Identifikasi dan otentikasi: konsep dasar

Identifikasi dan otentikasi merupakan dasar dari perangkat lunak dan perangkat keras modern keamanan, karena setiap layanan lainnya terutama ditujukan untuk servis mata pelajaran ini. Konsep-konsep ini merupakan semacam garis pertama pertahanan, menjamin keamanan dari ruang informasi organisasi.

Apa itu?

Identifikasi dan otentikasi memiliki fungsi yang berbeda. Yang pertama memberikan subjek (user atau proses yang bertindak atas nama) kesempatan untuk memberitahu nama mereka sendiri. Dengan cara otentikasi adalah sisi kedua adalah benar-benar yakin bahwa subjek benar-benar adalah satu untuk siapa ia mengaku. Seringkali, sebagai identifikasi sinonim dan otentikasi diganti dengan kalimat "nama Post" dan "otentikasi".

Mereka sendiri dibagi menjadi beberapa varietas. Berikutnya, kami menganggap bahwa identifikasi dan otentikasi dan apa yang mereka.

pembuktian keaslian

Konsep ini menyediakan dua jenis: satu arah, klien pertama harus membuktikan ke server untuk otentikasi, dan bilateral, yaitu, ketika konfirmasi saling dilakukan. contoh khas bagaimana melakukan identifikasi standar dan otentikasi pengguna - adalah untuk login ke sistem tertentu. Dengan demikian, berbagai jenis dapat digunakan di berbagai objek.

Dalam lingkungan jaringan, di mana identifikasi dan otentikasi pengguna dilakukan pada geografis pihak tersebar, memeriksa layanan dibedakan oleh dua aspek utama:

• yang bertindak sebagai authenticator;
• bagaimana itu diselenggarakan oleh pertukaran otentikasi data dan identifikasi dan bagaimana melindunginya.

Untuk mengkonfirmasi keasliannya, subjek harus disampaikan kepada salah satu perusahaan berikut ini:

• informasi tertentu yang dia tahu (nomor pribadi, password, sebuah kriptografi kunci khusus, dll ...);
• hal yang pasti ia memiliki (kartu pribadi atau perangkat lain yang memiliki tujuan yang sama);
• hal tertentu, yang merupakan unsur itu (sidik jari, suara atau identifikasi biometrik lainnya dan otentikasi pengguna).

fitur sistem

Dalam lingkungan jaringan terbuka, para pihak tidak memiliki jalan yang terpercaya, dan dikatakan bahwa secara umum, informasi yang dikirimkan oleh subjek mungkin akhirnya berbeda dari informasi yang diterima dan digunakan untuk otentikasi. keamanan yang diperlukan aktif dan pasif sniffer jaringan, yaitu, perlindungan terhadap koreksi, intersepsi atau pemutaran data yang berbeda. pilihan transfer sandi di jelas tidak memuaskan, dan tidak bisa menyimpan hari, dan password terenkripsi, karena mereka tidak disediakan, perlindungan pemutaran. Itulah sebabnya hari ini digunakan protokol otentikasi yang lebih kompleks.

identifikasi yang dapat diandalkan sulit bukan hanya karena berbagai ancaman jaringan, tetapi juga untuk berbagai alasan lainnya. Pertama hampir semua entitas otentikasi dapat diculik, atau memalsukan atau Pramuka. ketegangan antara keandalan sistem yang digunakan juga hadir, di satu sisi, dan administrator sistem atau pengguna fasilitas - di sisi lain. Jadi, untuk alasan keamanan diperlukan dengan beberapa frekuensi meminta pengguna untuk kembali pengenalan informasi otentikasi (sebagai gantinya ia mungkin harus duduk beberapa orang lain), dan itu tidak hanya menciptakan masalah tambahan, tetapi juga secara signifikan meningkatkan kemungkinan bahwa seseorang dapat mengorek informasi masukan. Selain itu, keandalan perlindungan berarti dampak yang signifikan pada nilai.

Modern identifikasi dan otentikasi sistem mendukung konsep single sign-on ke jaringan, yang terutama melayani kebutuhan dalam hal-ramah pengguna. Jika standar jaringan perusahaan memiliki banyak layanan informasi, menyediakan untuk kemungkinan sirkulasi independen, maka administrasi beberapa data pribadi menjadi terlalu memberatkan. Pada saat itu masih mungkin untuk mengatakan bahwa penggunaan single sign-on untuk jaringan normal, sebagai solusi dominan belum terbentuk.

Dengan demikian, banyak yang mencoba untuk menemukan kompromi antara keterjangkauan, kenyamanan dan keandalan dana, yang menyediakan identifikasi / otentikasi. otorisasi pengguna dalam hal ini dilakukan sesuai dengan aturan individu.

Perhatian khusus harus diberikan pada fakta bahwa layanan digunakan dapat dipilih sebagai obyek serangan terhadap ketersediaan. Jika konfigurasi sistem dibuat sedemikian rupa bahwa setelah sejumlah upaya gagal masuk kemungkinan telah dikunci, maka penyerang dapat menghentikan operasi pengguna yang sah dengan hanya beberapa keystrokes.

otentikasi password

Keuntungan utama dari sistem ini adalah bahwa hal itu sangat sederhana dan akrab bagi sebagian besar. Password telah lama digunakan oleh sistem operasi dan layanan lainnya, dan dengan penggunaan yang tepat dari keamanan yang disediakan, yang cukup dapat diterima bagi sebagian besar organisasi. Di sisi lain, dengan seperangkat karakteristik dari sistem tersebut adalah sarana paling lemah dimana identifikasi / otentikasi dapat diimplementasikan. Otorisasi dalam hal ini menjadi cukup sederhana, karena password harus menarik, tetapi tidak sulit untuk menebak kombinasi sederhana, terutama jika orang tersebut tahu preferensi pengguna tertentu.

Kadang-kadang terjadi bahwa password, pada prinsipnya, tidak dirahasiakan, seperti nilai-nilai cukup standar yang ditentukan dalam dokumentasi yang spesifik, dan tidak selalu setelah sistem terinstal, mengubah mereka.

Bila Anda memasukkan sandi yang Anda lihat, dalam beberapa kasus, orang bahkan menggunakan instrumen optik khusus.

Pengguna, subyek utama identifikasi dan otentikasi, password sering menginformasikan rekan-rekan untuk orang-orang pada waktu tertentu telah berubah pemilik. Secara teori, dalam situasi seperti itu akan lebih tepat untuk menggunakan kontrol akses khusus, namun dalam prakteknya tidak digunakan. Dan jika password tahu dua orang, itu sangat sangat meningkatkan kemungkinan bahwa di akhir itu dan mempelajari lebih lanjut.

Cara memperbaikinya?

Ada beberapa alat seperti identifikasi dan otentikasi dapat dilindungi. Komponen pemrosesan informasi dapat mengasuransikan berikut:

• Pengenaan berbagai keterbatasan teknis. Paling sering menetapkan aturan tentang panjang password dan isi dari karakter tertentu.
• Kantor sandi kadaluarsa, yaitu mereka harus diganti secara berkala.
• Terbatasnya akses ke file password dasar.
• Batasan jumlah total usaha yang gagal yang tersedia saat Anda login. Karena penyerang ini harus dilakukan hanya tindakan untuk melakukan identifikasi dan otentikasi serta metode pengurutan tidak dapat digunakan.
• pelatihan awal pengguna.
• Menggunakan khusus sandi software generator yang dapat membuat kombinasi tersebut yang cukup merdu dan mengesankan.

Semua langkah-langkah ini dapat digunakan dalam hal apapun, bahkan jika bersama-sama dengan password juga akan menggunakan cara lain otentikasi.

satu kali password

Perwujudan atas dapat digunakan kembali, dan dalam kasus pembukaan kombinasi penyerang mampu melakukan operasi tertentu atas nama pengguna. Itulah sebabnya sebagai tahan terhadap kemungkinan sniffer jaringan pasif berarti kuat, menggunakan password satu kali dengan yang identifikasi dan sistem otentikasi jauh lebih aman, meskipun tidak nyaman.

Pada saat ini, salah satu perangkat lunak yang paling populer satu kali password generator adalah sistem yang disebut S / KEY, dirilis oleh Bellcore. Konsep dasar dari sistem ini adalah bahwa ada fungsi tertentu dari F, yang dikenal baik pengguna dan server otentikasi. Berikut ini adalah K kunci rahasia, hanya diketahui pengguna tertentu.

Pada pengguna administrasi awal, fungsi ini digunakan untuk memasukkan beberapa kali, maka hasilnya disimpan di server. Selanjutnya, prosedur otentikasi adalah sebagai berikut:

1. Pada sistem pengguna dari server datang ke nomor yang 1 kurang dari jumlah kali menggunakan fungsi ke tombol.
2. Fungsi pengguna digunakan untuk kunci rahasia dalam jumlah kali yang telah diatur dalam poin pertama, dimana hasilnya dikirim melalui jaringan langsung ke server otentikasi.
3. server menggunakan fungsi ini untuk nilai yang diperoleh, dan kemudian hasilnya dibandingkan dengan nilai yang disimpan sebelumnya. Jika hasil cocok, maka identitas pengguna didirikan, dan server menyimpan nilai baru, dan kemudian menurun counter per satu.

Dalam prakteknya, penerapan teknologi ini memiliki struktur agak lebih rumit, tetapi pada saat itu tidak masalah. Karena fungsi ini tidak dapat diubah, bahkan jika password intersepsi atau memperoleh akses yang tidak sah ke server otentikasi tidak memberikan kemungkinan untuk memperoleh kunci pribadi dan cara untuk memprediksi bagaimana persis akan terlihat seperti password satu kali berikut.

Di Rusia sebagai layanan terpadu, negara Portal khusus - "sistem Unik identifikasi / otentikasi" ( "ESIA").

Pendekatan lain untuk sistem otentikasi yang kuat terletak pada kenyataan bahwa password baru yang dihasilkan pada interval pendek, yang juga diwujudkan melalui penggunaan program khusus atau berbagai kartu pintar. Dalam hal ini, server otentikasi harus menerima algoritma pembangkit sandi yang sesuai dan parameter tertentu yang terkait dengan itu, dan di samping itu, harus hadir sebagai server sinkronisasi jam dan klien.

kerberos

Kerberos server otentikasi untuk pertama kalinya muncul di pertengahan 90-an abad lalu, namun sejak itu ia telah menerima banyak perubahan mendasar. Pada saat ini, masing-masing komponen dari sistem yang hadir di hampir setiap sistem operasi modern.

Tujuan utama dari layanan ini adalah untuk memecahkan masalah berikut: ada jaringan tertentu tidak aman dan node dalam bentuk terkonsentrasi di berbagai pengguna mata pelajaran, dan server dan perangkat lunak klien sistem. Setiap entitas tersebut hadir kunci rahasia individu, dan untuk mata pelajaran dengan kesempatan untuk membuktikan keaslian mereka ke subjek S, tanpa yang ia hanya tidak akan melayani, itu akan perlu untuk tidak hanya menyebut dirinya, tetapi juga untuk menunjukkan bahwa ia tahu beberapa kunci rahasia. Pada saat yang sama Dengan ada cara untuk hanya mengirim ke arah S kunci rahasia Anda seperti dalam contoh pertama jaringan terbuka, dan di samping itu, S tidak tahu, dan, pada prinsipnya, seharusnya tidak mengenalnya. Dalam situasi ini, menggunakan demonstrasi teknologi kurang jelas pengetahuan dari informasi tersebut.

identifikasi elektronik / otentikasi melalui sistem Kerberos menyediakan untuk digunakan sebagai pihak ketiga yang dipercaya, yang memiliki informasi tentang kunci rahasia situs dilayani dan membantu mereka dalam melaksanakan otentikasi berpasangan jika perlu.

Dengan demikian, klien pertama yang dikirim dalam query yang berisi informasi yang diperlukan tentang hal itu, serta layanan yang diminta. Setelah ini, Kerberos memberinya semacam tiket yang dienkripsi dengan kunci rahasia server, serta salinan dari beberapa data dari itu, yang merupakan kunci rahasia klien. Dalam hal itu didirikan informasi bahwa klien itu diuraikan dimaksudkan itu, yaitu, ia mampu menunjukkan bahwa kunci pribadi mengenalnya benar. Hal ini menunjukkan bahwa klien adalah orang yang itu.

Perhatian khusus harus di sini diambil untuk memastikan bahwa transmisi kunci rahasia tidak dilakukan pada jaringan, dan mereka digunakan secara eksklusif untuk enkripsi.

otentikasi menggunakan biometrik

Biometrics melibatkan kombinasi dari otomatis identifikasi / otentikasi orang berdasarkan karakteristik perilaku atau fisiologis mereka. sarana fisik identifikasi dan otentikasi memberikan retina memindai dan mata kornea, sidik jari, wajah dan geometri tangan, serta informasi pribadi lainnya. Karakteristik perilaku juga termasuk gaya kerja dengan keyboard dan dinamika tanda tangan. metode gabungan adalah analisis karakteristik yang berbeda dari suara manusia, serta pengakuan dari pidatonya.

Identifikasi / otentikasi dan enkripsi sistem tersebut digunakan secara luas di banyak negara di seluruh dunia, tetapi untuk waktu yang lama, mereka biaya yang sangat tinggi dan kompleksitas penggunaan. Baru-baru ini, permintaan untuk produk biometrik telah meningkat secara signifikan karena pengembangan e-commerce, karena, dari sudut pandang pengguna, jauh lebih mudah untuk hadir sendiri, daripada mengingat beberapa informasi. Dengan demikian, permintaan menciptakan penawaran, sehingga pasar mulai muncul produk yang relatif murah dari, yang terutama difokuskan pada pengenalan sidik jari.

Pada sebagian besar kasus, biometrik digunakan dalam kombinasi dengan otentikator lainnya seperti smart card. Sering otentikasi biometrik hanya baris pertama pertahanan dan bertindak sebagai sarana meningkatkan smartcard, termasuk berbagai rahasia kriptografi. Bila menggunakan teknologi ini, template biometric disimpan pada kartu yang sama.

Kegiatan di bidang biometrik cukup tinggi. Relevan konsorsium yang ada, serta bekerja sangat aktif sedang berlangsung untuk membakukan berbagai aspek teknologi. Hari ini kita dapat melihat banyak artikel iklan bahwa teknologi biometrik disajikan sebagai cara yang ideal menyediakan peningkatan keselamatan dan pada saat yang sama terjangkau kepada massa.

ESIA

sistem identifikasi dan otentikasi ( "ESIA") adalah layanan khusus yang dirancang untuk memastikan pelaksanaan berbagai tugas yang berhubungan dengan verifikasi keaslian pelamar dan anggota kerjasama antar dalam hal setiap layanan kota atau publik dalam bentuk elektronik.

Dalam rangka untuk mendapatkan akses ke "portal tunggal dari struktur negara", serta infrastruktur sistem informasi lainnya yang ada e-government, Anda harus terlebih dahulu mendaftar akun dan sebagai hasilnya, dapatkan AED.

tingkat

Portal dari sistem terpadu dari identifikasi dan otentikasi menyediakan tiga tingkat dasar rekening untuk individu:

• Disederhanakan. Untuk pendaftaran hanya mencakup nama pertama dan terakhir, serta beberapa saluran tertentu dari komunikasi dalam bentuk alamat email atau ponsel. Tingkat ini primer, dimana seseorang memberikan akses hanya untuk daftar terbatas berbagai layanan pemerintah, serta kemampuan sistem informasi yang ada.
• Standar. Untuk mendapatkan awalnya perlu mengeluarkan akun disederhanakan, dan kemudian juga memberikan informasi tambahan, termasuk informasi dari nomor paspor dan rekening perorangan asuransi. Informasi ini secara otomatis diperiksa melalui sistem informasi Dana Pensiun, serta Dinas Migrasi Federal, dan, jika tes ini berhasil, akun dikonversi ke tingkat standar, itu membuka pengguna untuk daftar diperluas pelayanan negara.
• Dikonfirmasi. Untuk mendapatkan tingkat akun, suatu sistem terpadu dari identifikasi dan otentikasi mengharuskan pengguna untuk account standar, serta bukti identitas, yang dilakukan melalui kunjungan pribadi departemen layanan resmi atau dengan memperoleh kode aktivasi melalui surat terdaftar. Dalam hal konfirmasi individu berhasil, account akan pergi ke tingkat yang baru, dan untuk pengguna akan mendapatkan akses ke daftar lengkap pelayanan publik yang dibutuhkan.

Terlepas dari kenyataan bahwa prosedur mungkin tampak cukup kompleks untuk benar-benar melihat daftar lengkap data yang dibutuhkan bisa langsung di website resmi, sehingga memungkinkan untuk melengkapi pendaftaran selama beberapa hari.