Аутентификация

Определение: Аутентификация — это процесс, в рамках которого выполняется проверка личности пользователя компьютера или сети и который фактически подтверждает, что пользователь именно тот человек, за которого себя выдает. Данную процедуру следует отличать от идентификации (которая определяет, известен ли конкретный пользователь системе) и авторизации (которая предоставляет конкретному пользователю доступ к определенным системным ресурсам)

Кто вы? Вы здесь работаете? Какими правами вы обладаете? Как я могу убедиться, что вы тот самый человек, за которого себя выдаете?

Это очень важные вопросы, на которые должна ответить любая эффективная система защиты прежде, чем пользователь сможет получить доступ к компьютерным, сетевым или другим защищенным ресурсам. Мы считаем, что этим занимается система защиты паролем, но пароли — это всего лишь одна составляющая эффективной системы защиты. Она должна включать в себя три отдельных элемента: идентификацию, аутентификацию и авторизацию, которые все вместе составляют то, что называют контролем доступа.

Когда вы регистрируетесь на компьютере или в сети, первое, что у вас спрашивают, — это имя пользователя (или имя «учетной записи»). Но имя пользователя обеспечивает невысокий уровень защиты в системе. В силу чего система обычно просит вас ввести еще и пароль, выполняя тем самым определенный вид аутентификации.

Аутентификация

Во многих случаях вопрос «Как я могу убедиться, что вы тот самый человек, за которого себя выдаете?» оказывается самым важным. Если вы не дадите удовлетворительного ответа, идентификация не будет завершена и никакой авторизации не последует. Но как система проверит, что пользователь именно тот, за кого себя выдает? Ввод пароля не доказывает, что его ввел человек, которому этот пароль на самом деле принадлежит. Ваш пароль может узнать и кто-то другой.

В данном случае поможет тщательная аутентификация. По сути, для аутентификации пользователя могут применяться следующие три фактора.

1. Информация, которая известна пользователю. Это многоразовый пароль, кодовая фраза, персональный идентификатор или факт, который вряд ли известен кому-то другому, например девичья фамилия матери.

2. Вещь, которая принадлежит пользователю. Это может быть ключ, кредитная карта, смарт-карта или специализированное устройство аутентификации (называемое аппаратным ключом), которое генерируют одноразовый пароль или определенный ответ на обращение со стороны сервера.

3. Характеристики, которыми обладает пользователь. Они зависят от некоторых физических особенностей или качеств пользователя. К такому виду параметров аутентификации, называемых биометрическими характеристиками, относятся: отпечатки пальцев, снимок сетчатки, геометрия руки, голос, черты лица, манера вводить текст и динамические характеристики подписи (скорость и сила нажатия, а не только очертания).

Перечисленные факторы аутентификации располагаются по степени надежности, в зависимости от того, насколько сложно их сфальсифицировать. Все эти методы предполагают определенный уровень защиты. Однако каждый из них имеет свои недостатки.

Так сложилось исторически, что многоразовые пароли остаются очень уязвимыми. Их можно подобрать, подсмотреть или взломать.

Второй фактор аутентификации (вещь, которая принадлежит пользователю) требует, чтобы у пользователя было какое-нибудь трудновоспроизводимое устройство. Это более надежная защита, стоит она дороже (обычно несколько десятков долларов за устройство) и требует принятия специальных мер, если пользователь забыл устройство дома, потерял или оно было украдено.

Третий фактор аутентификации (характеристики, которыми обладает пользователь) подделать сложнее всего, но тут возникают другие проблемы. Методы идентификации биометрик порождают два типа ошибок: ошибочное подтверждение и ошибочный отказ. В первом случае система аутентифицирует пользователя, который не должен быть аутентифицирован; во втором — в доступе отказывают легитимному пользователю.

Крайне нежелательны и те и другие ошибки, поэтому важно при оценке такой системы знать и отслеживать уровень ошибок.

Еще одна проблема состоит в том, что постоянные физические изменения или случайные искажения или травмы могут либо изменить, либо сделать нечитаемыми измеряемые характеристики.

Если вы порезали палец, то отпечатки пальцев, на которые ориентируется система, будут искажены. Наклейте пластырь, и модуль считывания вообще не сможет прочитать информацию.

Наконец, если аутентификация по третьему способу невозможна, то нет возможности присвоить пользователю новые идентификационные характеристики. Вы можете определить новый пароль или аппаратный ключ, но не можете изменить отпечатки пальцев или изображение радужной оболочки.

Двухфакторная аутентификация

Для обеспечения более высокого уровня защиты эксперты предпочитают использовать одновременно два или три метода — этот процесс получил название двухфакторной аутентификации. К примеру, чтобы применить аппаратный ключ, который генерирует одноразовый пароль, вам, возможно, придется ввести личный идентификационный номер в сам аппаратный ключ. Точно так же аппаратный ключ может применяться в сочетании с биометрической системой.

По сути, то же самое происходит, когда вы регистрируетесь перед посадкой на авиарейс. Вы предъявляете билет, который служит и вашим идентификатором. Затем показываете документ с фотографией. Это вещь, которая вам принадлежит, и в то же время биометрика (характеристика пользователя), по которой клерк должен определить, что фотография на документе ваша.

Как только пользователь прошел идентификацию и аутентификацию, остается предоставить ему доступ к соответствующим системным ресурсам. Эта авторизация обычно сопровождается анализом записи о пользователе в списке контроля доступа, который определяет конкретные права и разрешения. Список этих прав может зависеть от ряда других моментов, например личности пользователя и его служебных обязанностей, членства в рабочей группе или другой классификации, а также, возможно, от времени суток и дня недели.

Аутентификация с помощью аппаратных ключей

SecurID

Устройство аппаратной аутентификации, или аппаратный ключ, обеспечивает более высокий уровень защиты от подделки или взлома. Плата SecurID компании RSA Security имеет ЖК-экран, который показывает строку чисел, изменяющуюся каждую минуту. Пользователь набирает свое имя при регистрации, затем на экране возникает число. Система знает, что это число предлагается данному пользователю в конкретное время. Некоторые аппаратные ключи не показывают числа постоянно, а требуют, чтобы пользователь ввел личный идентификационный номер на самой плате, прежде чем на экране появится число, тем самым предлагая двухфакторную аутентификацию.

Системы Challenge-Response

В случае применения системы Challenge — Response («вопрос — ответ») при регистрации пользователя на экране отображается число (запрос). Пользователь набирает этот номер в своем аппаратном ключе, который в свою очередь кодирует этот номер и выдает другое число (ответ). Пользователь вводит ответ в компьютер. Хост выполняет те же операции на запросе, затем сравнивает результат с ответом пользователя. Если они соответствуют друг другу, пользователь аутентифицирован.