Идентификация и аутентификация

Классификация методов аутентификации:

1. Методы, основанные на знание субъектом некоторой секретной информации. Классический пример: Парольная аутентификация. Данные методы являются наиболее распространенными.

2. Методы, основанные на обладании субъектом некоторого уникального предмета. Например: электронный ключ, карта доступа и т.д.

3. Методы, основанные на сканировании биометрических характеристик человека. Например: сканирование отпечатка пальцев, радужной оболочки глаза, лица человека, простой и клавиатурный подчерк.

Так же существует комбинированные(многофакторные) методы аутентификации. Они сочетают в себе 2 или более видов простой аутентификации(например: подтверждение после смс или электронной почтой).

Парольная аутентификация

Общая схема парольной аутентификации:

1. Ввод идентификатора пользователя.

2. Проверка существует ли такой идентификатор в системе.

   1. Если существует, то производится процедура аутентификации.

   2. Если успешно проведена процедура, то происходит авторизация.

   3. В случае не успеха процедуры аутентификации, дается несколько попыток на повторный ввод.

Часто процедуры идентификации и аутентификации совмещают для того, чтобы потенциальный злоумышленник не знал, где совершил ошибку.

Преимущества и недостатки парольной системы

1. Относительная простота реализации. Как правило, парольные системы, не требуют привлечения дополнительного аппаратного обеспечения.

2. Традиционность. Механизмы парольной защиты являются привычными для большинства пользователей.

3. Стойкие ко взлому пароли, как правило, оказываются малопригодными для использования.

Угрозы безопасности парольной системы

Существует 3 типа угроз:

1. За счет особенностей человеческого фактора.

2. Путем перебора пароля.

   1. Интерактивный перебор. В случае интерактивного перебора пароль вводится непосредственно в интерфейс системы, а злоумышленник не затрагивает базу паролей.

   2. Полный перебор паролей(метод грубой силы). Данные метод позволяет подобрать любой пароль, однако время, затрачиваемое на это, может быть слишком большим.

   3. Подбор пароля по словарю. Словарь – текстовый файл, в каждой строке которого располагается один из наиболее часто встречающихся паролей.

   4. Подбор с использованием персональных сведений о пользователе. Например: ФИО, номер телефона и т.д.

3. За счет использований недостатков реализации парольных систем. К таким недостаткам реализации относятся эксплуатируемые уязвимости сетевых сервисов, реализующих те или иные компоненты парольной защиты или не декларированные возможности соответствующего программного или аппаратного обеспечения.

Рекомендации по практической реализации парольных систем

1. Установка минимальной длинны пароля. Данная рекомендация усложняет полный перебор пароля.

2. Увеличение мощности алфавита пароля. Данная рекомендация усложняет полный перебор.

3. Проверка и отсеивание паролей по различным условиям. Данная рекомендация затрудняет подбор пароля по словарю.

4. Установка максимального срока действия пароля(например каждые 2 недели сменять пароль). Срок действия пароля ограничивает промежуток времени, которое злоумышленник может потратить на подбор пароля.

5. Отсеивание по журналу историй паролей. Данный механизм предотвращает повторное использование паролей, возможно ранее скомпрометированных.

6. Ограничение числа попыток ввода пароля. Данная рекомендация затрудняет интерактивный подбор пароля.

7. Тайм-аут при вводе не правильного пароля. Данный механизм так же затрудняет интерактивный подбор.

8. Запрет на выбор пароля пользователем и автоматическая генерация пароля. Данная рекомендация гарантирует стойкость сгенерированных паролей, однако у пользователей могут возникнуть проблемы с их запоминанием.