Библиографическое описание:

Жумагулова С. К., Есендаулетова Ж. Т., Токсеит Д. Некоторые аспекты использования методов аутентификации в программных системах // Молодой ученый. — 2016. — №5. — С. 184-186.

 

Аутентификацией пользователя является это проверка, действительно ли проверяемый пользователь является тем, за кого он себя выдает. Различные методы аутентификации необходимы, фактически во всех системах ограничения и разграничения доступа к данным.

Для корректной аутентификации пользователя пользователь должен предъявить аутентификационную информацию — уникальную информацию, которой должен обладать лишь он один. Существует три главных типа аутентификационных данных:

Проверяемый пользователь обладает определенной уникальной информацией. Пример: парольная аутентификация.

Пользователь имеет определенный предмет с уникальными характеристиками. Примеры: смарт-карта, USB-токен и т. д.

Аутентификационная информация является неотъемлемой частью пользователя. Пример: отпечаток пальца и другие виды биометрической аутентификации.

В каждом из данных случаев аутентификация выполняется в два этапа:

Пользователь единожды дает эталонный образец аутентификационной информации, к примеру, запрашивается пароль. Этот образец хранится у субъекта системы, который проверяет аутентификацию — модуля аутентификации (это может быть, к примеру, сервер, выполняющий аутентификацию пользователей). Как правило, данный эталон действует определенное время, по завершении которого эталонный образец перезапрашивается.

Всякий раз, когда выполняется аутентификация, у пользователя запрашивается аутентификационная информация, которую затем сравнивают с эталоном. Исходя из результатов сравнения, делается вывод о подлинности пользователя.

Нередко процесс аутентификации неразрывно связан с процессом идентификации.

В процессе идентификации устанавливается взаимно однозначное соответствие между множеством сущностей системы и множеством идентификаторов. С помощью идентификации можно различать сущности системы при контроле доступа, аудите и т. д.

В процессе идентификации и аутентификации пользователь или программа запрашивает доступ у системы (верификатора). В первую очередь осуществляется идентификация. Верификатор требует от претендента предъявить определенный идентификатор и выполняет проверку принадлежности предъявленного идентификатора ID множеству зарегистрированных в системе. Если идентификатор корректен, верификатор выполняет процедуру аутентификации (к примеру, запрашивает пароль), для того, чтобы убедиться, что претендент является именно тем, за кого себя выдает. Претендент допускается в систему при условии, что процедура аудентификации успешно завершена. В некоторых системах устанавливается дополнительное пороговое значение для числа попыток предъявления некорректного идентификатора и пароля, при превышении которого все дальнейшие попытки доступа данного претендента к системе блокируются [1].

Чаще всего аутентификационная информация не должна храниться в открытом виде и из соображений безопасности — к примеру, эталонные образцы паролей хранятся в модуле аутентификации либо в зашифрованном виде, либо в виде хэш-значений.

Аутентификация может быть как односторонней, так и взаимной.

Помимо этого, для того, чтобы повысить стойкость аутентификации нередко применяют несколько методов аутентификации в одно время. Аутентификация на основе одновременного предъявления аутентификационной информации двух видов называется двухфакторной. Также существуют примеры и трехфакторной аутентификации, определяемой аналогичным образом.

Рассмотрим наиболее показательные примеры применения аутентификационной информации каждого из перечисленных выше типов.

Парольная аутентификация.

На сегодняшний день парольная аутентификация является наиболее распространенной, в первую очередь, благодаря своему единственному достоинству — простоте применения.

Но у парольной аутентификации имеется немало недостатков:

В отличие от случайно формируемых криптографических ключей (которые, к примеру, могут содержать уникальный предмет, применяемый для аутентификации), пароли пользователя можно подобрать из-за довольно небрежного отношения большинства пользователей к формированию пароля. Нередко пользователи выбирают легко предугадываемые пароли, к примеру:

                    пароль эквивалентен идентификатору пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т. д.);

                    паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки», т. е. перебора всех слов согласно словарю, который содержит все слова и общеупотребительные фразы применяемого языка;

                    нередко пользователи используют короткие пароли, которые можно взломать методом «грубой силы», то есть простым перебором всех возможных вариантов.

Существуют и свободно доступны разные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, существует утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), которая предназначена для восстановления доступа к документу в случае, если его владелец забыл пароль. Несмотря на данное полезное назначение, она и подобные ей утилиты могут быть использованы для взлома чужих паролей. [2]

Пароль может быть подсмотрен или перехвачен при вводе.

Аутентификация с помощью уникального предмета.

Чаще всего аутентификация с помощью уникального предмета обеспечивает более серьезную защиту по сравнению с парольной аутентификацией.

Предметы, применяемые для аутентификации, можно условно разделить на следующие две группы:

«Пассивные» предметы, содержащие аутентификационную информацию (к примеру, некий случайно генерируемый пароль) и передают ее в модуль аутентификации по требованию. При этом аутентификационная информация может храниться в предмете как в открытом (примеры: магнитные карты, смарт-карты с открытой памятью, электронные таблетки Touch Memory), так и в защищенном виде (смарт-карты с защищенной памятью, USB-токены). В последнем случае требуется ввод PIN-кода для доступа к хранящейся информации, что автоматически превращает предмет в средство двухфакторной аутентификации.

«Активные» предметы, которые обладают достаточными вычислительными ресурсами и способны активно участвовать в процессе аутентификации (к примеру, USB-токены и микропроцессорные смарт-карты). Эта возможность особенно интересна при удаленной аутентификации пользователя, так как на основе таких предметов можно обеспечить строгую аутентификацию. Под этим термином скрывается такой вид аутентификации, при котором секретная информация, с помощью которой можно проверить подлинность пользователя, не передается в открытом виде:

                    предмет может быть отнят либо похищен у пользователя;

                    нередко требуется специальное оборудование для работы с предметами;

                    теоретически возможно изготовление эмулятора либо копии предмета;

Биометрическая аутентификация. Данный вид аутентификации основан на уникальности ряда характеристик человека. Чаще всего для аутентификации применяются следующие характеристики:

                    отпечатки пальцев;

                    узор радужной оболочки глаза и структура сетчатки глаза;

                    черты лица;

                    форма кисти руки;

                    параметры голоса;

                    схема кровеносных сосудов лица;

                    форма и способ подписи.

В процессе биометрической аутентификации эталонный и предъявленный пользователем образцы сравнивают с некоторой погрешностью, определяемой и устанавливаемой заранее. Данная погрешность подбирается для установления оптимального соотношения двух основных характеристик применяемого средства биометрической аутентификации:

FAR (False Accept Rate) — коэффициент ложного принятия (то есть некто успешно прошел аутентификацию под именем легального пользователя).

FRR (False Reject Rate) — коэффициент ложного отказа (то есть легальный пользователь системы не прошел аутентификацию). [2]

Обе данные величины измеряются в процентах и должны быть минимальны. Необходимо отметить, что величины являются обратнозависимыми, поэтому аутентифицирующий модуль при применении биометрической аутентификации настраивается индивидуально — в зависимости от применяемой биометрической характеристики и требований к качеству защиты ищется некая «золотая середина» между данными коэффициентами. Серьезное средство биометрической аутентификации должно позволять настроить коэффициент FAR до величин порядка 0,01–0,001 % при коэффициенте FRR до 3–5 %.

В зависимости от используемой биометрической характеристики, средства биометрической аутентификации имеют различные достоинства и недостатки. Например, использование отпечатков пальцев наиболее привычно и удобно для пользователей, но, теоретически, возможно создание «искусственного пальца», успешно проходящего аутентификацию. Общий же недостаток биометрической аутентификации — необходимость в оборудовании для считывания биометрических характеристик, которое может быть достаточно дорогостоящим.

 

Литература:

 

1.                  Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в современных компьютерных системах. — 2-е издание: М.: Радио и связь, 2001.

2.                  Леонтьев Б. Хакинг без секретов. — М.: Познавательная книга плюс, 2000.

Обсуждение

Социальные комментарии Cackle