Було запропоновано цю статтю або розділ до Автентифікація, але, можливо, це варто додатково . Пропозиція з грудня 2015. |
«Автентифікація» (англ. authentication, грец. αὐθεντικός authentikos, — «реальний, справжній», від грец. αὐθέντης authentes, — «автор») — процедура перевірки автентичності, наприклад:
- перевірка автентичності користувача шляхом порівняння введеного їм пароля з паролем, збереженим у базі даних користувачів;
- підтвердження достовірності електронного листа шляхом перевірки цифрового підпису листи з відкритого ключа відправника;
- перевірка контрольної суми файла на відповідність сумі, заявленої автором цього файлу.
У російській мові термін застосовується, в основному, в області інформаційних технологій.
Враховуючи ступінь довіри і політику безпеки систем, проводиться перевірка достовірності може бути односторонньої або взаємної. Зазвичай вона проводиться за допомогою криптографічних способів.
Автентифікацію не слід плутати з авторизацією (процедурою надання суб'єкту певних прав) і (процедурою розпізнавання суб'єкта за його ідентифікатором).
Історія
З давніх часів перед людством стояло досить складне завдання — переконатися в достовірності важливих повідомлень. Придумувалися мовні паролі, складні друку. Поява методів автентифікації з використанням механічних пристроїв значно спрощувало завдання, наприклад, звичайний замок і ключ були придумані дуже давно. Приклад системи автентифікації можна побачити у старовинній казці «Пригоди Алі-Баби і сорока розбійників». У цій казці йдеться про скарби, сховані в печері. Печера була загороджена каменем. Відсунути його можна було тільки за допомогою унікального мовного пароля: «Сим-Сим, відкрийся!».
У даний час у зв'язку з великим розвитком мережевих технологій автоматична автентифікація використовується повсюдно.
У цьому стандарті викладено два види автентифікації: проста, використовує пароль як перевірку заявленої ідентичності, і сувора, що використовує посвідчення особи, створені з використанням криптографічних методів.
FIPS 113 — COMPUTER AUTHENTICATION DATA
Справжній стандарт встановлює Authentication Data Algorithm(DAA), який може бути використаний для виявлення несанкціонованих змін даних, як навмисних, так і випадкових, стандарт заснований на алгоритмі, зазначеному в Data Encryption Standard(DES) Federal Information Processing Standards Publication(FIPS PUB) 46, і сумісний як з Department of the treasury's Electronic Funds Transfer and Security Policy and the American National Standards Institute(ANSI) так і з Standard for Financial Institution Message Authentication.
Даний стандарт використовується для контролю за цілісністю інформації, що передається засобами криптографічного автентифікації.
Елементи системи автентифікації
У будь-якій системі автентифікації зазвичай можна виділити кілька елементів:
- «'суб'єкт»', який буде проходити процедуру
- «'характеристика»' суб'єкта — відмітна риса
- «'господар системи автентифікації»', несе відповідальність і контролює його роботу
- сам «'механізм автентифікації»', тобто принцип роботи системи
- «'механізм, що надає певні права доступу або позбавляє суб'єкта них»'
Елемент автентифікації | Печера 40 розбійників | Реєстрація в системі | Банкомат |
---|---|---|---|
Суб'єкт | Людина, що знає пароль | Авторизований | Утримувач банківської картки |
Характеристика | Пароль , !» | Таємний пароль | Банківська картка та персональний ідентифікатор |
Господар системи | Підприємство, якому належить система | Банк | |
Механізм автентифікації | Чарівний пристрій, що реагує на слова | Програмне забезпечення, перевіряє пароль | Програмне забезпечення, яке перевіряє картку і персональний ідентифікатор |
Механізм управління доступом | Механізм, відсуваючий камінь від входу в печеру | Процес реєстрації, управління доступом | Дозвіл на виконання банківських дій |
Чинники автентифікації
Ще до появи комп'ютерів використовувалися різні відмінні риси суб'єкта, його характеристики. Зараз використання тієї чи іншої характеристики в системі залежить від необхідної надійності, захищеності та вартості впровадження. Виділяють 3 фактори автентифікації:
- «'Що те, що ми знаємо — пароль»'. Це таємні відомості, якими повинен володіти тільки авторизований суб'єкт. Паролем може бути мовне слово, текстове слово, комбінація для замку або особистий ідентифікаційний номер (PIN). Парольний механізм може бути досить легко втілений і має низьку вартість. Але має суттєві недоліки: зберегти пароль у таємниці часто буває складно, зловмисники постійно вигадують нові способи крадіжки, злому і підбору пароля (див. бандитський криптоаналіз, метод грубої сили). Це робить парольний механізм слабозахищеним.
- «'Що-те, що ми маємо — пристрій автентифікації»'. Тут важливо обставина володіння суб'єктом якимось особливим предметом. Це може бути особиста печатка, ключ від замку, для комп'ютера це файл даних, що містять характеристику. Характеристика часто вбудовується в особливий пристрій автентифікації, наприклад, пластикова картка, смарт-картка. Для зловмисника роздобути такий пристрій стає більш складно, ніж зламати пароль, а суб'єкт може відразу ж повідомити в разі крадіжки пристрою. Це робить даний метод більш захищеним, ніж парольний механізм, проте вартість такої системи більш висока.
- «'Щось, що є частиною нас — '. Характеристикою є фізична особливість суб'єкта. Це може бути портрет, відбиток пальця або долоні, голос або . З точки зору суб'єкта, даний спосіб є найбільш простим: не треба запам'ятовувати пароль, ні переносити з собою пристрій автентифікації. Однак біометрична система повинна володіти високою чутливістю, щоб підтверджувати авторизованого користувача, але відкидати зловмисника зі схожими біометричними параметрами. Також вартість такої системи досить велика. Але, незважаючи на свої недоліки, біометрика залишається досить перспективним фактором.
Способи автентифікації
Автентифікація за паролем
- Автентифікація за багаторазовим паролем
- Автентифікація за одноразовими паролями
Автентифікація за багаторазовими паролями
Один із способів автентифікації в комп'ютерній системі полягає у введенні вашого ідентифікатора, в просторіччі званого (англ. login — реєстраційне ім'я користувача, учетка) і пароля — якихось конфіденційних відомостей. Достовірна (еталонна) пара логін-пароль зберігається в спеціальній базі даних.
Проста автентифікація має наступний загальний алгоритм:
- Суб'єкт запитує доступ в систему і вводить особистий ідентифікатор та пароль.
- Введені неповторні дані надходять на сервер автентифікації, де порівнюються з еталонними.
- При збігу даних з еталонними автентифікація визнається успішною, при розходженні — суб'єкт переміщується до 1-го кроку
Введений суб'єктом пароль може передаватися в мережі двома способами:
- У відкритому, не зашифрованому, вигляді, на основі протоколу парольного автентифікації (Password Authentication Protocol, PAP)
- З використанням шифрування SSL або TLS. У цьому випадку неповторні дані, введені суб'єктом, що передаються по мережі захищено.
Захищеність
З точки зору найкращою захищеності при зберіганні і передачі паролів слід використовувати односпрямовані функції. Зазвичай для цих цілей використовуються криптографічно стійкі хеш-функції. У цьому випадку на сервері зберігається тільки образ пароля. Отримавши пароль і виконавши його хеш-перетворення, система порівнює отриманий результат з еталонним чином, що зберігаються в ній. При їх ідентичності паролі збігаються. Для зловмисника, який отримав доступ до образу, обчислити сам пароль практично неможливо.
Використання багаторазових паролів має ряд істотних недоліків. По-перше, сам еталонний пароль або його хешований образ зберігаються на сервері автентифікації. Найчастіше зберігання пароля проводиться без криптографічних перетворень, системних файлах. Отримавши доступ до них, зловмисник легко добереться до конфіденційних відомостей. По-друге, суб'єкт змушений запам'ятовувати (або записувати) свій багаторазовий пароль. Зловмисник може отримати його, просто застосувавши навички соціальної інженерії, без усяких технічних засобів. Крім того, сильно знижується захищеність системи у разі, коли суб'єкт сам вибирає собі пароль. Часто виявляється якесь слово або сполучення слів, що присутні у словнику. У ГОСТ 28147-89 довжина ключа складає 256 біт (32 байти). При використанні генератора псевдовипадкових чисел ключ володіє хорошими статистичними властивостями. Пароль, який є, наприклад, слово зі словника, можна звести до псевдовипадкового числа довжиною 16 біт, що коротше ГОСТ-ового ключа в 16 раз. При достатній кількості часу зловмисник може зламати пароль простим перебором. Вирішенням цієї проблеми є використання випадкових паролів або обмеженість по часу дії пароля суб'єкта, після закінчення якого необхідно поміняти пароль.
Бази облікових записів
На комп'ютерах з ОС сімейства UNIX базою є файл /etc/master.passwd (в дистрибутивах Linux зазвичай файл /etc/shadow, доступний для читання лише ), в якому паролі користувачів зберігаються у вигляді хеш-функцій від відкритих паролів, крім цього, в цьому ж файлі зберігається інформація про права користувача. Спочатку в Unix-системах пароль (в зашифрованому вигляді) зберігався у файлі (/etc/passwd), доступному для читання всім користувачам, що було небезпечно.
На комп'ютерах з операційною системою Windows NT/2000/XP/2003 (не входять в ) така база даних називається SAM ( — Диспетчер захисту облікових записів). База SAM зберігає облікові записи користувачів, що включають в себе всі дані, необхідні системі захисту для функціонування. Знаходиться у теці %windir%\system32\config\.
У доменах Windows Server 2000/2003 такою базою є Active Directory.
Однак більш надійним способом зберігання автентифікаційних даних визнано використання особливих апаратних засобів (компонентів).
При необхідності забезпечення роботи співробітників на різних комп'ютерах (з підтримкою системи безпеки) використовують апаратно-програмні системи, що дозволяють зберігати автентифікаційні дані та криптографічні ключі на сервері організації. Користувачі можуть вільно працювати на будь-якому комп'ютері (робочої станції), маючи доступ до своїх автентифікаційних даними та криптографічних ключів.
Автентифікація за одноразовими паролями
Отримавши одного разу багаторазовий пароль суб'єкта, зловмисник має постійний доступ до зламаним конфіденційних даних. Ця проблема вирішується застосуванням одноразових паролів (OTP — One Time Password). Суть цього методу — пароль дійсний тільки для одного входу в систему, при кожному наступному запиті доступу — потрібен новий пароль. Реалізований механізм автентифікації за одноразовими паролями може бути як апаратно, так і програмно.
Технології використання одноразових паролів можна розділити на:
- Використання генератора псевдовипадкових чисел, єдиного для суб'єкта і системи
- Використання тимчасових міток разом з системою єдиного часу
- Використання бази випадкових паролів, єдиної для суб'єкта і для системи
В першому методі використовується генератор псевдовипадкових чисел з однаковим значенням для суб'єкта і для системи. Згенерований суб'єктом пароль може передаватися системі при послідовному використанні односторонньої функції або при кожному новому запиті, ґрунтуючись на унікальній інформації з попереднього запиту.
У другому методі використовуються тимчасові мітки. Як приклад такої технології можна навести . Вона заснована на використанні апаратних ключів і синхронізації за часом. Автентифікація заснована на генерації випадкових чисел через певні часові інтервали. Унікальний секретний ключ зберігається тільки у базі системи і в апаратному пристрої суб'єкта. Коли суб'єкт запитує доступ в систему, йому пропонується ввести PIN-код, а також випадково генерується число, відображене в цей момент на апаратному пристрої. Система порівнює введений PIN-код і секретний ключ суб'єкта зі своєї бази і генерує випадкове число, ґрунтуючись на параметрах секретного ключа з бази і поточного часу. Далі перевіряється ідентичність згенерованого числа і числа, введеного суб'єктом.
Третій метод заснований на єдиній базі паролів для суб'єкта і системи і високоточної синхронізації між ними. При цьому кожен пароль з набору може бути використаний тільки один раз. Завдяки цьому, навіть якщо зловмисник перехопить використовується суб'єктом пароль, то він вже буде недійсний.
Порівняно з використанням багаторазових паролів одноразові паролі надають більш високий ступінь захисту.
Автентифікація з допомогою SMS
Актуальність забезпечення безпеки мобільних засобів комунікації, наприклад, ip-phone, стимулює нові розробки в цій області. Серед них можна назвати автентифікацію за допомогою SMS-повідомлень.
Процедура такої автентифікації включає в себе наступні кроки:
- Введення імені користувача і пароля
- Відразу після цього PhoneFactor (служба безпеки) надсилає одноразовий автентифікаційні ключ у вигляді текстового текстові повідомлення.
- Отриманий ключ використовується для автентифікації
Привабливість цього методу полягає в тому, що ключ виходить не з того каналу, по якому виконується автентифікація (out-of-band), що практично виключає атаку типу . Додатковий рівень безпеки може дати вимога введення PIN-коду мобільного засобу.
Даний метод отримав широке розповсюдження в банківських операціях через інтернет.
Біометрична автентифікація
Методи автентифікації, засновані на вимірі біометричних параметрів людини, забезпечують майже 100 % ідентифікацію, вирішуючи проблеми втрати паролів і особистих ідентифікаторів.
Прикладами впровадження зазначених методів є системи ідентифікації користувача по малюнку веселкової оболонки ока, відбитків долоні, формами вух, інфрачервоної картині капілярних судин, за почерком, за запахом, за тембром голосу і навіть ДНК.
Новим напрямком є використання біометричних характеристик в інтелектуальних розрахункових картках, жетонах-пропусках і елементах стільникового зв'язку. Наприклад, при розрахунку в магазині пред'явник картки кладе палець на сканер в підтвердження, що картка дійсно його.
Цей розділ містить текст, що не відповідає . (грудень 2015) |
Найбільш використовувані біометричні атрибути і відповідні системи
- «Відбитки пальців.» Такі сканери мають невеликий розмір, універсальні, відносно недорогі. Біологічна повторюваність відбитка пальця становить 10−5 %. В даний час пропагуються правоохоронними органами через великі асигнування в електронні архіви відбитків пальців.
- «Геометрія руки.» Відповідні пристрої використовуються, коли через бруд або травми важко застосовувати сканери пальців. Біологічна повторюваність геометрії руки близько 2 %.
- «Райдужна оболонка ока.» Дані пристрої володіють найвищою точністю. Теоретична ймовірність збігу двох райдужних оболонок становить 1 з 1078.
- «Термічний образ особи.» Системи дозволяють ідентифікувати людину на відстані до десятків метрів. У комбінації з пошуком даних в базі даних такі системи використовуються для впізнання авторизованих співробітників і відсіювання сторонніх. Однак при зміні освітленості сканери особи мають відносно високий відсоток помилок.
- Системи на основі даного підходу дозволяють ідентифікувати особу в певних умовах з похибкою не більше 3 %. В залежності від методу дозволяють ідентифікувати людину на відстанях від пів-метра до декількох десятків метрів. Даний метод зручний тим, що він дозволяє реалізацію штатними засобами (вебкамера тощо). Більш складні методи вимагають більш витончених пристроїв. Деякі (не всі) методи мають недоліком підміни: можна провести ідентифікацію, якщо замість реальної особи, використати його фотографію.
- «Голос.» Перевірка голоси зручна для використання в телекомунікаційних додатках. Необхідні для цього 16-розрядна звукова плата і конденсаторний мікрофон коштують менше 25 $. Ймовірність помилки становить 2—5 %. Дана технологія підходить для верифікації по голосу по телефонних каналах зв'язку, вона більш надійна порівняно з частотним набором особистого номера. Зараз розвиваються напрямки ідентифікації особистості та його стану по голосу – збуджений, хворий, каже правду, не в собі і т. д.
- «Введення з клавіатури.» Тут при введенні, наприклад, пароля відслідковуються швидкість і інтервали між натисканнями.
- «Підпис.» Для контролю рукописного підпису використовуються дигітайзери
У той же час біометрична автентифікація має ряд недоліків:
- Біометричний шаблон порівнюється не з результатом первинної обробки характеристик користувача, а з тим, що прийшло до місця порівняння. За час шляху може багато чого статися.
- База шаблонів може бути змінена зловмисником.
- Слід враховувати різницю між застосуванням біометрії на контрольованій території, під пильним оком охорони, і в «польових» умовах, коли, наприклад, до пристрою сканування можуть піднести муляж тощо
- Деякі біометричні дані людини змінюються (як в результаті старіння, так і травм, опіків, порізів, хвороби, ампутації і т. д.), так що база шаблонів потребує постійному супроводі, а це створює певні проблеми і для користувачів, і для адміністраторів.
- Якщо у Вас крадуть біометричні дані або їх компрометують, то це, як правило, на все життя. Паролі, при всій їх ненадійність, в крайньому випадку можна змінити. Палець, очей або голос змінити не можна, принаймні швидко.
- Біометричні характеристики є унікальними ідентифікаторами, але їх можна зберегти в секреті.
Автентифікація через географічне розташування
- Автентифікація за допомогою GPS
- Автентифікація, заснована на місцезнаходження виходу в інтернет
Автентифікація за допомогою GPS
Новітнім напрямом автентифікації є доказ автентифікацію користувача за його місцезнаходженням. Цей захисний механізм заснований на використанні системи космічної навігації, типу GPS (Global Positioning System).
Користувач, що має апаратуру GPS, багаторазово посилає координати заданих супутників, що знаходяться в зоні прямої видимості. Підсистема автентифікації, знаючи орбіти супутників, може з точністю до метра визначити місцезнаходження користувача. Висока надійність автентифікації визначається тим, що орбіти супутників схильні коливанням, які досить важко передбачити. Крім того, координати постійно змінюються, що зводить нанівець можливість їх перехоплення.
Складність злому системи полягає в тому, що апаратура передає оцифрований сигнал супутника, не роблячи ніяких обчислень. Всі обчислення про місцезнаходження виробляють на сервері автентифікації.
Апаратура GPS проста і надійна у використанні і порівняно недорога. Це дозволяє її використовувати у випадках, коли авторизований віддалений користувач повинен перебувати в потрібному місці.
Автентифікація, заснована на місцезнаходження виходу в інтернет
Цей механізм заснований на використанні інформації про місцезнаходження серверів, точок доступу бездротового зв'язку, через які здійснюється підключення до мережі інтернет.
Відносна простота злому полягає в тому, що інформацію про розташування можна змінити, використовуючи так звані проксі-сервери або системи анонімного доступу.
Багатофакторна автентифікація
Останнім часом все частіше застосовується так звана розширена, або багатофакторна, автентифікація. Вона побудована на спільному використанні декількох факторів автентифікації. Це значно підвищує захищеність системи.
Як приклад можна навести використання SIM-карт у мобільних телефонах. Суб'єкт вставляє апаратно свою карту (пристрій автентифікації) в телефон і при включенні вводить свій PIN-код (пароль).
Також, наприклад, у деяких сучасних ноутбуках присутній сканер відбитка пальця. Таким чином, при вході в систему суб'єкт повинен пройти цю процедуру (), а потім ввести пароль.
Вибираючи для системи той чи інший фактор або спосіб автентифікації, необхідно, насамперед, відштовхуватися від необхідної ступеня захищеності, вартості побудови системи, забезпечення мобільності суб'єкта.
Можна навести порівняльну таблицю:
Рівень ризику | Вимоги до системи | Технологія автентифікації | Приклади застосування |
---|---|---|---|
Низький | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей «'не будуть мати значних наслідків»' | Рекомендується мінімальна вимога — використання багаторазових паролів | Реєстрація на порталі в мережі Інтернет |
Середній | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей заподіють «'невеликий збиток»' | Рекомендується мінімальна вимога — використання одноразових паролів | Твір суб'єктом банківських операцій |
Високий | Потрібно здійснити автентифікацію для доступу до системи, причому крадіжка, злом, розголошення конфіденційних відомостей заподіють «'значний збиток»' | Рекомендується мінімальна вимога — використання багатофакторної автентифікації | Проведення великих міжбанківських операцій керівним апаратом |
Протоколи автентифікації
Процедура автентифікації використовується при обміні інформацією між комп'ютерами, при цьому використовуються вельми складні криптографічні протоколи, що забезпечують захист лінії зв'язку від прослуховування або підміни одного з учасників взаємодії. А оскільки, як правило, автентифікація необхідна обом об'єктам, що встановлює мережеве взаємодія, то автентифікація може бути і взаємною.
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Bulo zaproponovano priyednati cyu stattyu abo rozdil do Avtentifikaciya ale mozhlivo ce varto dodatkovo Propoziciya z grudnya 2015 Ne plutati z avtorizaciyeyu Avtentifikaciya angl authentication grec aὐ8entikos authentikos realnij spravzhnij vid grec aὐ8enths authentes avtor procedura perevirki avtentichnosti napriklad perevirka avtentichnosti koristuvacha shlyahom porivnyannya vvedenogo yim parolya z parolem zberezhenim u bazi danih koristuvachiv pidtverdzhennya dostovirnosti elektronnogo lista shlyahom perevirki cifrovogo pidpisu listi z vidkritogo klyucha vidpravnika perevirka kontrolnoyi sumi fajla na vidpovidnist sumi zayavlenoyi avtorom cogo fajlu U rosijskij movi termin zastosovuyetsya v osnovnomu v oblasti informacijnih tehnologij Vrahovuyuchi stupin doviri i politiku bezpeki sistem provoditsya perevirka dostovirnosti mozhe buti odnostoronnoyi abo vzayemnoyi Zazvichaj vona provoditsya za dopomogoyu kriptografichnih sposobiv Avtentifikaciyu ne slid plutati z avtorizaciyeyu proceduroyu nadannya sub yektu pevnih prav i proceduroyu rozpiznavannya sub yekta za jogo identifikatorom IstoriyaZ davnih chasiv pered lyudstvom stoyalo dosit skladne zavdannya perekonatisya v dostovirnosti vazhlivih povidomlen Pridumuvalisya movni paroli skladni druku Poyava metodiv avtentifikaciyi z vikoristannyam mehanichnih pristroyiv znachno sproshuvalo zavdannya napriklad zvichajnij zamok i klyuch buli pridumani duzhe davno Priklad sistemi avtentifikaciyi mozhna pobachiti u starovinnij kazci Prigodi Ali Babi i soroka rozbijnikiv U cij kazci jdetsya pro skarbi shovani v pecheri Pechera bula zagorodzhena kamenem Vidsunuti jogo mozhna bulo tilki za dopomogoyu unikalnogo movnogo parolya Sim Sim vidkrijsya U danij chas u zv yazku z velikim rozvitkom merezhevih tehnologij avtomatichna avtentifikaciya vikoristovuyetsya povsyudno U comu standarti vikladeno dva vidi avtentifikaciyi prosta vikoristovuye parol yak perevirku zayavlenoyi identichnosti i suvora sho vikoristovuye posvidchennya osobi stvoreni z vikoristannyam kriptografichnih metodiv FIPS 113 COMPUTER AUTHENTICATION DATA Spravzhnij standart vstanovlyuye Authentication Data Algorithm DAA yakij mozhe buti vikoristanij dlya viyavlennya nesankcionovanih zmin danih yak navmisnih tak i vipadkovih standart zasnovanij na algoritmi zaznachenomu v Data Encryption Standard DES Federal Information Processing Standards Publication FIPS PUB 46 i sumisnij yak z Department of the treasury s Electronic Funds Transfer and Security Policy and the American National Standards Institute ANSI tak i z Standard for Financial Institution Message Authentication Danij standart vikoristovuyetsya dlya kontrolyu za cilisnistyu informaciyi sho peredayetsya zasobami kriptografichnogo avtentifikaciyi Elementi sistemi avtentifikaciyiU bud yakij sistemi avtentifikaciyi zazvichaj mozhna vidiliti kilka elementiv sub yekt yakij bude prohoditi proceduru harakteristika sub yekta vidmitna risa gospodar sistemi avtentifikaciyi nese vidpovidalnist i kontrolyuye jogo robotu sam mehanizm avtentifikaciyi tobto princip roboti sistemi mehanizm sho nadaye pevni prava dostupu abo pozbavlyaye sub yekta nih Element avtentifikaciyi Pechera 40 rozbijnikiv Reyestraciya v sistemi BankomatSub yekt Lyudina sho znaye parol Avtorizovanij Utrimuvach bankivskoyi kartkiHarakteristika Parol Tayemnij parol Bankivska kartka ta personalnij identifikatorGospodar sistemi Pidpriyemstvo yakomu nalezhit sistema BankMehanizm avtentifikaciyi Charivnij pristrij sho reaguye na slova Programne zabezpechennya pereviryaye parol Programne zabezpechennya yake pereviryaye kartku i personalnij identifikatorMehanizm upravlinnya dostupom Mehanizm vidsuvayuchij kamin vid vhodu v pecheru Proces reyestraciyi upravlinnya dostupom Dozvil na vikonannya bankivskih dijChinniki avtentifikaciyiShe do poyavi komp yuteriv vikoristovuvalisya rizni vidminni risi sub yekta jogo harakteristiki Zaraz vikoristannya tiyeyi chi inshoyi harakteristiki v sistemi zalezhit vid neobhidnoyi nadijnosti zahishenosti ta vartosti vprovadzhennya Vidilyayut 3 faktori avtentifikaciyi Sho te sho mi znayemo parol Ce tayemni vidomosti yakimi povinen voloditi tilki avtorizovanij sub yekt Parolem mozhe buti movne slovo tekstove slovo kombinaciya dlya zamku abo osobistij identifikacijnij nomer PIN Parolnij mehanizm mozhe buti dosit legko vtilenij i maye nizku vartist Ale maye suttyevi nedoliki zberegti parol u tayemnici chasto buvaye skladno zlovmisniki postijno vigaduyut novi sposobi kradizhki zlomu i pidboru parolya div banditskij kriptoanaliz metod gruboyi sili Ce robit parolnij mehanizm slabozahishenim Sho te sho mi mayemo pristrij avtentifikaciyi Tut vazhlivo obstavina volodinnya sub yektom yakimos osoblivim predmetom Ce mozhe buti osobista pechatka klyuch vid zamku dlya komp yutera ce fajl danih sho mistyat harakteristiku Harakteristika chasto vbudovuyetsya v osoblivij pristrij avtentifikaciyi napriklad plastikova kartka smart kartka Dlya zlovmisnika rozdobuti takij pristrij staye bilsh skladno nizh zlamati parol a sub yekt mozhe vidrazu zh povidomiti v razi kradizhki pristroyu Ce robit danij metod bilsh zahishenim nizh parolnij mehanizm prote vartist takoyi sistemi bilsh visoka Shos sho ye chastinoyu nas Harakteristikoyu ye fizichna osoblivist sub yekta Ce mozhe buti portret vidbitok palcya abo doloni golos abo Z tochki zoru sub yekta danij sposib ye najbilsh prostim ne treba zapam yatovuvati parol ni perenositi z soboyu pristrij avtentifikaciyi Odnak biometrichna sistema povinna voloditi visokoyu chutlivistyu shob pidtverdzhuvati avtorizovanogo koristuvacha ale vidkidati zlovmisnika zi shozhimi biometrichnimi parametrami Takozh vartist takoyi sistemi dosit velika Ale nezvazhayuchi na svoyi nedoliki biometrika zalishayetsya dosit perspektivnim faktorom Sposobi avtentifikaciyiAvtentifikaciya za parolem Avtentifikaciya za bagatorazovim parolem Avtentifikaciya za odnorazovimi parolyamiAvtentifikaciya za bagatorazovimi parolyami Forma vvedennya zv yazki login parolya Odin iz sposobiv avtentifikaciyi v komp yuternij sistemi polyagaye u vvedenni vashogo identifikatora v prostorichchi zvanogo angl login reyestracijne im ya koristuvacha uchetka i parolya yakihos konfidencijnih vidomostej Dostovirna etalonna para login parol zberigayetsya v specialnij bazi danih Prosta avtentifikaciya maye nastupnij zagalnij algoritm Sub yekt zapituye dostup v sistemu i vvodit osobistij identifikator ta parol Vvedeni nepovtorni dani nadhodyat na server avtentifikaciyi de porivnyuyutsya z etalonnimi Pri zbigu danih z etalonnimi avtentifikaciya viznayetsya uspishnoyu pri rozhodzhenni sub yekt peremishuyetsya do 1 go kroku Vvedenij sub yektom parol mozhe peredavatisya v merezhi dvoma sposobami U vidkritomu ne zashifrovanomu viglyadi na osnovi protokolu parolnogo avtentifikaciyi Password Authentication Protocol PAP Z vikoristannyam shifruvannya SSL abo TLS U comu vipadku nepovtorni dani vvedeni sub yektom sho peredayutsya po merezhi zahisheno Zahishenist Z tochki zoru najkrashoyu zahishenosti pri zberiganni i peredachi paroliv slid vikoristovuvati odnospryamovani funkciyi Zazvichaj dlya cih cilej vikoristovuyutsya kriptografichno stijki hesh funkciyi U comu vipadku na serveri zberigayetsya tilki obraz parolya Otrimavshi parol i vikonavshi jogo hesh peretvorennya sistema porivnyuye otrimanij rezultat z etalonnim chinom sho zberigayutsya v nij Pri yih identichnosti paroli zbigayutsya Dlya zlovmisnika yakij otrimav dostup do obrazu obchisliti sam parol praktichno nemozhlivo Vikoristannya bagatorazovih paroliv maye ryad istotnih nedolikiv Po pershe sam etalonnij parol abo jogo heshovanij obraz zberigayutsya na serveri avtentifikaciyi Najchastishe zberigannya parolya provoditsya bez kriptografichnih peretvoren sistemnih fajlah Otrimavshi dostup do nih zlovmisnik legko doberetsya do konfidencijnih vidomostej Po druge sub yekt zmushenij zapam yatovuvati abo zapisuvati svij bagatorazovij parol Zlovmisnik mozhe otrimati jogo prosto zastosuvavshi navichki socialnoyi inzheneriyi bez usyakih tehnichnih zasobiv Krim togo silno znizhuyetsya zahishenist sistemi u razi koli sub yekt sam vibiraye sobi parol Chasto viyavlyayetsya yakes slovo abo spoluchennya sliv sho prisutni u slovniku U GOST 28147 89 dovzhina klyucha skladaye 256 bit 32 bajti Pri vikoristanni generatora psevdovipadkovih chisel klyuch volodiye horoshimi statistichnimi vlastivostyami Parol yakij ye napriklad slovo zi slovnika mozhna zvesti do psevdovipadkovogo chisla dovzhinoyu 16 bit sho korotshe GOST ovogo klyucha v 16 raz Pri dostatnij kilkosti chasu zlovmisnik mozhe zlamati parol prostim pereborom Virishennyam ciyeyi problemi ye vikoristannya vipadkovih paroliv abo obmezhenist po chasu diyi parolya sub yekta pislya zakinchennya yakogo neobhidno pominyati parol Bazi oblikovih zapisiv Na komp yuterah z OS simejstva UNIX bazoyu ye fajl etc master passwd v distributivah Linux zazvichaj fajl etc shadow dostupnij dlya chitannya lishe v yakomu paroli koristuvachiv zberigayutsya u viglyadi hesh funkcij vid vidkritih paroliv krim cogo v comu zh fajli zberigayetsya informaciya pro prava koristuvacha Spochatku v Unix sistemah parol v zashifrovanomu viglyadi zberigavsya u fajli etc passwd dostupnomu dlya chitannya vsim koristuvacham sho bulo nebezpechno Na komp yuterah z operacijnoyu sistemoyu Windows NT 2000 XP 2003 ne vhodyat v taka baza danih nazivayetsya SAM Dispetcher zahistu oblikovih zapisiv Baza SAM zberigaye oblikovi zapisi koristuvachiv sho vklyuchayut v sebe vsi dani neobhidni sistemi zahistu dlya funkcionuvannya Znahoditsya u teci windir system32 config U domenah Windows Server 2000 2003 takoyu bazoyu ye Active Directory Odnak bilsh nadijnim sposobom zberigannya avtentifikacijnih danih viznano vikoristannya osoblivih aparatnih zasobiv komponentiv Pri neobhidnosti zabezpechennya roboti spivrobitnikiv na riznih komp yuterah z pidtrimkoyu sistemi bezpeki vikoristovuyut aparatno programni sistemi sho dozvolyayut zberigati avtentifikacijni dani ta kriptografichni klyuchi na serveri organizaciyi Koristuvachi mozhut vilno pracyuvati na bud yakomu komp yuteri robochoyi stanciyi mayuchi dostup do svoyih avtentifikacijnih danimi ta kriptografichnih klyuchiv Avtentifikaciya za odnorazovimi parolyami Klyuch token Otrimavshi odnogo razu bagatorazovij parol sub yekta zlovmisnik maye postijnij dostup do zlamanim konfidencijnih danih Cya problema virishuyetsya zastosuvannyam odnorazovih paroliv OTP One Time Password Sut cogo metodu parol dijsnij tilki dlya odnogo vhodu v sistemu pri kozhnomu nastupnomu zapiti dostupu potriben novij parol Realizovanij mehanizm avtentifikaciyi za odnorazovimi parolyami mozhe buti yak aparatno tak i programno Tehnologiyi vikoristannya odnorazovih paroliv mozhna rozdiliti na Vikoristannya generatora psevdovipadkovih chisel yedinogo dlya sub yekta i sistemi Vikoristannya timchasovih mitok razom z sistemoyu yedinogo chasu Vikoristannya bazi vipadkovih paroliv yedinoyi dlya sub yekta i dlya sistemi V pershomu metodi vikoristovuyetsya generator psevdovipadkovih chisel z odnakovim znachennyam dlya sub yekta i dlya sistemi Zgenerovanij sub yektom parol mozhe peredavatisya sistemi pri poslidovnomu vikoristanni odnostoronnoyi funkciyi abo pri kozhnomu novomu zapiti gruntuyuchis na unikalnij informaciyi z poperednogo zapitu U drugomu metodi vikoristovuyutsya timchasovi mitki Yak priklad takoyi tehnologiyi mozhna navesti Vona zasnovana na vikoristanni aparatnih klyuchiv i sinhronizaciyi za chasom Avtentifikaciya zasnovana na generaciyi vipadkovih chisel cherez pevni chasovi intervali Unikalnij sekretnij klyuch zberigayetsya tilki u bazi sistemi i v aparatnomu pristroyi sub yekta Koli sub yekt zapituye dostup v sistemu jomu proponuyetsya vvesti PIN kod a takozh vipadkovo generuyetsya chislo vidobrazhene v cej moment na aparatnomu pristroyi Sistema porivnyuye vvedenij PIN kod i sekretnij klyuch sub yekta zi svoyeyi bazi i generuye vipadkove chislo gruntuyuchis na parametrah sekretnogo klyucha z bazi i potochnogo chasu Dali pereviryayetsya identichnist zgenerovanogo chisla i chisla vvedenogo sub yektom Tretij metod zasnovanij na yedinij bazi paroliv dlya sub yekta i sistemi i visokotochnoyi sinhronizaciyi mizh nimi Pri comu kozhen parol z naboru mozhe buti vikoristanij tilki odin raz Zavdyaki comu navit yaksho zlovmisnik perehopit vikoristovuyetsya sub yektom parol to vin vzhe bude nedijsnij Porivnyano z vikoristannyam bagatorazovih paroliv odnorazovi paroli nadayut bilsh visokij stupin zahistu Avtentifikaciya z dopomogoyu SMS Aktualnist zabezpechennya bezpeki mobilnih zasobiv komunikaciyi napriklad ip phone stimulyuye novi rozrobki v cij oblasti Sered nih mozhna nazvati avtentifikaciyu za dopomogoyu SMS povidomlen Procedura takoyi avtentifikaciyi vklyuchaye v sebe nastupni kroki Vvedennya imeni koristuvacha i parolya Vidrazu pislya cogo PhoneFactor sluzhba bezpeki nadsilaye odnorazovij avtentifikacijni klyuch u viglyadi tekstovogo tekstovi povidomlennya Otrimanij klyuch vikoristovuyetsya dlya avtentifikaciyi Privablivist cogo metodu polyagaye v tomu sho klyuch vihodit ne z togo kanalu po yakomu vikonuyetsya avtentifikaciya out of band sho praktichno viklyuchaye ataku tipu Dodatkovij riven bezpeki mozhe dati vimoga vvedennya PIN kodu mobilnogo zasobu Danij metod otrimav shiroke rozpovsyudzhennya v bankivskih operaciyah cherez internet Biometrichna avtentifikaciya Metodi avtentifikaciyi zasnovani na vimiri biometrichnih parametriv lyudini zabezpechuyut majzhe 100 identifikaciyu virishuyuchi problemi vtrati paroliv i osobistih identifikatoriv Prikladami vprovadzhennya zaznachenih metodiv ye sistemi identifikaciyi koristuvacha po malyunku veselkovoyi obolonki oka vidbitkiv doloni formami vuh infrachervonoyi kartini kapilyarnih sudin za pocherkom za zapahom za tembrom golosu i navit DNK Novim napryamkom ye vikoristannya biometrichnih harakteristik v intelektualnih rozrahunkovih kartkah zhetonah propuskah i elementah stilnikovogo zv yazku Napriklad pri rozrahunku v magazini pred yavnik kartki klade palec na skaner v pidtverdzhennya sho kartka dijsno jogo Cej rozdil mistit tekst sho ne vidpovidaye enciklopedichnomu stilyu Bud laska dopomozhit udoskonaliti cej rozdil pogodivshi stil vikladu zi stilistichnimi pravilami Vikipediyi Mozhlivo mistit zauvazhennya shodo potribnih zmin gruden 2015 Najbilsh vikoristovuvani biometrichni atributi i vidpovidni sistemi Vidbitki palciv Taki skaneri mayut nevelikij rozmir universalni vidnosno nedorogi Biologichna povtoryuvanist vidbitka palcya stanovit 10 5 V danij chas propaguyutsya pravoohoronnimi organami cherez veliki asignuvannya v elektronni arhivi vidbitkiv palciv Geometriya ruki Vidpovidni pristroyi vikoristovuyutsya koli cherez brud abo travmi vazhko zastosovuvati skaneri palciv Biologichna povtoryuvanist geometriyi ruki blizko 2 Rajduzhna obolonka oka Dani pristroyi volodiyut najvishoyu tochnistyu Teoretichna jmovirnist zbigu dvoh rajduzhnih obolonok stanovit 1 z 1078 Termichnij obraz osobi Sistemi dozvolyayut identifikuvati lyudinu na vidstani do desyatkiv metriv U kombinaciyi z poshukom danih v bazi danih taki sistemi vikoristovuyutsya dlya vpiznannya avtorizovanih spivrobitnikiv i vidsiyuvannya storonnih Odnak pri zmini osvitlenosti skaneri osobi mayut vidnosno visokij vidsotok pomilok Sistemi na osnovi danogo pidhodu dozvolyayut identifikuvati osobu v pevnih umovah z pohibkoyu ne bilshe 3 V zalezhnosti vid metodu dozvolyayut identifikuvati lyudinu na vidstanyah vid piv metra do dekilkoh desyatkiv metriv Danij metod zruchnij tim sho vin dozvolyaye realizaciyu shtatnimi zasobami vebkamera tosho Bilsh skladni metodi vimagayut bilsh vitonchenih pristroyiv Deyaki ne vsi metodi mayut nedolikom pidmini mozhna provesti identifikaciyu yaksho zamist realnoyi osobi vikoristati jogo fotografiyu Golos Perevirka golosi zruchna dlya vikoristannya v telekomunikacijnih dodatkah Neobhidni dlya cogo 16 rozryadna zvukova plata i kondensatornij mikrofon koshtuyut menshe 25 Jmovirnist pomilki stanovit 2 5 Dana tehnologiya pidhodit dlya verifikaciyi po golosu po telefonnih kanalah zv yazku vona bilsh nadijna porivnyano z chastotnim naborom osobistogo nomera Zaraz rozvivayutsya napryamki identifikaciyi osobistosti ta jogo stanu po golosu zbudzhenij hvorij kazhe pravdu ne v sobi i t d Vvedennya z klaviaturi Tut pri vvedenni napriklad parolya vidslidkovuyutsya shvidkist i intervali mizh natiskannyami Pidpis Dlya kontrolyu rukopisnogo pidpisu vikoristovuyutsya digitajzeri U toj zhe chas biometrichna avtentifikaciya maye ryad nedolikiv Biometrichnij shablon porivnyuyetsya ne z rezultatom pervinnoyi obrobki harakteristik koristuvacha a z tim sho prijshlo do miscya porivnyannya Za chas shlyahu mozhe bagato chogo statisya Baza shabloniv mozhe buti zminena zlovmisnikom Slid vrahovuvati riznicyu mizh zastosuvannyam biometriyi na kontrolovanij teritoriyi pid pilnim okom ohoroni i v polovih umovah koli napriklad do pristroyu skanuvannya mozhut pidnesti mulyazh tosho Deyaki biometrichni dani lyudini zminyuyutsya yak v rezultati starinnya tak i travm opikiv poriziv hvorobi amputaciyi i t d tak sho baza shabloniv potrebuye postijnomu suprovodi a ce stvoryuye pevni problemi i dlya koristuvachiv i dlya administratoriv Yaksho u Vas kradut biometrichni dani abo yih komprometuyut to ce yak pravilo na vse zhittya Paroli pri vsij yih nenadijnist v krajnomu vipadku mozhna zminiti Palec ochej abo golos zminiti ne mozhna prinajmni shvidko Biometrichni harakteristiki ye unikalnimi identifikatorami ale yih mozhna zberegti v sekreti Avtentifikaciya cherez geografichne roztashuvannya Avtentifikaciya za dopomogoyu GPS Avtentifikaciya zasnovana na misceznahodzhennya vihodu v internetAvtentifikaciya za dopomogoyu GPS Novitnim napryamom avtentifikaciyi ye dokaz avtentifikaciyu koristuvacha za jogo misceznahodzhennyam Cej zahisnij mehanizm zasnovanij na vikoristanni sistemi kosmichnoyi navigaciyi tipu GPS Global Positioning System Koristuvach sho maye aparaturu GPS bagatorazovo posilaye koordinati zadanih suputnikiv sho znahodyatsya v zoni pryamoyi vidimosti Pidsistema avtentifikaciyi znayuchi orbiti suputnikiv mozhe z tochnistyu do metra viznachiti misceznahodzhennya koristuvacha Visoka nadijnist avtentifikaciyi viznachayetsya tim sho orbiti suputnikiv shilni kolivannyam yaki dosit vazhko peredbachiti Krim togo koordinati postijno zminyuyutsya sho zvodit nanivec mozhlivist yih perehoplennya Skladnist zlomu sistemi polyagaye v tomu sho aparatura peredaye ocifrovanij signal suputnika ne roblyachi niyakih obchislen Vsi obchislennya pro misceznahodzhennya viroblyayut na serveri avtentifikaciyi Aparatura GPS prosta i nadijna u vikoristanni i porivnyano nedoroga Ce dozvolyaye yiyi vikoristovuvati u vipadkah koli avtorizovanij viddalenij koristuvach povinen perebuvati v potribnomu misci Avtentifikaciya zasnovana na misceznahodzhennya vihodu v internet Cej mehanizm zasnovanij na vikoristanni informaciyi pro misceznahodzhennya serveriv tochok dostupu bezdrotovogo zv yazku cherez yaki zdijsnyuyetsya pidklyuchennya do merezhi internet Vidnosna prostota zlomu polyagaye v tomu sho informaciyu pro roztashuvannya mozhna zminiti vikoristovuyuchi tak zvani proksi serveri abo sistemi anonimnogo dostupu Bagatofaktorna avtentifikaciya Ostannim chasom vse chastishe zastosovuyetsya tak zvana rozshirena abo bagatofaktorna avtentifikaciya Vona pobudovana na spilnomu vikoristanni dekilkoh faktoriv avtentifikaciyi Ce znachno pidvishuye zahishenist sistemi Yak priklad mozhna navesti vikoristannya SIM kart u mobilnih telefonah Sub yekt vstavlyaye aparatno svoyu kartu pristrij avtentifikaciyi v telefon i pri vklyuchenni vvodit svij PIN kod parol Takozh napriklad u deyakih suchasnih noutbukah prisutnij skaner vidbitka palcya Takim chinom pri vhodi v sistemu sub yekt povinen projti cyu proceduru a potim vvesti parol Vibirayuchi dlya sistemi toj chi inshij faktor abo sposib avtentifikaciyi neobhidno nasampered vidshtovhuvatisya vid neobhidnoyi stupenya zahishenosti vartosti pobudovi sistemi zabezpechennya mobilnosti sub yekta Mozhna navesti porivnyalnu tablicyu Riven riziku Vimogi do sistemi Tehnologiya avtentifikaciyi Prikladi zastosuvannyaNizkij Potribno zdijsniti avtentifikaciyu dlya dostupu do sistemi prichomu kradizhka zlom rozgoloshennya konfidencijnih vidomostej ne budut mati znachnih naslidkiv Rekomenduyetsya minimalna vimoga vikoristannya bagatorazovih paroliv Reyestraciya na portali v merezhi InternetSerednij Potribno zdijsniti avtentifikaciyu dlya dostupu do sistemi prichomu kradizhka zlom rozgoloshennya konfidencijnih vidomostej zapodiyut nevelikij zbitok Rekomenduyetsya minimalna vimoga vikoristannya odnorazovih paroliv Tvir sub yektom bankivskih operacijVisokij Potribno zdijsniti avtentifikaciyu dlya dostupu do sistemi prichomu kradizhka zlom rozgoloshennya konfidencijnih vidomostej zapodiyut znachnij zbitok Rekomenduyetsya minimalna vimoga vikoristannya bagatofaktornoyi avtentifikaciyi Provedennya velikih mizhbankivskih operacij kerivnim aparatomProtokoli avtentifikaciyiProcedura avtentifikaciyi vikoristovuyetsya pri obmini informaciyeyu mizh komp yuterami pri comu vikoristovuyutsya velmi skladni kriptografichni protokoli sho zabezpechuyut zahist liniyi zv yazku vid prosluhovuvannya abo pidmini odnogo z uchasnikiv vzayemodiyi A oskilki yak pravilo avtentifikaciya neobhidna obom ob yektam sho vstanovlyuye merezheve vzayemodiya to avtentifikaciya mozhe buti i vzayemnoyu