Identigo kaj autenticación: baza konceptoj

Identigo kaj aŭtentokontrolo estas la bazo de la moderna programaro kaj aparataro sekureco, kiel ajna alia servoj ĉefe celita por bontenado de ĉi tiuj temoj. Ĉi tiuj konceptoj reprezenti ian unua linio de defendo, certigante sekurecon de informoj spaco organizo.

Kio estas?

Identigo kaj aŭtentokontrolo havas malsamajn funkciojn. La unua provizas temon (uzanto aŭ procezo kiu agas en la nomo de) la okazon por diri al sia propra nomo. Per aŭtentikigo estas la dua flanko estas tute konvinkita ke la temo vere estas tiu por kiu li asertas esti. Ofte, kiel sinonimo identigo kaj authentication estas anstataŭitaj de la frazo "Post nomo" kaj "aŭtentikigo".

Ili mem estas dividita en pluraj varioj. Tuj, ni konsideras, ke identigo kaj authentication estas kaj kio ili estas.

aŭtentikigo

Tiu koncepto provizas por du tipoj: unudirekta, la kliento devas unue pruvi al la servilo por autenticar kaj duflankaj, tio estas, kiam reciproka konfirmo estas efektivigita. Tipa ekzemplo de kiel efektivigi norma identigo kaj autenticación de uzantoj - estas por ensaluti en specifa sistemo. Tiel, malsamaj tipoj povas esti uzata en diversaj objektoj.

En reto medio, kie la identigo kaj autenticación de uzantoj faris sur geografie dispersos partioj, ekzameni la servo distingas por du ĉefaj aspektoj:

• kiu agas kiel authenticator;
• kiel ĝi estis organizita de la interŝanĝo de datumoj autenticación kaj identigo kaj kiel protekti ĝin.

Por konfirmi lia autenticidad, la subjekto devas esti prezentita al unu el la sekvaj entidades:

• iuj informoj, kiujn li konas (persona numeron, pasvorton, speciala ĉifrika ŝlosilo, ktp ...);
• certa afero li posedas (persona karto aŭ iu alia aparato havanta similan celon);
• lin iu, kiu estas ero de ĝi (fingrospuro, voĉo aŭ aliaj biométricos identigo kaj autenticación de uzantoj).

sistemo funkcioj

En la malferma reto medio, la partioj ne havas fidinda vojo, kaj oni diras, ke ĝenerale, la informoj transdonitaj de la temo povas eventuale esti malsamaj de la informoj ricevita kaj uzata por aŭtentokontrolo. Bezonata sekurecon de aktiva kaj pasiva reto sniffer, te protekto kontraŭ korektoj, interkapto aŭ reprodukto de malsamaj datumoj. Pasvorto transigo opcion en la klara ne kontentiga, kaj tute ne povas savi la tagon kaj ĉifritajn pasvortojn, ĉar ili ne estas provizitaj, reprodukto protekto. Tial hodiaŭ estas uzata pli kompleksa autenticación protokoloj.

Fidinda identigo estas malfacile ne nur pro la diversaj reto minacoj, sed ankaŭ por diversaj aliaj kialoj. La unuaj praktike ajna autenticación enton povas esti kidnapita, aŭ falsi aŭ Skoltismo. streĉiĝo inter la fidindeco de la sistemo uzata estas ankaŭ prezencoj, unuflanke, kaj la sistemo administranto aŭ uzanto instalaĵoj - aliflanke. Tiel, por kialoj de sekureco postulita kun iu ofteco demandi al la uzanto re-enkonduko de lia identigan informon (kiel anstataŭ li vin sidi iuj aliaj homoj), kaj ĝi ne nur kreas aldonan problemon, sed ankaŭ signife pliigas la ŝancon ke iu povas pry informo enigo. Krome, la fidindeco de la protekto signifas gravan efikon sur ĝia valoro.

Moderna identigo kaj authentication sistemoj subtenas la koncepton de ununura signo-sur al la reto, kiuj ĉefe servas la postulojn en terminoj de uzanto-afableco. Se la normo kompania reto havas multajn informojn servoj, zorganta pri la ebleco de sendependa cirkulado, tiam la multoblajn administrado de personaj datumoj iĝas tro peza. Ĝi nuntempe ankoraŭ neeble diri, ke la uzo de ununura signo-sur al reto estas normala, kiel la domina solvoj estas ankoraŭ ne kreis.

Tiel, multaj provas trovi kompromison inter pagebleco, komforto kaj fidindeco de financo, kiu provizas identigo / aŭtentokontrolo. Uzanto rajtigo en ĉi tiu kazo estas efektivigita laŭ individuaj reguloj.

Speciala atento devas esti pagitaj al la fakto ke la servo estas uzata povas esti elektita kiel la celo de atakoj sur havebleco. Se la sistemo agordo estas farita en tia maniero, ke post kelkaj malsukcesis provojn eniri la ebleco estis ŝlosita, do la atacante povas halti operacio leĝaj uzantoj de nur kelkaj keystrokes.

pasvorto autenticación

La ĉefa avantaĝo de ĉi tiu sistemo estas, ke ĝi estas ekstreme simpla kaj konata al plej. La pasvortoj estis longe uzita de mastrumaj sistemoj kaj aliaj servoj, kaj kun la taŭga uzo de provizita sekureco, kiu estas sufiĉe akceptebla por la plimulto organizaĵoj. Aliflanke, per komuna aro de karakterizaĵoj de tiaj sistemoj estas la plej malforta rimedo de kiu identigo / autenticación estas efektivigeblaj. Rajtigo en tiu kazo revenas sufiĉe simpla, ĉar pasvortoj devas esti pegadiza, sed ne estas malfacile diveni la kombinaĵo de simpla, speciale se la persono scias la preferoj de specifa uzanto.

Foje okazas, ke la pasvortoj estas, principe, ne estas sekreta kiel estas bela normo valoroj specifita en la specifa dokumentado, kaj ne ĉiam post la sistemo estas instalita, ŝanĝi ilin.

Kiam vi eniras vian pasvorton vi povas vidi, en iuj kazoj, homoj eĉ uzas specialigitaj optikaj instrumentoj.

Uzantoj, la ĉefaj temoj de identigo kaj authentication, pasvortoj ofte informi kolegoj al tiuj en iuj epokoj ŝanĝiĝis posedanto. Teorie, en tiaj situacioj estus pli ĝentile uzi specialajn aliro kontroloj, sed praktike ne uzata. Se la pasvorton scias du personoj, ĝi estas tre ege pliigas la ŝancojn ke en la fino de ĝi kaj lerni pli.

Kiel ripari tion?

Ekzistas pluraj iloj kiel ekzemple identigo kaj authentication povas protekti. La informo prilaborado komponanto povas asekuri sekvas:

• La altrudo de diversaj teknikaj limigoj. Plej ofte starigis regulojn sur pasvorton longo kaj enhavo de iuj signoj.
• Oficejo pasvorton finiĝo, tio ili bezonas esti anstataŭita periode.
• Limigita aliro al bazaj pasvorton dosiero.
• Limigo de la totala nombro de fiaskaj provoj, kiuj estas haveblaj kiam vi ensaluti. Pro tio atacantes devas efektivigi nur la agojn plenumi identigo kaj authentication kaj ankaŭ la ordiga metodo ne povas esti uzita.
• Prepara trejnado de uzantoj.
• Uzante la programaro specialigita pasvorton generatoro kiu povas krei tian kombinaĵoj kiuj estas sufiĉe melodia kaj memorinda.

Ĉiuj de ĉi tiuj mezuroj povas esti uzata en ajna kazo, eĉ se kune kun pasvortoj ankaŭ uzas aliajn rimedojn de autenticación.

Unu-tempa pasvortoj

La supre enkorpiĝoj estas reuzebla, kaj en la kazo de malfermanta kombinaĵoj atacante povas plenumi iujn operaciojn sur la uzanto nomo. Tial kiel forta rimedo imuna al la ebleco de pasiva reto sniffer, uzi unu-tempa pasvortoj per kiu identigo kaj authentication sistemo estas multe pli sekura, kvankam ne kiel oportuna.

Nuntempe, unu el la plej popularaj programoj iama pasvorton generatoro estas nomita sistemo S / KEY, eldonita de Bellcore. La baza koncepto de ĉi tiu sistemo estas ke estas certaj funkcio de la F, kiu estas konata al kaj la uzanto kaj la aŭtentokontrolo servilo. La sekvanta estas sekreta ŝlosilo K, konata nur al specifa uzanto.

En komenca administrado uzanto, ĉi tiu funkcio estas uzata tajpi kelkajn fojojn, tiam la rezulto estas konservita en la servilo. Poste la aŭtentokontrolo proceduro estas kiel sekvas:

1. Sur la uzanto sistemo de la servilo venas al la numero kiu estas 1 malpli ol la nombro de tempoj uzante la funkcion al la ŝlosilo.
2. Uzanto funkcio estas uzita por sekretaj ŝlosiloj en la numero de fojoj kiuj estis metita en la unua punkto, sur kiu estas la rezulto estas sendita tra la reto rekte al la aŭtentokontrolo servilo.
3. La servilo uzas tiun funkcion al la valoro akirita, kaj tiam la rezulto estas komparita kun la antaŭe stokita valoro. Se la rezultoj kongruas, tiam la uzanto identeco estas establita, kaj la servilo stokas la nova valoro, kaj poste malgrandiĝas la vendotablo de unu.

Praktike, la efektivigo de ĉi tiu teknologio havas iom pli komplika strukturo, sed en la momento ne gravas. Ekde la funkcio estas neinversigebla, eĉ se la pasvorton interkapto aŭ akiri neaŭtorizitan aliron al la aŭtentokontrolo servilo ne provizas la eblecon akiri la privata ŝlosilo kaj kiel prognozi kiom ĝi estos precize aspektas kiel la sekva tempo pasvorton.

En Rusio kiel unuecan servo, specialan staton portalo - "Unika sistemo de identigo / autenticación" ( "ESIA").

Alia alproksimiĝo al forta aŭtentokontrolo sistemo kuŝas en tio, ke la nova pasvorto estis generita ĉe mallongaj intervaloj, kiu realigas ankaŭ per la uzo de programoj specialigitaj aŭ pluraj inteligentaj kartoj. En ĉi tiu kazo, la aŭtentokontrolo servilo devas akcepti la respondan pasvorton generanta algoritmo kaj certaj parametroj asociitaj kun ĝi, kaj krome, devas ĉeesti kiel horloĝo sincronización servilo kaj la kliento.

Kerberos

Kerberos aŭtentokontrolo servilo unuafoje aperis en la mez-90'oj de la lasta jarcento, sed de tiam li jam ricevis multajn fundamentajn ŝanĝojn. Nuntempe, la individuajn komponantojn de la sistemo ĉeestas en preskaŭ ĉiu moderna mastruma sistemo.

La ĉefa celo de ĉi tiu servo estas por solvi la sekvan problemon: ekzistas certa ne-sekura reto kaj la nodoj en lia koncentrita formo en diversaj temoj uzantoj, kaj servilo kaj kliento programaro sistemoj. Ĉiu tia enton ĉeestas individuan sekretan ŝlosilon, kaj temoj kun ŝancon por pruvi sian aŭtentecon al la temo de la S, sen kiuj li simple ne servo ĝin, ĝi devos ne nur nomas sin, sed ankaŭ por montri ke li scias iun sekreta ŝlosilo. Samtempe Kun neniu vojo simple sendi en la direkto de via sekreta ŝlosilo S kiel unuavice la reto estas malfermita, kaj krome, S ne scias, kaj, principe, lin ne rekonis. En ĉi tiu situacio, uzu malpli simplaj teknologio demonstracion de scio de tiu informo.

Elektronika identigo / autenticación per Kerberos sistemo provizas por ĝia uzo kiel fidindaj tria, kiu havas informon pri la sekretaj ŝlosiloj de priservis ejoj kaj helpi ilin en efektivigi duoplarĝa autenticación eventuale.

Tiel, la kliento unua sendita en konsulto kiu enhavas la necesajn informojn pri ĝi, kaj ankaŭ la petita servo. Post tio, Kerberos donas lin ia bileto ke estas ĉifrita kun sekreta ŝlosilo de la servilo, kaj ankaŭ kopion de kelkaj el la datumoj de ĝi, kiu estas sekreta ŝlosilo de la kliento. En la kazo, ke ĝi estas establita ke la kliento estis deĉifrita informo celis ĝin, tio estas, li povis pruvi ke la privata ŝlosilo konas vere. Ĉi tio hinda kiu la kliento estas la persono por kiu ĝi estas.

Speciala atento devus tie esti prenitaj por certigi ke la transdono de sekretaj ŝlosiloj ne efektivigis en la reto, kaj estas uzataj ekskluzive por ĉifrado.

aŭtentokontrolo uzante biometriko

Biometrics implicas ĉifron de aŭtomata identigo / autenticación de homoj bazitaj sur ilia konduto aŭ fiziologian karakterizaĵojn. Fizikaj rimedoj de identigo kaj authentication provizi retino scan kaj okulo korneo, ciferecaj spuroj, vizaĝo kaj manoj geometrio, kaj ankaŭ aliajn personajn informojn. La karakterizaĵoj de konduto ankaŭ inkludas la stilon de laboro kun la klavaro kaj la dinamiko de la subskribo. Kombinita metodoj estas la analizo de la malsamaj karakterizaĵoj de la homa voĉo, kaj ankaŭ rekonon de lia parolado.

Tia identigo / autenticación kaj ĉifrado sistemoj estas uzataj vaste en multaj landoj ĉirkaŭ la mondo, sed dum longa tempo, ili estas ekstreme alta kosto kaj komplekseco de uzo. Pli lastatempe, la peto de biométricos produktoj kreskis signife pro la disvolviĝo de la elektronika komerco, ĉar, de la vidpunkto de la uzanto, estas multe pli facile por prezenti sin, ol memori iun informon. Laŭe, peto kreas provizo, do la merkato komencis aperi relative malalta prezo produktoj, kiuj estas ĉefe temigis fingrospuro rekono.

En la grandega plimulto de la kazoj, biometriko estas uzata kombine kun aliaj authenticators kiel inteligentaj kartoj. Ofte biométricos aŭtentokontrolo estas nur la unua linio de defendo kaj agas kiel rimedon pliboniganta la memorkartoj, inkluzive de diversaj ĉifrikaj sekretoj. Kiam uzanta ĉi tiu teknologio, la biométricos ŝablono estas stokita en la sama karto.

Aktiveco en la kampo de biometriko estas sufiĉe alta. Gravaj ekzistantaj konsorcio, kaj ankaŭ tre aktiva laboro estas en procezo por normigi diversaj aspektoj de la teknologio. Hodiaŭ ni povas vidi multajn publikeco artikoloj kiuj biométricos teknologioj estas prezentitaj kiel ideala rimedo provizi pliigis sekurecon kaj samtempe atingebla al la masoj.

ESIA

sistemo de identigo kaj authentication ( "ESIA") estas speciala servo desegnita por certigi la efektivigon de diversaj taskoj rilataj al la konfirmo de la aŭtenteco de la kandidatoj kaj la membroj de Interagency kunlaboradon en la okazaĵo de iu urba aŭ publikaj servoj en elektronika formo.

Por akiri aliron al kiel "unuopa portalo de la ŝtataj strukturoj", kaj ankaŭ neniu alia informsistemoj infrastrukturo de ekzistantaj e-registaro, vi unue bezonas registri la konton kaj rezulte, Akiri AEDs.

niveloj

Portalo de unuigita sistemo de identigo kaj authentication provizas tri bazaj niveloj de kontoj por individuoj:

• Simpligita. Por lia registriĝo simple inkluzivi via unua kaj lasta nomo, kaj ankaŭ iuj aparta kanalo de komunikado en la formo de retadreso aŭ poŝtelefono. Tiu primara nivelo, por kiu persono donas aliron nur al limigita listo de diversaj registaraj servoj, tiel kiel la kapablo de ekzistantaj sistemoj de informo.
• Norma. Akiri komence necesas elsendi simpligita konto, kaj poste ankaŭ provizi aldonan informon, inkluzive informojn de la pasporto nombro kaj asekuro individua konto. Ĉi tiu informo estas aŭtomate kontrolitaj tra la informsistemo de la Pension Fund, kaj ankaŭ la Federacia Migrado Servo, kaj, se la provo estas sukcesa, la konto estas konvertitaj al norma nivelo, ĝi malfermas al la uzanto vastigita listo de servoj.
• Konfirmita. Akiri tiun nivelon de konto, unuecan sistemon de identigo kaj authentication postulas uzantojn norma konto, kaj ankaŭ pruvo de identeco, kiu estas farata per persona vizito rajtigita servo fako aŭ akiri aktiviga kodo per registrita letero. En la okazaĵo ke la individua konfirmo estas sukcesa, la konto iros al nova nivelo, kaj al la uzanto konsenti kompleta listo de necesaj publikaj servoj.

Malgraŭ tio, ke la procedoj eble ŝajnas kompleksa sufiĉe por vere vidi la plenan liston de postulata datumo povas esti rekte en la oficiala retejo, do ĝi eblas kompletigi registriĝo dum kelkaj tagoj.