Парольная аутентификация

Реферат

 

На тему: «парольная аутентификация»

1. Парольная  аутентификация

2. Биометрия

3. Факторы аутентификации

4. Аутентификация по многоразовым паролям

5. Аутентификация по одноразовым паролям

6. Двухфакторная аутентификация

7. Многофакторная аутентификация

8. Генераторы одноразовых паролей

9. Защищенность

10. Список литературы

С давних времен перед  людьми стояла задача защитить информацию, которая несла большую ценность для людей. Придумывались какието специальные фразы или же печати с определенной символикой, узорами и т.п.

Появление методов аутентификации с применением механических устройств  сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной.

В настоящее время  в связи с обширным развитием сетевых технологий, автоматическая аутентификация используется повсеместно.

Аутентифика́ция - процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в БД пользователей. Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографиеских методов.

 

Парольная аутентификация

 

Самый распространённый способ аутентификации – парольный. Однако слабая парольная защита не удовлетворяет современному уровню требований информационной безопасности. Надежность этого способа аутентификации в значительной степени зависит от человеческого фактора, то есть от того, насколько качественные ключевые слова будут выбирать пользователи и насколько серьезно они будут относиться к их хранению. Часто сотрудники стараются упростить свою жизнь, нарушая при этом правила безопасности, и фактически, подчас сами того не сознавая, открывают злоумышленникам дорогу к «святая святых» - коммерческой информации компании.

Обратимся к аналитике: Лишь 23% ИТ-сотрудников, опрошенных Ponemon Institute, высказали уверенность в  том, что неструктурированные данные (например, текстовые документы), которыми обладает компания, надежно защищены. Наоборот, 84% заявило, что к конфиденциальной информации имеют доступ слишком многие, а 76% признало, что не располагают средствами контроля доступа сотрудников к данным. Таким образом, продолжая тратить значительные суммы на системы хранения данных, компании недостаточно внимания уделяют их защите и контролю доступа к ним.

Как это ни парадоксально  звучит, парольная защита является одним из самых дорогих в эксплуатации способов аутентификации. Казалось бы, наоборот, система защиты встроена в ОС, никаких дополнительных затрат не нужно Но обслуживание и сопровождение парольной защиты отнимает много времени у сотрудников компании, ответственных за работоспособность информационной системы. Им необходимо регулярно проводить аудит паролей пользователей, консультировать по правилам выбора и хранения паролей, производить замену паролей для профилактики, а также в случае их утери или забывчивости пользователей. Все это требует времени и ресурсов, причем немалых. Исследования Gartner показывают, что от 10 до 30 % звонков в службу технической поддержки компании - просьбы сотрудников восстановить забытые ими пароли.

Биометрия (пожалуй самый интересный способ)

 

Как я понял, биометрия  это сравнение, сканирование, определенного  либо рисунка, либо того же самого отпечатка пальца, очень удобная штука если посмотреть что запоминать ничего не надо, а так же ключ всегда при себе, но в этой особенной системе защиты есть пожалуй большие недостатки в том плане что биологическое состояние человека или же того же самого рисунка, может быть нарушено любыми окружающими факторами и любое неосторожное обращение с рисунком может привести к тому что придется делать ключ заново, а т.к. биометрия является очень дорогим удовольствием то придется выложить некую сумму денег и времени для того чтобы получить обратно свой доступ к той или иной информации.

Биометрия работает по типу предоставления шаблона (рисунка отпечатка  пальца например) и эталона заложенного  внутри устройства.

 

Контрольный шаблон сравнивается с эталонным или зарегистрированным шаблоном, созданным на основе нескольких образцов определенной физиологической или поведенческой характеристики пользователя, взятых при его регистрации в биометрической системе. Поскольку эти два параметра (контрольный и эталонный шаблон) полностью никогда не совпадают, то биометрической системе приходится принимать решение о том, "достаточно" ли они совпадают. Степень совпадения должна превышать определенную настраиваемую пороговую величину.В силу этих ограничений, биометрию нельзя относить к методам строгой аутентификации, т.к. по своей природе она является вероятностной и подвержена различным видам атак:

 

1. подделка отличительной черты;
2. воспроизведение поведения пользователя;
3. перехват биометрических показателей;
4. воспроизведение биометрической подписи.

Среди других недостатков  стоит отметить сложность внедрения  биометрических систем и дополнительные личные, культурные и религиозные  аспекты применения биометрических технологий аутентификации, связанные  с вмешательством в частную жизнь.

Факторы аутентификации

Ещё до появления компьютеров  использовались различные отличительные  черты субъекта, его характеристики. Сейчас использование той или  иной характеристики в системе зависит  от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации:

Пароль - Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер. Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля. Это делает парольный механизм слабозащищенным.

устройство  аутентификации - Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта. Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.

биометрика - Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца, голос или сечатка глаза. С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

Аутентификация по многоразовым паролям

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, так называемого логина и пороля, а информация о логине и пароле лежит в базе данных сервера.

Простая аутентификация имеет следующий общий план:

Субъект запрашивает  доступ в систему и вводит личный идентификатор и пароль

Введенные уникальные данные поступают  на сервер аутентификации, где сравниваются с эталонными

При совпадении данных с эталонными, аутентификация признается успешной, при различии - субъект перемещается.

Аутентификация по одноразовым паролям

Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет  постоянный доступ к взломанной конфиденциальной информации. Эта проблема решается применением одноразовых паролей. Суть этого метода - пароль действителен только для одного входа в систему, при каждом следующем запросе доступа - требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.

Технологии использования  одноразовых паролей можно разделить на:

Использование генератора псевдослучайных чисел (по рандому), единого для субъекта и системы

Использование временных  меток вместе с системой единого  времени

Использование базы случайных  паролей, единой для субъекта и для  системы

В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функии или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.

Во втором методе используются временные метки. Она основана на использовании аппаратных ключей и  синхронизации по времени. Аутентификация основана на генерации случайных  чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемого в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.

Третий метод основан  на единой базе паролей для субъекта и системы и высокоточной синхронизации  между ними. При этом каждый пароль из набора может быть использован  только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.

По сравнению с использованием многоразовых паролей, одноразовые  пароли предоставляют более высокую  степень защиты.

 

Двухфакторная аутентификация

 

На сегодняшний  день трудно представить работу предприятий и учреждений без компьютерных сетей и баз данных. Государственные, коммерческие и личные секреты доверяются компьютерам, в связи с чем возникает потребность в надежных средствах безопасности для защиты информационных данных.

Наиболее надежным способом является двухфакторная аутентификация – аутентификация, в процессе которой используются аутентификационные факторы нескольких типов. Например, пользователь должен предоставить usb-ключи или смарт карты и ввести пароль. В этом случае злоумышленник не сможет получить доступ к данным, так как ему придется не только подсмотреть пароль, но и предъявить физическое устройство, кража которого, в отличие от кражи пароля, практически всегда быстро обнаруживается.

USB-ключи  и смарт-карты, предназначенные  для двухфакторной аутентификации, безопасно хранят в защищенной памяти пароли, закрытые ключи, сертификаты открытого ключа, профили пользователя и другую информацию, нуждающуюся в безопасном хранении.

 

Многофакторная аутентификация

 

В последнее время  всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.

В качестве примера можно  привести использование сим карт в моб.телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой пин код (пароль).

Также, к примеру в  некоторых современных ноутбуков присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру биометрики, а потом ввести пароль.

Выбирая для системы  тот или иной фактор или способ аутентификации необходимо прежде всего  отталкиваться от требуемой степени  защищенности, стоимости построения системы, обеспечения мобильности субъекта.

 

Генераторы  одноразовых паролей

 

Для работы вне стен офиса  с необорудованных и ненастроенных  рабочих мест, например, в интернет-кафе использовать USB-ключи и смарт-карты  фактически невозможно, особенно с  учётом того, что последние помимо драйверов требуют наличия карт-ридера.

Использование классических «многоразовых» паролей является серьёзной  уязвимостью при работе в таких  недоверенных средах. Это подтолкнуло  ведущих вендоров рынка аутентификации к созданию аппаратных генераторов одноразовых паролей (ОТР-устройств, от англ. One Time Password). Такие устройства генерируют очередной пароль, который сотрудник вводит в окно запроса либо по расписанию (например, каждые 30 секунд) либо по запросу (при нажатии на кнопку). Каждый такой пароль можно использовать только один раз. Проверку правильности введённого значения на стороне сервера проверяет специальный сервер аутентификации, вычисляющий текущее значение одноразового пароля программно.

Для сохранения принципа двухфакторности аутентификации помимо сгенерированного устройством значения пользователь вводит постоянный пароль.

Генераторы одноразовых  паролей появились до широкого распространения  смарт-карт в ответ на растущее число  инцидентов с кражей конфиденциальной информации при помощи удалённого доступа. Такой метод аутентификации не является строгим и носит название – усиленный. Основная уязвимость одноразовых паролей – атака типа «человек посередине». При такой атаке злоумышленник вклинивается в коммуникацию между пользователем и сервером, полностью контролируя весь информационный обмен между ними. Отсутствие криптографических преобразований как в случае с использованием смарт-карт и цифровых сертификатов снижает уровень обеспечиваемой безопасности, позволяя использовать данный способ только в определённых случаях. Так, например, банки в зависимости от метода аутентификации (по одноразовому паролю или цифровому сертификату) устанавливают различные лимиты на проведение операций.Стоит отметить, что в России в связи с более поздним становлением рынка аппаратных токенов и из-за наличия к тому времени более совершенных смарт-карт, генераторы одноразовых паролей не так широко распространены, как, например, на западе.