Библиографическое описание:

Жумагулова С. К., Есендаулетова Ж. Т., Токсеит Д. К. Некоторые аспекты использования методов аутентификации в программных системах // Молодой ученый. — 2016. — №5. — С. 184-186.

 

Аутентификацией пользователя является это проверка, действительно ли проверяемый пользователь является тем, за кого он себя выдает. Различные методы аутентификации необходимы, фактически во всех системах ограничения и разграничения доступа к данным.

Для корректной аутентификации пользователя пользователь должен предъявить аутентификационную информацию — уникальную информацию, которой должен обладать лишь он один. Существует три главных типа аутентификационных данных:

Проверяемый пользователь обладает определенной уникальной информацией. Пример: парольная аутентификация.

Пользователь имеет определенный предмет с уникальными характеристиками. Примеры: смарт-карта, USB-токен и т. д.

Аутентификационная информация является неотъемлемой частью пользователя. Пример: отпечаток пальца и другие виды биометрической аутентификации.

В каждом из данных случаев аутентификация выполняется в два этапа:

Пользователь единожды дает эталонный образец аутентификационной информации, к примеру, запрашивается пароль. Этот образец хранится у субъекта системы, который проверяет аутентификацию — модуля аутентификации (это может быть, к примеру, сервер, выполняющий аутентификацию пользователей). Как правило, данный эталон действует определенное время, по завершении которого эталонный образец перезапрашивается.

Всякий раз, когда выполняется аутентификация, у пользователя запрашивается аутентификационная информация, которую затем сравнивают с эталоном. Исходя из результатов сравнения, делается вывод о подлинности пользователя.

Нередко процесс аутентификации неразрывно связан с процессом идентификации.

В процессе идентификации устанавливается взаимно однозначное соответствие между множеством сущностей системы и множеством идентификаторов. С помощью идентификации можно различать сущности системы при контроле доступа, аудите и т. д.

В процессе идентификации и аутентификации пользователь или программа запрашивает доступ у системы (верификатора). В первую очередь осуществляется идентификация. Верификатор требует от претендента предъявить определенный идентификатор и выполняет проверку принадлежности предъявленного идентификатора ID множеству зарегистрированных в системе. Если идентификатор корректен, верификатор выполняет процедуру аутентификации (к примеру, запрашивает пароль), для того, чтобы убедиться, что претендент является именно тем, за кого себя выдает. Претендент допускается в систему при условии, что процедура аудентификации успешно завершена. В некоторых системах устанавливается дополнительное пороговое значение для числа попыток предъявления некорректного идентификатора и пароля, при превышении которого все дальнейшие попытки доступа данного претендента к системе блокируются [1].

Чаще всего аутентификационная информация не должна храниться в открытом виде и из соображений безопасности — к примеру, эталонные образцы паролей хранятся в модуле аутентификации либо в зашифрованном виде, либо в виде хэш-значений.

Аутентификация может быть как односторонней, так и взаимной.

Помимо этого, для того, чтобы повысить стойкость аутентификации нередко применяют несколько методов аутентификации в одно время. Аутентификация на основе одновременного предъявления аутентификационной информации двух видов называется двухфакторной. Также существуют примеры и трехфакторной аутентификации, определяемой аналогичным образом.

Рассмотрим наиболее показательные примеры применения аутентификационной информации каждого из перечисленных выше типов.

Парольная аутентификация.

На сегодняшний день парольная аутентификация является наиболее распространенной, в первую очередь, благодаря своему единственному достоинству — простоте применения.

Но у парольной аутентификации имеется немало недостатков:

В отличие от случайно формируемых криптографических ключей (которые, к примеру, могут содержать уникальный предмет, применяемый для аутентификации), пароли пользователя можно подобрать из-за довольно небрежного отношения большинства пользователей к формированию пароля. Нередко пользователи выбирают легко предугадываемые пароли, к примеру:

                    пароль эквивалентен идентификатору пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т. д.);

                    паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки», т. е. перебора всех слов согласно словарю, который содержит все слова и общеупотребительные фразы применяемого языка;

                    нередко пользователи используют короткие пароли, которые можно взломать методом «грубой силы», то есть простым перебором всех возможных вариантов.

Существуют и свободно доступны разные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, существует утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), которая предназначена для восстановления доступа к документу в случае, если его владелец забыл пароль. Несмотря на данное полезное назначение, она и подобные ей утилиты могут быть использованы для взлома чужих паролей. [2]

Пароль может быть подсмотрен или перехвачен при вводе.

Аутентификация с помощью уникального предмета.

Чаще всего аутентификация с помощью уникального предмета обеспечивает более серьезную защиту по сравнению с парольной аутентификацией.

Предметы, применяемые для аутентификации, можно условно разделить на следующие две группы:

«Пассивные» предметы, содержащие аутентификационную информацию (к примеру, некий случайно генерируемый пароль) и передают ее в модуль аутентификации по требованию. При этом аутентификационная информация может храниться в предмете как в открытом (примеры: магнитные карты, смарт-карты с открытой памятью, электронные таблетки Touch Memory), так и в защищенном виде (смарт-карты с защищенной памятью, USB-токены). В последнем случае требуется ввод PIN-кода для доступа к хранящейся информации, что автоматически превращает предмет в средство двухфакторной аутентификации.

«Активные» предметы, которые обладают достаточными вычислительными ресурсами и способны активно участвовать в процессе аутентификации (к примеру, USB-токены и микропроцессорные смарт-карты). Эта возможность особенно интересна при удаленной аутентификации пользователя, так как на основе таких предметов можно обеспечить строгую аутентификацию. Под этим термином скрывается такой вид аутентификации, при котором секретная информация, с помощью которой можно проверить подлинность пользователя, не передается в открытом виде:

                    предмет может быть отнят либо похищен у пользователя;

                    нередко требуется специальное оборудование для работы с предметами;

                    теоретически возможно изготовление эмулятора либо копии предмета;

Биометрическая аутентификация. Данный вид аутентификации основан на уникальности ряда характеристик человека. Чаще всего для аутентификации применяются следующие характеристики:

                    отпечатки пальцев;

                    узор радужной оболочки глаза и структура сетчатки глаза;

                    черты лица;

                    форма кисти руки;

                    параметры голоса;

                    схема кровеносных сосудов лица;

                    форма и способ подписи.

В процессе биометрической аутентификации эталонный и предъявленный пользователем образцы сравнивают с некоторой погрешностью, определяемой и устанавливаемой заранее. Данная погрешность подбирается для установления оптимального соотношения двух основных характеристик применяемого средства биометрической аутентификации:

FAR (False Accept Rate) — коэффициент ложного принятия (то есть некто успешно прошел аутентификацию под именем легального пользователя).

FRR (False Reject Rate) — коэффициент ложного отказа (то есть легальный пользователь системы не прошел аутентификацию). [2]

Обе данные величины измеряются в процентах и должны быть минимальны. Необходимо отметить, что величины являются обратнозависимыми, поэтому аутентифицирующий модуль при применении биометрической аутентификации настраивается индивидуально — в зависимости от применяемой биометрической характеристики и требований к качеству защиты ищется некая «золотая середина» между данными коэффициентами. Серьезное средство биометрической аутентификации должно позволять настроить коэффициент FAR до величин порядка 0,01–0,001 % при коэффициенте FRR до 3–5 %.

В зависимости от используемой биометрической характеристики, средства биометрической аутентификации имеют различные достоинства и недостатки. Например, использование отпечатков пальцев наиболее привычно и удобно для пользователей, но, теоретически, возможно создание «искусственного пальца», успешно проходящего аутентификацию. Общий же недостаток биометрической аутентификации — необходимость в оборудовании для считывания биометрических характеристик, которое может быть достаточно дорогостоящим.

 

Литература:

 

1.                  Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в современных компьютерных системах. — 2-е издание: М.: Радио и связь, 2001.

2.                  Леонтьев Б. Хакинг без секретов. — М.: Познавательная книга плюс, 2000.

Основные термины (генерируются автоматически): биометрической аутентификации, аутентификации пользователя, методов аутентификации, аутентификации пользователя пользователь, виды биометрической аутентификации, применении биометрической аутентификации, средство биометрической аутентификации, средства биометрической аутентификации, удаленной аутентификации пользователя, методы аутентификации необходимы, использования методов аутентификации, аутентификацию — модуля аутентификации, процедуру аутентификации, примеры и трехфакторной аутентификации, стойкость аутентификации, в средство двухфакторной аутентификации, процесс аутентификации, в модуль аутентификации, в модуле аутентификации, в процессе аутентификации.

Обсуждение

Социальные комментарии Cackle
Задать вопрос