Todennus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 8.9.2022 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .

Todennus ( englanninkielinen  autentikointikreikka αὐθεντικός [authentikos] "todellinen, autenttinen" ← αὐτός [autos] "itse; hän on kaikkein") on todennusmenettely, esimerkiksi:

Venäjällä termiä käytetään pääasiassa tietotekniikan alalla .

Kun otetaan huomioon järjestelmien luotettavuus ja turvallisuuspolitiikka, tarjottu todennus voi olla yksisuuntainen tai molemminpuolinen . Yleensä se suoritetaan kryptografisilla menetelmillä.

Todennusta ei pidä sekoittaa valtuutukseen (menettely tiettyjen oikeuksien myöntämiseksi kohteelle) ja tunnistamiseen (menettely kohteen tunnistamiseksi sen tunnisteen perusteella ).

Historia

Muinaisista ajoista lähtien ihmiset ovat kohdanneet melko vaikean tehtävän - varmistaa tärkeiden viestien aitous. Puhesalasanat, monimutkaiset sinetit keksittiin. Mekaanisia laitteita käyttävien todennusmenetelmien ilmaantuminen yksinkertaisti tehtävää huomattavasti, esimerkiksi perinteinen lukko ja avain keksittiin kauan sitten. Esimerkki todennusjärjestelmästä on vanhassa sadussa "Ali Baban ja neljänkymmenen varkaan seikkailut" . Tämä tarina kertoo luolaan piilotetuista aarteista. Luola oli tukkiutunut kivillä. Se voidaan työntää takaisin vain ainutlaatuisella puhesalasanalla : " Sim -Sim , auki !".

Nykyään verkkoteknologioiden laajan kehityksen ansiosta automaattista todennusta käytetään kaikkialla.

Standardit

Todennusstandardit määrittävät asiakirjat

GOST R ISO/IEC 9594-8-98 - Todennuksen perusteet

Tämä standardi:

  • määrittää hakemiston tallentaman todennusinformaation muodon;
  • kuvaa menetelmän todennusinformaation saamiseksi hakemistosta;
  • asettaa edellytykset autentikointitietojen muodostus- ja sijoittamismenetelmille hakemistoon;
  • määrittelee kolme tapaa, joilla sovellusohjelmat voivat käyttää tällaisia ​​todennustietoja todennuksen suorittamiseen, ja kuvailee, kuinka muita suojauspalveluita voidaan tarjota todennuksella.

Tämä kansainvälinen standardi määrittelee kaksi todennustyyppiä: yksinkertainen, jossa käytetään salasanaa väitetyn henkilöllisyyden varmentamiseen, ja vahva, jossa käytetään salaustekniikoilla luotuja tunnisteita.

FIPS 113 - Tietokoneen tietojen todennus

Tämä standardi määrittelee Data Authentication Algorithm (DAA) -algoritmin, jota voidaan käyttää tietojen luvattomien, sekä tahallisten että tahallisten, muutosten havaitsemiseen perustuen Data Encryption Standard (DES) Federal Information Processing Standards -julkaisussa (FIPS PUB) 46 määriteltyyn algoritmiin, ja se on yhteensopiva sekä Department of Treasury's Electronic Funds and Security Transfer Policyn että American National Standards Instituten (ANSI) ja Standard for Financial Institution Message Authentication -standardin kanssa.

Tätä standardia käytetään siirrettyjen tietojen eheyden ohjaamiseen kryptografisen autentikoinnin avulla.

Todennusjärjestelmän elementit

Missä tahansa todennusjärjestelmässä voidaan yleensä erottaa useita elementtejä:

  • tutkittava, jolle menettely suoritetaan
  • aiheelle ominaista - erottuva piirre
  • tunnistusjärjestelmän omistaja, joka on vastuussa ja valvoo sen toimintaa
  • itse todennusmekanismi , eli järjestelmän toimintaperiaate
  • pääsynhallintamekanismi, joka myöntää kohteelle tietyt käyttöoikeudet
Todennuselementti 40 varkaan luola Rekisteröityminen järjestelmään Pankkiautomaatti
Aihe Henkilö, joka tietää salasanan Valtuutettu käyttäjä Pankkikortin haltija
Ominaista Salasana " Sim-Sim , avaa !" Salainen salasana Pankkikortti ja henkilötunnus
Järjestelmän omistaja 40 ryöstäjää Järjestelmän omistava yritys Pankki
Todennusmekanismi Taikalaite, joka reagoi sanoihin Salasanan tarkistusohjelmisto Ohjelmisto, joka tarkistaa kortin ja henkilötunnuksen
Kulunvalvontamekanismi Mekanismi, joka siirtää kiven pois luolan sisäänkäynnistä Rekisteröintiprosessi, kulunvalvonta Lupa pankkitoiminnan harjoittamiseen

Todennustekijät

Jo ennen tietokoneiden tuloa käytettiin kohteen erilaisia ​​​​erityisiä piirteitä, sen ominaisuuksia. Nyt yhden tai toisen ominaisuuden käyttö järjestelmässä riippuu vaaditusta luotettavuudesta, turvallisuudesta ja toteutuskustannuksista. Todennustekijöitä on kolme:

  • Jotain, jonka tiedämme, kuten salaisia ​​tietoja . Tämä on salaisia ​​tietoja, jotka vain valtuutetulla henkilöllä tulisi olla. Salaisuus voi olla lause tai salasana, kuten sanallinen viesti, tekstiesitys, lukon yhdistelmä tai henkilökohtainen tunnusnumero ( PIN ). Salasanamekanismi voidaan toteuttaa melko helposti ja sen kustannukset ovat alhaiset. Mutta sillä on merkittäviä haittoja: salasanan salassa pitäminen on usein vaikeaa, hyökkääjät keksivät jatkuvasti uusia tapoja varastaa, murtaa ja arvata salasana (katso rosvo kryptoanalyysi , brute force method ). Tämä tekee salasanamekanismista heikosti suojatun.
  • Jotain, mitä meillä on, kuten jokin ainutlaatuinen fyysinen esine . Tässä on tärkeä seikka, että tutkittavalla on hallussaan jokin ainutlaatuinen esine. Se voi olla henkilökohtainen sinetti, lukon avain , tietokoneelle se on tiedosto, joka sisältää ominaisuuden. Ominaisuus on usein rakennettu tiettyyn todennuslaitteeseen, kuten muovikorttiin , älykorttiin . Hyökkääjän on vaikeampaa saada käsiinsä tällainen laite kuin murtaa salasana, ja kohde voi välittömästi ilmoittaa, jos laite varastetaan. Tämä tekee tästä menetelmästä turvallisemman kuin salasanamekanismi, mutta tällaisen järjestelmän hinta on korkeampi.
  • Jotain, mikä on olennainen osa itseämme – biometriset tiedot . Ominaisuus on kohteen fyysinen ominaisuus. Se voi olla muotokuva, sormenjälki tai kämmenenjälki , ääni tai silmän piirre . Kohteen näkökulmasta tämä menetelmä on yksinkertaisin: sinun ei tarvitse muistaa salasanaa tai kuljettaa todennuslaitetta mukanasi. Biometrisen järjestelmän on kuitenkin oltava erittäin herkkä, jotta se voi vahvistaa valtuutetun käyttäjän, mutta hylätä hyökkääjän, jolla on samanlaiset biometriset parametrit. Lisäksi tällaisen järjestelmän kustannukset ovat melko korkeat. Mutta puutteistaan ​​​​huolimatta biometriset tiedot ovat edelleen varsin lupaava tekijä.

Todennusmenetelmät

Todennus sähköisellä allekirjoituksella

Liittovaltion laki nro 63-FZ, 6. huhtikuuta 2011 "Sähköisestä allekirjoituksesta" (sellaisena kuin se on muutettuna) sisältää seuraavat sähköisen allekirjoituksen tyypit:

  • Yksinkertainen sähköinen allekirjoitus  on sähköinen allekirjoitus, joka koodien, salasanojen tai muiden keinojen avulla vahvistaa sen tosiasian, että tietty henkilö on muodostanut sähköisen allekirjoituksen.
  • Kvalifioimaton sähköinen allekirjoitus  on sähköinen allekirjoitus, joka:
  1. saatu tiedon kryptografisen muuntamisen tuloksena käyttämällä sähköistä allekirjoitusavainta;
  2. mahdollistaa sähköisen asiakirjan allekirjoittajan tunnistamisen;
  3. mahdollistaa muutosten tekemisen sähköiseen asiakirjaan sen allekirjoittamisen jälkeen;
  4. luotu sähköisen allekirjoituksen työkaluilla.
  • Hyväksytty sähköinen allekirjoitus  on sähköinen allekirjoitus, joka täyttää kaikki hyväksymättömän sähköisen allekirjoituksen ominaisuudet ja seuraavat lisäominaisuudet:
  1. sähköisen allekirjoituksen varmistusavain on määritelty hyväksytyssä varmenteessa ;
  2. sähköisen allekirjoituksen luomiseen ja tarkistamiseen käytetään sähköisen allekirjoituksen työkaluja, jotka ovat saaneet vahvistuksen tämän liittovaltion lain mukaisten vaatimusten noudattamisesta.

Salasanan todennus

  • Uudelleenkäytettävä salasanatodennus
  • Kerran salasanan todennus
Uudelleenkäytettävä salasanatodennus

Yksi tapa todentaa tietokonejärjestelmässä on syöttää käyttäjätunnuksesi, jota puhekielessä kutsutaan nimellä " login " ( englanniksi  login  - käyttäjätunnus, tili), ja salasana  - joitain luottamuksellisia tietoja. Kelvollinen (viite) kirjautumissalasana-pari on tallennettu erityiseen tietokantaan.

Yksinkertaisella todennuksella on seuraava yleinen algoritmi :

  1. Kohde pyytää pääsyä järjestelmään ja syöttää henkilökohtaisen tunnuksen ja salasanan.
  2. Annetut yksilölliset tiedot lähetetään todennuspalvelimelle, jossa niitä verrataan viitetietoihin.
  3. Jos tiedot vastaavat viitetodennusta, katsotaan onnistuneeksi, jos ero on, kohde siirtyy 1. vaiheeseen

Kohteen kirjoittama salasana voidaan välittää verkon yli kahdella tavalla:

  • Salaamaton, selkeästi, perustuu Password Authentication Protocol (PAP) -protokollaan
  • SSL- tai TLS- salauksen käyttäminen . Tässä tapauksessa kohteen syöttämät yksilölliset tiedot välitetään turvallisesti verkon yli.
Turvallisuus

Parhaan turvallisuuden kannalta salasanojen tallentamisessa ja lähettämisessä tulisi käyttää yksisuuntaisia ​​toimintoja . Tyypillisesti näihin tarkoituksiin käytetään kryptografisesti vahvoja hash-funktioita . Tässä tapauksessa vain salasanan kuva tallennetaan palvelimelle. Saatuaan salasanan ja suorittanut sen hash-muunnoksen , järjestelmä vertaa tulosta siihen tallennettuun viitekuvaan. Jos ne ovat identtisiä, salasanat ovat samat. Hyökkääjälle, joka on päässyt kuvaan, on lähes mahdotonta laskea itse salasana.

Uudelleenkäytettävien salasanojen käytöllä on useita merkittäviä haittoja. Ensinnäkin itse pääsalasana tai sen hajautettu kuva tallennetaan todennuspalvelimelle. Usein salasana tallennetaan ilman salausmuunnoksia järjestelmätiedostoihin. Saatuaan pääsyn niihin, hyökkääjä pääsee helposti luottamuksellisiin tietoihin. Toiseksi kohteen on pakko muistaa (tai kirjoittaa muistiin) uudelleenkäytettävä salasana. Hyökkääjä voi saada sen yksinkertaisesti soveltamalla sosiaalisen suunnittelun taitoja ilman teknisiä keinoja. Lisäksi järjestelmän turvallisuus heikkenee huomattavasti, jos tutkittava valitsee oman salasanansa. Usein se osoittautuu sanakirjassa olevaksi sanaksi tai sanayhdistelmäksi. GOST 28147-89 : ssä avaimen pituus on 256 bittiä (32 tavua). Käytettäessä pseudosatunnaislukugeneraattoria avaimella on hyvät tilastolliset ominaisuudet. Salasana, joka on esimerkiksi sana sanakirjasta, voidaan pienentää 16 bitin pituiseksi näennäissatunnaiseksi numeroksi, joka on 16 kertaa lyhyempi kuin GOST-avain. Riittävän ajan kuluessa hyökkääjä voi murtaa salasanan yksinkertaisella brute force -hyökkäyksellä. Ratkaisu tähän ongelmaan on käyttää satunnaisia ​​salasanoja tai rajoittaa kohteen salasanan kestoa, jonka jälkeen salasana on vaihdettava.

Tilitietokannat

Tietokoneissa, joissa on UNIX-käyttöjärjestelmä, pohjana on /etc/master.passwd-tiedosto (Linux-jakeluissa /etc/shadow-tiedosto on yleensä vain pääkäyttäjän luettavissa ), johon käyttäjien salasanat tallennetaan hash -funktioina avoimista salasanoista, lisäksi samaan tiedostoon on tallennettu tietoja käyttäjän oikeuksista. Alun perin Unix-järjestelmissä salasana (salatussa muodossa) tallennettiin /etc/passwd-tiedostoon , joka oli kaikkien käyttäjien luettavissa, mikä oli turvaton.

Tietokoneissa, joissa on Windows NT / 2000 / XP / 2003 (ei sisälly Windows-toimialueeseen ), tällaista tietokantaa kutsutaan nimellä SAM ( Security Account Manager  - Account Protection Manager). SAM-kanta tallentaa käyttäjätilit , jotka sisältävät kaikki suojausjärjestelmän toimintaan tarvittavat tiedot. Sijaitsee %windir%\system32\config\-hakemistossa.

Windows Server 2000/2003 -toimialueissa tämä tietokanta on Active Directory .

Erikoislaitteiston (komponenttien) käyttö on kuitenkin tunnustettu luotettavammaksi tapa tallentaa todennustietoja.

Jos on tarpeen varmistaa työntekijöiden työ eri tietokoneilla (turvajärjestelmän tuella), he käyttävät laitteisto- ja ohjelmistojärjestelmiä, jotka mahdollistavat todennustietojen ja salausavainten tallentamisen organisaation palvelimelle. Käyttäjät voivat työskennellä vapaasti millä tahansa tietokoneella ( työasemalla ), jolloin he voivat käyttää todennustietojaan ja salausavaimiaan.

Kertakäyttöinen salasanatodennus

Saatuaan kohteen uudelleenkäytettävän salasanan hyökkääjällä on pysyvä pääsy vaarantuneisiin luottamuksellisiin tietoihin. Tämä ongelma ratkaistaan ​​käyttämällä kertakäyttöisiä salasanoja ( OTP - One Time Password ). Tämän menetelmän ydin on, että salasana on voimassa vain yhden kirjautumisen yhteydessä, ja jokaisessa myöhemmässä pääsypyynnössä vaaditaan uusi salasana. Kertakäyttöisten salasanojen todennusmekanismi voidaan toteuttaa sekä laitteistossa että ohjelmistossa.

Kertakäyttöisten salasanojen käyttötekniikat voidaan jakaa seuraaviin:

  • Käytetään näennäissatunnaislukugeneraattoria, joka on yhteinen kohteelle ja järjestelmälle
  • Aikaleimojen käyttö yleisen aikajärjestelmän kanssa
  • Käyttämällä satunnaisten salasanojen tietokantaa, joka on sama aiheelle ja järjestelmälle

Ensimmäinen menetelmä käyttää näennäissatunnaislukugeneraattoria, jolla on sama arvo subjektille ja järjestelmälle. Aiheen luoma salasana voidaan välittää järjestelmään, kun yksisuuntaista toimintoa käytetään peräkkäin tai jokaisessa uudessa pyynnössä edellisen pyynnön yksilöllisten tietojen perusteella.

Toinen tapa käyttää aikaleimoja. Esimerkki tällaisesta tekniikasta on SecurID . Se perustuu laitteistoavainten käyttöön ja aikasynkronointiin. Todennus perustuu satunnaislukujen generointiin tietyin aikavälein. Ainutlaatuinen salainen avain tallennetaan vain järjestelmäkantaan ja kohteen laitteistoon. Kun tutkittava pyytää pääsyä järjestelmään, häntä pyydetään syöttämään PIN-koodi sekä satunnaisesti luotu numero, joka näkyy sillä hetkellä laitteistossa. Järjestelmä täsmäyttää syötetyn PIN-koodin ja kohteen salaisen avaimen tietokannastaan ​​ja muodostaa satunnaisluvun tietokannan salaisen avaimen parametrien ja nykyisen ajan perusteella. Seuraavaksi tarkistetaan luodun numeron ja kohteen syöttämän numeron identiteetti.

Kolmas menetelmä perustuu yksittäiseen kohteen ja järjestelmän salasanojen tietokantaan ja niiden väliseen erittäin tarkkaan synkronointiin. Tässä tapauksessa kutakin sarjan salasanaa voidaan käyttää vain kerran. Tästä johtuen vaikka hyökkääjä sieppaisi kohteen käyttämän salasanan, se ei ole enää voimassa.

Verrattuna uudelleenkäytettäviin salasanoihin kertakäyttöiset salasanat tarjoavat paremman suojan.

SMS-todennus

Matkaviestinnän, kuten ip-phonen, turvallisuuden varmistamisen kiireellisyys stimuloi uutta kehitystä tällä alalla. Yksi niistä on todennus tekstiviestien avulla.

Todennusprosessi sisältää seuraavat vaiheet:

  1. Käyttäjätunnuksen ja salasanan syöttäminen
  2. Välittömästi tämän jälkeen PhoneFactor ( turvapalvelu ) lähettää kertaluonteisen todennusavaimen tekstiviestinä .
  3. Saatua avainta käytetään todentamiseen

Tämän menetelmän houkuttelevuus piilee siinä, että avainta ei saada sen kanavan kautta, jonka kautta autentikointi suoritetaan (out-of-band), mikä käytännössä eliminoi " mies keskellä " -tyypin hyökkäyksen. Lisäsuojaustasoa voi tarjota mobiililaitteen PIN-koodin syöttäminen.

Tämä menetelmä on yleistynyt pankkitoiminnassa Internetin kautta.

Biometrinen todennus

Ihmisen biometristen parametrien mittaamiseen perustuvat todennusmenetelmät mahdollistavat lähes 100-prosenttisen tunnistamisen, mikä ratkaisee salasanojen ja henkilökohtaisten tunnisteiden katoamiseen liittyvät ongelmat.

Esimerkkejä näiden menetelmien toteutuksesta ovat käyttäjän tunnistusjärjestelmät, jotka perustuvat iiriksen kuvioon, kämmenjälkiin, korvien muotoihin, kapillaarisuonien infrapunakuvaan, käsialaan, hajuun, äänen sointiin ja jopa DNA:han.

Uusi suunta on biometristen ominaisuuksien käyttö älymaksukorteissa, passitunnuksissa ja matkaviestinelementeissä. Esimerkiksi kaupassa maksaessaan kortinhaltija asettaa sormensa skannerille varmistaakseen, että kortti on todella hänen.

Eniten käytetyt biometriset attribuutit ja niihin liittyvät järjestelmät
  • Sormenjäljet . Tällaiset skannerit ovat pieniä, monipuolisia ja suhteellisen edullisia. Sormenjäljen biologinen toistettavuus on 10–5  %. Tällä hetkellä lainvalvontaviranomaiset mainostavat sitä, koska sähköisiä sormenjälkiarkistoja varten on varattu suuria määrärahoja.
  • käden geometria. Asianmukaisia ​​laitteita käytetään, kun sormiskannereita on vaikea käyttää lian tai loukkaantumisen vuoksi. Käden geometrian biologinen toistettavuus on noin 2 %.
  • Silmän iiris . Näillä laitteilla on suurin tarkkuus. Teoreettinen todennäköisyys kahden iiriksen yhteensopivuuteen on 1:10 78 .
  • Kasvojen lämpökuva. Järjestelmien avulla voit tunnistaa henkilön jopa kymmenien metrien etäisyydeltä. Yhdessä tietokantahakujen kanssa tällaisia ​​järjestelmiä käytetään valtuutettujen työntekijöiden tunnistamiseen ja ulkopuolisten karsimiseen. Kuitenkin valon vaihtuessa kasvoskannereissa on suhteellisen suuri virheprosentti.
  • Kasvojen tunnistus. Tähän lähestymistapaan perustuvat järjestelmät mahdollistavat henkilön tunnistamisen tietyissä olosuhteissa enintään 3 prosentin virheellä. Menetelmästä riippuen henkilö on mahdollista tunnistaa puolen metrin etäisyydeltä useisiin kymmeniin metriin. Tämä menetelmä on kätevä, koska se mahdollistaa toteutuksen säännöllisin keinoin ( verkkokamera jne.). Kehittyneemmät menetelmät vaativat kehittyneempiä laitteita. Joillakin (ei kaikilla) menetelmillä on huijauksen haittapuoli: tunnistaminen voidaan tehdä korvaamalla oikean henkilön kasvot hänen valokuvallaan.
  • Ääni . Äänitarkistus on kätevä käytettäväksi tietoliikennesovelluksissa. Tarvittava 16-bittinen äänikortti ja kondensaattorimikrofoni maksavat alle 25 dollaria. Virheen todennäköisyys on 2-5 %. Tämä tekniikka soveltuu äänitodentamiseen puhelinviestintäkanavien kautta, se on luotettavampaa kuin henkilökohtaisen numeron taajuusvalinta. Nyt kehittyvät suuntiin ihmisen ja hänen tilansa tunnistaminen äänellä - innostunut, sairas, totuuden kertominen, ei itsessään jne.
  • Näppäimistön syöttö. Täällä esimerkiksi salasanaa syötettäessä seurataan napsautusten nopeutta ja väliä.
  • Allekirjoitus . Digitoijia käytetään käsinkirjoitetun allekirjoituksen ohjaamiseen.

Samaan aikaan biometrisellä todennuksella on useita haittoja:

  1. Biometristä mallia ei verrata käyttäjän ominaisuuksien alkukäsittelyn tulokseen, vaan siihen, mikä tuli vertailukohtaan. Matkan varrella voi tapahtua paljon asioita.
  2. Hyökkääjä voi muokata mallipohjaa.
  3. On tarpeen ottaa huomioon ero biometriikan käytön välillä valvotulla alueella, turvallisuuden valvovan silmän alla ja "kenttäolosuhteissa", kun esimerkiksi nukke voidaan tuoda skannauslaitteeseen jne. .
  4. Jotkut ihmisen biometriset tiedot muuttuvat (sekä ikääntymisen ja vammojen, palovammojen, leikkausten, sairauksien, amputaatioiden jne. seurauksena), joten mallitietokanta tarvitsee jatkuvaa ylläpitoa, mikä aiheuttaa tiettyjä ongelmia sekä käyttäjille että ylläpitäjille.
  5. Jos biometriset tietosi varastetaan tai vaarantuvat, se on yleensä elinikäinen. Epäluotettavuudesta huolimatta salasanat voidaan vaihtaa viimeisenä keinona. Sormea, silmää tai ääntä ei voi muuttaa, ainakaan nopeasti.
  6. Biometriset ominaisuudet ovat yksilöllisiä tunnisteita, mutta niitä ei voi pitää salassa.

Todennus maantieteellisen sijainnin kautta

  • GPS-todennus
  • Internet-sijaintiin perustuva todennus
GPS-todennus

Todennuksen uusin trendi on todistaa etäkäyttäjän aitous sijainnin perusteella. Tämä puolustusmekanismi perustuu avaruusnavigointijärjestelmän, kuten GPS :n ( Global Positioning System ) käyttöön.

Käyttäjä, jolla on GPS-laite, lähettää toistuvasti tiettyjen satelliittien koordinaatit, jotka ovat näköetäisyydellä. Autentikointialijärjestelmä, joka tietää satelliittien kiertoradat, voi määrittää käyttäjän sijainnin jopa metrin tarkkuudella. Todennuksen korkean luotettavuuden määrää se, että satelliittien kiertoradat ovat alttiina vaihteluille, joita on vaikea ennustaa. Lisäksi koordinaatit muuttuvat jatkuvasti, mikä sulkee pois mahdollisuuden niiden sieppaamiseen.

Järjestelmän hakkeroinnin monimutkaisuus piilee siinä, että laitteisto lähettää digitoidun satelliittisignaalin ilman laskelmia. Kaikki sijaintilaskelmat suoritetaan todennuspalvelimella.

GPS-laitteet ovat yksinkertaisia ​​ja luotettavia käyttää ja suhteellisen edullisia. Tämä mahdollistaa sen käytön tapauksissa, joissa valtuutetun etäkäyttäjän on oltava oikeassa paikassa.

Internet-sijaintiin perustuva todennus

Tämä mekanismi perustuu tietojen käyttöön palvelimien, langattomien tukiasemien sijainnista, joiden kautta Internet-yhteys muodostetaan.

Hakkeroinnin suhteellinen helppous piilee siinä, että sijaintitietoja voidaan muuttaa niin kutsuttujen välityspalvelinten tai anonyymien pääsyjärjestelmien avulla.

Monivaiheinen todennus

Viime aikoina niin kutsuttua laajennettua tai monitekijätodennusta on käytetty yhä enemmän. Se on rakennettu useiden todennustekijöiden jakamiseen. Tämä lisää huomattavasti järjestelmän turvallisuutta.

Esimerkkinä on SIM-korttien käyttö matkapuhelimissa . Koehenkilö asettaa laitteistokorttinsa (todennuslaitteensa) puhelimeen ja, kun se kytketään päälle, syöttää PIN-koodinsa (salasanansa).

Myös esimerkiksi joissakin nykyaikaisissa kannettavissa tietokoneissa on sormenjälkitunnistin . Siten sisäänkirjautumisen yhteydessä kohteen on käytävä läpi tämä menettely ( biometriset tiedot ) ja syötettävä sitten salasana .

Järjestelmälle yhtä tai toista todennustekijää tai -menetelmää valittaessa on ensinnäkin noudatettava vaadittua turvallisuustasoa, järjestelmän rakentamiskustannuksia ja tutkittavan liikkuvuuden varmistamista.

Tässä vertailutaulukko:

Riskin taso Laitteistovaatimukset Todennustekniikka Sovellusesimerkkejä
Lyhyt Järjestelmään pääsy edellyttää todennusta, eikä varkaus, hakkerointi tai luottamuksellisten tietojen paljastaminen aiheuta merkittäviä seurauksia Suositeltu vähimmäisvaatimus on uudelleenkäytettävien salasanojen käyttö Rekisteröityminen Internet-portaalissa
Keskiverto Järjestelmään pääsy edellyttää todennusta, ja varkaus, hakkerointi ja luottamuksellisten tietojen paljastaminen aiheuttavat vain vähän vahinkoa Suositeltu vähimmäisvaatimus on kertakäyttöisten salasanojen käyttö Pankkitoiminnan kohteen suorituskyky
Korkea Järjestelmään pääsy edellyttää todennusta, ja varkaus, hakkerointi ja luottamuksellisten tietojen paljastaminen aiheuttavat merkittäviä vahinkoja Suositeltu vähimmäisvaatimus on monitekijätodennuksen käyttö Suurten pankkien välisten liiketoimien suorittaminen johtohenkilöstön toimesta

Todennusprotokollat

Todennusmenettelyä käytetään tietojen vaihdossa tietokoneiden välillä, kun taas erittäin monimutkaisia ​​salausprotokollia käytetään suojaamaan viestintälinjaa salakuuntelulta tai yhden vuorovaikutuksen osallistujan korvaamiselta. Ja koska todennus on yleensä tarpeen molemmille objekteille, jotka muodostavat verkkovuorovaikutuksen, todennus voi olla molemminpuolista.

Siten voidaan erottaa useita todennusperheitä:

Käyttäjän todennus PC:llä:

  • Salattu nimi (kirjautuminen)
  • Password Authentication Protocol , PAP (kirjautumissalasanan sitominen)
  • Pääsykortti (USB varmenteella, SSO)
  • Biometriset tiedot (ääni, sormenjälki/kämmen/iiris)

Verkkotodennus:

Windows NT 4 -perheen käyttöjärjestelmät käyttävät NTLM ( NT LAN Manager) -protokollaa. Ja Windows 2000/2003 -toimialueissa käytetään paljon edistyneempää Kerberos -protokollaa .

Internet-todennus

Todennus vaaditaan käytettäessä palveluita, kuten:

Autentikoinnin positiivinen tulos (luottamussuhteiden muodostamista ja istuntoavaimen generointia lukuun ottamatta) on käyttäjän valtuutus , eli käyttöoikeuksien myöntäminen hänen tehtäviensä suorittamista varten määriteltyihin resursseihin.

Katso myös

Kirjallisuus

  • Richard E. Smith. Todennus : salasanoista julkisten avainten ensimmäiseen painokseen. - M .: Williams, 2002. - S.  432 . — ISBN 0-201-61599-1 .
  • alla. toimittanut A.A. Shelupanova, S.L. Gruzdeva, Yu.S. Nakhaev. Todennus. Tietoresurssien käytön teoria ja käytäntö. = todennus. Teoria ja käytäntö tietoresurssien saatavuuden varmistamisesta. - M . : Hotline - Telecom, 2009. - P. 552. - ISBN 978-5-9912-0110-0 .
  • Schneier B. Sovellettu kryptografia. Protokollat, algoritmit, lähdekoodi C-kielellä = Applied Cryptography. Protokollat, algoritmit ja lähdekoodi julkaisussa C. - M. : Triumph, 2002. - 816 s. - 3000 kappaletta.  - ISBN 5-89392-055-4 .
  • Linn J. Yhteinen todennusteknologian yleiskatsaus,.
  • Bellovin S. ja M. Merritt. Kerberos-todennusjärjestelmän rajoitukset.
  • Kaufman, C. Distributed Authentication Security Service (DASS).
  • Anderson, B.,. TACACS User Identification Telnet -vaihtoehto. - Joulukuu 1984.
  • Tardo J. ja K. Alagappan. SPX: Maailmanlaajuinen todennus käyttäen julkisen avaimen varmenteita. - M. Kalifornia, 1991. - S. s. 232-244.
  • A.A. Gladkikh, V.E. Dementiev. Tietokoneverkkojen tietoturvan perusperiaatteet - Uljanovsk: UlGTU, 2009. - S. 156.

Linkit

 Todennus- ja avaintenvaihtoprotokollat
Symmetrisillä algoritmeilla
Symmetrisillä ja
epäsymmetrisillä algoritmeilla
Internetissä käytetyt protokollat ​​ja palvelut