Процедура проверки подлинности пользователя и законности его работы это что

Обновлено: 30.06.2024

в этом справочном разделе описываются понятия, на основе которых основана Windowsная проверка подлинности.

Проверка подлинности — это процесс проверки удостоверения объекта или пользователя. Задача проверки подлинности объекта заключается в проверке подлинности объекта. При проверке подлинности пользователя целью является проверка того, что пользователь не является фальшивый.

В контексте сети проверка подлинности — это подтверждение удостоверения сетевого приложения или ресурса. Как правило, удостоверение удостоверяется в криптографической операции, которая использует либо только ключ, который знает пользователь (как при использовании шифрования с открытым ключом), либо общий ключ. Во время проверки подлинности на стороне сервера выполняется сравнение подписанных данных с известным криптографическим ключом для проверки попытки проверки подлинности.

Благодаря тому что криптографические ключи хранятся в безопасном центральном местоположении, процесс проверки подлинности можно масштабировать и поддерживать. Active Directory — это рекомендуемая и используемая по умолчанию технология для хранения сведений об удостоверениях, включая криптографические ключи, которые являются учетными данными пользователя. Служба каталогов Active Directory необходима для реализаций NTLM и Kerberos по умолчанию.

Методы проверки подлинности основаны на простом входе в операционную систему или в службу или приложение, которое определяет пользователей на основе чего-то, что известно только пользователю, например пароль, к более мощным механизмам обеспечения безопасности, использующим то, что пользователь хас'суч как маркеры, сертификаты открытого ключа, изображения или атрибуты биологических. В бизнес-среде пользователи могут открывать множество приложений на различных типах серверов из одного или многих местоположений. Поэтому проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.

Проверка подлинности и авторизация: аналоговая поездка

Аналоговая передача может помочь объяснить, как работает проверка подлинности. Чтобы начать путешествие, обычно требуется несколько подготовительных задач. Путешественника должен доказать свои истинные удостоверения своим узлам. Этот эксперимент может быть в виде подтверждения гражданства, места рождения, личного ваучера, фотографий или того, что требуется для закона страны узла. Удостоверение путешественника проверяется выдачей Passport, которая аналогична системной учетной записи, выданной и администрируемых организацией — субъектом безопасности. Паспорт и предполагаемое место назначения основаны на наборе правил и нормативных актов, выданных правительственными органами.

Путешествие

Когда путешественника поступает на международную границу, для него запрашиваются учетные данные, а путешественника представляет свой паспорт. Процесс состоит из двух этапов:

Условие проверяет подлинность паспорта, подтверждая, что он был выдан центром безопасности, который является доверенным для учетных данных локального правительства (по крайней мере, для выдачи паспортов), и проверяет, что паспорт не был изменен.

Условие проверяет подлинность путешественника, проверяя, соответствует ли лицо лицу, изображенному на паспорте, и что другие необходимые учетные данные имеют правильный порядок.

Если паспорт считается допустимым и путешественника становится его владельцем, то проверка подлинности прошла успешно, и путешественника может быть разрешен доступ через границу.

Транзитивное отношение доверия между центрами безопасности является основой проверки подлинности; тип проверки подлинности, который выполняется на международной границе, основан на доверии. Местный правительственный орган не знает путешественника, но он доверяет этому органу размещения. Когда правительственный орган узла выпустил паспорт, он не знал путешественника. Он доверяет агентству, выдавшего сертификат о рождении, или другую документацию. Агентство, которое выдавало сертификат о рождении, в свою очередь, доверенный врач, который подписал сертификат. Врач, следящий за рождением путешественникаа, записывает сертификат с прямым подтверждением подлинности, в данном случае с местом младенец. Отношения доверия, передаваемые таким образом через доверенные посредники, являются транзитивными.

транзитивное доверие является основой сетевой безопасности в Windows архитектуре клиента/сервера. Отношение доверия проходит по всему набору доменов, например доменному дереву, и формирует связь между доменом и всеми доменами, которые доверяют этому домену. Например, если домен A имеет транзитивное доверие с доменом B, а домен б доверяет домену C, то домен A доверяет домену C.

Между проверкой подлинности и авторизацией существует разница. При использовании проверки подлинности система подтверждает, что вы с вами сказали. При использовании авторизации система проверяет наличие прав на выполнение действий, которые вы хотите выполнить. Чтобы перевести границу на следующий шаг, просто выполните проверку подлинности того, что путешественника является правильным владельцем действительного паспорта, не обязательно авторизует путешественника для ввода страны. Резидентам в определенной стране можно вводить другую страну, просто предоставляя паспорт только в тех случаях, когда введенная страна предоставляет неограниченные разрешения для всех граждан этой страны.

Аналогичным образом можно предоставить всем пользователям определенные разрешения домена для доступа к ресурсу. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, как и в Канаде, и в США входит Канада. Тем не менее, граждан США пытается войти в Бразилии или Индии, чтобы они не могли ввести эти страны только с помощью цифрового паспорта, так как в обеих странах требуется, чтобы в качестве действительного Visa требовалось посетить граждан США. Поэтому проверка подлинности не гарантирует доступа к ресурсам или авторизации для использования ресурсов.

Учетные данные

Паспорт и, возможно, связанные висас — это принятые учетные данные для путешественника. Однако эти учетные данные могут не позволить путешественника ввести или получить доступ ко всем ресурсам в стране. Например, для участия в конференции требуются дополнительные учетные данные. в Windows учетные данные могут быть управляемыми, чтобы предоставить владельцам учетных записей доступ к ресурсам по сети без многократного предоставления учетных данных. Этот тип доступа позволяет системе проверять подлинность пользователей один раз, чтобы получить доступ ко всем приложениям и источникам данных, которые им разрешено использовать, не вводя другой идентификатор учетной записи или пароль. Windowsная платформа обеспечивает возможность использования единого удостоверения пользователя (обслуживаемого Active Directory) по сети путем локального кэширования учетных данных пользователя в локальном центре безопасности операционной системы (LSA). когда пользователь входит в домен, Windows пакеты проверки подлинности прозрачно используют учетные данные для предоставления единого входа при проверке подлинности учетных данных в сетевых ресурсах. дополнительные сведения об учетных данных см. в разделе процессы учетных данных в Windows проверки подлинности.

Многофакторная идентификация для путешественника может быть требованием предоставления и представления нескольких документов для проверки подлинности удостоверений, таких как паспорт и сведения о регистрации конференции. Windows реализует эту форму или проверку подлинности через смарт-карты, виртуальные смарт-карты и биометрические технологии.

Субъекты безопасности и учетные записи

в Windows любой пользователь, служба, группа или компьютер, которые могут инициировать действие, являются субъектом безопасности. Субъекты безопасности имеют учетные записи, которые могут быть локальными для компьютера или быть основаны на домене. например, Windows компьютеры, присоединенные к домену, могут участвовать в сетевом домене путем взаимодействия с контроллером домена, даже если никто из пользователей не вошел в систему. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. Прежде чем принимать подключения от компьютера, локальный центр безопасности на контроллере домена проверяет подлинность удостоверения компьютера, а затем определяет контекст безопасности компьютера так же, как и для участника безопасности. Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на определенном компьютере, а также пользователя, службы, группы или компьютера в сети. Например, он определяет ресурсы, такие как файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут быть выполнены пользователем, службой или компьютером на этом ресурсе. Дополнительные сведения см. в разделе субъекты безопасности.

Учетная запись — это средство для распознавания клаимант--пользователя или службы, запрашивающего доступ или ресурсы. Путешественника, который владеет подлинным паспортом, обладает учетной записью, содержащей страну узла. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или учетные записи общего доступа. Учетные записи могут быть членами групп и могут назначать определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, Рабочей группой, сетью или назначены членство в домене.

Встроенные учетные записи и группы безопасности, в которых они являются членами, определяются в каждой версии Windows. С помощью групп безопасности можно назначить одни и те же разрешения безопасности для многих пользователей, которые успешно прошли проверку подлинности, что упрощает администрирование доступа. Правила для выдачи паспортов могут потребовать, чтобы путешественника были назначены определенным группам, например "Бизнес", "таурист" или "правительственные учреждения". Этот процесс обеспечивает согласованность разрешений безопасности во всех членах группы. Использование групп безопасности для назначения разрешений означает, что Управление доступом к ресурсам остается постоянным, и его можно легко контролировать и подвергать аудиту. Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, можно максимально ограничить частоту изменений в списках управления доступом (ACL).

автономные управляемые учетные записи служб и виртуальные учетные записи появились в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и службы IIS (IIS) с изоляцией собственных учетных записей домена, одновременно устраняя необходимость администратора вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей. групповые управляемые учетные записи служб появились в Windows Server 2012 и предоставляют те же функциональные возможности в домене, но также расширяют эту функциональность на нескольких серверах. При подключении к службе, размещенной на ферме серверов, например к службе балансировки сетевой нагрузки, для протоколов взаимной проверки подлинности требуется, чтобы все экземпляры служб использовали один и тот же субъект.

Дополнительные сведения об учетных записях см. в следующих статьях:

Делегированная аутентификация

Для использования аналогового пути в странах могут выдаваться те же права доступа ко всем участникам официального правительственного делегирования, если они хорошо известны. Это делегирование позволяет одному участнику работать с полномочиями другого участника. в Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос на проверку подлинности от пользователя и принимает идентификатор этого пользователя, чтобы инициировать новое подключение к второй сетевой службе. Для поддержки делегированной проверки подлинности необходимо установить серверы переднего плана или сервера первого уровня, например веб-серверы, которые отвечают за обработку запросов проверки подлинности клиентов, а также серверные или n-уровневые серверы, например большие базы данных, которые отвечают за хранение информации. Вы можете делегировать право на настройку делегированной проверки подлинности для пользователей в Организации, чтобы сократить административную нагрузку на администраторов.

Установив службу или компьютер в качестве доверенного для делегирования, вы разрешите этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, выполняющего запрос, а затем получить доступ к сведениям для этого пользователя. Эта модель запрещает доступ к данным на внутренних серверах только тем пользователям или службам, которые представляют учетные данные с правильными маркерами контроля доступа. Кроме того, он обеспечивает аудит доступа к этим внутренним ресурсам. Если требуется, чтобы все данные были доступны через учетные данные, которые делегируются серверу для использования от имени клиента, убедитесь, что сервер не может быть скомпрометирован и что можно получить доступ к конфиденциальным сведениям, хранящимся на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах.

Проверка подлинности в отношениях доверия между доменами

Большинство организаций, имеющих более одного домена, имеют законную потребность в доступе пользователей к общим ресурсам, расположенным в другом домене, так же как путешественника разрешается перемещать в разные регионы в стране. Управление этим доступом требует, чтобы пользователи в одном домене также могли проходить проверку подлинности и авторизованы для использования ресурсов в другом домене. Для обеспечения возможности проверки подлинности и авторизации между клиентами и серверами в разных доменах должно быть отношение доверия между двумя доменами. отношения доверия — это базовая технология, с помощью которой безопасная Active Directoryная связь возникает и является неотъемлемой частью безопасности сетевой архитектуры Windows Server.

При наличии доверительных отношений между двумя доменами механизмы проверки подлинности для каждого домена доверяют, что проверки подлинности поступают из другого домена. Отношения доверия обеспечивают контролируемый доступ к общим ресурсам в домене ресурсов — доверенный домен, проверяя, что входящие запросы проверки подлинности поступают из доверенного центра. Таким образом, отношения доверия действуют как мосты, позволяющие проходить только проверенные запросы проверки подлинности между доменами.

Как конкретное отношение доверия проходит проверку подлинности, зависит от того, как оно настроено. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверяющем домене или двусторонним образом, предоставляя доступ из каждого домена к ресурсам в другом домене. Отношения доверия также являются нетранзитивными, и в этом случае доверительные отношения существуют только между двумя доменами партнерских партнеров или транзитивными. в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет любой из партнеров.

Смена протокола

Переключение протокола помогает разработчикам приложений поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователя и переключается на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений.

Дополнительные сведения о смене протокола см. в разделе Смена протокола Kerberos и ограниченное делегирование.

Ограниченное делегирование

Ограниченное делегирование дает администраторам возможность указывать и обеспечивать границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Можно указать определенные службы, из которых компьютер, которому разрешено делегирование, может запрашивать ресурсы. Гибкость в ограничении прав на авторизацию для служб помогает улучшить структуру безопасности приложений, уменьшая возможности взлома недоверенными службами.

Дополнительные сведения о ограниченном делегировании см. в разделе Общие сведения о ограниченном делегировании Kerberos.

Аутентификация (англ. authentication – подтверждение подлинности) – это процедура, во время которой определяется достоверность предоставленной информации (логин, пароль). То есть выясняется, действительно ли пользователь тот, кем представляется согласно введенным данным.

Виды аутентификации

Выделяют два типа – слабую (или однофакторную) и сильную (или двухфакторную, двойную) аутентификацию.

Однофакторная аутентификация

Классический вариант – аутентификация с помощью пароля. Некоторые пользователи грешат тем, что придумывают себе единый пароль для всех сайтов, которые требуют ввода данных для регистрации.

Двухфакторная аутентификация

По названию понятно, что двухфакторная аутентификация – это подтверждение личности пользователя с помощью двух или более факторов. Просто одного пароля недостаточно. Причина в том, что существует возможность подобрать комбинацию символов, даже самую мега-сложную.

Двусторонний тип аутентификации обеспечивают многие сервисы, предлагая пользователю самостоятельно выбрать цепочку взаимосвязи факторов.

Гарантировать максимальную безопасность может только двухэтапная аутентификация, когда одним из факторов выступает биометрия.

Способы аутентификации

С применением пароля

Парольная аутентификация ─ это когда пользователь идентифицируется по определенной комбинации символов, известной только ему. В качестве идентификатора используют и многоразовый пароль, что повторяется каждый раз для входа в систему (PIN код карточки или пароль для разблокировки телефона), и временный одноразовый, что присылают на email или телефон клиента.

Установка паролей ─ самый часто встречающийся вид однофакторной аутентификации, хоть он и не гарантирует подлинность пользователя. Одним паролем могут пользоваться несколько сотрудников-коллег. В таком случае, одному из них ничего не стоит изменить его или подменить владельца пароля. Тайна, известная двум людям, перестает быть тайной.

Взлом, кража, перехват паролей. Технологии развиваются и не каждый использует их для благого дела. Приходится искать альтернативные варианты защиты персональных данных и надежной парольной защиты:

  • Технические ограничения. Другими словами, это требования к паролям – не менее 6 символов, только латиница, обязательно с упоминанием цифр и т.д.
  • Срок действия. Периодическая смена комбинации символов повышает надежность защиты.
  • Ограничение доступа к файлу, где хранятся пароли.
  • Ограничение на число попыток входа. Если неправильный пароль вводится свыше допустимого числа раз, система получает уведомление об ошибке аутентификации и блокирует дальнейшие попытки.
  • Использование генератора паролей.
  • Обучение сотрудников элементарным способам информационной безопасности.

Перечисленные методы применяют и в случае выбора других типов аутентификации.

С применением пользовательского предмета

Зависимо от данных, которые передают в систему, носителями информации могут выступать:

  • Цифровой сертификат или электронная подпись
  • Аппаратный токен
  • Смарт-карта
  • Электронная таблетка iButton (или Touch Memory)
  • Карта с магнитной полоской

Человек, который держит в руках один из вышеуказанных носителей информации, будет являться подлинным пользователем. И здесь следует помнить о человеческом факторе и возможности кражи.

С применением биометрических данных

Биометрические системы аутентификации опираются на неповторимые человеческие физиологические и психологические характеристики.

  • Физиологические (или статические) знают все благодаря голливудским фильмам: это и отпечаток пальца, и рисунок сетчатки глаза, и геометрия лица, руки и т.д.
  • Психологические (или динамические) более редкие, но тоже эффективные: тембр голоса, сила нажатия кнопок, динамика личной подписи, координация движений рук и глаз и т.д.

С применением личной информации пользователя

Пользовательская личная информация редко используется в качестве единого фактора для аутентификации. Зачастую она выступает в связке с несколькими идентификаторами и используется для восстановления пароля (логина или других данных). Для аутентификации система запрашивает информацию, которая напрямую касается человека, что выполняет вход/регистрируется:

  • номер телефона,
  • дату рождения,
  • название любимой футбольной команды,
  • кличку питомца,
  • девичью фамилию матери.

С помощью местонахождения пользователя

Аутентификация пользователя по его местоположению – новое направление в категории защитных механизмов. Смысл работы в том, что за основу аутентификации берутся данные GPS (Global Positioning System) ─ системы спутниковой навигации.

Пользователь применяет GPS аппаратуру для отправки своих координат. С помощью спутников месторасположение определяется вплоть до метра. Следовательно, пользователю разрешают или запрещают доступ. Этот тип аутентификации характеризуется высокой надежностью, потому что отследить и перехватить спутниковый сигнал достаточно сложно. При этом GPS аппаратура проста в использовании.

С помощью ключа

Это тип аутентификации в wi fi сетях характерный для гаджетов, телефонов. Для нее используются ключи разных типов: динамическая аутентификация WPA, WPA2, по MAC-адресу. Что это такое, вы можете почитать в статье Wikipedia о сетевых методах аутентификации wi fi.

С применением комбинаций методов удостоверения личности (многофакторная аутентификация)

Объединение методов идентификации юзера повышает уровень защиты. Выбирая элементы безопасности опирайтесь на законы и бизнес-стандарты, потребности и удобство пользователя. Не стоит объединять пароль и одноразовый код активации, отправленный по email, когда у человека нет возможности этот email получить и прочитать.

Протоколы аутентификации

Пользователь использует для аутентификации персональный идентификатор ─ неповторимый ключ (при идентификации через протокол) или пароль.

Характеристики протоколов аутентификации:

Говоря о безопасности протоколов и их возможности противостоять ряду атак, выделяют одностороннюю аутентификацию, двухстороннюю аутентификацию и криптографические протоколы аутентификации.

Какие бывают протоколы аутентификации

Выбор протокола зависит от того, где происходит аутентификация – на ПК или в сети.

Смысл его работы следующий:

Итого, при аутентификации пользователя на ПК используются такие методы, как: ввод логина и пароля, биометрические данные, USB-токены и сертификаты.

Для аутентификации в сети существуют протоколы и сертификаты, которые идентифицируют пользователя и собирают статистику о его действиях и предпочтениях. Часто мы, будучи пользователями, встречаем информацию о файлах Cookies. Своего рода открытую аутентификацию. Куки привязываются к IP-адресу и используются для отслеживания действий и предпочтений пользователя.

Как видите, аутентификация – это этап для подтверждения личности пользователя при входе в систему. Способы и методы аутентификации продолжают развиваться, совершенствоваться и улучшаться.

Современные методы аутентификации: токен и это всё о нем!

Вы всё еще используете пароли?
Тогда мы идём к Вам!

Аутентификация и идентификация

В современном мире невозможно представить себе офис какой-либо компании без компьютеров. С их помощью обрабатывается вся информация, создаются документы, ведется бухгалтерский учет и выполняется множество другой необходимой работы. Между тем многие данные, хранящиеся на ПК, являются конфиденциальными и составляют коммерческую тайну, которую необходимо защищать.
Для того чтобы обеспечить конфиденциальность информации необходимо ограничить к ней доступ. Другими словами мы должны знать, кто получил доступ к информации, и быть уверены, что это именно тот человек, за которого он себя выдает.
Для достижения этих целей используют процедуры идентификации и аутентификации. Несмотря на близость этих понятий, обозначают они принципиально разные вещи. Дадим определения, чтобы лучше понять различия.

  1. Идентификация – процедура распознавания субъекта по его идентификатору (некоторой информацией – числу, строке символов).
  2. Аутентификация (подтверждение подлинности) – процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации.

Таким образом, идентификация – это всего лишь поиск идентификатора в базе данных учётных записей, а аутентификация – это проверка соответствия между субъектом и предъявляемым им идентификатором. Чтобы доказать свою подлинность, субъект должен предъявить нечто, называемое фактором аутентификации. Строго говоря, фактор аутентификации – это определенный вид уникальной информации, предоставляемый субъектом системе при его аутентификации.
Всего различают четыре фактора аутентификации:

  1. Субъект имеет нечто (дискету, токен. )
  2. Субъект знает нечто (пароль, логин. )
  3. Субъект обладает некой биологической особенностью (отпечаток пальца, структура ДНК. )
  4. Субъект находится в определённом месте (IP-адрес, данные от радио-метки,…)

Парольная аутентификация

Биометрия

  1. подделка отличительной черты;
  2. воспроизведение поведения пользователя;
  3. перехват биометрических показателей;
  4. воспроизведение биометрической подписи.

Среди других недостатков стоит отметить сложность внедрения биометрических систем и дополнительные личные, культурные и религиозные аспекты применения биометрических технологий аутентификации, связанные с вмешательством в частную жизнь.

Многофакторная аутентификация


В сочетании с криптографическим шифрованием системных дисков, защитой отдельных файлов и съемных носителей, а также аутентификацией до загрузки операционной системы, токены позволяют обеспечить необходимый уровень безопасности ИС для организаций любого масштаба со сколь угодно высоким уровнем требований к системе информационной безопасности и защиты данных.
Тенденции на рынке современных токенов

В сложившейся терминологии и смарт-карты, и USB-ключи с чипом смарт-карты, а так же любое другое персональное средство аутентификации пользователя, принято называть токеном (от английского token – метка, жетон).
Токены успешно используются в различных областях, от систем накопительных скидок до кредитных и дебетовых карт, студенческих билетов, телефонов стандарта GSM (знакомая всем SIM-карта, по сути та же смарт-карта, только без лишнего пластика и со специальным ПО), проездных билетов.
Как и любая современная технология, токены постоянно модифицируются и развиваются. Рассмотрим основные направления этого развития.

Интеграция с системами управления доступом

При использовании аппаратных USB-ключей или смарт-карт для аутентификации пользователей, например, при входе в операционную систему, рабочая станция автоматически блокируется при отключении токена. Как правило, согласно корпоративным политикам безопасности каждый сотрудник, оставляя своё рабочее место должен забирать токен с собой, но на практике, к сожалению, это не всегда выполняется. Оставленный без присмотра компьютер до включения программы-заставки является серьёзной брешью в системе безопасности.
Для решения этой задачи в современные токены производители предлагают встраивать RFID-метки, полностью аналогичные тем, что встроены в бесконтактных проксимити-картах, так широко используемых в современных офисах. Достаточно установить на двери помещения считыватель, совмещённый с замком и сотрудник выходя из комнаты фактически будет вынужден отсоединить токен и тем самым заблокировать рабочую станцию.
Другой сферой использования меток в токенах является контроль выноса этих аппаратных средств аутентификации за пределы территории организации. Для этих целей встраиваются других, более дальнодействующие метки, а все проходные оборудуются детекторами, аналогичными тем, что используются в супермаркетах.

Встроенная флэш-память

  1. Драйверы самого токена;
  2. Приложения безопасности (например, приложения для шифрования данных);
  3. Приложения, предназначенные специально для отдельных пользователей или групп пользователей;
  4. Операционные системы;
  5. Файлы установки.

Подобные устройства позволяют реализовать доверенную загрузку рабочих станций, терминальных клиентов и даже серверов непосредственно из самой памяти токена вне зависимости от установленной на недоверенном компьютере операционной системы и наличия у него жёсткого диска. Интересным решением с таким токеном может быть поставка, дистрибуция, установка и тиражирование ПО.

Генераторы одноразовых паролей

Java-токены

Крупные компании финансового сектора, а так же телекоммуникационные компании, а вслед за ними и все остальные, вплоть до компаний малого бизнеса, на фоне всё возрастающих угроз информационной безопасности постепенно приходят к пониманию необходимости использования средств строгой аутентификации пользователей.
Большое количество различных моделей аппаратных средств аутентификации, обилие технологий, методов аутентификации, а так же разнообразие приложений безопасности и целей использования приводит к определённым сложностям при внедрении токенов в масштабах организации.Типовыми сценариями, отнимающими дорогостоящее время системных администраторов, становятся сброс забытого PIN-кода токена, замена или выдача временного взамен повреждённого/утраченного токена.
При значительном количестве пользователей (от 100 и выше) затраты на сопровождение средств аутентификации в масштабах компании становятся сравнимыми со стоимостью владения централизованной системой управления жизненным циклом токенов. При этом нужно отдавать себе отчет в том, что внедрение аппаратных средств аутентификации пользователей само по себе не позволяет повысить безопасность системы. Для действительно эффективного их использования необходимо грамотно разработать и внедрить соответствующие политики безопасности, определяющих регламенты и правила использования этих средств.
Не менее важен и контроль за правильностью применения политик, что особенно становится значимым в случае территориальной распределённости компании, обилия филиалов и групп пользователей, использующих те или иные виды токенов для доступа к информации различного уровня конфиденциальности.
Ручной учёт токенов, персонализация и правильное назначение их пользователям в зависимости от должностных обязанностей, а так же аудит использования и контроль правильности применения политик в масштабах крупной компании просто немыслим.
Описанные выше и многие другие задачи из соображений безопасности и в том числе для уменьшения влияния человеческого фактора как правило автоматизируют с использованием специализированных систем класса Token Management System (TMS).
Собственно, TMS - это система, предназначенная для внедрения, управления, использования и учета аппаратных средств аутентификации пользователей (USB-ключей и смарт-карт) в масштабах предприятия. С момента инициализации токена и до его отзыва, то есть на протяжении всего времени его функционирования в инфраструктуре компании, основным инструментом для управления им является TMS. К базовым функциям TMS относятся: ввод в эксплуатацию токена (смарт-карты, USB-ключа, комбинированного USB-ключа или генератора одноразовых паролей), персонализация токена сотрудником, добавление возможности доступа к новым приложениям, а так же его отзыв, замена или временная выдача новой карты, разблокирование PIN-кода, обслуживание вышедшей из строя смарт-карты и отзыв её.

При всём обилии методов аутентификации наиболее популярными на рынке по-прежнемуостаются аппаратные токены во всех их модификациях и вариантах исполнения. Данная технология вне всякого сомнения будет востребована и спрос на неё будет расти. Производители аппаратных токенов постоянно предлагают всё новые и новые модели, а разработчики прикладного ПО и операционных систем встраивают в свои продукты поддержку смарт-карт и не спешат от них отказываться.
Современные токены позволяют решить широкий спектр задач по обеспечение информационной безопасности и не редки случаи, когда крупные многофилиальные компании принимают токены как корпоративный стандарт, делая обязательным применение аппаратных средств аутентификации во всех своих дочерних подразделениях. Наличие у ведущих производителей токенов в России соответствующих лицензий и сертификатов на сами токены сделало возможным использование этой технологии в том числе и во многих государственных министерствах и ведомствах.
Средний и малый бизнес вслед за крупными компаниями и государством проявляют всё больший интерес к токенам как средствам сохранения конфиденциальности коммерческой информации. Интерес со стороны домашних пользователей, вполне возможно, не за горами. Так популярность персональных средств антивирусной защиты сегодня уже никого не удивляет, а ведь токены позволяют защитить личную информацию и персональные данные от угроз, перед которыми антивирусы просто бессильны.

GMan1990 15-03-2015 16:25 3327 Прочтений 1 Комментарий

printer

Раздел 1. Вопрос 8. Авторизация и аутентификация: понятия, методы реализации.

Авторизация – получение права доступа путем проверки подлинности введенных данных пользователя [п.3.1.2 ГОСТ Р 52872-2012].

Авторизация – процесс определения достоверности полномочий предъявителя на доступ к ресурсу или использованию услуг [п.3.3 ГОСТ Р 53632-2009]

Авторизация – предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами доступа [п.3.5.10 Р 50.1.056-2005]

Идентификация ‑ присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем. Идентификация обеспечивает выполнение следующих функций:

  • установление подлинности и определение полномочий субъекта при его допуске в систему;
  • контролирование установленных полномочий в процессе сеанса работы;
  • регистрация действий и др.

Аутентификация (установление подлинности) ‑ проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

Общая процедура идентификации и аутентификации пользователя при его доступе в АС представлена на рис. 2.10. Если в процессе аутентификации подлинность субъекта установлена, то система защиты информации должна определить его полномочия (совокупность прав).

Рисунок 1 ‑ Классическая процедура идентификации и аутентификации

Аутентификация:

1) по контролируемому компоненту:

· партнеры по общению (периодические проверки во время соединения);

· источника данных (подтверждение источника отдельной порции данных);

2) по направленности:

3) по используемым средствам[подробнее в Приложении А]:

· Основанные на знании лицом, имеющим право на доступ к ресурсам системы, некоторой секретной информации – пароля:

o Постоянные пароли (многоразовые);

o Одноразовые (динамичноизменяющиеся):

· Основанные на использовании уникального предмета: жетона, электронной карточки и др.

· Основанные на измерении биометрических параметров человека – физиологических или поведенческих атрибутах живого организма.

· Основанные на информации, ассоциированной с пользователем, например, с его координатами.

4) по уровню информационной безопасности(подробнее в Приложении А)

Приложение А

1 Методы основанные на паролях

Наиболее распространенными простыми и привычными являются методы аутентификации, основанные на паролях – секретных идентификаторах субъектов. Здесь при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам АС.

Парольные методы следует классифицировать по степени изменяемости паролей:

· методы, использующие постоянные (многократно используемые) пароли;

· методы, использующие одноразовые (динамично изменяющиеся) пароли.

В большинстве АС используются многоразовые пароли. В этом случае пароль пользователя не изменяется от сеанса к сеансу в течение установленного администратором системы времени его действительности.

Более надежный способ – использование одноразовых или динамически меняющихся паролей. Известны следующие методы парольной защиты, основанные на одноразовых паролях:

· методы модификации схемы простых паролей;

В первом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль, номер в списке которого определен по случайному закону. Длина и порядковый номер начального символа пароля тоже могут задаваться случайным образом.

Функциональные методы основаны на использовании специальной функции парольного преобразования f(x) . Это позволяет обеспечить возможность изменения (по некоторой формуле) паролей пользователя во времени. Указанная функция должна удовлетворять следующим требованиям:

· для заданного пароля x легко вычислить новый пароль y=f(x) ;

· зная х и y, сложно или невозможно определить функцию f(x) .

Идея метода функционального преобразования состоит в периодическом изменении самой функции f(x) . Последнее достигается наличием в функциональном выражении динамически меняющихся параметров, например, функции от некоторой даты и времени. Пользователю сообщается исходный пароль, собственно функция и периодичность смены пароля. Нетрудно видеть, что паролями пользователя на заданных n-периодах времени будут следующие: x, f(x), f(f(x)), . f(x)n-1.

Достоинством метода является то, что передача какой-либо информации, которой может воспользоваться злоумышленник, здесь сведена к минимуму.

2 Методы с использованием token

В последнее время получили распространение комбинированные методы идентификации, требующие, помимо знания пароля, наличие карточки (token) – специального устройства, подтверждающего подлинность субъекта.

Карточки разделяют на два типа:

· пассивные (карточки с памятью);

· активные (интеллектуальные карточки).

Пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор. При использовании указанной карточки пользователь вводит свой идентификационный номер. В случае его совпадения с электронным вариантом, закодированным в карточке, пользователь получает доступ в систему. Это позволяет достоверно установить лицо, получившее доступ к системе и исключить несанкционированное использование карточки злоумышленником (например, при ее утере). Такой способ часто называют двухкомпонентной аутентификацией.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Д остоинства использования карточек: обработка аутентификационной информации выполняется устройством чтения, без передачи в память компьютера. Это исключает возможность электронного перехвата по каналам связи.

Недостатки пассивных карточек: они существенно дороже паролей, требуют специальных устройств чтения, их использование подразумевает специальные процедуры безопасного учета и распределения. Их также необходимо оберегать от злоумышленников, и, естественно, не оставлять в устройствах чтения. Известны случаи подделки пассивных карточек.

Интеллектуальные карточки кроме памяти имеют собственный микропроцессор. Это позволяет реализовать различные варианты парольных методов защиты: многоразовые пароли, динамически меняющиеся пароли, обычные запрос-ответные методы. Все карточки обеспечивают двухкомпонентную аутентификацию.

К указанным достоинствам интеллектуальных карточек следует добавить их многофункциональность. Их можно применять не только для целей безопасности, но и, например, для финансовых операций. Сопутствующим недостатком карточек является их высокая стоимость.

3 Биометрические методы аутентификации

Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК.

Читайте также: