Autentisering ( engelsk autentisering ← grekiska αὐθεντικός [authentikos] "riktig, autentisk" ← αὐτός [autos] "själv; han är den mest") är en autentiseringsprocedur, till exempel:
På ryska används termen främst inom området informationsteknologi .
Med tanke på graden av förtroende och säkerhetspolicy för systemen kan den tillhandahållna autentiseringen vara enkelriktad eller ömsesidig . Vanligtvis utförs det med kryptografiska metoder.
Autentisering ska inte förväxlas med auktorisation (förfarandet för att bevilja vissa rättigheter till en subjekt) och identifiering (förfarandet för att känna igen en subjekt med dess identifierare ).
Sedan antiken har människor ställts inför en ganska svår uppgift - att verifiera äktheten av viktiga meddelanden. Tallösenord, komplexa sigill uppfanns. Framväxten av autentiseringsmetoder med hjälp av mekaniska enheter förenklade uppgiften avsevärt, till exempel uppfanns ett konventionellt lås och nyckel för länge sedan. Ett exempel på ett autentiseringssystem kan ses i den gamla sagan "Ali Babas äventyr och de fyrtio tjuvarna" . Denna berättelse berättar om skatter gömda i en grotta. Grottan blockerades av en sten. Det kunde bara tryckas tillbaka med ett unikt tallösenord : " Sim-Sim , öppna !".
Nuförtiden, på grund av den omfattande utvecklingen av nätverksteknologier, används automatisk autentisering överallt.
Dokument som definierar autentiseringsstandarder
GOST R ISO/IEC 9594-8-98 - Grunderna för autentiseringDenna standard:
Denna internationella standard specificerar två typer av autentisering: enkel, med ett lösenord som verifiering av en påstådd identitet, och stark, med identiteter skapade med kryptografiska tekniker.
FIPS 113 - DatordataautentiseringDenna standard specificerar en Data Authentication Algorithm (DAA) som kan användas för att upptäcka obehöriga ändringar av data, både avsiktliga och oavsiktliga, baserat på den algoritm som specificeras i Data Encryption Standard (DES) Federal Information Processing Standards Publication (FIPS PUB) 46 , och är kompatibel med både finansdepartementets policy för elektroniska medel och säkerhetsöverföringar och American National Standards Institute (ANSI) och Standard for Financial Institution Message Authentication.
Denna standard används för att kontrollera integriteten hos överförd information med hjälp av kryptografisk autentisering.
I alla autentiseringssystem kan flera element vanligtvis särskiljas:
Autentiseringselement | De 40 tjuvarnas grotta | Registrering i systemet | bankomat |
---|---|---|---|
Ämne | Personen som känner till lösenordet | Auktoriserad användare | Bankkortsinnehavare |
Karakteristisk | Lösenord " Sim-Sim , öppna !" | Hemligt lösenord | Bankkort och personlig identifiering |
Systemägare | 40 rånare | Företaget som äger systemet | Bank |
Autentiseringsmekanism | Magisk enhet som reagerar på ord | Programvara för lösenordskontroll | Programvara som kontrollerar kortet och personligt ID |
Mekanism för åtkomstkontroll | Mekanismen som flyttar stenen bort från ingången till grottan | Registreringsprocess, åtkomstkontroll | Tillstånd att bedriva bankverksamhet |
Redan före tillkomsten av datorer användes olika särdrag hos ämnet, dess egenskaper. Nu beror användningen av en eller annan egenskap i systemet på den erforderliga tillförlitligheten, säkerheten och kostnaden för implementering. Det finns 3 autentiseringsfaktorer:
Federal lag nr. 63-FZ av den 6 april 2011 "Om elektronisk signatur" (som ändrad) föreskriver följande typer av elektroniska signaturer:
Ett av sätten att autentisera i ett datorsystem är att ange ditt användar-ID, i dagligt tal kallat " inloggning " ( engelsk login - användarnamn, konto), och ett lösenord - viss konfidentiell information. Ett giltigt (referens) inloggningslösenordspar lagras i en speciell databas.
Enkel autentisering har följande allmänna algoritm :
Lösenordet som angetts av ämnet kan överföras över nätverket på två sätt:
Med tanke på bästa säkerhet vid lagring och överföring av lösenord bör envägsfunktioner användas . Vanligtvis används kryptografiskt starka hashfunktioner för dessa ändamål . I det här fallet lagras endast lösenordsbilden på servern. Efter att ha mottagit lösenordet och gjort sin hash-transformation jämför systemet resultatet med referensbilden som är lagrad i den. Om de är identiska är lösenorden desamma. För en angripare som har fått tillgång till bilden är det nästan omöjligt att beräkna själva lösenordet.
Användningen av återanvändbara lösenord har ett antal betydande nackdelar. För det första lagras själva huvudlösenordet eller dess hashade bild på autentiseringsservern. Ofta lagras lösenordet utan kryptografiska transformationer, i systemfiler. Efter att ha fått tillgång till dem kan en angripare enkelt komma till konfidentiell information. För det andra tvingas försökspersonen komma ihåg (eller skriva ner) sitt återanvändbara lösenord. En angripare kan få det genom att helt enkelt tillämpa kunskaperna inom social ingenjörskonst , utan några tekniska medel. Dessutom minskar systemets säkerhet avsevärt i de fall då försökspersonen väljer sitt eget lösenord. Ofta visar det sig vara något ord eller en kombination av ord som finns i ordboken. I GOST 28147-89 är nyckellängden 256 bitar (32 byte). När du använder en pseudo-slumptalsgenerator har nyckeln goda statistiska egenskaper. Lösenordet, som till exempel är ett ord från en ordbok, kan reduceras till ett pseudoslumptal 16 bitar långt, vilket är 16 gånger kortare än GOST-nyckeln. Med tillräckligt med tid kan en angripare knäcka lösenordet med en enkel brute-force attack. Lösningen på detta problem är att använda slumpmässiga lösenord eller att begränsa längden på försökspersonens lösenord, varefter lösenordet måste ändras.
KontodatabaserPå datorer med UNIX-operativsystem är basen filen /etc/master.passwd (i Linux-distributioner är filen /etc/shadow vanligtvis endast läsbar av root ), där användarlösenord lagras som hashfunktioner från öppna lösenord, dessutom lagrar samma fil information om användarens rättigheter. Ursprungligen på Unix-system lagrades lösenordet (i krypterad form) i filen /etc/passwd , som var läsbar för alla användare, vilket var osäkert.
På datorer som kör Windows NT / 2000 / XP / 2003 (ingår inte i Windows-domänen ) kallas en sådan databas SAM ( Security Account Manager - Account Protection Manager). SAM-basen lagrar användarkonton , som innehåller all data som behövs för att skyddssystemet ska fungera. Finns i katalogen %windir%\system32\config\.
I Windows Server 2000/ 2003- domäner är denna databas Active Directory .
Användningen av speciell hårdvara (komponenter) anses dock vara ett mer tillförlitligt sätt att lagra autentiseringsdata.
Om det är nödvändigt att säkerställa anställdas arbete på olika datorer (med stöd för ett säkerhetssystem) använder de hård- och mjukvarusystem som tillåter lagring av autentiseringsdata och kryptografiska nycklar på organisationens server. Användare kan fritt arbeta på vilken dator som helst ( arbetsstation ) och ha tillgång till sina autentiseringsdata och kryptografiska nycklar.
EngångslösenordsautentiseringEfter att ha fått försökspersonens återanvändbara lösenord, har angriparen permanent tillgång till den komprometterade konfidentiella informationen. Detta problem löses genom att använda engångslösenord ( OTP - One Time Password ). Kärnan i denna metod är att lösenordet är giltigt för endast en inloggning, med varje efterföljande åtkomstbegäran krävs ett nytt lösenord. Autentiseringsmekanismen för engångslösenord kan implementeras både i hårdvara och mjukvara.
Teknik för att använda engångslösenord kan delas in i:
Den första metoden använder en pseudo-slumptalsgenerator med samma värde för ämnet och för systemet. Ett ämnesgenererat lösenord kan skickas till systemet vid kontinuerlig användning av en envägsfunktion eller vid varje ny begäran baserat på unik information från en tidigare begäran.
Den andra metoden använder tidsstämplar. Ett exempel på sådan teknik är SecurID . Den är baserad på användningen av hårdvarunycklar och tidssynkronisering. Autentisering baseras på generering av slumptal vid vissa tidsintervall. Den unika hemliga nyckeln lagras endast i systembasen och i försökspersonens hårdvaruenhet. När försökspersonen begär åtkomst till systemet, uppmanas de att ange en PIN-kod, samt ett slumpmässigt genererat nummer som visas i det ögonblicket på hårdvaruenheten. Systemet matchar den inmatade PIN-koden och försökspersonens hemliga nyckel från sin databas och genererar ett slumptal baserat på parametrarna för den hemliga nyckeln från databasen och aktuell tid. Därefter kontrolleras identiteten för det genererade numret och numret som angetts av försökspersonen.
Den tredje metoden är baserad på en enda databas med lösenord för ämnet och systemet och högprecisionssynkronisering mellan dem. I det här fallet kan varje lösenord från setet endast användas en gång. På grund av detta, även om en angripare fångar upp lösenordet som används av försökspersonen, kommer det inte längre att vara giltigt.
Jämfört med att använda återanvändbara lösenord ger engångslösenord en högre grad av säkerhet.
Det brådskande att säkerställa säkerheten för mobil kommunikation, såsom ip-telefon, stimulerar ny utveckling inom detta område. Bland dem är autentisering med SMS.
Autentiseringsproceduren inkluderar följande steg:
Attraktionskraften med denna metod ligger i det faktum att nyckeln inte erhålls genom kanalen genom vilken autentisering utförs (utanför bandet), vilket praktiskt taget eliminerar attacken av typen " man i mitten ". En ytterligare säkerhetsnivå kan tillhandahållas genom kravet att ange PIN-koden för den mobila enheten.
Denna metod har blivit utbredd i bankverksamhet via Internet.
Autentiseringsmetoder baserade på mätning av mänskliga biometriska parametrar ger nästan 100 % identifiering, vilket löser problemen med att förlora lösenord och personliga identifierare.
Exempel på implementering av dessa metoder är användaridentifieringssystem baserade på mönstret av iris, palmavtryck, öronformer, infraröd bild av kapillärkärl, handstil, lukt, röstklang och till och med DNA.
En ny riktning är användningen av biometriska egenskaper i smarta betalkort, passpoletter och cellulära kommunikationselement. Till exempel, när du betalar i en butik lägger kortbäraren fingret på skannern för att bekräfta att kortet verkligen är hans.
Mest använda biometriska attribut och relaterade systemSamtidigt har biometrisk autentisering ett antal nackdelar:
Den senaste trenden inom autentisering är att bevisa äktheten hos en fjärranvändare efter plats. Denna försvarsmekanism är baserad på användningen av ett rymdnavigeringssystem som GPS ( Global Positioning System ).
En användare med GPS-utrustning skickar upprepade gånger koordinaterna för givna satelliter som är i siktlinjen. Autentiseringsundersystemet, som känner till satelliternas banor, kan bestämma användarens position med en noggrannhet på upp till en meter. Den höga tillförlitligheten av autentisering bestäms av det faktum att satelliternas banor är föremål för fluktuationer, som är svåra att förutsäga. Dessutom förändras koordinaterna ständigt, vilket förnekar möjligheten av deras avlyssning.
Komplexiteten i att hacka systemet ligger i det faktum att utrustningen sänder en digitaliserad satellitsignal utan att göra några beräkningar. Alla platsberäkningar utförs på autentiseringsservern.
GPS-utrustning är enkel och pålitlig att använda och relativt billig. Detta gör att den kan användas i fall där en auktoriserad fjärranvändare behöver vara på rätt plats.
Internetplatsbaserad autentiseringDenna mekanism är baserad på användningen av information om platsen för servrar, trådlösa åtkomstpunkter genom vilka anslutningen till Internet görs.
Den relativa lättheten att hacka ligger i att platsinformation kan ändras med hjälp av så kallade proxyservrar eller anonyma åtkomstsystem.
På senare tid har den så kallade utökade, eller multifaktorautentiseringen, använts alltmer. Den bygger på delning av flera autentiseringsfaktorer. Detta ökar systemets säkerhet avsevärt.
Ett exempel är användningen av SIM-kort i mobiltelefoner . Försökspersonen sätter in sitt hårdvarukort (autentiseringsenhet) i telefonen och, när den är påslagen, anger han sin PIN-kod (lösenord).
Också, till exempel, i vissa moderna bärbara datorer finns det en fingeravtrycksläsare . Således, när du loggar in, måste försökspersonen gå igenom denna procedur ( biometri ), och sedan ange ett lösenord .
När man väljer en eller annan faktor eller metod för autentisering för systemet är det först och främst nödvändigt att bygga på den erforderliga graden av säkerhet, kostnaden för att bygga systemet och säkerställa ämnets rörlighet.
Här är en jämförelsetabell:
Risknivå | Systemkrav | Autentiseringsteknik | Applikationsexempel |
---|---|---|---|
Kort | Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer inte att få betydande konsekvenser | Det rekommenderade minimikravet är användningen av återanvändbara lösenord | Registrering på portalen på Internet |
Medel | Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer att orsaka liten skada | Det rekommenderade minimikravet är användningen av engångslösenord | Resultat per ämne av bankverksamhet |
Hög | Autentisering krävs för att komma åt systemet, och stöld, hackning, avslöjande av konfidentiell information kommer att orsaka betydande skada | Det rekommenderade minimikravet är användningen av multifaktorautentisering | Utföra större interbanktransaktioner av ledningspersonalen |
Autentiseringsproceduren används vid utbyte av information mellan datorer, medan mycket komplexa kryptografiska protokoll används för att skydda kommunikationslinjen från avlyssning eller utbyte av en av deltagarna i interaktionen. Och eftersom autentisering som regel är nödvändig för båda objekten som etablerar nätverksinteraktion, kan autentiseringen vara ömsesidig.
Således kan flera autentiseringsfamiljer särskiljas:
Användarautentisering på PC:
Nätverksautentisering:
Operativsystemen i Windows NT 4- familjen använder NTLM -protokollet (NT LAN Manager). Och i Windows 2000/2003-domäner används det mycket mer avancerade Kerberos- protokollet .
Autentisering krävs vid åtkomst till tjänster som:
Ett positivt resultat av autentisering (bortsett från upprättandet av förtroenderelationer och genereringen av en sessionsnyckel) är auktoriseringen av användaren, det vill säga beviljandet av åtkomsträttigheter till de resurser som definierats för utförandet av hans uppgifter.
Autentisering och nyckelutbytesprotokoll | |
---|---|
Med symmetriska algoritmer | |
Med symmetriska och asymmetriska algoritmer | |
Protokoll och tjänster som används på Internet |