Методы и протоколы аутентификации пользователей - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Методы и протоколы аутентификации пользователей

Сейчас для любой компании, государственной организации или отдельного индивидуума, которым требуется защитить данные, транзакции, репутацию, и... даже самих себя, как никогда важны безопасность и проверка идентификации. Внедрение интеллектуальных технологий обработки данных позволяет повысить безопасность функционирования различных компьютеризированных систем, которые в том числе связаны с принятием стратегических решений, отвечающих за безопасное развитие технологических процессов. Уже сейчас на смену распространенным паролям, вводимым и передаваемым в открытом виде и уязвимым с точки зрения безопасности компьютерных систем, приходят более надежные технологические решения, основанные на применении технических новинок и математических методов засекречивания парольной информации.

Идентификация и аутентификация

Процесс узнавания пользователя компьютером начинается с его идентификации, т. е. ответа на вопрос «А кто это?». Например, при входе пользователя в различные операционные системы следует ввести логин – имя, по которому пользователь известен данной системе. По логину из многих пользователей, зарегистрированных в системе, компьютер выбирает одного. На этом идентификация заканчивается, и начинается аутентификация – процесс доказательства пользователем, что это именно он, а не кто-либо еще.

Идентификацию часто называют опознаванием «один из многих» – определение одного пользователя из многих вероятных, а аутентификацию – опознаванием «один к одному», т. е. правильно ли пользователь идентифицирован. Компьютер выполняет аутентификацию на основе определенной уникальной информации, которая характеризует конкретного пользователя системы. Такая информация называется аутентификационной. В зависимости от ее типа методы аутентификации классифицируют следующим образом.

1. Пользователь знает некую уникальную информацию, которую он предъявляет компьютеру при аутентификации. Например, пароль, который необходимо ввести для входа в систему. В «правильно» администрируемых системах каждый пользователь должен иметь уникальный пароль, соответственно, ввода пароля вполне достаточно для узнавания пользователя.

2. Пользователь имеет уникальный предмет или предмет с уникальным содержимым.

В обычной жизни таким предметом является ключ от любого замка. Компьютеру же предъявить такой ключ достаточно сложно, поэтому используются другие предметы, более характерные для компьютера. Рассмотрим их позже.

3. Аутентификационная информация является неотъемлемой частью пользователя. На такой информации основаны методы биометрической аутентификации, т. е. аутентификации пользователей по их уникальным биометрическим признакам. Достаточно часто методы аутентификации комбинируют, например, используя одновременно пароль пользователя и отпечаток его пальца. Такая аутентификация называется двухфакторной. Одновременное применение нескольких видов аутентификационной информь аутентификации.

Этапы аутентификации

Процесс аутентификации пользователя компьютером можно разделить на два этапа:

• подготовительный – выполняется при регистрации пользователя в системе. Именно тогда у пользователя запрашивается образец аутентификационной информации, например, пароль или контрольный отпечаток пальца, который будет рассматриваться системой как эталон при аутентификации;

• штатный – образец аутентификационной информации запрашивается у пользователя снова и сравнивается с хранящимся в системе эталоном. Если образец схож с эталоном с заданной точностью – пользователь считается узнанным, в противном случае пользователь будет считаться чужим, результатом чего будет, скажем, отказ в доступе на компьютер.

Для аутентификации пользователя компьютер должен хранить некую таблицу имен пользователей и соответствующих им эталонов:

В наиболее простом варианте эталоном может быть просто пароль, хранящийся в открытом виде. Однако такое хранение защищает только от непривилегированных пользователей системы – администратор системы вполне сможет получить все пароли пользователей, хранящиеся в таблице, и впоследствии входить в систему от имени любого пользователя (скажем, для выполнения каких-либо злоумышленных действий, которые будут записаны на другого). Кроме того, известен факт, что подавляющее большинство пользователей используют 1–3 пароля на все случаи жизни. Поэтому узнанный злоумышленником пароль может быть применен и к другим системам или программам, в которых зарегистрирован его владелец. Наиболее часто эталон представляет собой результат какой-либо обработки аутентификационной информации, то есть Ei = f(Ai), где Ai – аутентификационная информация, а f(...) – например, функция хэширования (расчет контрольной суммы данных с использованием криптографических методов – хэша). Хэширование достаточно часто применяется в протоколах межсетевого обмена данными, а также необходимо для использования электронной цифровой подписи.

Есть и другие варианты хранения эталонов, например, такой: Ei = f(IDi, Ai). Этот вариант лучше предыдущего тем, что при одинаковых паролях двух пользователей их эталоны будут выглядеть по-разному. Впрочем, в данном случае вместо имен пользователей подойдет и любая случайная последовательность, ее лишь придется хранить в той же таблице для последующего вычисления эталонов в процессе аутентификации.

В любом случае функция вычисления эталона из аутентификационной информации должна быть однонаправленной, т. е. легко рассчитываться, но представлять собой вычислительную проблему при попытке вычисления в обратном направлении.

Парольная аутентификация

Метод аутентификации по паролю является наиболее традиционным и распространенным. Конечно же, нет ничего проще проверить, знает ли пользователь некое кодовое слово или последовательность. Однако парольная аутентификация имеет настолько много недостатков, что в ситуациях, где неверные результаты аут используется в паре с каким-то другим методом. Основные недостатки парольной аутентификации таковы:

• достаточно часто пользователи применяют легко предсказуемые пароли, например:

– пароль эквивалентен имени пользователя или имени пользователя в обратной последовательности, или какой-либо другой производной от имени пользователя;

– пароль является словом или фразой какого-либо языка – пароль может быть подобран путем словарной атаки, т. е. перебора в качестве пароля всех слов по словарю; программы, выполняющие подобные атаки, существуют в Интернете в великом множестве; правда, пользователи стали хитрее – они пытаются заменить некоторые буквы слова похожими по написанию цифрами и значками, например, password Ѓ p@ssw0rd, но и программы, реализующие словарные атаки, теперь умеют то же самое: заменять ‘a’ на ‘@’, ‘i’ на ‘1’ и т. д.; – короткие пароли еще хуже – они могут быть подобраны простым перебором всех возможных вариантов;

• существуют различные программы подбора паролей для наиболее популярных приложений и операционных систем. Например, на сайте www.lostpassword.com можно найти программу Word Password Recovery Key, которая позволяет подобрать пароль к документу Microsoft Word, защищенному паролем. Это достаточно мощное средство, позволяющее перебирать пароли как полным перебором (для коротких паролей), так и словарной атакой, причем с подключением словарей различных языков, а также перебором при некоторых известных или предполагаемых символах пароля. Программа Word Password Recovery Key является абсолютно легальной и адресована тем пользователям, кто забыл пароль какого-либо важного документа. Однако она может быть использована и любым злоумышленником уже для не столь безобидных целей;

• пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу.

Аутентификация по уникальному предмету

Уникальность предмета, по которому выполняется аутентификация пользователя компьютером, определяется информацией, которую он содержит. Для аутентификации часто используются следующие носители информации:

• USB-токены – представляют собой устройства с различной степенью интеллекта, подключаемые к порту USB компьютера;

• смарт-карты – по функциональности похожи на USB-токены, но работа с ними осуществляется с помощью специальных устройств, называемых ридерами смарт-карт;

• электронные таблетки iButton (или Touch Memory) – это те самые ключи к домофонам, которыми оборудовано большинство подъездов в Москве; могут подключаться и к компьютеру через специальный коннектор;

• карты с магнитной полосой – аналогичные тем, которые используются в качестве билетов в автобус или метро; также требуют специального считывателя для использования компьютером.

Надо сказать, что вышеперечисленные предметы постоянно эволюционируют: карты с магнитной полосой известны относительно давно, смарт-карты вошли в массовое использование около десяти лет е позже. Да и каждый тип носителя существует в различных вариантах (исключая только карты с магнитной полосой). Например, в настоящее время используются смарт-карты трех категорий:

• карты с открытой памятью – функциональный аналог магнитных карт, способны лишь хранить какую-либо информацию в открытом виде;

• карты с защищенной памятью – для доступа к хранящейся в них информации необходимо предъявление пароля (PIN-кода);

• микропроцессорные карты – фактически сочетают функции карт с защищенной памятью и различные криптографические функции.

Простейший вариант «предметной» аутентификации состоит в том, что предмет просто хранит в открытом виде имя пользователя и его пароль. «Продвинутые» носители, например, микропроцессорные смарт-карты и подавляющее большинство USB-токенов, могут быть активными участниками процесса аутентификации (а не просто передавать по требованию пароль пользователя), что незаменимо для строгой аутентификации. В последнем случае (да и в случае смарт-карт с защищенной памятью и их аналогов) аутентификация с помощью предмета является существенно более надежной, чем парольная. Кроме того, предметы часто используются в качестве одного их факторов двухфакторной аутентификации, где в качестве второго фактора выступает пароль – например, для использования смарт-карт с защищенной памятью, микропроцессорных смарт-карт и USB-токенов необходимо предварительно предъявить PIN-код.

Предметная аутентификация также имеет ряд недостатков:

• предмет может быть похищен или отобран у его владельца;

• для всех предметов, кроме USB-токенов, требуется специальное оборудование для их подключения к компьютеру (на рис. 1 показаны, в частности, ридер смарт-карт и коннектор iButton);

• для всех предметов, кроме микропроцессорных смарт-карт и их функциональных аналогов, возможно изготовление копии или эмулятора предмета.

Биометрическая аутентификация

Биометрическая аутентификация – это аутентификация пользователя по его уникальным биометрическим характеристикам. Уникальными являются, например, следующие характеристики:

• отпечатки пальцев;

• узор радужной оболочки и структура сетчатки глаза;

• черты лица;

• схема кровеносных сосудов лица;

• геометрия кисти руки;

• рукописная подпись;

• клавиатурный почерк (интервалы времени между нажатиями клавиш, составляющих кодовое слово, и длительность нажатий);

• голос.

В отличие от описанных выше методов аутентификации, биометрическая аутентификация не определяет пользователя с абсолютной точностью. С паролем все просто: он либо эквивалентен эталону, либо нет. Системы биометрической аутентификации опознают пользователя с определенной вероятностью – как человек может не узнать своего знакомого в лицо после отращивания им усов или по голосу после простуды, так и биометрическая система может не узнать легального пользователя или, что еще хуже, принять чужого за своего. Поэтому все системы биомеа в доступе – с какой вероятностью система не узнает зарегистрированного пользователя;

• ложного доступа – вероятность ошибочного допуска нелегального пользователя.

Аналогично аутентификации по уникальному предмету, биометрическая аутентификация нередко применяется в паре с паролем пользователя или каким-либо другим методом. Наиболее часто в качестве биометрических характеристик используются отпечатки пальцев, узор радужной оболочки глаза и черты лица. Каждому из этих методов свойственны свои недостатки, например, некоторые виды сканеров отпечатков пальцев могут быть обмануты специально подготовленным «искусственным пальцем». Есть и общий для всех методов минус: необходимость в считывающем оборудовании, которое может быть достаточно дорогостоящим.

Несмотря на эти недостатки, биометрическая аутентификация сейчас развивается наиболее бурно. Впечатляющий рост рынок систем биометрической аутентификации пережил после печальных событий 11 сентября 2001 г. Тогда казалось, что системы опознания по чертам лица способны серьезно помочь в борьбе с терроризмом и преступностью, на ранней стадии позволяя обнаруживать всех, кто был когда-либо замечен в противоправных действиях, прежде всего потому, что логика работы именно таких систем наиболее похожа на узнавание человека человеком. Увы, в настоящее время именно системы аутентификации по чертам лица демонстрируют весьма посредственную точность опознания; однако их совершенствование идет полным ходом.

Удаленная аутентификация

Требования к аутентификации пользователя компьютером повышаются, если необходимо аутентифицироваться на удаленном компьютере. Здесь применимы различные протоколы удаленной аутентификации.

Простейший из них – протокол PAP (Password Access Protocol – протокол доступа по паролю). Информация, требуемая для аутентификации пользователя (т . е. его имя и пароль), просто передается по сети в открытом виде. Удаленный компьютер при необходимости выполняет описанные выше преобразования пароля и проверяет равенство полученного результата тому эталону, который соответствует данному пользователю.

Недостаток протокола очевиден – злоумышленник, имеющий техническую возможность перехвата сообщений, которые отправляются в рамках протокола PAP, и оснащенный анализатором пакетов, легко получит пароль пользователя и сможет впоследствии успешно аутентифицироваться под именем данного пользователя. Тем не менее очевидная простота реализации данного протокола привела к тому, что со времен, когда интернет-сообщество не задумывалось о безопасности, протокол PAP используется в подавляющем большинстве случаев – классические реализации POP3- и FTP-серверов принимают пароли именно в открытом виде.

Протоколы строгой аутентификации

Существует целое семейство протоколов, в которых аутентификационная информация пользователя совсем не передается по сети, а лишь участвует в вычислениях, как на клиентской, так и на серверной стороне. По такому принцlenge-Handshake Authentication Protocol – протокол аутентификации «запрос-ответ») и его версия от Microsoft – MS-CHAP. Протоколы «запрос – ответ» выполняются в несколько этапов.

Для шифрования случайного числа используется секретный ключ аутентифицируемого пользователя. Именно этот секретный ключ представляет собой аутентификационную информацию данного пользователя, его копия хранится на сервере в качестве эталона пользователя. Нетрудно заметить, что ни одна часть аутентификационной информации вообще не передается по сети, тем более в открытом виде. Аутентификация, в процессе которой используются криптографические методы, а аутентификационная информация не передается по сети, называется строгой.

В ряде случаев необходима взаимная аутентификация – взаимная проверка подлинности участников информационного обмена (когда не только сервер проверяет подлинность пользователя, но и наоборот). Протоколы «запрос – ответ» идеально подходят для взаимной аутентификации с некоторым дополнением (такой протокол часто называют «рукопожатием»).

Этап 1. Пользователь посылает серверу запрос на аутентификацию, содержащий его имя.

Этап 2. Сервер генерирует случайное число N1 и посылает его пользователю.

Этап 3. Пользователь зашифровывает случайное число N1: C1 = = E(N1), а также генерирует собственное случайное число N2. C1 и N2 пользователь посылает серверу.

Этап 4. Сервер расшифровывает C1 и сравнивает результат расшифрования с N1. Если числа равны, сервер считает пользователя подлинным. В этом случае сервер зашифровывает число N2: C2 = E(N2) и отправляет результат пользователю.

Этап 5. Пользователь расшифровывает C2 и сравнивает с N2. Если отправленное и полученное числа совпадают, то пользователь считает, что сервер успешно прошел проверку подлинности.

В подобных протоколах вместо симметричного шифрования может использоваться асимметричное шифрование или электронная цифровая подпись. В последнем случае в качестве эталонов пользователей на сервере хранятся их открытые ключи, которыми сервер проверяет не зашифрованное, а подписанное пользователем случайное число. Недостаток протоколов типа CHAP состоит в том, что, в отличие от PAP, на стороне пользователя необходимо наличие клиентского модуля, выполняющего предусмотренные протоколом действия.

Существуют и более «продвинутые» протоколы строгой аутентификации, например Kerberos. Это более сложный протокол, требующий наличия выделенных серверов, задача которых сводится лишь к управлению процессом аутентификации. При этом Kerberos не дает злоумышленнику практически никаких шансов вмешаться в процесс аутентификации. Кроме того, в процессе аутентификации создается ключ шифрования, который будет впоследствии использоваться для шифрования данных, передаваемых между пользователем и сервером.

***

Как и во многих других случаях, при выборе методов и протоколов аутентификации в конкретной компьютерной системе следует руководствоваться критерием «ценаумышленником в случае его аутентификации под именем легального пользователя, тех времени и средств, которые были затрачены на развертывание протокола Kerberos. Именно поэтому простая парольная аутентификация и протокол PAP все еще широко распространены, но влюбых критически важных приложениях уже активно используются более современные методы и средства идентификации и аутентификации пользователей.

Дмитрий СКЛЯРОВ, старший криптоаналитик компании «Эклкомсофт»

У биометрической аутентификации есть один редко упоминаемый недостаток – сложность смены аутентификационной информации при компрометации. Если кто-то научится подделывать ваш голос или отпечаток пальца, их вряд ли удастся заменить так же легко, как смарт-карту или пароль.

При удаленной аутентификации, когда количество пользователей становится значительным, остро встает проблема распределения ключей. При взаимной аутентификации посредством симметричного шифрования число секретов, которые должны быть заранее распределены между N участниками, равно (N-1)*N/2. Частично эта задача решается путем использования асимметричного шифрования и сертификацией открытых ключей, но сразу же возникает проблема отзыва скомпрометированных ключей.

Сравнительно редкое применение решений типа Kerberos или PKI (Public Key Infrastructure) обусловлено еще и тем, что не часто находится руководитель, который согласится на смену давно работающей схемы аутентификации без серьезных причин. Ведь проблемы с безопасностью обычно становятся очевидны лишь в тот момент, когда исправлять их уже поздно...

Константин АРХИПОВ, руководитель российского представительства Panda Software

Актуальность информационной безопасности в настоящее время очевидна. Каждый день мы становимся свидетелями появления все новых вредоносных программ, которые создаются с целью кражи конфиденциальных данных пользователя (паролей, номеров кредитных карт и т. д.). И если сотрудник предприятия просто вводит свой пароль с клавиатуры, не используя никаких дополнительных средств аутентификации, это ставит под угрозу защищенность информационной системы. Парольная аутентификация опасна не только насильственными способами получения данных. Намного чаще применяются методы социальной инженерии, когда сотрудник передает информацию по телефону или электронной почте. Тем не менее, используя только современные средства контроля за несанкционированным доступом, решить проблему не удастся. Это должно быть комплексное решение, которое, наравне с описанными в статье методами, включает межсетевые экраны, антивирусные продукты, системы контроля информационной безопасности.

Герман ЗУБОВ, руководитель отдела маркетинга ООО «Центр речевых технологий»

Статья вызывает двойственное впечатление. Автор демонстрирует, с одной стороны, хорошее знание современных систем защиты информации от несанкционированного доступа, ди идентификации личности от аутентификации и идентификации пользователя компьютером. Он просто ставит между ними знак равенства. А ведь это разные вещи. В первом случае мы устанавливаем наличие прав пользователя (которые могут легко делегироваться другому лицу) на доступ к информации, во втором – определяем личность пользователя и на основании этого принимаем решение о его правах. И в этом смысле биометрическая идентификация гораздо надежнее: совсем не обязательно произносить те же слова, которые использовались для создания эталона речи; голос и речь могут применяться для диагностики психофизического состояния человека, места его длительного проживания, облика, степени наркотического или алкогольного опьянения и др.

Из этого также ясно, что только биометрические признаки могут использоваться правоохранительными органами для скрытой идентификации преступников, в том числе в целях обеспечения безопасности граждан и государства. Нельзя не упомянуть и об особенностях криминалистической идентификации, которая в большинстве случаев заключается в сравнении «одного с одним» и только в редких случаях «одного со многими». Но это может быть темой отдельной статьи.

Ашот ОГАНЕСЯН, технический директор ЗАО «Смарт Лайн Инк».

Если для аутентификации используются USB-токены или смарт-карт ридеры с интерфейсом USB, то во избежание несанкционированного копирования информации через USB-порт, целесообразно занести эти устройства аутентификации в список («белый») разрешенных USB-устройств и запретить все остальные устройства (USB флеш-диски и т.п.). Поскольку стандартные ОС Windows не обладают функциональными возможностями по блокированию определенных USB-устройств, стоит обратить внимание на решения третьих компаний, таких, например, как DeviceLock.

Богдан ТОБОЛЬ, менеджер по проектам компании TopS BI

Будущее – за «динамической» аутентификацией

Аутентификация сегодня применяется повсеместно, и уже можно делать выводы об эффективности использования тех или иных способов и принципов. Все методы аутентификации можно разделить на три основные группы. Принцип «что вы знаете» заложен в методах статической парольной схемы. Здесь есть свои специфические проблемы: стойкий пароль должен быть длинным и сложным, его тяжело запомнить, что может свести на нет все усилия по защите системы. Принцип «кто вы есть» в определенном смысле более надежен. Однако, как показывает практика, ошибки в системах биометрической аутентификации возрастают по мере их усложнения, кроме того, стоимость владения такими системами выше.

Принцип «что вы имеете» по механизму схож с парольной аутентификацией (пароль записан на носителе). В качестве примера можно привести использование смарт-карт, статических токенов, карт с магнитной полосой. Однако все эти методы имеют одну и ту же проблему: пароль передается в систему управления доступом, а значит, может быть льно использовать не саму идентификационную информацию, а результат какого-то действия. Многофакторная и криптографическая аутентификация также позволяет повысить защищенность систем.

В этом отношении, на наш взгляд, интересным направлением является применение токенов с динамической генерацией пароля. Эти автономные устройства формируют одноразовый пароль, не имея соединения с защищаемой системой. Даже будучи перехваченным, пароль не может быть повторно использован, и, следовательно, работу таких устройств практически невозможно подделать.

Главная страница / Архитектура отрасли