Identifikation og autentificering: grundlæggende begreber

2024 Forfatter: Howard Calhoun | [email protected]. Sidst ændret: 2023-12-17 10:22

Identifikation og autentificering er grundlaget for moderne software- og hardwaresikkerhedsværktøjer, da alle andre tjenester hovedsageligt er designet til at betjene disse enheder. Disse begreber repræsenterer en slags første forsvarslinje, der sikrer sikkerheden i organisationens informationsrum.

Hvad er det her?

Identifikation og godkendelse har forskellige funktioner. Den første giver emnet (brugeren eller processen, der handler på deres vegne) mulighed for at angive sit eget navn. Ved hjælp af autentificering bliver den anden part endelig overbevist om, at emnet virkelig er den, han hævder at være. Identifikation og autentificering erstattes ofte af sætningerne "navnemeddelelse" og "godkendelse" som synonymer.

De er selv opdelt i flere varianter. Dernæst vil vi se på, hvad identifikation og autentificering er, og hvad de er.

Authentication

Dette koncept giver mulighed for to typer: ensidig, når klientenskal først bevise sin ægthed over for serveren, og to-vejs, det vil sige når gensidig bekræftelse udføres. Et standardeksempel på, hvordan standardbrugeridentifikation og -autentificering udføres, er proceduren for at logge på et bestemt system. Således kan forskellige typer bruges i forskellige objekter.

I et netværksmiljø, hvor brugeridentifikation og autentificering udføres på geografisk spredte sider, adskiller den pågældende tjeneste sig på to hovedaspekter:

• der fungerer som en godkendelse;
• hvordan udvekslingen af autentificerings- og identifikationsdata blev organiseret, og hvordan den er beskyttet.

For at bevise deres identitet skal forsøgspersonen præsentere en af følgende enheder:

• visse oplysninger, som han kender (personnummer, adgangskode, speciel kryptografisk nøgle osv.);
• visse ting, som han ejer (personligt kort eller en anden enhed med et lignende formål);
• en bestemt ting, der er et element af sig selv (fingeraftryk, stemme og andre biometriske midler til at identificere og autentificere brugere).

Systemfunktioner

I et åbent netværksmiljø har parterne ikke en betroet rute, hvilket betyder, at den information, der transmitteres af forsøgspersonen, i sidste ende muligvis ikke stemmer overens med de oplysninger, der modtages og brugesved autentificering. Det er påkrævet for at sikre sikkerheden ved aktiv og passiv lytning til netværket, det vil sige beskyttelse mod korrektion, aflytning eller afspilning af forskellige data. Muligheden for at sende adgangskoder i klartekst er utilfredsstillende, og på samme måde kan kodeordskryptering ikke redde dagen, da de ikke giver beskyttelse mod gengivelse. Det er derfor, der bruges mere komplekse godkendelsesprotokoller i dag.

Plidelig identifikation er vanskelig, ikke kun på grund af forskellige onlinetrusler, men også af en række andre årsager. Først og fremmest kan næsten enhver autentificeringsenhed blive stjålet, forfalsket eller udledt. Der er også en vis modsætning mellem pålideligheden af det anvendte system på den ene side og bekvemmeligheden for systemadministratoren eller brugeren på den anden. Af sikkerhedsmæssige årsager er det således påkrævet at bede brugeren om at indtaste sine autentificeringsoplysninger igen med en vis hyppighed (da en anden person måske allerede sidder i hans sted), og dette skaber ikke kun yderligere problemer, men øger også betydeligt chance for, at nogen kan spionere på at indtaste oplysninger. Blandt andet påvirker pålideligheden af beskyttelsesudstyret dets omkostninger betydeligt.

Moderne identifikations- og autentificeringssystemer understøtter konceptet med single sign-on til netværket, som primært giver dig mulighed for at opfylde kravene med hensyn til brugervenlighed. Hvis et standard firmanetværk har mange informationstjenester,giver mulighed for selvstændig behandling, så bliver den gentagne indførelse af personoplysninger for besværlig. På nuværende tidspunkt kan det endnu ikke siges, at brugen af single sign-on anses for normal, da de dominerende løsninger endnu ikke er dannet.

Derfor forsøger mange at finde et kompromis mellem overkommelighed, bekvemmelighed og pålidelighed af de midler, der giver identifikation/godkendelse. Godkendelse af brugere i dette tilfælde udføres i henhold til individuelle regler.

Særlig opmærksomhed bør rettes mod, at den anvendte tjeneste kan vælges som genstand for et tilgængelighedsangreb. Hvis systemet er konfigureret på en sådan måde, at muligheden for at komme ind efter et vist antal mislykkede forsøg blokeres, så kan angribere i dette tilfælde stoppe lovlige brugeres arbejde med blot et par tastetryk.

Adgangskodegodkendelse

Den største fordel ved et sådant system er, at det er ekstremt enkelt og velkendt for de fleste. Adgangskoder er blevet brugt af operativsystemer og andre tjenester i lang tid, og når de bruges korrekt, giver de et sikkerhedsniveau, der er ganske acceptabelt for de fleste organisationer. Men på den anden side, hvad angår det samlede sæt af karakteristika, repræsenterer sådanne systemer de svageste midler, hvormed identifikation/autentificering kan udføres. Godkendelse i dette tilfælde bliver ret simpelt, da adgangskoder skal væremindeværdige, men samtidig er enkle kombinationer ikke svære at gætte, især hvis en person kender en bestemt brugers præferencer.

Nogle gange sker det, at adgangskoder i princippet ikke holdes hemmelige, da de har ganske standardværdier specificeret i bestemt dokumentation, og ikke altid efter at systemet er installeret, bliver de ændret.

Når du indtaster adgangskoden, kan du se, og i nogle tilfælde bruger folk endda specialiserede optiske enheder.

Brugere, hovedemnerne for identifikation og autentificering, kan ofte dele adgangskoder med kolleger, så de kan skifte ejerskab i et vist tidsrum. I teorien vil det i sådanne situationer være bedst at bruge særlige adgangskontroller, men i praksis bruges dette ikke af nogen. Og hvis to personer kender adgangskoden, øger det i høj grad chancerne for, at andre i sidste ende finder ud af det.

Hvordan løser man dette?

Der er flere måder, hvorpå identifikation og autentificering kan sikres. Informationsbehandlingskomponenten kan sikre sig selv som følger:

• Indførelse af forskellige tekniske begrænsninger. Oftest er der fastsat regler for længden af adgangskoden, samt indholdet af visse tegn i den.
• Håndtering af udløb af adgangskoder, det vil sige behovet for at ændre dem med jævne mellemrum.
• Begrænsning af adgang til hovedadgangskodefilen.
• Ved at begrænse det samlede antal mislykkede forsøg, der er tilgængelige ved login. Tak tilI dette tilfælde bør angribere kun udføre handlinger, før de udfører identifikation og godkendelse, da brute-force-metoden ikke kan bruges.
• Fortræning af brugere.
• Brug af specialiseret adgangskodegeneratorsoftware, der giver dig mulighed for at skabe kombinationer, der er veltalende og mindeværdige nok.

Alle disse foranst altninger kan bruges under alle omstændigheder, selv hvis andre midler til autentificering bruges sammen med adgangskoder.

Engangsadgangskoder

Indstillingerne diskuteret ovenfor kan genbruges, og hvis kombinationen afsløres, får angriberen mulighed for at udføre visse handlinger på vegne af brugeren. Det er grunden til, at engangsadgangskoder bruges som et stærkere middel, der er modstandsdygtigt over for muligheden for passiv netværkslytning, takket være hvilket identifikations- og autentificeringssystemet bliver meget mere sikkert, selvom det ikke er så bekvemt.

I øjeblikket er en af de mest populære software-engangskodeordsgeneratorer et system kaldet S/KEY, udgivet af Bellcore. Det grundlæggende koncept for dette system er, at der er en bestemt funktion F, der er kendt af både brugeren og autentificeringsserveren. Det følgende er den hemmelige nøgle K, som kun er kendt af en bestemt bruger.

Under den indledende administration af brugeren bruges denne funktion til tastenet vist antal gange, hvorefter resultatet gemmes på serveren. I fremtiden ser godkendelsesproceduren således ud:

1. Der kommer et tal til brugersystemet fra serveren, hvilket er 1 mindre end det antal gange, funktionen bruges til tasten.
2. Brugeren bruger funktionen til den tilgængelige hemmelige nøgle det antal gange, der blev angivet i første afsnit, hvorefter resultatet sendes via netværket direkte til autentificeringsserveren.
3. Server bruger denne funktion til den modtagne værdi, hvorefter resultatet sammenlignes med den tidligere gemte værdi. Hvis resultaterne stemmer overens, godkendes brugeren, og serveren gemmer den nye værdi og formindsker derefter tælleren med én.

I praksis har implementeringen af denne teknologi en lidt mere kompleks struktur, men i øjeblikket er den ikke så vigtig. Da funktionen er irreversibel, selvom adgangskoden opsnappes eller uautoriseret adgang til autentificeringsserveren opnås, giver den ikke mulighed for at få en hemmelig nøgle og på nogen måde forudsige, hvordan det næste engangskodeord specifikt vil se ud.

I Rusland bruges en særlig statsportal som en samlet tjeneste - "Unified Identification/Authentication System" ("ESIA").

En anden tilgang til et stærkt autentificeringssystem er at få en ny adgangskode genereret med korte intervaller, som også implementeres vha.brug af specialiserede programmer eller forskellige smart cards. I dette tilfælde skal godkendelsesserveren acceptere den passende adgangskodegenereringsalgoritme samt visse parametre forbundet med den, og derudover skal der også være server- og klientursynkronisering.

Kerberos

Kerberos-godkendelsesserveren dukkede første gang op i midten af 90'erne af forrige århundrede, men siden da har den allerede modtaget et stort antal grundlæggende ændringer. I øjeblikket er individuelle komponenter af dette system til stede i næsten alle moderne operativsystemer.

Hovedformålet med denne tjeneste er at løse følgende problem: Der er et bestemt ubeskyttet netværk, og forskellige emner er koncentreret i dets noder i form af brugere, såvel som server- og klientsoftwaresystemer. Hvert sådant emne har en individuel hemmelig nøgle, og for at emnet C skal have mulighed for at bevise sin egen ægthed over for emnet S, uden hvilken han simpelthen ikke vil tjene ham, skal han ikke kun navngive sig selv, men også at vise, at han kender en bestemt Den hemmelige nøgle. Samtidig har C ikke mulighed for blot at sende sin hemmelige nøgle til S, da netværket for det første er åbent, og udover dette ved S ikke, og burde i princippet ikke vide det. I en sådan situation bruges en mindre ligetil teknik til at demonstrere viden om disse oplysninger.

Elektronisk identifikation/godkendelse gennem Kerberos-systemet sørger for detbruge som en betroet tredjepart, der har information om de hemmelige nøgler til de betjente objekter og om nødvendigt hjælper dem med at udføre parvis godkendelse.

Således sender klienten først en forespørgsel til systemet, som indeholder de nødvendige oplysninger om ham, samt om den ønskede service. Herefter giver Kerberos ham en slags billet, som er krypteret med serverens hemmelige nøgle, samt en kopi af nogle af dataene fra den, som er krypteret med klientens nøgle. I tilfælde af et match fastslås det, at klienten dekrypterede de oplysninger, der var beregnet til ham, det vil sige, at han var i stand til at demonstrere, at han virkelig kender den hemmelige nøgle. Dette tyder på, at klienten er præcis den, han udgiver sig for at være.

Særlig opmærksomhed skal her lægges vægt på, at overførslen af hemmelige nøgler ikke blev udført over netværket, og de blev udelukkende brugt til kryptering.

Biometrisk godkendelse

Biometri involverer en kombination af automatiserede metoder til at identificere/autentificere personer baseret på deres adfærdsmæssige eller fysiologiske karakteristika. Fysiske midler til autentificering og identifikation omfatter verifikation af nethinden og hornhinden i øjnene, fingeraftryk, ansigts- og håndgeometri og andre personlige oplysninger. Adfærdskarakteristika omfatter stilen til at arbejde med tastaturet og dynamikken i signaturen. Kombineretmetoder er analyse af forskellige træk ved en persons stemme samt genkendelse af hans tale.

Sådanne systemer til identifikation/godkendelse og kryptering er meget udbredt i mange lande rundt om i verden, men i lang tid var de ekstremt dyre og svære at bruge. For nylig er efterspørgslen efter biometriske produkter steget betydeligt på grund af udviklingen af e-handel, da det fra brugerens synspunkt er meget mere praktisk at præsentere sig selv end at huske nogle oplysninger. Derfor skaber efterspørgsel udbud, så relativt billige produkter begyndte at dukke op på markedet, som hovedsageligt er fokuseret på fingeraftryksgenkendelse.

I langt de fleste tilfælde bruges biometri i kombination med andre autentificeringer som f.eks. smartcards. Ofte er biometrisk autentificering kun den første forsvarslinje og fungerer som et middel til at aktivere smartkort, der indeholder forskellige kryptografiske hemmeligheder. Når du bruger denne teknologi, gemmes den biometriske skabelon på det samme kort.

Aktiviteten inden for biometri er ret høj. Der findes allerede et passende konsortium, og der arbejdes også ganske aktivt med at standardisere forskellige aspekter af teknologien. I dag kan du se en masse reklameartikler, hvor biometriske teknologier præsenteres som et ideelt middel til at øge sikkerheden og samtidig tilgængelige for den brede offentlighed.masserne.

ESIA

Identifikations- og autentificeringssystemet ("ESIA") er en speciel tjeneste, der er oprettet for at sikre gennemførelsen af forskellige opgaver relateret til verifikation af identiteten af ansøgere og deltagere i interafdelingsinteraktion i tilfælde af levering af alle kommunale eller statslige tjenester i elektronisk form.

For at få adgang til "Single Portal of Government Agencies" såvel som alle andre informationssystemer i den nuværende e-forv altnings infrastruktur, skal du først registrere en konto og som følge heraf, modtag en PES.

Levels

Portalen til det forenede identifikations- og autentificeringssystem sørger for tre hovedniveauer af konti for enkeltpersoner:

• Forenklet. For at registrere det, skal du blot angive dit efternavn og fornavn, samt en specifik kommunikationskanal i form af en e-mailadresse eller mobiltelefon. Dette er det primære niveau, hvorigennem en person kun har adgang til en begrænset liste over forskellige offentlige tjenester, såvel som mulighederne i eksisterende informationssystemer.
• Standard. For at få det skal du først udstede en forenklet konto og derefter også give yderligere data, herunder oplysninger fra passet og nummeret på forsikringens individuelle personlige konto. De angivne oplysninger kontrolleres automatisk gennem informationssystemerPensionsfonden, såvel som Federal Migration Service, og hvis kontrollen lykkes, overføres kontoen til standardniveauet, hvilket åbner en udvidet liste over offentlige tjenester til brugeren.
• Bekræftet. For at opnå dette kontoniveau kræver det forenede identifikations- og autentificeringssystem, at brugerne har en standardkonto, samt identitetsbekræftelse, som udføres gennem et personligt besøg i en autoriseret servicefilial eller ved at få en aktiveringskode via anbefalet post. I tilfælde af at identitetsbekræftelsen lykkes, vil kontoen flytte til et nyt niveau, og brugeren vil have adgang til den fulde liste over nødvendige offentlige tjenester.

På trods af at procedurerne kan virke ret komplicerede, kan du faktisk stifte bekendtskab med den fulde liste over nødvendige data direkte på den officielle hjemmeside, så en fuld registrering er ganske mulig inden for få dage.