Azonosítás és hitelesítés: alapfogalmak

2024 Szerző: Howard Calhoun | [email protected]. Utoljára módosítva: 2023-12-17 10:30

Az azonosítás és a hitelesítés a modern szoftver- és hardverbiztonsági eszközök alapja, mivel minden más szolgáltatást elsősorban ezen entitások kiszolgálására terveztek. Ezek a fogalmak egyfajta első védelmi vonalat jelentenek, amely biztosítja a szervezet információs terének biztonságát.

Mi ez?

Az azonosításnak és a hitelesítésnek különböző funkciói vannak. Az első lehetőséget ad az alanynak (a felhasználónak vagy a nevében eljáró folyamatnak) saját nevének megadására. A hitelesítés segítségével a második fél végre meggyőződik arról, hogy az alany valóban az, akinek vallja magát. Az azonosítást és a hitelesítést gyakran a "névüzenet" és a "hitelesítés" kifejezések helyettesítik szinonimaként.

Maguk is több fajtára oszthatók. Ezután megvizsgáljuk, mi az azonosítás és hitelesítés, és mik azok.

Hitelesítés

Ez a koncepció két típust biztosít: egyoldalú, amikor az ügyfélelőször bizonyítania kell a hitelességét a szervernek, és kétirányú, azaz kölcsönös megerősítéskor. A szabványos felhasználói azonosítás és hitelesítés szabványos példája egy adott rendszerbe való bejelentkezés eljárása. Így a különböző objektumokban különböző típusok használhatók.

Olyan hálózati környezetben, ahol a felhasználó azonosítása és hitelesítése földrajzilag szétszórt oldalon történik, a szóban forgó szolgáltatás két fő szempontból különbözik:

• mely hitelesítőként működik;
• hogyan szervezték meg pontosan a hitelesítési és azonosítási adatok cseréjét, és hogyan védik azt.

A személyazonossága bizonyításához az alanynak be kell mutatnia a következő entitások egyikét:

• bizonyos információ, amelyet ismer (személyi szám, jelszó, speciális kriptográfiai kulcs stb.);
• bizonyos dolog, amit birtokol (személyi kártya vagy más hasonló célú eszköz);
• egy bizonyos dolog, amely önmagában is eleme (ujjlenyomatok, hang és egyéb biometrikus eszközök a felhasználók azonosítására és hitelesítésére).

Rendszerszolgáltatások

Nyílt hálózati környezetben a felek nem rendelkeznek megbízható útvonallal, ami azt jelenti, hogy általában az alany által továbbított információ végül nem egyezik a kapott és felhasznált információvalhitelesítéskor. Biztosítani kell a hálózat aktív és passzív hallgatásának biztonságát, azaz védelmet a különféle adatok javításával, elfogásával vagy lejátszásával szemben. A jelszavak egyszerű szöveges továbbításának lehetősége nem kielégítő, és a jelszavas titkosítás sem mentheti meg a helyzetet, mivel nem nyújt védelmet a sokszorosítás ellen. Ezért manapság bonyolultabb hitelesítési protokollokat használnak.

A megbízható azonosítás nemcsak a különféle online fenyegetések miatt nehéz, hanem számos egyéb ok miatt is. Először is, szinte minden hitelesítési entitás ellopható, hamisítható vagy kikövetkeztethető. Bizonyos ellentmondás is van egyrészt a használt rendszer megbízhatósága, másrészt a rendszergazda vagy felhasználó kényelme között. Így biztonsági okokból bizonyos gyakorisággal meg kell kérni a felhasználót, hogy adja meg újra a hitelesítési adatait (hiszen lehet, hogy már más ül a helyén), és ez nem csak további problémákat okoz, hanem jelentősen megnöveli a hitelesítési adatait. annak esélye, hogy valaki kémkedni tud az adatok bevitele után. Többek között a védőfelszerelés megbízhatósága jelentősen befolyásolja annak költségét.

A modern azonosítási és hitelesítési rendszerek támogatják a hálózatba való egyszeri bejelentkezés koncepcióját, amely elsősorban a felhasználói kényelem tekintetében teszi lehetővé a követelmények teljesítését. Ha egy szabványos vállalati hálózat számos információs szolgáltatást tartalmaz,biztosítva a független kezelés lehetőségét, akkor a személyes adatok ismételt bevezetése túlságosan megterhelővé válik. Jelenleg még nem mondható, hogy az egyszeri bejelentkezés használata normálisnak számít, hiszen a domináns megoldások még nem alakultak ki.

Így sokan próbálnak kompromisszumot találni az azonosítást/hitelesítést biztosító eszközök megfizethetősége, kényelme és megbízhatósága között. A felhasználók engedélyezése ebben az esetben egyedi szabályok szerint történik.

Különös figyelmet kell fordítani arra, hogy az igénybe vett szolgáltatás kiválasztható legyen elérhetőségi támadás tárgyaként. Ha a rendszer úgy van beállítva, hogy bizonyos számú sikertelen próbálkozás után a belépési lehetőség blokkolva van, akkor ebben az esetben a támadók néhány billentyűleütéssel leállíthatják a legális felhasználók munkáját.

Jelszó hitelesítés

Egy ilyen rendszer fő előnye, hogy rendkívül egyszerű és a legtöbb számára ismerős. A jelszavakat az operációs rendszerek és más szolgáltatások régóta használják, és helyes használat esetén a legtöbb szervezet számára elfogadható biztonsági szintet nyújtanak. Másrészt a jellemzők összességét tekintve az ilyen rendszerek jelentik a leggyengébb eszközt az azonosítás/hitelesítés végrehajtására. Az engedélyezés ebben az esetben meglehetősen egyszerűvé válik, mivel a jelszavaknak kell lenniükemlékezetes, de ugyanakkor egyszerű kombinációkat nem nehéz kitalálni, különösen, ha egy személy ismeri egy adott felhasználó preferenciáit.

Néha megesik, hogy a jelszavakat elvileg nem tartják titokban, mivel bizonyos dokumentációkban meglehetősen szabványos értékek vannak megadva, és nem mindig a rendszer telepítése után változtatják meg őket.

A jelszó megadásakor láthatja, sőt bizonyos esetekben az emberek speciális optikai eszközöket is használnak.

A felhasználók, az azonosítás és hitelesítés fő alanyai, gyakran megoszthatják jelszavaikat kollégáikkal, hogy egy bizonyos időre tulajdonost váltsanak. Elméletileg ilyen helyzetekben az lenne a legjobb, ha speciális hozzáférés-szabályozást alkalmaznának, de a gyakorlatban ezt nem használja senki. És ha ketten tudják a jelszót, az nagyban növeli annak esélyét, hogy végül mások is értesüljenek róla.

Hogyan lehet ezt kijavítani?

Többféle eszköz létezik az azonosítás és a hitelesítés biztosítására. Az információfeldolgozó komponens a következőképpen tudja magát biztonságba helyezni:

• Különböző technikai korlátozások bevezetése. Leggyakrabban szabályokat adnak meg a jelszó hosszára, valamint bizonyos karakterek tartalmára.
• A jelszavak lejártának kezelése, vagyis az időszakos változtatás szükségessége.
• A fő jelszófájlhoz való hozzáférés korlátozása.
• A bejelentkezéskor elérhető sikertelen próbálkozások számának korlátozásával. KöszönetEbben az esetben a támadók csak az azonosítás és hitelesítés előtt hajthatnak végre műveleteket, mivel a brute-force módszer nem használható.
• A felhasználók előképzése.
• Speciális jelszógenerátor szoftver használatával, amely lehetővé teszi olyan kombinációk létrehozását, amelyek kellően kellemes és emlékezetesek.

Ezek az intézkedések minden esetben használhatók, még akkor is, ha a jelszavakkal együtt más hitelesítési módot is használnak.

Egyszeri jelszavak

A fent tárgy alt lehetőségek újra felhasználhatók, és ha a kombináció kiderül, a támadó lehetőséget kap bizonyos műveletek végrehajtására a felhasználó nevében. Éppen ezért az egyszeri jelszavakat erősebb eszközként használják, ellenállnak a passzív hálózati meghallgatás lehetőségének, aminek köszönhetően az azonosítási és hitelesítési rendszer sokkal biztonságosabb, bár nem olyan kényelmes.

Jelenleg az egyik legnépszerűbb szoftver egyszeri jelszógenerátor az S/KEY nevű rendszer, amelyet a Bellcore adott ki. Ennek a rendszernek az alapkoncepciója, hogy van egy bizonyos F funkció, amelyet a felhasználó és a hitelesítési szerver egyaránt ismer. A következő a K titkos kulcs, amelyet csak egy bizonyos felhasználó ismer.

A felhasználó kezdeti adminisztrációja során ezt a funkciót a gombhoz használjákbizonyos számú alkalommal, majd az eredmény mentésre kerül a szerverre. A jövőben a hitelesítési eljárás így fog kinézni:

1. Egy szám érkezik a felhasználói rendszerhez a szerverről, ami 1-gyel kevesebb, mint ahányszor a funkciót a billentyűhöz használják.
2. A felhasználó annyiszor használja a funkciót az elérhető titkos kulcshoz, ahányszor az első bekezdésben beállította, majd az eredményt a hálózaton keresztül közvetlenül a hitelesítési szerverre küldi.
3. A szerver a kapott értékhez használja ezt a funkciót, majd az eredményt összehasonlítja a korábban elmentett értékkel. Ha az eredmények megegyeznek, akkor a felhasználó hitelesítése megtörténik, és a szerver elmenti az új értéket, majd eggyel csökkenti a számlálót.

A gyakorlatban ennek a technológiának a megvalósítása kicsit bonyolultabb felépítésű, de jelenleg ez nem annyira fontos. Mivel a funkció visszafordíthatatlan, még akkor sem, ha a jelszót elkapják vagy jogosulatlan hozzáférést kapnak a hitelesítési szerverhez, nem teszi lehetővé a titkos kulcs megszerzését, és semmilyen módon nem jelzi előre, hogy a következő egyszeri jelszó konkrétan hogyan fog kinézni.

Oroszországban egy speciális állami portált használnak egységes szolgáltatásként – az "Egységes azonosítási/hitelesítési rendszert" ("ESIA").

Az erős hitelesítési rendszer másik megközelítése az, hogy rövid időközönként új jelszót generálnak, amelyet szinténspeciális programok vagy különféle intelligens kártyák használata. Ebben az esetben a hitelesítési szervernek el kell fogadnia a megfelelő jelszógeneráló algoritmust, valamint bizonyos, hozzá tartozó paramétereket, ezen felül a szerver és a kliens óra szinkronizálására is szükség van.

Kerberos

A Kerberos hitelesítő szerver először a múlt század 90-es éveinek közepén jelent meg, de azóta már rengeteg alapvető változáson ment keresztül. Jelenleg ennek a rendszernek az egyes összetevői szinte minden modern operációs rendszerben megtalálhatók.

A szolgáltatás fő célja a következő probléma megoldása: van egy bizonyos védelem nélküli hálózat, melynek csomópontjaiban különböző alanyok koncentrálódnak felhasználók, valamint szerver és kliens szoftverrendszerek formájában. Minden ilyen alanynak egyedi titkos kulcsa van, és ahhoz, hogy a C alanynak lehetősége legyen bizonyítani a saját hitelességét az S alanynak, amely nélkül egyszerűen nem szolgálja ki, nemcsak meg kell neveznie magát, hanem megmutatni, hogy ismer egy bizonyos A titkos kulcsot. Ugyanakkor C-nek nincs lehetősége egyszerűen elküldeni titkos kulcsát S-nek, mivel először is a hálózat nyitva van, és ezen kívül S nem tudja, és elvileg nem is kellene tudnia. Ilyen helyzetben egy kevésbé egyszerű technikát alkalmaznak az információ ismeretének bemutatására.

A Kerberos rendszeren keresztüli elektronikus azonosítás/hitelesítés biztosítjamegbízható harmadik félként használja, aki információval rendelkezik a kiszolgált objektumok titkos kulcsairól, és ha szükséges, segíti őket a páros hitelesítés végrehajtásában.

Így az ügyfél először egy kérést küld a rendszernek, amely tartalmazza a szükséges információkat róla, valamint az igényelt szolgáltatásról. Ezt követően a Kerberos egyfajta jegyet ad neki, ami a szerver titkos kulcsával van titkosítva, valamint az abból származó adatok egy részének másolatát, amit a kliens kulcsával titkosítanak. Egyezés esetén megállapítható, hogy a kliens visszafejtette a neki szánt információt, vagyis bizonyítani tudta, hogy valóban ismeri a titkos kulcsot. Ez arra utal, hogy az ügyfél pontosan az, akinek állítja magát.

Különös figyelmet kell fordítani arra, hogy a titkos kulcsok átvitele nem a hálózaton keresztül történt, és azokat kizárólag titkosításra használták.

Biometrikus hitelesítés

A biometria az emberek viselkedési vagy fiziológiai jellemzői alapján történő azonosítására/hitelesítésére szolgáló automatizált eszközök kombinációját foglalja magában. A hitelesítés és azonosítás fizikai eszközei közé tartozik a szem retinájának és szaruhártyájának, ujjlenyomatainak, arc- és kézgeometriájának, valamint egyéb személyes adatoknak az ellenőrzése. A viselkedési jellemzők közé tartozik a billentyűzettel végzett munka stílusa és az aláírás dinamikája. KombináltA módszerek egy személy hangjának különféle jellemzőinek elemzését, valamint beszédének felismerését jelentik.

Az ilyen azonosítási/hitelesítési és titkosítási rendszereket a világ számos országában széles körben alkalmazzák, de hosszú ideig rendkívül drágák és nehezen használhatók voltak. Az utóbbi időben az e-kereskedelem fejlődésének köszönhetően jelentősen megnőtt a kereslet a biometrikus termékek iránt, hiszen a felhasználó szemszögéből sokkal kényelmesebb bemutatni magát, mint megjegyezni bizonyos információkat. Ennek megfelelően a kereslet kínálatot teremt, így viszonylag olcsó termékek kezdtek megjelenni a piacon, amelyek elsősorban az ujjlenyomat-felismerésre koncentrálnak.

Az esetek túlnyomó többségében a biometrikus adatokat más hitelesítőkkel, például intelligens kártyákkal együtt használják. A biometrikus hitelesítés gyakran csak az első védelmi vonal, és a különféle titkosítási titkokat tartalmazó intelligens kártyák aktiválásának eszközeként működik. Ennek a technológiának a használatakor a biometrikus sablon ugyanazon a kártyán tárolódik.

A biometrikus adatok területén meglehetősen magas az aktivitás. Már létezik megfelelő konzorcium, és meglehetősen aktívan folyik a munka a technológia különböző aspektusainak szabványosítására. Manapság sok olyan reklámcikket láthatunk, amelyekben a biometrikus technológiákat a biztonság növelésének ideális eszközeként mutatják be, ugyanakkor elérhetőek a nagyközönség számára.a tömegek.

ESIA

Az Azonosítási és Hitelesítési Rendszer (ESIA) egy speciális szolgáltatás, amely a kérelmezők és a tárcaközi interakcióban résztvevők személyazonosságának igazolásával kapcsolatos különféle feladatok végrehajtásának biztosítására jött létre a hivatalok közötti kapcsolattartás esetén. bármely önkormányzati vagy állami szolgáltatás elektronikus formában.

Ahhoz, hogy hozzáférjen a "Kormányhivatalok Egységes Portáljához", valamint a jelenlegi e-kormányzat infrastruktúrájának bármely egyéb információs rendszeréhez, először fiókot kell regisztrálnia, és ennek eredményeként, PES-t kap.

Szintek

Az egységes azonosítási és hitelesítési rendszer portálja három fő fiókszintet biztosít magánszemélyek számára:

• Egyszerűsített. A regisztrációhoz csak vezeték- és utónevét, valamint valamilyen konkrét kommunikációs csatornát kell megadnia e-mail cím vagy mobiltelefon formájában. Ez az elsődleges szint, amelyen keresztül egy személy csak a különféle közszolgáltatások korlátozott listájához férhet hozzá, valamint a meglévő információs rendszerek képességeihez.
• Szabvány. Ennek megszerzéséhez először egy egyszerűsített számla kiállítása szükséges, majd további adatok megadása, beleértve az útlevél adatait és a biztosítási egyéni számla számát. A megadott információkat az információs rendszerek automatikusan ellenőrzikNyugdíjpénztár, valamint a Szövetségi Migrációs Szolgálat, és ha az ellenőrzés sikeres, a számla átkerül a normál szintre, ami a közszolgáltatások kiterjesztett listáját nyitja meg a felhasználó számára.
• Megerősítve. Az ilyen szintű számla megszerzéséhez az egységes azonosítási és hitelesítési rendszer szabványos fiókkal, valamint személyazonosság-ellenőrzéssel rendelkezik, amely személyes felkereséssel egy felhatalmazott szervizben, vagy ajánlott levélben történő aktiválási kód megszerzésével történik. Abban az esetben, ha a személyazonosság ellenőrzése sikeres, a fiók új szintre kerül, és a felhasználó hozzáférhet a szükséges kormányzati szolgáltatások teljes listájához.

Annak ellenére, hogy az eljárások meglehetősen bonyolultnak tűnhetnek, valójában a szükséges adatok teljes listáját közvetlenül a hivatalos weboldalon ismerheti meg, így a teljes regisztráció néhány napon belül lehetséges.