Размещено на http://www.allbest.ru/

Башкирский государственный университет

Идентификация и аутентификация. Обзор существующих методов

Асмандиярова З.З.

Основное содержание исследования

Тема аутентификации (подтверждения подлинности идентификатора объекта) последние пять лет является одной из самых обсуждаемых практически на всех конференциях по информационной безопасности (ИБ) международного и национального уровней. С одной стороны, это объясняется тем, что в условиях глобализации размываются границы предприятия, мир становится мобильным, ресурсы - все более распределенными (отметим, что все более активными становятся хакеры, а значит, увеличивается процент мошенничества). Соответственно, обостряется вопрос о необходимости доподлинно знать, тот ли это ресурс, за который он себя выдает (противодействие фишингу), и является легальным? С другой стороны, аутентификация как один из основных сервисов безопасности - обязательная составляющая систем защиты от несанкционированного доступа (НСД), в качестве подсистемы входящая в ряд систем ИБ.

Идентификацию и аутентификацию можно считать основной программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Происхождение русскоязычного термина "аутентификация" не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" - может, из идентификации? Тем не менее, термин устоялся, он закреплен в Руководящих документах Гостехкомиссии России, использован в многочисленных публикациях, поэтому исправить его уже невозможно.

В сетевой среде, когда стороны идентификации / аутентификации территориально разнесены, у рассматриваемого сервиса есть два основных аспекта:

• что служит аутентификатором (то есть используется для подтверждения подлинности субъекта);

• как организован (и защищен) обмен данными идентификации/ аутентификации.

Субъект может подтвердить свою подлинность, предъявив по крайней мере одну из следующих сущностей:

• нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);

• нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);

• нечто, что есть часть его самого (голос, отпечаток пальцев и т.п., то есть свои биометрические характеристики).

В открытой сетевой среде между сторонами идентификации / аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации.

Надежная идентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вторых, имеется противоречия между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации/аутентификации должны поддержать концепцию единого входа в сеть. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация становится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

Таким образом, необходимр искать компромисс между надежностью, доступного по цене и удобствам использования и администрирования средств идентификации и аутентификации.

Любопытно отметить, что сервис идентификации/аутентификации может стать объектом атак на доступность. Если система сконфигуртрована так, что после определенного числа неудачных попвток устройство ввода идентификационной информации (такое, например, как терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.

Аутентификацию классифицируют по используемым средствам и делят на четыре группы:

• Основанные на знании лицом, имеющие право на доступ, некоторой секретной информации - пароля

• Основанные на использование уникального предмета: жетона, электронной карточки

и др.

• Основанные на измерение биометрических параметров человека - физиологических или поведенческих атрибутах (отпечатки пальцев, почерк, голос и т.п.).

идентификация аутентификация подлинность подтверждение

• Основанные на информации, ассоциированной с пользователем, например, с его координатами.

Если в процессе аутентификации подлинность субъекта установлена, то СКУД предоставляет ему физический и/или логический доступ в соответствии с его полномочиями (совокупностью прав).

В любом из этих случаев процедура аутентификации выполняется в два следующих этапа:

У пользователя однократно берется некий эталонный образец аутентификационной информации, например, запрашивается пароль (или данный образец генерируется случайным образом и затем записывается на смарт-карту пользователя). Данный образец хранится у субъектов системы, проверяющего аутентификацию - модуля аутентификации (например, сервера, который выполняет аутентификацию пользователей). Обычно существует некоторое время действия данного эталона, по завершении которого эталонный образец перезапрашивается.

Каждый раз при выполнении аутентификации у пользователя запрашивается аутентификационная информация, которая сравнивается с эталоном. На основе данного сравнения делается вывод подлинности пользователя.

В настоящее время парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному достоинству - простоте использования. Однако, парольная аутентификация имеет множество недостатков:

В отличие от случайно формируемых криптографических ключей (которые, например, может содержать уникальный предмет, используемый для аутентификации), пароли пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства пользователей к формированию пароля. Часто встречаются случаи выбора пользователями легко предугадываемых паролей, например:

• Пароль эквивалентен идентификатору (имени) пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т.д.);

• Паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем "словарной атаки " - перебора всех слов согласно словарю, содержащему все слова и общеупотребительные фразы используемого языка;

• Достаточно часто пользователи применяют короткие пароли, которые взламываются методом "грубой силы", т.е. простым перебором всех возможных вариантов.

Существуют и свободно доступны различные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, на сайте www.lostpassword.com описана утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), предназначенная для восстановления доступа к документу, если его владелец забыл пароль. Несмотря на данное полезное назначение, ничто не мешавет использовать эту и подобные ей утилиты для взлома чужих паролей.

Пароль может быть получен путем применения насилия к его владельцу.

Пароль может быть подсмотрен или перехвачен при вводе.

В большинстве случаев аутентификация с помощью уникального предмета обеспечивает более серьезную защиту, чем парольная аутентификация.

Предметы, используемые для аутентификации, можно условно разделить на следующие две группы:

"Пассивные" предметы, которые содержат аутентификационную информацию (например, некий случайно генерируемый пароль) (и передают ее в модуль аутентификации по требованию. При этом, ацтентификационная информация может храниться в предмете как в открытом (пример: магнитные карты, смарт-карты с открытой памятью, электронные таблетки Touch Memory), так и в защищенном виде (смарт-карты с защищенной памятью, USB-токены). В последнем случае требуется ввод PIN-кода для доступа к хранящимся данным, что автоматически превращает предмет в средство двухфакторной аутентификации.

"Активные" предметы, которые обладают достаточными вычислительными ресурсами и способны активно участвовать в процессе аутентификации (пример: микропроцессорные смарт-карты и USB - токены). Эта возможность особенно интересна при удаленной аутентификации пользователя, поскольку на основе таких предметов можно обеспечить строгую аутентификацию, при котором секретная информация, позволяющая проверить подлинность пользователя, не передается в открытом виде.

Аутентификация с помощью уникальных предметов обладает и рядом недостатков:

Предмет может быть похищен или отнят у пользователя.

В большинстве случаев требуется специальное оборудование для работы с предметами.

Теоретически возможно изготовление копии или эмулятора предмета.

Биометрическая аутентификация основана на уникальности ряда характеристик человека.

Наиболее часто для аутентификации используется следующие характеристики:

Отпечатки пальцев.

Узор радужной оболочки глаза и структура сетчатки глаза.

Черты лица.

Форма кисти руки.

Параметры голоса.

Схема кровеносных сосудов лица.

Форма и способ подписи.

В процессе биометрической аутентификации эталонной и предъявленной пользователем образцы сравнивают с некоторой погрешностью, которая определяется и устанавливается заранее. Погрешность подбирается для установления оптимального соотношения двух основных характеристик используемого средства биометрической аутентификации:

FAR (False Accept Rate) - коэффициент ложного принятия (т.е. некто успешно прошел аутентификацию под именем легального пользователя).

FRR (False Reject Rate) - коэффициент ложного отказа (т.е. легальный пользователь системы не прошел аутентификацию).

Обе величины измеряются в процентах и должны быть минимальны. Следует отметить, что величины являются обратнозависимыми, поэтому аутентифицирующий модель при использовании биометрической аутентификации настраивается индивидуально - в зависимости от используемой биометрической характеристики и требований к качеству защиты ищется некая "золотая середина" между данными коэффициентами. Серьезное средство биометрической аутентификации должно позволять настроить коэффициент FAR до велечины порядка 0,01-0,001 % при коэффициенте FRR до 3-5%. В зависимости от используемой биометрической характеристики, средства биометрической аутентификации имеют различные достоинства и недостатки. Например, использование отпечатков пальцев наиболее привычно и удобно для пользователей, но, теоретически, возможно создание "искусственного пальца", успешно проходящего аутентификацию. Общий же недостаток биометрической аутентификации - необходимость в оборудовании для считывания биометрических характеристик, которое может быть достаточно дорогостоящими.

Список литературы

1. http://www.connect.ru/article. asp? id=9065 http://www.securitylab.ru/blog/personal/Information-security/34882. php

2. http://www.scienceforum.ru/2015/ http://www.aladdin-rd.ru/company/pressroom/articles/37808/

Размещено на Allbest.ru