Відмінності між версіями «Ідентифікація та аутентифікація. Управління доступом.»
Vikysja (обговорення • внесок) |
Vikysja (обговорення • внесок) |
||
| Рядок 1: | Рядок 1: | ||
| − | { | + | {|border=2 style="float: right; margin-left: 1em; margin-bottom: 0.5em; width: 242px; border: #99B3FF solid 1px" |
| + | |||
| + | |- | ||
| + | | '''Прізвище''' || Савула | ||
| + | |- | ||
| + | | '''Ім'я''' || Вікторія | ||
| + | |- | ||
| + | | '''По-батькові''' || Романівна | ||
| + | |- | ||
| + | | '''Факультет''' || ФІС | ||
| + | |- | ||
| + | | '''Група''' || СН-41 | ||
| + | |- | ||
| + | | '''Залікова книжка''' || ПК-07-023 | ||
| + | |} | ||
{{Презентація доповіді |title= Ідентифікація та аутентифікація. Управління доступом.}} | {{Презентація доповіді |title= Ідентифікація та аутентифікація. Управління доступом.}} | ||
'''Ідентифікація''' дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою '''аутентифікації''' друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка достовірності".<br> | '''Ідентифікація''' дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою '''аутентифікації''' друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка достовірності".<br> | ||
Версія за 11:57, 21 квітня 2011
| Прізвище | Савула |
| Ім'я | Вікторія |
| По-батькові | Романівна |
| Факультет | ФІС |
| Група | СН-41 |
| Залікова книжка | ПК-07-023 |
 |
Презентація доповіді на тему Ідентифікація та аутентифікація. Управління доступом. є розміщеною в Репозиторії. |
Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я). За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використовують словосполучення "перевірка достовірності".
Основні поняття
Аутентифікація буває односторонньою (зазвичай клієнт доводить свою достовірність серверу) і двосторонньою (взаємною). Приклад односторонньої аутентифікації - процедура входу користувача у систему.
У мережевому середовищі, коли сторони ідентифікації/аутентифікації територіально рознесені, у даного сервісу є два основні аспекти:
- що служить аутентіфікатором (засобом підтвердження достовірності суб'єкта);
- як організований (і захищений) обмін даними ідентифікації/аутентифікації.
Суб'єкт може підтвердити свою достовірність, пред'явивши принаймні один з фактів:
- щось, відоме лише йому (пароль, ідентифікаційний номер криптографічний ключ і т.п.);
- щось, чим він володіє (особисту картку або інший пристрій аналогічного призначення);
- щось, що є частиною його самого (голос, відбитки пальців та інші свої біометричні дані).
У відкритому мережевому середовищі між сторонами ідентифікації/аутентифікації не існує довіреного маршруту; це означає, що в загальному випадку дані, передані суб'єктом, можуть не співпадати з даними, отриманими і використаними для перевірки достовірності. Необхідно забезпечити захист від пасивного і активного прослуховування мережі, тобто від перехоплення, зміни і/або відтворення даних. Передача паролів у відкритому вигляді, очевидно, незадовільна; не рятує положення і шифрування паролів, оскільки воно не захищає від відтворення. Потрібні складніші протоколи аутентифікації.
Надійна ідентифікація утруднена не тільки через мережеві загрози, але і з цілого ряду причин. По-перше, майже всю аутентифікаційну суть можна дізнатися, вкрасти або підробляти. По-друге, є суперечність між надійністю аутентифікації, з одного боку, і зручностями користувача і системного адміністратора з іншого. Так, з міркувань безпеки необхідно з певною частотою просити користувача повторно вводити аутентифікаційну інформацію (адже на його місце може сісти хтось інший), а це не тільки клопітно, але і підвищує імовірність того, що хтось може підглянути за вводом даних. По-третє, надійніший засіб захисту завжди дорожчий.
Парольна аутентифікація
Головна перевага парольної аутентифікації - простота і звичність. Паролі давно вбудовані в операційні системи та інші сервіси. При правильному використанні паролі можуть забезпечити прийнятний для багатьох організацій рівень безпеки. Проте, по сукупності характеристик їх слід визнати найслабкішим засобом перевірки достовірності.
Щоб пароль запам'ятовувався, його часто роблять простим (ім'я подруги, назва спортивної команди і т.п.). Проте простий пароль неважко вгадати, особливо якщо знати пристрасті даного користувача.
Проте, наступні заходи дозволяють значно підвищити надійність парольного захисту:
- накладення технічних обмежень (пароль повинен бути не дуже коротким, він повинен містити букви, цифри, знаки пунктуації і т.п.);
- управління терміном дії паролів, їх періодична зміна;
- обмеження доступу до файлу паролів;
- обмеження числа невдалих спроб входу в систему (це утруднить застосування "методу грубої сили");
- навчання користувачів;
- використання програмних генераторів паролів (така програма, ґрунтуючись на нескладних правилах, може генерувати тільки благозвучні паролі, що запам'ятовуються).
Одноразові паролі
Найвідомішим програмним генератором одноразових паролів є система S/KEY компанії Bellcore. Ідея цієї системи полягає в наступному. Хай є одностороння функція f (тобто функція, обчислити зворотну до якої за прийнятний час не є можливим). Ця функція відома і користувачеві, і серверу аутентифікації. Нехай, є секретний ключ K, відомий тільки користувачеві.
На етапі початкового адміністрування користувача функція f застосовується до ключа K n разів, після чого результат зберігається на сервері. Після цього процедура перевірки достовірності користувача виглядає таким чином:
- сервер присилає на призначену для користувача систему число (n-1);
- користувач застосовує функцію f до секретного ключа K (n-1) разів і відправляє результат по мережі на сервер аутентифікації;
- сервер застосовує функцію f до отриманого від користувача значення і порівнює результат з раніше збереженою величиною. У разі збігу достовірність користувача вважається встановленою, сервер запам'ятовує нове значення (прислане користувачем) і зменшує на одиницю лічильник (n).
Система S/KEY має статус Internet-стандарту (RFC 1938).
