Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Методы аутентификации



Что такое аутентификация? Профессионалы, в частности SANS Institute, определяют аутентификацию как «процесс подтверждения правильности требуемой идентичности».

Иными словами, аутентификация – процесс, где лицо обеспечивает доказательство того, что оно является тем, за кого себя выдает. Во многих случаях целесообразно выделить идентификацию и аутентификацию в два отдельных процесса, происходящих на разных уровнях. Тем не менее, чтобы лучше разобраться в видах аутентификации, будем считать, что оба этих процесса осуществляются на одном уровне.

Сначала определимся с тем, что такое идентификация и насколько это однозначное понятие. В том контексте, в котором мы рассматриваем безопасность доступа к данным, существуют два вида идентификации объекта:

• определение настоящей identity, т. е. кто или что такое объект на самом деле, в реальной жизни;

• определение электронной identity, т. е. подлинности того, кто произвел те данные, к которым должен быть получен доступ.

Если говорить о реальной ситуации, то сегодня любой человек имеет гораздо больше двух электронных «сущностей»: например, все мы имеем несколько адресов электронной почты – для рабочей переписки (корпоративный e-mail), какой-нибудь бесплатный почтовый аккаунт, свой номер в ICQ и пр. Жизненно важно использовать каждую электронную «сущность» персоны в соответствии с теми задачами, для которых она была создана: вести рабочую переписку только с рабочего электронного адреса, отвечать малознакомым друзьям по переписке с бесплатного аккаунта и т. д. Это делает процесс идентификации электронной личности логичным: моя цифровая подпись однозначно сопоставляет мою электронную «сущность» тем данным, что я произвел. Сопоставление реальной identity персоны и электронной происходит во время ввода логина и пароля на сервер электронной почты, при использовании SecurID или смарт-карт. Именно так и происходит аутентификация.

Профессионалы информационной безопасности выделяют три основных способа аутентификации:

• аутентификация по фактору собственности, или, проще, «то, что у меня есть с собой»: кредитная карта, магнитный пропуск и пр.;

• аутентификация по фактору индивидуального знания – «то, что я знаю»: пароли, PIN-коды, номера карточки социального страхования и пр.;

• аутентификация по биометрическому фактору – «то, что я есть на самом деле»: отпечатки пальцев, голосовые метки и пр.

Аутентификация, базирующаяся на методе собственности, наиболее уязвима для взлома со стороны злоумышленников: кредитные карточки и иные предметы аутентификации могут быть утеряны или похищены. Обычно такой тип аутентификации стараются комбинировать с каким-то вторичным способом, например подписью.

При аутентификации по методу индивидуального знания даже неспециалист может назвать явные угрозы, которые сразу приходят на ум: пароль можно по ошибке кому-нибудь назвать, записать на бумаге и утерять ее и т. д. Специалист пойдет дал средства коммуникации и там узнать интересующую информацию, а также использовать для взлома пароля программные и аппаратные средства.

В конце концов человека можно запугать – это самый чудовищный, но банальный способ узнать пароль.

Итак, что же у нас остается? Биометрика. Биометрические методы аутентификации многие специалисты считают сегодня самыми надежными по уровню безопасности. Однако биометрика пока достаточно дорогое удовольствие. Тем не менее по статистике в настоящее время биометрические методы аутентификации применяются там, где цена взлома слишком велика: корпоративный сегмент с высоким уровнем защиты – учреждения, ведающие государственной тайной, финансами и т. д. В частном секторе, где принято считать каждый рубль и – что греха таить – экономить на безопасности, пока используются первые два метода.

Как вы могли убедиться, у каждого метода аутентификации при явных преимуществах есть очевидные недостатки. Такая ситуация диктует потребителю и специалистам по информационной безопасности вывод: комбинируйте! Возможна комбинация двух из трех существующих методов, что обеспечит более надежную защиту от взлома. Например, в розничной торговле наиболее распространено сочетание процессингового метода и метода индивидуального знания. Мы можем наблюдать также комбинацию этих методов каждый раз, когда обналичиваем деньги через банкомат.

Во многих приложениях технология открытых ключей (public key technology) представляется пользователю как некий «новый вид» аутентификации. То же можно сказать и об аутентификации, основанной на применении сертификатов. На самом деле обе аутентификационные схемы также основаны на комбинированном подходе, предусматривающем использование двух факторов: закрытого ключа, находящегося в «собственности» пользователя, и пароля, обеспечивающего доступ к ключу.

Каждый специалист по информационной безопасности сталкивается с проблемой, связанной с хранением закрытого ключа на рабочей станции пользователя, пусть даже этот ключ и защищен паролем. Действительно, «фактор знания» задействован полностью, но чтобы быть уверенным в полноценном использовании «фактора собственности», необходимо создать условия, при которых закрытый ключ нельзя будет скопировать или экспортировать. Путь к настоящей двухфакторной аутентификации открывает использование смарт-карт или других съемных носителей. Такой сценарий позволяет задействовать оба фактора полностью: безопасно хранимый ключ и пароль, обеспечивающий доступ.

Выбор схемы аутентификации – достаточно сложная задача, и объем средств, затрачиваемых на организацию доступа, должен соответствовать стоимости информации, которую необходимо защитить. Однако следует четко представлять себе губительные последствия выбора слишком простой или неэффективной схемы аутентификации на всех уровнях модели информационной безопасности.

СМАРТ-КАРТЫ И SUN RAY

Новая архитектура сетевых корпоративных клиентов Sun Ray, обеспечивающая универсальный, дешепользует аутентификацию пользователей по смарт-картам.

Все терминалы оснащены устройством считывания стандартных смарт-карт, позволяющих быстро и просто проводить аутентификацию пользователей. Аутентификация при помощи смарт-карт не является обязательной. Как дополнительный «рубеж» защиты системы от несанкционированного доступа смарт-карты не включаются в стандартную поставку продукта, однако могут быть приобретены дополнительно. Смарт-карта может содержать и другую функциональность, например, являться одновременно кредитной банковской картой или картой доступа в помещения. Наличие такого устройства обеспечивает независимость пользователя от конкретного рабочего места. Поскольку сеанс работы клиента хранится на сервере, пользователь в любой момент может прервать работу на данном терминале и возобновить ее, просто перенеся свою идентификационную смарт-карту из одного терминала в другой.

Главная страница / Архитектура отрасли