Hitelesítés

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2022. szeptember 8-án felülvizsgált verziótól ; az ellenőrzések 3 szerkesztést igényelnek .

A hitelesítés ( angol  hitelesítésgörögül αὐθεντικός [authentikos] „igazi, hiteles” ← αὐτός [autos] „önmaga; ő a legtöbb”) hitelesítési eljárás, például:

Oroszul a kifejezést főleg az információs technológia területén használják .

Tekintettel a rendszerek bizalmának és biztonsági politikájának mértékére, a biztosított hitelesítés lehet egyirányú vagy kölcsönös . Általában kriptográfiai módszerekkel hajtják végre .

A hitelesítést nem szabad összetéveszteni a jogosultsággal (az alanynak bizonyos jogok biztosításának eljárása) és az azonosítással (az alany azonosítója alapján történő felismerésének eljárása ).

Történelem

Az ókor óta az emberek meglehetősen nehéz feladattal szembesültek - a fontos üzenetek hitelességének ellenőrzése. Feltalálták a beszédjelszavakat, az összetett pecséteket. A mechanikus eszközöket használó hitelesítési módszerek megjelenése nagymértékben leegyszerűsítette a feladatot, például a hagyományos zárat és kulcsot már régen feltalálták. A hitelesítési rendszer példája látható az "Ali Baba és a negyven tolvaj kalandjai" című régi mesében . Ez a mese egy barlangban elrejtett kincsekről szól. A barlangot egy kő zárta el. Csak egyedi beszédjelszóval lehetett visszatolni : " Sim-Sim , nyissa meg !".

Napjainkban a hálózati technológiák kiterjedt fejlődése miatt mindenhol alkalmazzák az automatikus hitelesítést.

Szabványok

Hitelesítési szabványokat meghatározó dokumentumok

GOST R ISO/IEC 9594-8-98 - A hitelesítés alapjai

Ez a szabvány:

  • meghatározza a címtár által tárolt hitelesítési információk formátumát;
  • leír egy módszert hitelesítési információk beszerzésére a címtárból;
  • megteremti a hitelesítési információk címtárban való kialakításának és elhelyezésének módszereit;
  • három módot határoz meg, ahogyan az alkalmazásprogramok felhasználhatják az ilyen hitelesítési információkat a hitelesítéshez, és leírja, hogyan biztosítható más biztonsági szolgáltatások hitelesítéssel.

Ez a nemzetközi szabvány kétféle hitelesítést határoz meg: egyszerű, jelszóval az igényelt személyazonosság ellenőrzéseként, és erős, kriptográfiai technikákkal létrehozott azonosságokkal.

FIPS 113 – Számítógépes adathitelesítés

Ez a szabvány meghatároz egy adathitelesítési algoritmust (DAA), amely felhasználható az adatok szándékos és véletlenszerű jogosulatlan módosításainak észlelésére, a Data Encryption Standard (DES) Szövetségi Információfeldolgozási Szabványok Kiadványában (FIPS PUB) 46 meghatározott algoritmus alapján, és kompatibilis mind a Pénzügyminisztérium elektronikus pénzeszközök és biztonsági átutalási politikájával, mind az Amerikai Nemzeti Szabványügyi Intézettel (ANSI), valamint a Pénzügyi intézmények üzenet-hitelesítési szabványával.

Ez a szabvány a továbbított információ integritásának kriptográfiai hitelesítéssel történő ellenőrzésére szolgál.

A hitelesítési rendszer elemei

Bármely hitelesítési rendszerben általában több elemet lehet megkülönböztetni:

  • az eljárás alá vont alany
  • az alanyra jellemző - megkülönböztető vonás
  • a hitelesítési rendszer tulajdonosa, aki felelős és ellenőrzi annak működését
  • maga a hitelesítési mechanizmus , vagyis a rendszer működési elve
  • hozzáférés-szabályozási mechanizmus , amely bizonyos hozzáférési jogokat biztosít az alanynak
Hitelesítési elem A 40 tolvaj barlangja Regisztráció a rendszerben ATM
Tantárgy Az a személy, aki ismeri a jelszót Jogosult felhasználó Bankkártya tulajdonos
Jellegzetes Jelszó " Sim-Sim , nyissa meg !" Titkos jelszó Bankkártya és személyi azonosító
A rendszer tulajdonosa 40 rabló A rendszer tulajdonosa Bank
Hitelesítési mechanizmus Varázseszköz, amely reagál a szavakra Jelszó-ellenőrző szoftver Szoftver, amely ellenőrzi a kártyát és a személyi azonosítót
Beléptető mechanizmus A mechanizmus, amely elmozdítja a követ a barlang bejáratától Regisztrációs folyamat, beléptetés Engedély banki tevékenység végzésére

Hitelesítési tényezők

Már a számítógépek megjelenése előtt is használták a téma különféle jellegzetességeit, jellemzőit. Most a rendszer egyik vagy másik jellemzőjének használata a szükséges megbízhatóságtól, biztonságtól és a megvalósítás költségétől függ. Három hitelesítési tényező létezik:

  • Valami, amit tudunk, például néhány titkos információ . Ez olyan titkos információ, amellyel csak az arra jogosult alany rendelkezhet. A titok lehet kifejezés vagy jelszó, például szóbeli üzenet, szöveges megjelenítés, zár kombinációja vagy személyi azonosító szám ( PIN ). A jelszómechanizmus meglehetősen egyszerűen megvalósítható és alacsony költséggel jár. De vannak jelentős hátrányai: gyakran nehéz titokban tartani a jelszót, a támadók folyamatosan új módszereket találnak ki a jelszó ellopására, feltörésére és kitalálására (lásd bandita cryptanalysis , brute force method ). Ez gyengén biztonságossá teszi a jelszómechanizmust.
  • Valami, amivel rendelkezünk, például valami egyedi fizikai tárgy . Itt fontos az a körülmény, hogy az alany valamilyen egyedi tárgyat birtokol. Ez lehet személyes pecsét, zár kulcsa , számítógép számára jellemzőt tartalmazó adatállomány. A jellemzőt gyakran egy adott hitelesítési eszközbe építik be, például műanyag kártyába , intelligens kártyába . A támadónak nehezebbé válik egy ilyen eszköz kézbe vétele, mint egy jelszó feltörése, és az alany azonnal jelentheti, ha az eszközt ellopták. Ez biztonságosabbá teszi ezt a módszert, mint a jelszómechanizmust, de egy ilyen rendszer költsége magasabb.
  • Valami, ami önmagunk szerves része – a biometrikus adatok . A jellemző az alany fizikai jellemzője. Ez lehet portré, ujjlenyomat vagy tenyérlenyomat , hang vagy a szem jellemzője . A téma szempontjából ez a módszer a legegyszerűbb: nem kell emlékeznie a jelszóra, és nem kell magával vinnie hitelesítő eszközt. A biometrikus rendszernek azonban nagyon érzékenynek kell lennie ahhoz, hogy megerősítse a jogosult felhasználót, de visszautasítsa a hasonló biometrikus paraméterekkel rendelkező támadókat. Ezenkívül egy ilyen rendszer költsége meglehetősen magas. De hiányosságai ellenére a biometrikus adatok továbbra is nagyon ígéretes tényező.

Hitelesítési módszerek

Hitelesítés elektronikus aláírással

Az elektronikus aláírásról szóló, 2011. április 6-i 63-FZ szövetségi törvény (módosítva) a következő típusú elektronikus aláírásokat írja elő:

  • Az egyszerű elektronikus aláírás  olyan elektronikus aláírás, amely kódok, jelszavak vagy egyéb eszközök használatával megerősíti egy bizonyos személy elektronikus aláírásának tényét.
  • A minősítés nélküli elektronikus aláírás  olyan elektronikus aláírás, amely:
  1. az információk elektronikus aláírási kulcs segítségével történő kriptográfiai átalakítása eredményeként kapott;
  2. lehetővé teszi az elektronikus dokumentumot aláíró személy azonosítását;
  3. lehetővé teszi az elektronikus dokumentum módosításának tényét annak aláírása után;
  4. elektronikus aláírási eszközökkel készült.
  • A minősített elektronikus aláírás  olyan elektronikus aláírás, amely megfelel a nem minősített elektronikus aláírás összes jellemzőjének és a következő további jellemzőknek:
  1. az elektronikus aláírás-ellenőrző kulcsot a minősített tanúsítvány tartalmazza ;
  2. az elektronikus aláírás létrehozásához és ellenőrzéséhez olyan elektronikus aláírási eszközöket használnak, amelyek megerősítést kaptak a jelen szövetségi törvénynek megfelelően megállapított követelményeknek való megfelelésről.

Jelszavas hitelesítés

  • Újrafelhasználható jelszavas hitelesítés
  • Egyszeri jelszó-hitelesítés
Újrafelhasználható jelszavas hitelesítés

A számítógépes rendszerben történő hitelesítés egyik módja a felhasználói azonosító, köznyelvi nevén „ login ” ( angolul  login  – felhasználónév, fiók) és egy jelszó  – néhány bizalmas információ – megadása. Az érvényes (hivatkozási) bejelentkezési-jelszó pár egy speciális adatbázisban van tárolva.

Az egyszerű hitelesítés a következő általános algoritmussal rendelkezik :

  1. Az alany hozzáférést kér a rendszerhez, és megad egy személyi azonosítót és jelszót.
  2. A bevitt egyedi adatok elküldésre kerülnek a hitelesítési szerverre, ahol összehasonlítják a referenciaadatokkal.
  3. Ha az adatok egyeznek a referencia hitelesítéssel sikeresnek minősül, ha eltérés van, akkor az alany az 1. lépésre lép

Az alany által megadott jelszó kétféle módon továbbítható a hálózaton:

  • Titkosítatlan, tiszta, a Password Authentication Protocol (PAP) alapján
  • SSL vagy TLS titkosítás használata . Ebben az esetben az alany által megadott egyedi adatok biztonságosan továbbításra kerülnek a hálózaton keresztül.
Biztonság

A jelszavak tárolásának és továbbításának legjobb biztonsága érdekében egyirányú funkciókat kell használni . Általában kriptográfiailag erős hash függvényeket használnak erre a célra . Ebben az esetben csak a jelszó képét tárolja a szerver. A jelszó kézhezvétele és a hash transzformáció elvégzése után a rendszer összehasonlítja az eredményt a benne tárolt referencia képpel. Ha azonosak, a jelszavak ugyanazok. Egy támadó számára, aki hozzáfért a képhez, szinte lehetetlen magát a jelszót kiszámítani.

Az újrafelhasználható jelszavak használatának számos jelentős hátránya van. Először is, magát a fő jelszót vagy annak kivonatolt képét a hitelesítési szerver tárolja. A jelszót gyakran kriptográfiai átalakítások nélkül tárolják rendszerfájlokban. Miután hozzáfért hozzájuk, a támadó könnyen hozzájuthat a bizalmas információkhoz. Másodszor, az alany kénytelen megjegyezni (vagy leírni) újrafelhasználható jelszavát. A támadó egyszerűen a social engineering készségeinek alkalmazásával szerezheti meg , technikai eszközök nélkül. Ezenkívül a rendszer biztonsága nagymértékben csökken, ha az alany saját maga választja meg a jelszavát. Gyakran kiderül, hogy ez egy szó vagy szóösszetétel szerepel a szótárban. A GOST 28147-89 szabványban a kulcs hossza 256 bit (32 bájt). Álvéletlen számgenerátor használatakor a kulcs jó statisztikai tulajdonságokkal rendelkezik. A jelszó, amely például egy szótárból származó szó, 16 bites pszeudo-véletlen számra redukálható, ami 16-szor rövidebb, mint a GOST kulcs. Ha elegendő idő áll rendelkezésre, a támadó egy egyszerű brute force támadással feltörheti a jelszót. A probléma megoldása a véletlenszerű jelszavak használata vagy az alany jelszavának időtartamának korlátozása, amely után a jelszót meg kell változtatni.

Számlaadatbázisok

UNIX operációs rendszerrel rendelkező számítógépeken az alap az /etc/master.passwd fájl (a Linux disztribúciókban az /etc/shadow fájl általában csak root által olvasható), amelyben a felhasználói jelszavak a nyitott jelszavakból származó hash függvényekként tárolódnak , emellett ugyanaz a fájl a felhasználó jogaira vonatkozó információkat is tárol. Eredetileg a Unix rendszereken a jelszó (titkosított formában) az /etc/passwd fájlban volt tárolva , amelyet minden felhasználó olvashatott, ami nem volt biztonságos.

A Windows NT / 2000 / XP / 2003 rendszert futtató számítógépeken (nem szerepel a Windows tartományban ) egy ilyen adatbázist SAM-nak ( Security Account Manager  - Account Protection Manager) hívnak. A SAM-bázis felhasználói fiókokat tárol , amelyek a védelmi rendszer működéséhez szükséges összes adatot tartalmazzák. A %windir%\system32\config\ könyvtárban található.

A Windows Server 2000/2003 tartományokban ez az adatbázis az Active Directory .

A hitelesítési adatok tárolásának megbízhatóbb módja azonban a speciális hardver (összetevők) használata.

Ha az alkalmazottak különböző számítógépeken történő munkáját kell biztosítani (biztonsági rendszer támogatásával), akkor olyan hardver- és szoftverrendszereket alkalmaznak, amelyek lehetővé teszik a hitelesítési adatok és kriptográfiai kulcsok tárolását a szervezet szerverén. A felhasználók szabadon dolgozhatnak bármely számítógépen ( munkaállomáson ), hozzáférve hitelesítési adataikhoz és kriptográfiai kulcsaikhoz.

Egyszeri jelszó-hitelesítés

Miután megszerezte az alany újrafelhasználható jelszavát, a támadó állandó hozzáféréssel rendelkezik a feltört bizalmas információkhoz. Ezt a problémát egyszeri jelszavak ( OTP - One Time Password ) használatával oldják meg. Ennek a módszernek az a lényege, hogy a jelszó csak egy bejelentkezésre érvényes, minden további hozzáférési kérésnél új jelszót kell megadni. Az egyszeri jelszavak hitelesítési mechanizmusa hardveren és szoftveresen is megvalósítható.

Az egyszeri jelszavak használatának technológiái a következőkre oszthatók:

  • Pszeudo-véletlenszám-generátor használata, közös az alany és a rendszer számára
  • Időbélyegek használata az univerzális időrendszerrel
  • Véletlenszerű jelszavak adatbázisának használata, amely azonos a tárgyhoz és a rendszerhez

Az első módszer egy pszeudo-véletlen számgenerátort használ, amelynek értéke azonos az alany és a rendszer számára. Az alany által generált jelszó átadható a rendszernek egyirányú funkció egymás utáni használatakor, vagy minden új kérés esetén egy korábbi kérés egyedi információi alapján.

A második módszer időbélyegeket használ. Ilyen technológia például a SecurID . Hardverkulcsok használatán és időszinkronizáláson alapul. A hitelesítés véletlenszerű számok generálásán alapul bizonyos időközönként. Az egyedi titkos kulcsot csak a rendszerbázis és az alany hardvereszköze tárolja. Amikor az alany hozzáférést kér a rendszerhez, a rendszer felkéri a PIN-kód megadására, valamint egy véletlenszerűen generált számra, amely abban a pillanatban megjelenik a hardvereszközön. A rendszer összeegyezteti a megadott PIN-kódot és az alany titkos kulcsát az adatbázisából, és az adatbázisból származó titkos kulcs paraméterei és az aktuális idő alapján véletlen számot generál. Ezután a generált szám és az alany által beírt szám azonosságát ellenőrizzük.

A harmadik módszer az alany és a rendszer egyetlen jelszavas adatbázisán, valamint a köztük lévő nagy pontosságú szinkronizáláson alapul. Ebben az esetben a készlet minden egyes jelszava csak egyszer használható fel. Emiatt még akkor sem lesz érvényes, ha egy támadó elkapja az alany által használt jelszót.

Az újrafelhasználható jelszavakhoz képest az egyszeri jelszavak nagyobb fokú biztonságot nyújtanak.

SMS hitelesítés

A mobilkommunikáció, például az ip-phone biztonságának sürgőssége új fejlesztéseket ösztönöz ezen a területen. Ezek közé tartozik az SMS-es hitelesítés.

A hitelesítési eljárás a következő lépéseket tartalmazza:

  1. Felhasználónév és jelszó megadása
  2. Közvetlenül ezután a PhoneFactor ( biztonsági szolgáltatás ) SMS szöveges üzenet formájában küld egy egyszeri hitelesítési kulcsot .
  3. A kapott kulcsot a hitelesítéshez használjuk

Ennek a módszernek a vonzereje abban rejlik, hogy a kulcsot nem azon a csatornán keresztül kapják meg, amelyen keresztül a hitelesítés (sávon kívüli) történik, ami gyakorlatilag kiküszöböli az „ ember a közepén ” típusú támadást. További biztonsági szintet jelenthet a mobilkészülék PIN kódjának megadásának követelménye.

Ez a módszer széles körben elterjedt az interneten keresztüli banki műveletekben.

Biometrikus hitelesítés

Az emberi biometrikus paraméterek mérésén alapuló hitelesítési módszerek közel 100%-os azonosítást tesznek lehetővé, megoldva a jelszavak és személyi azonosítók elvesztésének problémáit.

E módszerek megvalósítására példák a szivárványhártya mintázatán, tenyérlenyomatokon, fülformákon, a kapilláris erek infravörös képén, kézíráson, szagláson, hangszínen, sőt DNS-en alapuló felhasználóazonosító rendszerek.

Új irány a biometrikus jellemzők alkalmazása az intelligens fizetési kártyákban, a belépőtokenekben és a mobilkommunikációs elemekben. Például, amikor egy boltban fizet, a kártyabirtokos az ujját a szkennerre teszi, hogy megbizonyosodjon arról, hogy a kártya valóban az övé.

Leggyakrabban használt biometrikus attribútumok és kapcsolódó rendszerek
  • Ujjlenyomatok . Az ilyen szkennerek kicsik, sokoldalúak és viszonylag olcsók. Az ujjlenyomat biológiai megismételhetősége 10-5  %. Jelenleg a bűnüldöző szervek népszerűsítik az elektronikus ujjlenyomat-archívumokra szánt nagy összegek miatt.
  • kéz geometriája. Megfelelő eszközöket kell használni, ha szennyeződés vagy sérülés miatt nehéz az ujjleolvasó használata. A kéz geometriájának biológiai megismételhetősége körülbelül 2%.
  • A szem szivárványhártyája . Ezek az eszközök a legnagyobb pontossággal rendelkeznek. Két írisz egyezésének elméleti valószínűsége 1:10 78 .
  • Az arc hőképe. A rendszerek lehetővé teszik egy személy azonosítását akár több tíz méteres távolságból. Az adatbázisban való kereséssel kombinálva az ilyen rendszereket az arra jogosult alkalmazottak azonosítására és a kívülállók kiszűrésére használják. Azonban, amikor a fény megváltozik, az arcszkennerek viszonylag nagy arányban hibáznak.
  • Arcfelismerés. Az ezen a megközelítésen alapuló rendszerek lehetővé teszik egy személy azonosítását bizonyos körülmények között, legfeljebb 3% hibával. A módszertől függően fél métertől több tíz méterig lehet azonosítani egy személyt. Ez a módszer kényelmes, mivel lehetővé teszi a szokásos eszközökkel ( webkamera stb.) történő megvalósítást. A kifinomultabb módszerek kifinomultabb eszközöket igényelnek. Néhány (nem mindegyik) módszernek megvan a hamisítás hátránya: az azonosítás úgy is elvégezhető, hogy egy valós személy arcát a fényképével helyettesítjük.
  • Hang . A hangellenőrzés kényelmesen használható távközlési alkalmazásokban. A szükséges 16 bites hangkártya és kondenzátormikrofon kevesebb, mint 25 dollárba kerül. A hiba valószínűsége 2-5%. Ez a technológia alkalmas a telefonos kommunikációs csatornákon keresztüli hangos ellenőrzésre, megbízhatóbb, mint a személyes szám frekvenciatárcsázása. Most alakulnak ki egy személy és állapota hanggal történő azonosításának irányai - izgatott, beteg, igazat mond, nem magában stb.
  • Billentyűzet bemenet. Itt például egy jelszó megadásakor nyomon követik a sebességet és a kattintások közötti intervallumokat.
  • Aláírás . A digitalizálókat a kézzel írt aláírás vezérlésére használják.

Ugyanakkor a biometrikus hitelesítésnek számos hátránya van:

  1. A biometrikus sablont nem a felhasználó jellemzőinek kezdeti feldolgozásának eredményével hasonlítják össze, hanem azzal, ami az összehasonlítás helyére került. Sok minden megtörténhet az út során.
  2. A sablon alapját a támadó módosíthatja.
  3. Figyelembe kell venni, hogy mi a különbség a biometrikus adatok ellenőrzött területen, a biztonsági óvintézkedések éber szeme mellett és a "terepi" körülmények között, amikor például egy próbabábut lehet vinni a leolvasó készülékhez stb. .
  4. Az emberi biometrikus adatok egy része megváltozik (öregedés és sérülések, égési sérülések, vágások, betegségek, amputációk stb. következtében), ezért a sablonadatbázis folyamatos karbantartást igényel, és ez bizonyos problémákat okoz mind a felhasználók, mind a rendszergazdák számára.
  5. Ha biometrikus adatait ellopják vagy feltörték, az általában egy életre szól. A jelszavak – minden megbízhatatlanságuk ellenére – végső esetben megváltoztathatók. Egy ujj, egy szem vagy egy hang nem változtatható meg, legalábbis nem gyorsan.
  6. A biometrikus jellemzők egyedi azonosítók, de nem tarthatók titokban.

Hitelesítés földrajzi hely alapján

  • GPS hitelesítés
  • Internetes hely alapú hitelesítés
GPS hitelesítés

A hitelesítés legújabb trendje a távoli felhasználó hitelességének hely szerinti bizonyítása. Ez a védelmi mechanizmus egy űrnavigációs rendszer, például a GPS ( Global Positioning System ) használatán alapul.

A GPS berendezéssel rendelkező felhasználó ismételten elküldi a látómezőben lévő adott műholdak koordinátáit. A hitelesítési alrendszer a műholdak pályáját ismerve akár méteres pontossággal meg tudja határozni a felhasználó helyét. A hitelesítés nagy megbízhatóságát az határozza meg, hogy a műholdak pályája ingadozásoknak van kitéve, amelyeket nehéz előre jelezni. Ezenkívül a koordináták folyamatosan változnak, ami tagadja az elfogásuk lehetőségét.

A rendszer feltörésének bonyolultsága abban rejlik, hogy a berendezés számítások nélkül továbbítja a digitalizált műholdjelet. Minden helyszámítás a hitelesítési szerveren történik.

A GPS-berendezések használata egyszerű és megbízható, és viszonylag olcsó. Ez lehetővé teszi olyan esetekben, amikor egy jogosult távoli felhasználónak a megfelelő helyen kell lennie.

Internetes helyalapú hitelesítés

Ez a mechanizmus a szerverek, vezeték nélküli hozzáférési pontok helyére vonatkozó információk felhasználásán alapul, amelyeken keresztül az internethez kapcsolódik.

A hackelés viszonylagos egyszerűsége abban rejlik, hogy a helyadatokat úgynevezett proxyszerverek vagy névtelen hozzáférési rendszerek segítségével lehet megváltoztatni.

Többtényezős hitelesítés

Az utóbbi időben egyre inkább elterjedt az úgynevezett kiterjesztett, vagy többtényezős hitelesítés. Több hitelesítési tényező megosztására épül. Ez nagymértékben növeli a rendszer biztonságát.

Példa erre a SIM - kártyák használata mobiltelefonokban . Az alany behelyezi hardverkártyáját (hitelesítési eszközét) a telefonba, és bekapcsolásakor beírja PIN kódját (jelszavát).

Például néhány modern laptopban van ujjlenyomat -szkenner . Így a bejelentkezéskor az alanynak végig kell mennie ezen az eljáráson ( biometrikus adatok ), majd meg kell adnia egy jelszót .

A rendszer hitelesítésének egyik vagy másik tényezője, módszere kiválasztásakor mindenekelőtt a szükséges biztonsági fokra, a rendszer kiépítésének költségére és az alany mobilitásának biztosítására kell építeni.

Itt van egy összehasonlító táblázat:

A kockázat szintje Rendszerkövetelmények Hitelesítési technológia Alkalmazási példák
Rövid A rendszerhez való hozzáféréshez hitelesítés szükséges, a lopás, feltörés, bizalmas információk nyilvánosságra hozatala nem jár jelentős következményekkel Az ajánlott minimális követelmény az újrafelhasználható jelszavak használata Regisztráció az internetes portálon
Átlagos A rendszerhez való hozzáféréshez hitelesítés szükséges, és a lopás, feltörés, bizalmas információk nyilvánosságra hozatala csekély kárt okoz Az ajánlott minimális követelmény egyszeri jelszavak használata Teljesítmény a banki műveletek tárgya szerint
Magas A rendszerhez való hozzáféréshez hitelesítés szükséges, a lopás, feltörés, bizalmas információk nyilvánosságra hozatala jelentős károkat okoz Az ajánlott minimális követelmény a többtényezős hitelesítés használata Fontosabb bankközi tranzakciók lebonyolítása a vezetőség által

Hitelesítési protokollok

A hitelesítési eljárást a számítógépek közötti információcserére használják, míg nagyon összetett kriptográfiai protokollok segítségével védik a kommunikációs vonalat az interakció egyik résztvevőjének lehallgatásától vagy helyettesítésétől. És mivel rendszerint mindkét objektum esetében szükséges a hitelesítés, amely létrehozza a hálózati interakciót, a hitelesítés kölcsönös lehet.

Így a hitelesítésnek több családja különböztethető meg:

Felhasználó hitelesítés PC-n:

  • Titkosított név (bejelentkezés)
  • Password Authentication Protocol , PAP (bejelentkezési jelszó kötés)
  • Belépőkártya (USB tanúsítvánnyal, SSO)
  • Biometrikus adatok (hang, ujjlenyomat/tenyér/írisz)

Hálózati Azonosítás:

A Windows NT 4 család operációs rendszerei az NTLM (NT LAN Manager) protokollt használják. A Windows 2000/2003 tartományokban pedig a sokkal fejlettebb Kerberos protokollt használják .

Internetes hitelesítés

A hitelesítés szükséges olyan szolgáltatások eléréséhez, mint például:

A hitelesítés pozitív eredménye (a bizalmi kapcsolatok létesítésén és a munkamenet kulcs generálásán kívül) a felhasználó jogosultsága , azaz hozzáférési jogok biztosítása a feladatai ellátásához meghatározott erőforrásokhoz.

Lásd még

Irodalom

  • Richard E. Smith. Hitelesítés : a jelszavaktól a nyilvános kulcsok első kiadásáig. - M .: Williams, 2002. - S.  432 . — ISBN 0-201-61599-1 .
  • alatt. szerkesztette: A.A. Shelupanova, S.L. Gruzdeva, Yu.S. Nakhaev. Hitelesítés. Az információs forrásokhoz való hozzáférés biztosításának elmélete és gyakorlata. = hitelesítés. Az információs forrásokhoz való hozzáférés biztosításának elmélete és gyakorlata.. - M . : Hotline - Telecom, 2009. - P. 552. - ISBN 978-5-9912-0110-0 .
  • Schneier B. Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód in C. - M .: Triumph, 2002. - 816 p. - 3000 példányban.  - ISBN 5-89392-055-4 .
  • Linn J. Közös hitelesítési technológia áttekintése,.
  • Bellovin S. és M. Merritt. A Kerberos hitelesítési rendszer korlátai.
  • Kaufman, C. Distributed Authentication Security Service (DASS).
  • Anderson, B.,. TACACS felhasználói azonosítás Telnet opció. - 1984. december.
  • Tardo J. és K. Alagappan. SPX: Globális hitelesítés nyilvános kulcsú tanúsítványokkal. - M.California, 1991. - S. pp.232-244.
  • A.A. Gladkikh, V.E. Dementiev. A számítógépes hálózatok információbiztonságának alapelvei - Uljanovszk: UlGTU, 2009. - 156. o.

Linkek

 Hitelesítési és kulcscsere protokollok
Szimmetrikus algoritmusokkal
Szimmetrikus és
aszimmetrikus algoritmusokkal
Az interneten használt protokollok és szolgáltatások