доцент Мелешко О.О., студент Ганнущенко А.М.
Національний авіаційний університет (НАУ), Україна
Методи
автентифікації користувачів
Вступ. На початку ХХІ століття швидкий
розвиток інформаційних технологій призвів до значних змін у суспільстві. На
перший план виступає інформація та її значний вплив на всі аспекти суспільного
життя. Основною цінністю будь-якої ланки суспільства стали інформаційні
ресурси.
Актуальність. Відповідно до збільшення важливості та
кількості інформаційних ресурсів виникає необхідність їх захисту.
Мета – розглянути основні методи
автентифікації користувачів.
Ключовими поняттями в інформаційній системі є
ідентифікація та автентифікація. Ідентифікація - це присвоєння будь-якому
об'єкту чи суб'єкту унікального імені. Автентифікація - це встановлення
автентичності, тобто перевірка, чи є об'єкт (суб'єкт) дійсно тим, за кого він
себе видає. В якості синоніма слова «автентифікація» іноді використовують
словосполучення «перевірка справжності».[1]
Автентифікація буває односторонньою (зазвичай клієнт
доводить свою справжність серверу) і двосторонньою (взаємною). Приклад
односторонньої автентифікації - процедура входу користувача в систему.
Суб'єкт може підтвердити свою автентичність, пред'явивши
принаймні одну з наступних сутностей (у випадку пред’явлення двох або більшої
кількості сутностей автентифікація називається двофакторною та мультифакторною
відповідно):[2-3]
• щось, що він знає (пароль, особистий ідентифікаційний
номер, криптографічний ключ і т.п.);
• щось, чим він володіє (особисту картку або інший
пристрій аналогічного призначення);
• щось, що є частиною його самого (голос, відбитки
пальців, тощо, тобто свої біометричні характеристики).
Парольна автентифікація
Головне достоїнство парольної автентифікації - простота і
звичність. Паролі давно вбудовані в операційні системи та інші сервіси. При
правильному використанні паролі можуть забезпечити прийнятний для багатьох
організацій рівень безпеки. Тим не менш, за сукупністю характеристик їх слід
визнати найслабшим засобом перевірки автентичності.
Щоб пароль не забути, його часто роблять простим (ім'я
подруги, назва спортивної команди тощо). Однак простий пароль неважко вгадати,
особливо якщо знати інтереси даного користувача.
Іноді паролі з самого початку не зберігаються в таємниці,
оскільки мають стандартні значення, вказані в документації, і далеко не завжди
після установки системи проводиться їх зміна.
Введення пароля можна підглянути. Іноді для підглядання
використовуються навіть оптичні прилади.
Пароль можна вгадати «методом грубої сили», використовуючи,
скажімо, словник. Якщо файл паролів зашифрований, але доступний для читання,
його можна завантажити до себе на комп'ютер і спробувати підібрати пароль,
запрограмувавши повний перебір (передбачається, що алгоритм шифрування
відомий).
Проте, можна підвищити надійність паролів за допомогою
наступних заходів:
• накладення технічних обмежень (пароль повинен бути не
дуже коротким, він повинен містити літери, цифри, знаки пунктуації тощо);
• управління терміном дії паролів, їх періодична зміна;
• обмеження доступу до файлу паролів;
• обмеження числа невдалих спроб входу в систему (це
утруднить застосування «методу грубої сили»);
• використання програмних генераторів паролів (така
програма, грунтуючись на нескладних правилах, може породжувати тільки благозвучні
і тому легко запам’ятовувані паролі).
Автентифікація за допомогою унікального предмета
У більшості випадків автентифікація за допомогою
унікального предмета забезпечує більш серйозний захист, ніж парольна
автентифікація.
Предмети, використовувані для автентифікації, можна
умовно розділити на такі дві групи:
«Пасивні» предмети, які містять автентифікаційну
інформацію (наприклад, якийсь випадково генерований пароль) і передають її в
модуль автентифікації на вимогу. При цьому, інформація може зберігатися в
предметі як у відкритому (приклади: магнітні картки, смарт-картки з відкритою
пам'яттю, електронні таблетки Touch Memory), так і в захищеному вигляді
(смарт-картки з захищеною пам'яттю, USB-токени). В останньому випадку потрібне
введення PIN-коду для доступу до даних, що зберігаються, що автоматично
перетворює предмет на засіб двофакторної автентифікації.
«Активні» предмети володіють достатніми обчислювальними
ресурсами і здатні активно брати участь у процесі автентифікації (приклади:
мікропроцесорні смарт-карти і USB-токени). Ця можливість особливо цікава при
віддаленій автентифікації користувача, оскільки на основі таких предметів можна
забезпечити сувору автентифікацію. Під цим терміном ховається такий вид
автентифікації, при якому секретна інформація, що дозволяє перевірити
справжність користувача, не передається у відкритому вигляді.
Автентифікація за допомогою унікальних предметів має і
низку недоліків:
·
Предмет може бути
викрадений у користувача.
·
У більшості
випадків потрібне спеціальне устаткування для роботи з предметами.
·
Теоретично можливе
виготовлення копії або емулятора предмета.
При біометричній автентифікації використовуються статичні
методи, засновані на фізіологічних характеристиках людини, даних їй від
народження (малюнки папілярних ліній пальців, райдужної оболонки очей,
капілярів сітківки очей, теплове зображення, геометрія руки, ДНК), і динамічні
методи (почерк і динаміка підпису, голос і особливості мови, ритм роботи на
клавіатурі).
Будь-яка біометрична технологія застосовується поетапно: сканування
об'єкта; витяг індивідуальної інформації; формування шаблону; порівняння
поточного шаблону з базою даних.
Точність біометричних систем автентифікації користувачів
визначається імовірністю виникнення помилок першого, другого та третього роду [4].
Помилки 1-го роду («помилкова тривога») або FRR (False
Rejection Rate) пов'язані з забороною
доступу законному користувачеві. Помилки 2-го роду («пропуск цілі») або FAR
(False Acceptance Rate) - надання доступу незаконному користувачеві. Причина
виникнення помилок полягає в тому, що при вимірах біометричних характеристик
існує певний розкид значень. У біометрії неможливо, щоб зразки і знову отримані
характеристики давали повний збіг. Також іноді виділяють ймовірність того, що
система взагалі не зможе прийняти жодного рішення; іменується «помилка 3- го
роду».
Рівень помилок першого та другого роду може регулюватися,
щоб знайти компроміс між неправомірними допусками та неправомірними відмовами,
який задовольнить будь-якого користувача.
Література:
1.
http://uk.wikipedia.org/wiki/Ідентифікація_(інформаційна_безпека)
2.
http://en.wikipedia.org/wiki/Authentication
3.
Панасенко С. Методы аутентификации. –
2005. – Режим доступу: http://www.panasenko.ru/Articles/69/69.html
4.
Дунаев Д. Кратко о биометрических
технологиях. – 2008. - Алгоритм Безопасности. - № 4.