В настоящее время передача данных по незащищенным каналам связи создаёт потенциальную возможность для действий злоумышленников. В информационных системах хранится, обрабатывается, циркулирует различная информация, потеря или искажение которой может нанести существенный вред. [1, c. 54] Поэтому для обеспечения информационной безопасности, одной из важных задач является использование методов и средств для того, чтобы проверяющая сторона убедилась в подлинности проверяемой стороны. В данной статье будут рассматриваться схемы простой аутентификации.
Простая аутентификация — аутентификация, осуществляемая путем назначения простого пароля. [2, c. 4] Одной из самых используемых схем простой аутентификации является аутентификация на основе многоразовых паролей. На данный момент всё чаще применяются более эффективные средства аутентификации, например системы аутентификации на основе смарт-карт, USB-токенов, программные и аппаратные системы аутентификации на основе одноразовых и графических паролей,
Рассмотрим следующие методы аутентификации:
– аутентификация на основе многоразовых паролей;
– аутентификация на основе одноразовых паролей;
– аутентификация на основе графического пароля;
– аутентификация на основе PIN кода;
– биометрическая аутентификация;
Процедуру простой аутентификации пользователя в сети, с использованием многоразового пароля, можно представить следующим образом. При попытке входа в сеть пользователь набирает на клавиатуре свой идентификатор и пароль. Эти данных поступают для обработки на сервер аутентификации. В базе данных учетных записей пользователей, хранящийся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись, из неё извлекается эталонное значение пароля и сравнивается с тем паролем, который ввел пользователь. Если введённая пользователем пара login/password совпала с эталонной, то аутентификация прошла успешно, пользователь считается авторизованным и ему предоставляются права, которые определены в правилах разграничения доступа.
Для обеспечение надежной защиты, пароль должен быть известен только пользователю и никому другому, даже администратору системы. С одной стороны то, что администратор знает пароль некоторого пользователя не должно негативно отражаться на безопасности системы, т. к. пользователь получает меньшие права, чем администратор. С другой стороны, администратор войдя в систему от имени пользователя получает возможность обходить систему аудита и совершать действия, компрометирующие данного пользователя.
Системы простой аутентификации с использованием многоразовых паролей имеют пониженную стойкость, т. к. в ней выбор аутентифицирующей информации происходит из небольшого набора слов, имеющих достаточно большое время действия. Срок действия многоразового пароля должен быть определён в политике безопасности организации. Пароли нужно часто изменять, выбирать их нужно так, чтобы они были сложны для угадывания и не присутствовали в словаре.
Наиболее часто для проверки удалённых пользователей используются одноразовые пароли. Одноразовые пароли создаются с помощью ОТР-токена или уведомлений по другому каналу связи, например по мобильной сети. Что касается OTP-токена, то для создания пароля, используется секретный ключ пользователя, размещённый внутри устройства и на сервере аутентификации. Для того, чтобы получить доступ к нужным ресурсам, пользователь должен ввести пароль, созданный с помощью ОТР-токена или мобильного устройства. Этот пароль сравнивается со значением, сгенерированным на сервере аутентификации, после чего, предоставляется или не предоставляется доступ. Недостатком ОТР-токенов является ограниченное время жизни этих устройств, т. к. автономность работы предполагает использование батарейки. Недостатком канала связи является возможность перехвата.
Система аутентификации с использованием графического пароля построена на выполнении действий на изображении. Когда пользователь предпринимает попытку войти при помощи графического пароля в систему, та оценивает нарисованные им графические знаки и сравнивает их с эталоном, который был создан при выборе графического пароля.
Далее система затем оценивает разницу между каждым графическим знаком и принимает решение о том, авторизовать пользователя или нет, на основании количества ошибок в комплексе. Если графический знак неверен или использован не в том порядке– то авторизация не пройдет. Если типы линий, точек, их порядок и положение правильны, то система будет оценивать, насколько графический знак отличается от эталона, и примет решение, является ли он достаточно похожим, чтобы авторизовать пользователя.
Преимущества систем графического пароля перед другими видами систем аутентификации состоят в следующем:
– легкость запоминания
– скомпрометированный графический пароль прост в замене.
– •стойкость к методам взлома основана на трудности проведения против графических паролей автоматизированных атак или использовать для подбора пароля широко распространенные программы-шпионы. Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания, например несанкционированных программ, таких как вредоносные программы («троянские кони»), вирусы, черви, макро-вирусы. [3, c 152] Однако графические пароли более подвержены «атакам через плечо». Как контрмеру разработчики рассматривают создание схем для карманных компьютеров или рабочих станций, позволяющих только одному человеку смотреть на экран во время входа в систему.
Следующим методом защиты держателя пластиковой карты и смарт-карты является ввод PIN-кода. Защита РIN-кода карты является важнейшим аспектом для безопасности всей системы. Карты могут быть утрачены, украдены или подделаны. В таких случаях единственной решением против несанкционированного доступа остается секретное значение РIN-кода. Поэтому РIN должен быть известен только законному держателю карты и хранится в секрете на протяжение всего срока действия карты.
Длина РIN-кода должна быть достаточно большой, чтобы уменьшить вероятность определения правильного PIN-кода перебором. С другой стороны, длина РIN-кода должна быть достаточно короткой, чтобы дать возможность держателям карт запомнить его значение.
Данный способ, в общем является многоразовым паролем с ограниченным алфавитом. В большинстве случаев PIN- код представляет собой четырехразрядное число, каждая цифра которого принимает значение от 0 до 9. PIN- код вводится с клавиатуры компьютера или терминала, затем отправляется на смарт-карту, где сравнивается с эталонным значением, и отправляет результат сравнения на терминал. PIN код относится к мерам обеспечения безопасности, используемым, чаще всего, для финансовых транзакций. Поэтому PIN-код шифруют сразу во время ввода.
Биометрическая система аутентификации очень удобна для пользователей, распознаёт людей на основе их анатомических особенностей и/или поведенческих черт. В отличие от систем, использующих пароли, которые могут быть утеряны, украдены, скопированы, биометрические системы аутентификации основаны на человеческих параметрах, которые всегда находятся вместе с ними.
В настоящее время методы биометрической аутентификации делятся на два класса:
1) статические методы, основанные на физиологических характеристиках человека, находящиеся при нём в течение всей его жизни, и которые нельзя потерять, украсть и скопировать.
К статическим методам относятся:
– аутентификация по отпечатку пальца
– аутентификация по радужной оболочке глаза
– аутентификация по сетчатке глаза
– аутентификация по геометрии руки
– аутентификация по термограмме лица
2) динамические методы, основанные на поведенческих характеристиках людей.
Динамическими методами являются:
– аутентификация по голосу
– аутентификация по рукописному почерку
– аутентификация по клавиатурному почерку
В процессе биометрической аутентификации эталонный и предъявленный пользователем образцы сравнивают с некоторой погрешностью, которая определяется и устанавливается заранее. Погрешность подбирается для установления оптимального соотношения двух основных характеристик биометрической аутентификации:
- FAR (False Accept Rate) — коэффициент ложного принятия (т. е. некто успешно прошел аутентификацию под именем легального пользователя).
- FRR (False Reject Rate) — коэффициент ложного отказа (т. е. легальный пользователь системы не прошел аутентификацию).
FAR и FRR измеряются в процентах и должны быть минимальны. Данные величины являются обратнозависимыми, поэтому в зависимости от используемой биометрической характеристики и требований к качеству защиты ищется некая «золотая середина» между данными величинами. Серьезное средство биометрической аутентификации должно позволять настроить коэффициент FAR до величин порядка 0,01–0,001 % при коэффициенте FRR до 3–5 %.
Биометрическая аутентификация имеет различные достоинства и недостатки. Например, использование отпечатков пальцев наиболее привычно и удобно для пользователей, но, теоретически, возможно создание «искусственного пальца», успешно проходящего аутентификацию. Важный недостаток биометрической аутентификации — необходимость в сканерах для считывания биометрических характеристик пользователя, которые являются достаточно дорогостоящими на рынке.
К недостаткам биометрических средств относятся:
– вероятность изменения злоумышленником базы шаблонов;
– некоторые биометрические данные человека меняются (в результате старения, травм, ожогов, порезов, болезни, ампутации и т. д.), поэтому база шаблонов нуждается в постоянном обновлении;
– кража биометрических данных или их компрометация — угроза безопасности на всю жизнь.
– биометрические характеристики являются уникальными, но их нельзя сохранить в секрете;
– большинство биометрических систем являются дорогостоящими для широкого использования.
Нужно отметить, что биометрию чаще используют для идентификации, аутентификацию уже проводят посредством пользовательских паролей.
Результаты анализа методов аутентификации (на основе многоразовых паролей, одноразовых паролей; графического пароля; на основе PIN кода, биометрической аутентификации) можно представить в таблице 1.
Таблица 1
Сравнительный анализ методов аутентификации
|
Метод аутентификации |
Основные характеристики метода, определяющие его стойкость |
Сфера применения |
Примеры применения |
|
Многоразовые пароли |
Множество символов (алфавит); мощность множества; Длина. |
WEB-сайты, сетевые службы, авторизация, смартфоны, планшеты |
– Аутентификация на web-сайтах. – Аутентификация пользователей в операционной системе. – Аутентификация при удаленном доступе к сетевым службам. |
|
Одноразовые пароли |
Множество символов (алфавит); мощность множества; Длина. |
Мобильный банк, Web-сайты, OTP-токены. |
– Аутентификация при оплате услуг через интернет. – Аутентификация при восстановлении пароля на Web-сайтах;. |
|
Графические пароли |
Множество узлов (сетка) поля; Множество фигур; Количество задействованных узлов. |
ПК, смартфоны, планшеты |
– Аутентификация при доступе к устройству |
|
PIN-код |
Длина. |
SMART-карты, смартфоны |
– Аутентификация при включении мобильного телефона. – Аутентификация при оплате банковской картой. |
|
Биометрическая аутентификация |
Уникальность признака; FAR: FRR. |
ПК, смартфоны, СКУД |
– Аутентификация при доступе к устройству |
Проанализировав методы простой аутентификации, нужно отметить, что они имеют ряд существенных недостатков, которые негативно влияют на обеспечение безопасности информации. Во избежание предоставления злоумышленнику потенциальной возможности для нарушения конфиденциальности, доступности и целостности в нашей системе, следует выполнять рекомендации по созданию и хранению пароля и использовать уже схемы строгой аутентификации.
Литература:
- Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии. Вестник волгоградского государственного университета. Волгоград.: 2011, с.54.
- ГОСТ Р ИСО/МЭК 9594–8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
- Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155
