb de chei | |
---|---|
Cu algoritmi simetrici | |
Cu algoritmi simetrici si asimetrici | |
Protocoale și servicii utilizate pe Internet |