Tunnistaminen ja todennus: peruskäsitteet

2024 Kirjoittaja: Howard Calhoun | [email protected]. Viimeksi muokattu: 2023-12-17 10:26

Tunnistaminen ja todennus ovat nykyaikaisten ohjelmisto- ja laitteistoturvatyökalujen perusta, koska kaikki muut palvelut on pääasiassa suunniteltu palvelemaan näitä kokonaisuuksia. Nämä käsitteet edustavat eräänlaista ensimmäistä puolustuslinjaa, joka varmistaa organisaation tietotilan turvallisuuden.

Mikä tämä on?

Tunnistamisella ja todennuksella on eri toiminnot. Ensimmäinen antaa aiheelle (käyttäjälle tai hänen puolestaan toimivalle prosessille) mahdollisuuden antaa oman nimensä. Todennuksen avulla toinen osapuoli on lopulta vakuuttunut siitä, että kohde todella on se, joka hän väittää olevansa. Tunnistus ja todennus korvataan usein ilmauksilla "nimiviesti" ja "todennus" synonyymeinä.

Ne itse on jaettu useisiin lajikkeisiin. Seuraavaksi tarkastelemme, mitä tunnistaminen ja todennus ovat ja mitä ne ovat.

Todennus

Tämä konsepti tarjoaa kaksi tyyppiä: yksipuolinen, kun asiakason ensin todistettava aitous palvelimelle, ja kaksisuuntainen, eli kun keskinäinen vahvistus suoritetaan. Tavallinen esimerkki siitä, kuinka tavallinen käyttäjän tunnistaminen ja todennus suoritetaan, on tiettyyn järjestelmään kirjautuminen. Siten eri tyyppejä voidaan käyttää eri objekteissa.

Verkkoympäristössä, jossa käyttäjän tunnistaminen ja todennus suoritetaan maantieteellisesti hajallaan, kyseinen palvelu eroaa kahdelta pääasi altaan:

• joka toimii autentikaattorina;
• miten todennus- ja tunnistustietojen vaihto tarkalleen organisoitiin ja miten se suojataan.

Todistaakseen henkilöllisyytensä henkilön on esitettävä jokin seuraavista entiteeteistä:

• tietyt tiedot, jotka hän tietää (henkilönumero, salasana, erityinen salausavain jne.);
• tietty asia, jonka hän omistaa (henkilökohtainen kortti tai jokin muu vastaavaan tarkoitukseen tarkoitettu laite);
• tietty asia, joka on osa itseään (sormenjäljet, ääni ja muut biometriset keinot käyttäjien tunnistamiseen ja todentamiseen).

Järjestelmäominaisuudet

Avoimessa verkkoympäristössä osapuolilla ei ole luotettua reittiä, mikä tarkoittaa, että yleensä kohteen välittämä tieto ei lopulta välttämättä vastaa vastaanotettua ja käytettyä tietoatodennuksen yhteydessä. Sen on varmistettava verkon aktiivisen ja passiivisen kuuntelun turvallisuus eli suojaus erilaisten tietojen korjaukselta, sieppaukselta tai toistolta. Mahdollisuus lähettää salasanoja selkokielisenä on epätyydyttävä, eikä myöskään salasanan salaus voi pelastaa päivää, koska ne eivät suojaa toistumista vastaan. Tästä syystä nykyään käytetään monimutkaisempia todennusprotokollia.

Luotettava tunnistaminen on vaikeaa paitsi erilaisten online-uhkien vuoksi, myös monista muista syistä. Ensinnäkin melkein mikä tahansa todennuskokonaisuus voidaan varastaa, väärentää tai päätellä. Käytettävän järjestelmän luotettavuuden ja toisa alta järjestelmänvalvojan tai käyttäjän mukavuuden välillä on myös tietty ristiriita. Turvallisuussyistä on siis pyydettävä käyttäjää syöttämään todennustietonsa uudelleen tietyin väliajoin (koska joku toinen henkilö voi jo istua hänen paikallaan), ja tämä ei ainoastaan aiheuta lisäongelmia, vaan lisää huomattavasti mahdollisuus, että joku voi vakoilla syöttää tietoja. Muun muassa suojavarusteiden luotettavuus vaikuttaa merkittävästi sen hintaan.

Nykyaikaiset tunnistus- ja todennusjärjestelmät tukevat kertakirjautumista verkkoon, mikä mahdollistaa ensisijaisesti käyttömukavuuden vaatimusten täyttämisen. Jos tavallisessa yritysverkossa on monia tietopalveluita,riippumattoman käsittelyn mahdollisuus, henkilötietojen toistuva lisääminen on liian työlästä. Tällä hetkellä ei vielä voida sanoa, että kertakirjautumisen käyttöä pidettäisiin normaalina, sillä vallitsevia ratkaisuja ei ole vielä muodostunut.

Siksi monet yrittävät löytää kompromissin tunnistus-/todennuskeinojen kohtuuhintaisuuden, mukavuuden ja luotettavuuden välillä. Käyttäjien v altuutus suoritetaan tässä tapauksessa yksittäisten sääntöjen mukaisesti.

Erityistä huomiota tulee kiinnittää siihen, että käytettävä palvelu voidaan valita saatavuushyökkäyksen kohteeksi. Jos järjestelmä on määritetty siten, että sisäänpääsy estetään tietyn määrän epäonnistuneiden yritysten jälkeen, hyökkääjät voivat tässä tapauksessa pysäyttää laillisten käyttäjien työn muutamalla näppäinpainalluksella.

Salasanan todennus

Tällaisen järjestelmän tärkein etu on, että se on erittäin yksinkertainen ja tuttu useimmille. Salasanat ovat olleet käyttöjärjestelmien ja muiden palveluiden käytössä jo pitkään, ja oikein käytettynä ne tarjoavat useimmille organisaatioille varsin hyväksyttävän tietoturvatason. Mutta toisa alta, ominaisuuksien kokonaisjoukon kann alta tällaiset järjestelmät edustavat heikoimpia keinoja, joilla tunnistus/autentikointi voidaan suorittaa. V altuutus tulee tässä tapauksessa melko yksinkertaiseksi, koska salasanojen on oltavamieleenpainuvia, mutta samalla yksinkertaisia yhdistelmiä ei ole vaikea arvata, varsinkin jos henkilö tietää tietyn käyttäjän mieltymykset.

Joskus käy niin, että salasanoja ei periaatteessa pidetä salassa, koska niillä on tietyissä dokumentaatioissa määritelty melko vakioarvot, eikä niitä aina vaihdeta järjestelmän asennuksen jälkeen.

Salasanaa syötettäessä näet, ja joissain tapauksissa ihmiset jopa käyttävät erikoistuneita optisia laitteita.

Käyttäjät, jotka ovat tärkeimmät tunnistuksen ja todentamisen kohteet, voivat usein jakaa salasanansa kollegoilleen, jotta he voivat vaihtaa omistajaa tietyksi ajaksi. Teoriassa tällaisissa tilanteissa olisi parasta käyttää erityisiä kulunvalvontalaitteita, mutta käytännössä sitä ei käytä kukaan. Ja jos kaksi ihmistä tietää salasanan, se lisää huomattavasti mahdollisuuksia, että muut saavat lopulta tietää siitä.

Miten tämä korjataan?

On olemassa useita tapoja, joilla tunnistaminen ja todennus voidaan varmistaa. Tietojenkäsittelykomponentti voi suojata itsensä seuraavasti:

• Erilaisten teknisten rajoitusten asettaminen. Useimmiten säännöt asetetaan salasanan pituudelle sekä tiettyjen siinä olevien merkkien sisällölle.
• Salasanojen vanhenemisen hallinta eli tarve vaihtaa niitä säännöllisesti.
• Rajoitetaan pääsyä pääsalasanatiedostoon.
• Rajoittamalla epäonnistuneiden kirjautumisyritysten kokonaismäärää. KiitoksetTässä tapauksessa hyökkääjien tulee suorittaa toimintoja vain ennen tunnistamista ja todennusta, koska raakaa voimaa ei voida käyttää.
• Käyttäjien esikoulutus.
• Käyttämällä erikoistunutta salasanan luontiohjelmistoa, jonka avulla voit luoda yhdistelmiä, jotka ovat riittävän iloisia ja mieleenpainuvia.

Kaikki näitä toimenpiteitä voidaan käyttää joka tapauksessa, vaikka salasanojen lisäksi käytettäisiin muita todennustapoja.

Kertakäyttöiset salasanat

Yllä mainitut vaihtoehdot ovat uudelleenkäytettäviä, ja jos yhdistelmä paljastuu, hyökkääjä saa mahdollisuuden suorittaa tiettyjä toimintoja käyttäjän puolesta. Tästä syystä kertakäyttöisiä salasanoja käytetään vahvempana keinona, joka kestää passiivisen verkon kuuntelun mahdollisuutta, minkä ansiosta tunnistus- ja todennusjärjestelmästä tulee paljon turvallisempi, vaikkakaan ei niin kätevä.

Tällä hetkellä yksi suosituimmista ohjelmiston kertakäyttöisten salasanan luojien ohjelmistoista on Bellcoren julkaisema järjestelmä nimeltä S/KEY. Tämän järjestelmän perusajatuksena on, että siinä on tietty toiminto F, joka on sekä käyttäjän että todennuspalvelimen tiedossa. Seuraava on salainen avain K, jonka tietää vain tietty käyttäjä.

Käyttäjän ensimmäisen hallinnan aikana tätä toimintoa käytetään näppäimeentietyn määrän kertoja, jonka jälkeen tulos tallennetaan palvelimelle. Jatkossa todennusmenettely näyttää tältä:

1. Palvelimelta tulee käyttäjäjärjestelmään numero, joka on 1 vähemmän kuin kuinka monta kertaa toimintoa käytetään näppäimeen.
2. Käyttäjä käyttää toimintoa käytettävissä olevaan salaiseen avaimeen niin monta kertaa kuin ensimmäisessä kappaleessa on asetettu, minkä jälkeen tulos lähetetään verkon kautta suoraan todennuspalvelimelle.
3. Palvelin käyttää tätä toimintoa vastaanotettuun arvoon, jonka jälkeen tulosta verrataan aiemmin tallennettuun arvoon. Jos tulokset täsmäävät, käyttäjä todennetaan ja palvelin tallentaa uuden arvon ja pienentää sitten laskuria yhdellä.

Käytännössä tämän tekniikan toteutus on rakenteeltaan hieman monimutkaisempi, mutta tällä hetkellä se ei ole niin tärkeää. Koska toiminto on peruuttamaton, vaikka salasana siepattaisiin tai todennuspalvelimelle päästäisiin luvatta, se ei tarjoa mahdollisuutta hankkia salaista avainta ja millään tavalla ennustaa, miltä seuraava kertaluonteinen salasana tarkalleen ottaen näyttää.

Venäjällä yhtenäisenä palveluna käytetään erityistä v altion portaalia - "Unified Identification / Authentication System" ("ESIA").

Toinen lähestymistapa vahvaan todennusjärjestelmään on luoda uusi salasana lyhyin väliajoin, mikä myös toteutetaanerikoisohjelmien tai erilaisten älykorttien käyttö. Tässä tapauksessa todennuspalvelimen on hyväksyttävä asianmukainen salasanan luontialgoritmi sekä tietyt siihen liittyvät parametrit, ja lisäksi tulee olla myös palvelimen ja asiakkaan kellon synkronointi.

Kerberos

Kerberos-todennuspalvelin ilmestyi ensimmäisen kerran viime vuosisadan 90-luvun puolivälissä, mutta sen jälkeen se on jo saanut v altavan määrän perustavanlaatuisia muutoksia. Tällä hetkellä tämän järjestelmän yksittäiset komponentit ovat läsnä lähes kaikissa nykyaikaisissa käyttöjärjestelmissä.

Tämän palvelun päätarkoituksena on ratkaista seuraava ongelma: olemassa on tietty suojaamaton verkko, jonka solmuihin on keskittynyt eri aiheita käyttäjien sekä palvelin- ja asiakasohjelmistojärjestelmien muodossa. Jokaisella sellaisella subjektilla on yksilöllinen salainen avain, ja jotta subjektilla C olisi mahdollisuus todistaa oma aitoutensa subjektille S, jota ilman hän ei yksinkertaisesti palvele häntä, hänen on paitsi nimettävä itsensä, myös osoittaakseen, että hän tietää tietyn salaisen avaimen. Samaan aikaan C:llä ei ole mahdollisuutta yksinkertaisesti lähettää salaista avaimeansa S:lle, koska ensinnäkin verkko on avoin, ja lisäksi S ei tiedä, eikä periaatteessa hänen pitäisi tietää sitä. Tällaisessa tilanteessa käytetään vähemmän yksinkertaista tekniikkaa osoittamaan näiden tietojen tuntemus.

Sähköinen tunnistaminen/todennus Kerberos-järjestelmän kautta mahdollistaa senkäyttää luotettavana kolmantena osapuolena, jolla on tietoa palveltavien objektien salaisista avaimista ja joka tarvittaessa auttaa niitä suorittamaan parillisen todennuksen.

Asiakas lähettää siis ensin järjestelmään pyynnön, joka sisältää tarvittavat tiedot hänestä sekä pyydetystä palvelusta. Tämän jälkeen Kerberos tarjoaa hänelle eräänlaisen lipun, joka on salattu palvelimen salaisella avaimella, sekä kopion osasta sen tiedoista, joka on salattu asiakkaan avaimella. Vastaavuuden sattuessa todetaan, että asiakas on purkanut hänelle tarkoitetun tiedon, eli hän pystyi osoittamaan, että hän todella tietää salaisen avaimen. Tämä viittaa siihen, että asiakas on juuri se, joka hän väittää olevansa.

Tässä on kiinnitettävä erityistä huomiota siihen, että salaisia avaimia ei siirretty verkon kautta, vaan niitä käytettiin yksinomaan salaukseen.

Biometrinen todennus

Biometriikka sisältää yhdistelmän automatisoituja keinoja ihmisten tunnistamiseen/todentamiseen heidän käyttäytymis- tai fysiologisten ominaisuuksiensa perusteella. Fyysisiä todentamis- ja tunnistamiskeinoja ovat silmän verkkokalvon ja sarveiskalvon, sormenjälkien, kasvojen ja käsien geometrian ja muiden henkilötietojen tarkistaminen. Käyttäytymisominaisuuksia ovat muun muassa näppäimistön kanssa työskentelytyyli ja allekirjoituksen dynamiikka. Yhdistettymenetelmiä ovat ihmisen äänen erilaisten piirteiden analysointi sekä hänen puheensa tunnistaminen.

Tällaisia tunnistus-/todennus- ja salausjärjestelmiä käytetään laaj alti monissa maissa ympäri maailmaa, mutta ne olivat pitkään erittäin kalliita ja vaikeita käyttää. Viime aikoina biometristen tuotteiden kysyntä on kasvanut merkittävästi sähköisen kaupankäynnin kehityksen myötä, koska käyttäjän näkökulmasta on paljon mukavampaa esitellä itsensä kuin muistaa jotain tietoa. Vastaavasti kysyntä luo tarjontaa, joten markkinoille alkoi ilmestyä suhteellisen edullisia tuotteita, jotka keskittyvät pääasiassa sormenjälkien tunnistamiseen.

Suurin osa tapauksista biometrisiä tietoja käytetään yhdessä muiden todentajien, kuten älykorttien, kanssa. Biometrinen todennus on usein vain ensimmäinen puolustuslinja ja toimii keinona aktivoida älykortteja, jotka sisältävät erilaisia kryptografisia salaisuuksia. Tätä tekniikkaa käytettäessä biometrinen malli tallennetaan samalle kortille.

Biometriikan alalla aktiivisuus on melko korkea. Asianmukainen konsortio on jo olemassa, ja myös teknologian eri osa-alueiden standardointityötä tehdään melko aktiivisesti. Nykyään voit nähdä paljon mainosartikkeleita, joissa biometriset tekniikat esitetään ihanteellisena keinona lisätä turvallisuutta ja samalla suuren yleisön saatavilla.massat.

ESIA

Identification and Authentication System ("ESIA") on erityinen palvelu, joka on luotu varmistamaan hakijoiden ja osastojen väliseen vuorovaikutukseen osallistuvien henkilöllisyyden todentamiseen liittyvien erilaisten tehtävien toteuttaminen, kun on kyse kaikki kunnalliset tai v altion palvelut sähköisessä muodossa.

Jotta pääset käyttämään "v altion virastojen yhtenäistä portaalia" sekä kaikkia muita nykyisen sähköisen hallinnon infrastruktuurin tietojärjestelmiä, sinun on ensin rekisteröitävä tili ja sen seurauksena, vastaanota PES.

Tasot

Yhdistetyn tunnistus- ja todennusjärjestelmän portaali tarjoaa henkilöille kolme pääasiallista tilitasoa:

• Yksinkertaistettu. Rekisteröityäksesi sinun tarvitsee vain ilmoittaa sukunimesi ja etunimesi sekä jokin tietty viestintäkanava sähköpostiosoitteen tai matkapuhelimen muodossa. Tämä on ensisijainen taso, jonka kautta henkilöllä on pääsy vain rajoitettuun luetteloon erilaisista julkisista palveluista sekä olemassa olevien tietojärjestelmien ominaisuuksiin.
• Vakio. Sen saamiseksi sinun on ensin myönnettävä yksinkertaistettu tili ja annettava sitten myös lisätiedot, mukaan lukien tiedot passista ja vakuutuksen henkilökohtaisen tilin numero. Määritetyt tiedot tarkistetaan automaattisesti tietojärjestelmien kauttaEläkekassa sekä liittov altion siirtolaispalvelu, ja jos tarkistus onnistuu, tili siirretään vakiotasolle, mikä avaa käyttäjälle laajennetun listan julkisista palveluista.
• Vahvistettu. Tämän tason tilin saamiseksi yhtenäinen tunnistus- ja todennusjärjestelmä vaatii käyttäjiltä normaalin tilin sekä henkilöllisyyden todentamisen, joka suoritetaan henkilökohtaisella käynnillä v altuutetussa huoltoliikkeessä tai hankkimalla aktivointikoodi kirjatulla kirjeellä. Jos henkilöllisyyden vahvistus onnistuu, tili siirtyy uudelle tasolle ja käyttäjällä on pääsy kaikkiin tarvittaviin v altionpalveluihin.

Huolimatta siitä, että menettelyt saattavat tuntua melko monimutkaisilta, voit itse asiassa tutustua täydelliseen luetteloon tarvittavista tiedoista suoraan virallisella verkkosivustolla, joten täydellinen rekisteröinti on täysin mahdollista muutamassa päivässä.