4.1.2 Использование токенов для аутентификации

Токен - это предмет (устройство), владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию)

и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника - мало украсть или подделать карточку, нужно узнать еще и личный номер "жертвы". Обратим внимание на необходимость обработки аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Наряду с несомненными достоинствами, токены с памятью обладают и определенными недостат-

ками:

-Они существенно дороже паролей.

-Их необходимо делать, раздавать пользователям, обслуживать случаи потери.

-Они нуждаются в специальных устройствах чтения.

-Пользоваться ими не очень удобно, особенно если организация установила у себя интегриро-

ванную систему безопасности. Чтобы сходить, например, в туалет, нужно вынуть карточку из устройства чтения, положить ее себе в карман, совершить моцион, вернуться, вновь вставить карточку в устройство чтения и т.д. Пользователей придется убеждать, что повышенные меры безопасности действительно необходимы.

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощно-

сти. Они подразделяются на интеллектуальные карты (стандартизованные ISO) и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер.

По принципу действия интеллектуальные токены можно разделить на следующие категории.

Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой.

26

Динамическая генерация паролей: токен генерирует пароли, периодически (например, раз в минуту) изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала.

Запросно-ответные системы (процедура рукопожатия»): компьютер выдает случайное число, которые преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), на дисплее токена видит ответ и переносит его на клавиатуру терминала.

Достоинства интеллектуальных токенов:

1.Возможность применения для аутентификации в открытой сети Генерируемые или выдаваемые в ответ пароли постоянно меняются, и злоумышленник не получит заметных дивидендов, даже если перехватит текущий пароль. С практической точки зрения интеллектуальные токены реализуют механизм одноразовых паролей.

2.Потенциальная многофункциональность (можно применять не только для безопасности, но и для финансовых операций).

Недостатки:

1.Высокая стоимость (правда, это хотя бы отчасти можно трактовать и как достоинство, поскольку тем самым затрудняется подделка).

2.Если у токена нет электронного интерфейса, то пользователю приходятся выполнять очень много ручных операций.

3.Администрирование интеллектуальных токенов по сравнению с магнитными картами усложнено счет необходимости управления криптографическими ключами.

Геометрия руки. Устройства для считывания геометрии руки используются для допуска в дом или квартиру;

Характеристика сетчатки глаза (требуется ретинальная камера, размещающая позади специального окуляра);

Характеристика: радужная оболочка глаза

Форма лица (камера, которая сканирует и сравнивает с образцом).

28