Что такое аутентификация в компьютерной сети. Аутентификация. Что это и зачем? Ошибка аутентификации: понятие

Сетевая аутентификация - это то, с чем ежедневно сталкивается большое количество пользователей интернета. Некоторые люди не знают о том, что означает данный термин, а многие даже не подозревают о его существовании. Практически все юзеры всемирной паутины начинают рабочий день с того, что проходят процесс аутентификации. Она нужна при посещении почты, социальных сетей, форумов и прочего.

Пользователи сталкиваются с аутентификацией каждый день, сами того не подозревая.

Аутентификация - это процедура, с помощью которой происходит проверка пользовательских данных, например, при посещении того или иного ресурса глобальной сети. Она производит сверку данных, хранящихся на веб-портале, с теми, которые указывает юзер. После того как аутентификация будет пройдена, вы получите доступ к той или иной информации (например, своему почтовому ящику). Это основа любой системы, которая реализована на программном уровне. Зачастую указанный термин утилизирует более простые значения, такие как:

• авторизация;
• проверка подлинности.

Чтобы пройти аутентификацию, необходимо ввести логин и пароль для вашей учётной записи. В зависимости от ресурса, они могут иметь существенные отличия друг от друга. Если эксплуатировать идентичные данные на различных сайтах, то вы подвергнете себя опасности кражи вашей персональной информации злоумышленниками. В некоторых случаях указанные сведения могут выдаваться автоматически для каждого пользователя. Чтобы ввести нужные данные, как правило, используется специальная форма на ресурсе глобальной сети или в определённом приложении. После введения нужной информации, они будут отправлены на сервер для сравнения с теми, которые имеются в базе. Если они совпали, то вы получите доступ к закрытой части сайта. Введя неправильные данные, веб-ресурс сообщит об ошибке. Проверьте их правильность и введите ещё раз.

Какую сетевую идентификацию выбрать

Многие задумываются над тем, какую сетевую идентификацию выбрать, ведь их существует несколько типов. Для начала нужно определиться с любой из них. На основе полученных сведений каждый решает самостоятельно, на каком варианте остановиться. Одним из самых новых стандартов сетевой аутентификации является IEEE 802.1х. Он получил широкую поддержку практически у всех девелоперов оборудования и разработчиков программного обеспечения. Этот стандарт поддерживает 2 метода аутентификации: открытую и с использованием пароля (ключа). В случае с открытым методом одна станция может подключиться к другой без необходимости авторизации. Если вас не устраивает это, то необходимо утилизировать метод с использованием ключа. В случае с последним вариантом пароль шифруется одним из методов:

• WPA-персональная;
• WPA2-персональная.

Наиболее подходящий вариант можно установить на любом роутере.

Переходим к настройкам маршрутизатора

Даже неподготовленный пользователь без проблем произведёт все необходимые конфигурации. Чтобы начать настройку прибора, необходимо подключить его к персональному компьютеру при помощи кабеля. Если это действие выполнено, то откройте любой веб-обозреватель и в адресной строке наберите http://192.168.0.1, затем нажмите Enter. Указанный адрес подходит практически для любого девайса, но более точную информацию можно прочитать в инструкции. Кстати, это действие как раз и является аутентификацией, после прохождения которой вы получаете доступ к закрытой информации вашего роутера. Вы увидите запрос на вход в интерфейс, который поможет выполнить необходимые настройки . Если логин и пароль никто не менял, то по умолчанию практически во всех моделях от различных компоновщиков используется слово admin в обоих полях. Купленный маршрутизатор имеет открытую беспроводную сеть, так что к ней могут подключиться все желающие. В том случае, если вас это не устраивает, её необходимо защитить.

Защищаем беспроводную сеть

В различных моделях названия меню и подменю могут отличаться. Для начала нужно зайти в меню роутера и выбрать настройку беспроводной сети Wi-Fi. Указываем имя сети. Его будут видеть все беспроводные устройства, которые необходимо подключить к прибору. Далее нам необходимо выбрать один из методов шифрования, список которых приведён выше. Мы рекомендуем эксплуатировать WPA2-PSK. Указанный режим является одним из самых надёжных и универсальных. В соответствующем поле нужно вписать придуманный вами ключ. Он будет использоваться для

При подключении к WiFi сети возникает ошибка аутентификации – это весьма распространенная проблема. Именно поэтому так важно разобрать, почему она появляется и как ее устранить. Но прежде чем переходить к настройкам сети и устранению неполадок следует разобрать, что такое аутентификация. Это позволит понять, почему появляется данная ошибка и как быстро и надолго ее устранить.

Что такое аутентификация

Это система защиты беспроводных сетей, которая не позволяет посторонним подключаться к вашей группе. На сегодняшний день существует несколько типов аутентификации. Выбрать наиболее подходящий вариант можно в настройках роутера или точки доступа, которая используется для создания домашней сети. Как правило, в наше время используется тип шифрования (аутентификация) WPA-PSKWPA2-PSK2 mixed.

Это наиболее защищенный тип шифрования данных, который очень сложно взломать или обойти. При этом он также может разделяться на два типа. К примеру, в домашних условиях используется вариант с одной ключевой фразой для всех абонентов. Пользователь сам устанавливает ключ, который в дальнейшем требуется для подключения к сети.

Второй тип шифрования используется в организациях, которые требуют повышенного уровня защиты. В таком случае каждому доверенному абоненту присваивается уникальная парольная фраза. То есть вы сможете войти в группу только со своего компьютера и только после введения уникального ключа. В подавляющем большинстве случаев ошибка аутентификации при подключении к сети WiFi возникает именно в случае несоответствия типов шифрования и введенной парольной фразы.

Почему возникает ошибка аутентификации WiFi: Видео

Почему появляется ошибка проверки подлинности и как ее устранить

Как уже говорилось выше, если при подключении к WiFi сети система пишет «Ошибка аутентификации», то в первую очередь стоит проверить правильно написания ключевой фразы, а также включен ли Caps Lock. , то его можно проверить в настройках роутера. Но для этого вам придется подключиться к нему при помощи кабеля.

Рассмотрим, как узнать пароль на примере роутера D-LinkDir-615. После подключения к устройству откройте любимый браузер и в адресной строке пропишите IP маршрутизатора. Узнать его можно в инструкции или на корпусе самого устройства (внимательно осмотрите его со всех сторон).

Как легко узнать IP адрес WiFi роутера: Видео

Также узнать IP роутера можно при помощи командной строки. Нажмите комбинацию клавиш Windows+R, пропишите CMD и нажмите «Enter». В появившемся окне напишите команду ipconfig. Найдите строку «Основной шлюз» – это и есть нужный нам адрес.

Пропишите его в адресной строке браузера и нажмите «Enter». Дальше система попросит ввести логин и пароль. Пишем admin, admin соответственно.

Теперь внизу экрана найдите и нажмите кнопку «Расширенные настройки». Появится несколько дополнительных окон. Нас интересует раздел под названием «WiFi». В нем нужно найти настройки безопасности. Именно здесь вы можете выбрать тип аутентификации (шифрования) и изменить пароль.

Подключение к WiFi роутеру в Windows 8: Видео

Иногда проблема аутентификации при подключении компьютера к WiFi появляется даже при правильно введенном ключе. Это может означать, что в роутере произошел сбой или он просто подвис. Устраняется это простой перезагрузкой устройства. Это можно сделать в настройках или простым отключением питания на 7-10 минут.

Также следует проверить канал, на котором работает роутер. Для этого возвращаемся в начальное меню. В разделе WiFi нажимаем «Основные настройки» и находим строку «Канал». Рекомендуется устанавливать значение «Автоматически».

Встречаются и случаи, когда подобная ошибка появляется не из-за неполадок в роутере и не из-за неправильно введенного ключа. В таком случае следует проверить настройки в операционной системе.

Проверка ОС при ошибке аутентификации

Для подключения к беспроводной сети компьютер использует вай-фай адаптер. Именно из-за его неправильной работы могут появляться проблемы аутентификации сети WiFi. В первую очередь следует проверить наличие и правильность работы драйверов. Делается это в диспетчере устройств, который можно запустить следующим образом. Находите ярлык «Мой компьютер» и нажимаете на него правой кнопкой мышки.

Выбираете «Свойства» и открываете «Диспетчер устройств». Также можно одновременно нажать две клавиши – Windows+R, в появившемся окне написать mmc devmgmt.msc и нажать «Enter». В появившемся окне нас интересует «Сетевые адаптеры». Открываем ветку и смотрим, есть ли в списке ваш WiFi модуль. Как правило, в названии имеет Wireless Network Adapter. Если устройство помечено восклицательным знаком, то драйвера работают неправильно.

Каждый раз, когда пользователь вводит определенные данные для входа на какой-то ресурс или сервис – он проходит процедуру аутентификации . Чаще всего такая процедура в интернете происходит путем ввода логина и пароля , однако существуют и другие варианты.

Процесс входа и ввода личных данных можно условно поделить на 2 уровня:

• Идентификация – это ввод личных данных пользователя, которые зарегистрированы на сервере и являются уникальными
• Аутентификация – собственно проверка и принятие введенной информации на сервере.

Иногда, вместо вышеупомянутых терминов используют более простые – проверка подлинности и авторизация .

Сам процесс достаточно прост, можно разобрать его на примере любой социальной сети:

• Регистрация – пользователь задает электронную почту, номер телефона и пароль. Это уникальные данные, которые не могут дублироваться в системе, поэтому и нельзя регистрировать более одного аккаунта на человека.
• Идентификация – ввод указанной при регистрации информации, в данном случае это электронная почта и пароль.
• Аутентификация – после нажатия кнопки «вход», страница связывается с сервером и проверяет, действительно ли существует данная комбинация логина и пароля. Если все верно, то открывается личная страница социальной сети.

Разновидности авторизации

Существует несколько видов проверки подлинности, которые различаются уровнем защиты и использованием:

• Парольная защита . Пользователь знает некий ключ или пароль, который не известен более никому. Сюда же можно отнести идентификацию путем получения смс
• . Используется в фирмах или предприятиях. Такой метод подразумевает использование карточек, брелков, флешек и т.п.
• Биометрическая проверка. Проверяется сетчатка глаза, голос, отпечатки пальцев. Это одна из самых мощных защитных систем.
• Использование скрытой информации. Используется в основном для защиты программного обеспечения. Происходит проверка кэша браузера, местоположения, установленного на ПК оборудования и др.

Парольная защита

Это самый популярный и распространенный способ авторизации. При вводе имени и некого секретного кода, сервер сверяет то, что ввел пользователь и то, что хранится в сети. При полной идентичности вводимых данных доступ разрешается.

Пароли бывают двух видов: динамические и постоянные . Отличаются они тем, что постоянные выдаются единожды и изменяются только по требованию пользователя.

Динамические изменяются по определенным параметрам. Например, при восстановлении забытого пароля сервер выдает для входа именно динамический пароль.

Использование специальных предметов

Как упоминалось выше, чаще всего используется для доступа к помещениям с ограниченным доступам, банковским системам и.п.

Обычно в карточку (или любой другой предмет) вшивается чип с уникальным идентификатором. Когда он соприкасается со считывателем, происходит проверка и сервер разрешает, либо запрещает доступ.

Биометрические системы

В этом случае сверяются отпечатки пальцев, сетчатка глаза, голос и т.п. Это самая надежная, но и самая дорогая система из всех.

Современное оборудование позволяет не только сравнивать различные точки или участки при каждом доступе, но и проверяет мимику и черты лица.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.

Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).

История

С древних времён перед людьми стояла довольно сложная задача - убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников» . В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сезам, откройся!».

В настоящее время в связи с обширным развитием сетевых технологий, автоматическая аутентификация используется повсеместно.

Элементы системы аутентификации

В любой системе аутентификации обычно можно выделить несколько элементов :

• субъект , который будет проходить процедуру аутентификации
• характеристика субъекта - отличительная черта
• хозяин системы аутентификации , несущий ответственность и контролирующий её работу
• сам механизм аутентификации , то есть принцип работы системы
• механизм, предоставляющий или лишающий субъекта определенных прав доступа

Элемент аутентификации	Пещера 40 разбойников	Регистрация в системе	Банкомат
Субъект	Человек, знающий пароль	Авторизованный пользователь	Владелец банковской карты
Характеристика	Пароль "Сезам, откройся!"	Секретный пароль	Банковская карта и персональный идентификатор
Хозяин системы	40 разбойников	Предприятие, которому принадлежит система	Банк
Механизм аутентификации	Волшебное устройство, реагирующее на слова	Программное обеспечение, проверяющее пароль	Программное обеспечение, проверяющее карту и идентификатор
Механизм управления доступом	Механизм, отодвигающий камень от входа в пещеру	Процесс регистрации, управления доступом	Разрешение на выполнение банковских операций

Факторы аутентификации

Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищенности и стоимости внедрения. Выделяют 3 фактора аутентификации :

• Что-то, что мы знаем - пароль . Это секретная информация, которой должен обладать только авторизованный субъект. Паролем может быть речевое слово, текстовое слово, комбинация для замка или персональный идентификационный номер (PIN). Парольный механизм может быть довольно легко реализован и имеет низкую стоимость. Но имеет существенные минусы: сохранить пароль в секрете зачастую бывает проблематично, злоумышленники постоянно придумывают новые методы кражи, взлома и подбора пароля (см. бандитский криптоанализ). Это делает парольный механизм слабозащищенным.
• Что-то, что мы имеем - устройство аутентификации . Здесь важен факт обладания субъектом каким-то уникальным предметом. Это может быть личная печать, ключ от замка , для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в специальное устройство аутентификации, например, пластиковая карта , смарт-карта . Для злоумышленника заполучить такое устройство становится более проблематично, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищенным, чем парольный механизм, однако, стоимость такой системы более высокая.
• Что-то, что является частью нас - биометрика . Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони , голос или особенность глаза . С точки зрения субъекта, данный метод является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако, биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но несмотря на свои минусы, биометрика остается довольно перспективным фактором.

Способы аутентификации

Аутентификация по многоразовым паролям

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином » (англ. login - регистрационное имя пользователя) и пароля - некой конфиденциальной информации. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.

Простая аутентификация имеет следующий общий алгоритм :

1. Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль
2. Введенные уникальные данные поступают на сервер аутентификации, где сравниваются с эталонными
3. При совпадении данных с эталонными, аутентификация признается успешной, при различии - субъект перемещается к 1-му шагу

Введённый субъектом пароль может передаваться в сети двумя способами:

• Незашифрованно, в открытом виде, на основе протокола парольной аутентификации ( , PAP)
• С использованием шифрования SSL или TLS . В этом случае уникальные данные, введённые субъектом передаются по сети защищенно.

Защищенность

С точки зрения максимальной защищенности, при хранении и передаче паролей следует использовать однонаправленные функции . Обычно для этих целей используются криптографически стойкие хэш-функции . В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование , система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности, пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.

Использование многоразовых паролей имеет ряд существенных минусов. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальной информации. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии , без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую это оказывается какое-то слово или комбинация слов, присутствующие в словаре. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.

Базы учетных записей

На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd , доступном для чтения всем пользователям, что было небезопасно.

На компьютерах с операционной системой Windows / / / (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager - Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в директории %windir%\system32\config\.

Однако более надёжным способом хранения аутентификационных данных признано использование специальных аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

Аутентификация по одноразовым паролям

Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанной конфиденциальной информации. Эта проблема решается применением одноразовых паролей (OTP – One Time Password). Суть этого метода - пароль действителен только для одного входа в систему, при каждом следующем запросе доступа - требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.

Технологии использования одноразовых паролей можно разделить на:

• Использование генератора псевдослучайных чисел, единого для субъекта и системы
• Использование временных меток вместе с системой единого времени
• Использование базы случайных паролей, единого для субъекта и для системы

В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.

Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID . Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемого в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.

Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.

По сравнению с использованием многоразовых паролей, одноразовые пароли предоставляют более высокую степень защиты.

Многофакторная аутентификация

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищенность системы.

В качестве примера можно привести использование SIM-карт в мобильных телефонах . Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).

Также, к примеру в некоторых современных ноутбуках присутствует сканер отпечатка пальца . Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль .

Выбирая для системы тот или иной фактор или способ аутентификации необходимо прежде всего отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.

Можно привести сравнительную таблицу:

Уровень риска	Требования к системе	Технология аутентификации	Примеры применения
Низкий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации не будет иметь значительных последствий	Рекомендуется минимальное требование - использование многоразовых паролей	Регистрация на портале в сети Интернет
Средний	небольшой ущерб	Рекомендуется минимальное требование - использование одноразовых паролей	Произведение субъектом банковских операций
Высокий	Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальной информации причинит значительный ущерб	Рекомендуется минимальное требование - использование многофакторной аутентификации	Проведение крупных межбанковских операций руководящим аппаратом

Протоколы аутентификации

Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы , обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.

Самый простой протокол аутентификации - доступ по паролю (Password Authentication Protocol , PAP). Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.

Более сложные протоколы аутентификации основаны на принципе "запрос-ответ", например, протокол CHAP (Challenge-Handshake Authentication Protocol) . Работа протокола типа "запрос-ответ" может состоять минимум из четырех стадий:

1. Система генерирует случайное число и отправляет его субъекту
2. Субъект зашифровывает полученное число на основе своего уникального ключа и результат отправляет системе
3. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным случайным числом, аутентификация проходит успешно.

Сам уникальный ключ, на основе которого производится шифрование и с одной, и с другой стороны, не передается по сети, следовательно, злоумышленник не сможет его перехватить. Но субъект должен обладать собственным вычислительным шифрующим устройством, например, смарт-карта , мобильный телефон .

Принцип действия протоколов взаимной аутентификации отличаются от протоколов типа "запрос-ответ" незначительно:

1. Субъект отправляет системе запрос, содержащий его персональный идентификатор и случайное число N1
2. Система зашифровывает полученное число N1 на основе уникального ключа , генерирует случайное число N2, и отправляет их оба субъекту
3. Cубъект расшифровывает полученное число на основе своего уникального ключа и сравнивает результат с N1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
4. Субъект зашифровывает полученное число N2 на основе своего уникального ключа и результат отправляет системе
5. Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным числом N2, взаимная аутентификация проходит успешно.

Алгоритм, приведенный выше, часто называют рукопожатием. В обоих случаях аутентификация проходит успешно, только если субъект имеет идентичные с системой уникальные ключи.

Идентификация и аутентификация представляют собой основу современных программно-технических средств безопасности, так как любые другие сервисы в основном рассчитаны на обслуживание указанных субъектов. Эти понятия представляют собой своеобразную первую линию обороны, обеспечивающую пространства организации.

Что это такое?

Идентификация и аутентификация имеют разные функции. Первая предоставляет субъекту (пользователю или процессу, который действует от его имени) возможность сообщить собственное имя. При помощи аутентификации уже вторая сторона окончательно убеждается в том, что субъект действительно представляет собой того, за кого он себя выдает. Нередко в идентификация и аутентификация заменяются словосочетаниями «сообщение имени» и «проверка подлинности».

Сами они подразделяются на несколько разновидностей. Далее мы рассмотрим, что собой представляют идентификация и аутентификация и какими они бывают.

Аутентификация

Данное понятие предусматривает два вида: одностороннюю, когда клиент предварительно должен доказать серверу свою подлинность, и двустороннюю, то есть когда ведется взаимное подтверждение. Стандартный пример того, как проводится стандартная идентификация и аутентификация пользователей, - это процедура входа в определенную систему. Таким образом, разные типы могут использоваться в различных объектах.

В сетевой среде, когда идентификация и аутентификация пользователей осуществляются на территориально разнесенных сторонах, рассматриваемый сервис отличается двумя основными аспектами:

• что выступает в качестве аутентификатора;
• как именно был организован обмен данными аутентификации и идентификации и как обеспечивается его защита.

Чтобы подтвердить свою подлинность, субъектом должна быть предъявлена одна из следующих сущностей:

• определенная информация, которая ему известна (личный номер, пароль, специальный криптографический ключ и т. д.);
• определенная вещь, которой он владеет (личная карточка или какое-то другое устройство, имеющее аналогичное назначение);
• определенная вещь, являющаяся элементом его самого (отпечатки пальцев, голос и прочие биометрические средства идентификации и аутентификации пользователей).

Особенности систем

В открытой сетевой среде стороны не имеют доверенного маршрута, а это говорит о том, что в общем случае информация, передаваемая субъектом, может в конечном итоге не совпадать с информацией, полученной и используемой при проверке подлинности. Требуется обеспечение безопасности активного и пассивного прослушивания сети, то есть защита от корректировки, перехвата или воспроизведения различных данных. Вариант передачи паролей в открытом виде является неудовлетворительным, и точно так же не может спасти положение и шифрование паролей, так как им не обеспечивается защита от воспроизведения. Именно поэтому сегодня используются более сложные протоколы аутентификации.

Надежная идентификация имеет трудности не только по причине различных но еще и по целому ряду других причин. В первую очередь практически любые аутентификационные сущности могут похищаться, подделываться или выведываться. Также присутствует определенное противоречие между надежностью используемой системы, с одной стороны, и удобствами системного администратора или пользователя - с другой. Таким образом, из соображения безопасности требуется с некоторой частотой запрашивать у пользователя повторное введение его аутентификационной информации (так как вместо него может уже сидеть какой-нибудь другой человек), а это не только создает дополнительные хлопоты, но еще и значительно увеличивает шанс на то, что кто-то может подсматривать ввод информации. Помимо всего прочего, надежность средства защиты существенно сказывается на его стоимости.

Современные системы идентификации и аутентификации поддерживают концепцию единого входа в сеть, что в первую очередь позволяет удовлетворять требования в плане удобства для пользователей. Если стандартная корпоративная сеть имеет множество информационных сервисов, предусматривающих возможность независимого обращения, то в таком случае многократное введение личных данных становится чересчур обременительным. На данный момент пока еще нельзя сказать, что использование единого входа в сеть считается нормальным, так как доминирующие решения еще не сформировались.

Таким образом, многие стараются найти компромисс между доступностью по цене, удобством и надежностью средств, которыми обеспечивается идентификация/аутентификация. Авторизация пользователей в данном случае осуществляется по индивидуальным правилам.

Отдельное внимание стоит уделить тому, что используемый сервис может быть выбран в качестве объекта атаки на доступность. Если выполнена таким образом, чтобы после некоторого числа неудачных попыток возможность ввода была заблокирована, то в таком случае злоумышленниками может останавливаться работа легальных пользователей путем буквально нескольких нажатий клавиш.

Парольная аутентификация

Главным достоинством такой системы является то, что она является предельно простой и привычной для большинства. Пароли уже давным-давно используются операционными системами и другими сервисами, и при грамотном использовании ими обеспечивается уровень безопасности, который является вполне приемлемым для большинства организаций. Но с другой стороны, по общей совокупности характеристик подобные системы представляют собой самое слабое средство, которым может осуществляться идентификация/аутентификация. Авторизация в таком случае становится достаточно простой, так как пароли должны быть запоминающимися, но при этом простые комбинации нетрудно угадать, особенно если человек знает пристрастия конкретного пользователя.

Иногда бывает так, что пароли, в принципе, не держатся в секрете, так как имеют вполне стандартные значения, указанные в определенной документации, и далеко не всегда после того, как устанавливается система, их меняют.

При вводе пароль можно посмотреть, причем в некоторых случаях люди используют даже специализированные оптические приборы.

Пользователи, основные субъекты идентификации и аутентификации, нередко могут сообщать пароли коллегам для того, чтобы те на определенное время подменили владельца. В теории в таких ситуациях будет правильнее всего применять специальные средства управления доступом, но на практике это никем не используется. А если пароль знают два человека, это крайне сильно увеличивает шансы на то, что в итоге о нем узнают и другие.

Как это исправить?

Есть несколько средств, как может быть защищена идентификация и аутентификация. Компонент обработки информации может обезопаситься следующим:

• Наложением различных технических ограничений. Чаще всего устанавливаются правила на длину пароля, а также содержание в нем определенных символов.
• Управлением срока действия паролей, то есть необходимостью их периодической замены.
• Ограничением доступа к основному файлу паролей.
• Ограничением общего количества неудачных попыток, доступных при входе в систему. Благодаря этому злоумышленниками должны выполняться только действия до выполнения идентификации и аутентификации, так как метод перебора нельзя будет использовать.
• Предварительным обучением пользователей.
• Использованием специализированных программных генераторов паролей, которые позволяют создавать такие комбинации, которые являются благозвучными и достаточно запоминающимися.

Все указанные меры могут использоваться в любом случае, даже если вместе с паролями будут применяться также и другие средства аутентификации.

Одноразовые пароли

Рассмотренные выше варианты являются многоразовыми, и в случае раскрытия комбинации злоумышленник получает возможность выполнять определенные операции от имени пользователя. Именно поэтому в качестве более сильного средства, устойчивого к возможности пассивного прослушивания сети, используются одноразовые пароли, благодаря которым система идентификации и аутентификации становится гораздо более безопасной, хоть и не такой удобной.

На данный момент одним из наиболее популярных программных генераторов одноразовых паролей является система под названием S/KEY, выпущенная компанией Bellcore. Основная концепция этой системы заключается в том, что имеется определенная функция F, которая известна как пользователю, так и серверу аутентификации. Далее представлен секретный ключ К, который известен только определенному пользователю.

При начальном администрировании пользователя данная функция используется к ключу определенное количество раз, после чего происходит сохранение полученного результата на сервере. В дальнейшем процедура проверки подлинности выглядит так:

1. На пользовательскую систему от сервера приходит число, которое на 1 меньше количества раз использования функции к ключу.
2. Пользователем используется функция к имеющемуся секретному ключу то количество раз, которое было установлено в первом пункте, после чего результат отправляется через сеть непосредственно на сервер аутентификации.
3. Сервером используется данная функция к полученному значению, после чего результат сравнивается с сохраненной ранее величиной. Если результаты совпадают, то в таком случае подлинность пользователя является установленной, а сервер сохраняет новое значение, после чего снижает счетчик на единицу.

На практике реализация данной технологии имеет несколько более сложную структуру, но на данный момент это не столь важно. Так как функция является необратимой, даже в случае перехвата пароля или получения несанкционированного доступа к серверу аутентификации не предоставляет возможности получить секретный ключ и каким-либо образом предсказать, как конкретно будет выглядеть следующий одноразовый пароль.

В России в качестве объединенного сервиса используется специальный государственный портал - "Единая система идентификации/аутентификации" ("ЕСИА").

Еще один подход к надежной системе аутентификации заключается в том, чтобы новый пароль генерировался через небольшие промежутки времени, что тоже реализуется через использование специализированных программ или различных интеллектуальных карт. В данном случае сервер аутентификации должен воспринимать соответствующий алгоритм генерации паролей, а также определенные ассоциированные с ним параметры, а помимо этого, должна присутствовать также синхронизация часов сервера и клиента.

Kerberos

Впервые сервер аутентификации Kerberos появился в середине 90-х годов прошлого века, но с тех пор он уже успел получить огромнейшее количество принципиальных изменений. На данный момент отдельные компоненты данной системы присутствуют практически в каждой современной операционной системе.

Главным предназначением данного сервиса является решение следующей задачи: присутствует определенная незащищенная сеть, и в ее узлах сосредоточены различные субъекты в виде пользователей, а также серверных и клиентских программных систем. У каждого такого субъекта присутствует индивидуальный секретный ключ, и для того чтобы у субъекта С появилась возможность доказать собственную подлинность субъекту S, без которой тот попросту не станет его обслуживать, ему необходимо будет не только назвать себя, но еще и показать, что он знает определенный секретный ключ. При этом у С нет возможности просто отправить в сторону S свой секретный ключ, так как в первую очередь сеть является открытой, а помимо этого, S не знает, да и, в принципе, не должен знать его. В такой ситуации используется менее прямолинейная технология демонстрации знания этой информации.

Электронная идентификация/аутентификация через систему Kerberos предусматривает ее использование в качестве доверенной третьей стороны, которая имеет информацию о секретных ключах обслуживаемых объектов и при необходимости оказывает им помощь в проведении попарной проверки подлинности.

Таким образом, клиентом сначала отправляется в систему запрос, который содержит необходимую информацию о нем, а также о запрашиваемой услуге. После этого Kerberos предоставляет ему своеобразный билет, который шифруется секретным ключом сервера, а также копию некоторой части данных из него, которая засекречивается ключом клиента. В случае совпадения устанавливается, что клиентом была расшифрована предназначенная ему информация, то есть он смог продемонстрировать, что секретный ключ ему действительно известен. Это говорит о том, что клиент является именно тем лицом, за которое себя выдает.

Отдельное внимание здесь следует уделить тому, что передача секретных ключей не осуществлялась по сети, и они использовались исключительно для шифрования.

Проверка подлинности с использованием биометрических данных

Биометрия включает в себя комбинацию автоматизированных средств идентификации/аутентификации людей, основанную на их поведенческих или физиологических характеристиках. Физические средства аутентификации и идентификации предусматривают проверку сетчатки и роговицы глаз, отпечатков пальцев, геометрии лица и рук, а также другой индивидуальной информации. Поведенческие же характеристики включают в себя стиль работы с клавиатурой и динамику подписи. Комбинированные методы представляют собой анализ различных особенностей голоса человека, а также распознавание его речи.

Такие системы идентификации/аутентификации и шифрования используются повсеместно во многих странах по всему миру, но на протяжении длительного времени они отличались крайне высокой стоимостью и сложностью в применении. В последнее же время спрос на биометрические продукты значительно увеличился по причине развития электронной коммерции, так как, с точки зрения пользователя, намного удобнее предъявлять себя самого, чем запоминать какую-то информацию. Соответственно, спрос рождает предложение, поэтому на рынке начали появляться относительно недорогие продукты, которые в основном ориентированы на распознавание отпечатков пальцев.

В преимущественном большинстве случаев биометрия используется в комбинации с другими аутентификаторами наподобие Нередко биометрическая аутентификация представляет собой только первый рубеж защиты и выступает в качестве средства активизации интеллектуальных карт, включающих в себя различные криптографические секреты. При использовании данной технологии биометрический шаблон сохраняется на этой же карте.

Активность в сфере биометрии является достаточно высокой. Уже существует соответствующий консорциум, а также довольно активно ведутся работы, направленные на стандартизацию различных аспектов технологии. Сегодня можно увидеть множество рекламных статей, в которых биометрические технологии преподносятся в качестве идеального средства обеспечения повышенной безопасности и при этом доступного широким массам.

ЕСИА

Система идентификации и аутентификации ("ЕСИА") представляет собой специальный сервис, созданный для того, чтобы обеспечить реализацию различных задач, связанных с проверкой подлинности заявителей и участников межведомственного взаимодействия в случае предоставления каких-либо муниципальных или государственных услуг в электронной форме.

Для того чтобы получить доступ к "Единому порталу государственных структур", а также каким-либо другим информационным системам инфраструктуры действующего электронного правительства, для начала нужно будет пройти регистрацию учетной записи и, как следствие, получить ПЭП.

Уровни

Портал предусматривает три основных уровня учетных записей для физических лиц:

• Упрощенная. Для ее регистрации достаточно просто указать свою фамилию и имя, а также какой-то определенный канал коммуникации в виде адреса электронной почты или мобильного телефона. Это первичный уровень, с помощью которого у человека открывается доступ только к ограниченному перечню различных государственных услуг, а также возможностей существующих информационных систем.
• Стандартная. Для ее получения изначально нужно оформить упрощенную учетную запись, а потом уже предоставить также дополнительные данные, включая информацию из паспорта и номер страхового индивидуального лицевого счета. Указанная информация автоматически проверяется через информационные системы Пенсионного фонда, а также Федеральную миграционную службу, и, если проверка проходит успешно, учетная запись переводится на стандартный уровень, что открывает пользователю расширенный перечень государственных услуг.
• Подтвержденная. Для получения такого уровня учетной записи единая система идентификации и аутентификации требует от пользователей стандартный аккаунт, а также подтверждение личности, которое выполняется через личное посещение отделения уполномоченной службы или посредством получения кода активации через заказное письмо. В том случае, если подтверждение личности окажется успешным, учетная запись перейдет на новый уровень, а перед пользователем откроется доступ к полному перечню необходимых государственных услуг.

Несмотря на то что процедуры могут показаться достаточно сложными, на самом деле ознакомиться с полным перечнем необходимых данных можно непосредственно на официальном сайте, поэтому полноценное оформление вполне возможно на протяжении нескольких дней.