Ідентифікація та аутентифікація. Управління доступом.
Презентація доповіді на тему Ідентифікація та аутентифікація. Управління доступом. є розміщеною в Репозиторії. |
Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка достовірності".
Основні поняття
Аутентифікація буває односторонньою (зазвичай клієнт доводить свою достовірність серверу) і двосторонньою (взаємною). Приклад односторонньої аутентифікації - процедура входу користувача у систему.
У мережевому середовищі, коли сторони ідентифікації/аутентифікації територіально рознесені, у даного сервісу є два основні аспекти:
- що служить аутентіфікатором (засобом підтвердження достовірності суб'єкта);
- як організований (і захищений) обмін даними ідентифікації/аутентифікації.
Суб'єкт може підтвердити свою достовірність, пред'явивши принаймні один з фактів:
- щось, відоме лише йому (пароль, ідентифікаційний номер криптографічний ключ і т.п.);
- щось, чим він володіє (особисту картку або інший пристрій аналогічного призначення);
- щось, що є частиною його самого (голос, відбитки пальців та інші свої біометричні дані).
У відкритому мережевому середовищі між сторонами ідентифікації/аутентифікації не існує довіреного маршруту; це означає, що в загальному випадку дані, передані суб'єктом, можуть не співпадати з даними, отриманими і використаними для перевірки достовірності. Необхідно забезпечити захист від пасивного і активного прослуховування мережі, тобто від перехоплення, зміни і/або відтворення даних. Передача паролів у відкритому вигляді, очевидно, незадовільна; не рятує положення і шифрування паролів, оскільки воно не захищає від відтворення. Потрібні складніші протоколи аутентифікації.
Надійна ідентифікація утруднена не тільки через мережеві загрози, але і з цілого ряду причин. По-перше, майже всю аутентифікаційну суть можна дізнатися, вкрасти або підробляти. По-друге, є суперечність між надійністю аутентифікації, з одного боку, і зручностями користувача і системного адміністратора з іншого. Так, з міркувань безпеки необхідно з певною частотою просити користувача повторно вводити аутентифікаційну інформацію (адже на його місце може сісти хтось інший), а це не тільки клопітно, але і підвищує імовірність того, що хтось може підглянути за вводом даних. По-третє, надійніший засіб захисту завжди дорожчий.