3. Аутентификация пользователя при входе в систему

Идентификация – процесс определения объекта системой (процесс регистрации объекта в системе). Вводя логическое имя, пользователь заявляет о себе, как о лице, имеющем допуск в систему с определенными правами. Система проверяет наличие регистрационной записи, и затем, проводит процесс аутентификации.

Аутентификация – проверка системой подлинности заявлений пользователей о себе. В случае успешного завершения процесса аутентификации, возможности пользователя по отношению к защищаемым информационным ресурсам определяются его правами. Система принимает решение - можно ли разрешить пользователю доступ к системным ресурсам, и какие действия данного пользователя над этими ресурсами допустимы.

Авторизация – назначение соответствующих прав доступа к ресурсам системы сеансу пользователя. Доступ к защищаемым ресурсам осуществляется на основе значений определенных атрибутов этих ресурсов по отношению к конкретному пользователю.

Идентификация и Аутентификация могут производиться встроенными системными средствами. Однако, сегодня существуют программные и программно-аппаратные средства сторонних производителей, позволяющие производить идентификацию и аутентификацию пользователя, в том числе, практически сразу после включения питания.

В некоторых случаях, в зависимости от реализации функционала системы защиты, идентификация и аутентификация могут быть совмещены, с точки зрения пользователя, в одно действие.

Наиболее распространенные методы идентификации и аутентификации:

• ввод пароля с клавиатуры;

• использование электронных ключей;

• биометрические методы.

3.1. Ввод пароля с клавиатуры

Пароль (фр. parole – слово) – это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Ввод пароля производится путем набора символов на алфавитно-цифровой клавиатуре компьютера. Символы, как правило, привязываются к кодовой таблице, использующейся в системе. Что позволяет вводить символы в разной кодировке (например, Рус/Lat), использовать верхний и нижний регистры, а так же клавиши знаков препинания.

Для усложнения пароля рекомендуется делать его длину не менее шести символов, а так же использовать в одном пароле символы разных регистров, цифры и знаки препинания. Чем сложнее пароль, тем сложнее будет осуществить его подбор злоумышленнику.

Минусы данного метода:

• сложный пароль тяжело запомнить, и поэтому не редко он записывается в месте, доступном посторонним лицам;

• при вводе пользователем в людном месте злоумышленник имеет возможность контроля вводимых символов.

Рекомендации: в качестве пароля выбирайте знакомые слова и фразы, которые вам легко запомнить, но вы редко употребляете их в разговоре.

3.2. Использование электронных ключей

В качестве альтернативы вводу пароля с клавиатуры, обычно используют в качестве средства аутентификации различные электронные носители информации: дискеты, ключи touch-memory, электронные карты, USB Flash-носители (eToken, ruToken), и т.п.

Электронные ключи являются контейнером для хранения аутентификационной информации пользователя, и позволяют скрыто вводить её в систему. Кроме того, пользователю уже не требуется запоминать пароль. Основная задача пользователя – обеспечить сохранность электронного ключа.

Электронные ключи можно подразделить на защищенные и не защищенные от несанкционированного копирования.

Рис. 3.2. Электронные ключи.

Незащищенные электронные ключи являются контейнерами для аутинтификационной информации, но требуют повышенного внимания к своей сохранности. Не имеют защиты от точного копирования хранимой информации. Более дешёвые в производстве.

Защищенные электронные ключи являются контейнерами для аутинтификационной информации, имеют дополнительную защиту в виде крипто-прцессора, встроенного в микроконтроллер ключа. При сохранении информации в памяти контейнера, она автоматически шифруется. При попытке несанкционированного доступа к информации, злоумышленник должен преодолеть защиту микроконтроллера, имеющего функцию аутентификации пользователя, либо, при обходе микроконтроллера, он получает в своё распоряжение зашифрованный массив данных. При работе с информацией, хранимой в памяти защищенного ключа, необходимо произвести аутентификацию пользователя, как правило – ввод пароля на доступ.

Данные решения актуальны в случае работы с информацией повышенной конфиденциальности, либо, в случае хранения в памяти ключа множества паролей, ключей шифрования, других персональных идентификаторов. В этом случае пользователю достаточно запомнить только один пароль – на доступ к электронному ключу. Более дороги в производстве.