זיהוי ואימות: מושגי יסוד

2024 מְחַבֵּר: Howard Calhoun | [email protected]. שונה לאחרונה: 2023-12-17 10:27

זיהוי ואימות הם הבסיס לכלי אבטחת תוכנה וחומרה מודרניים, מכיוון שכל שירות אחר מיועד בעיקר לשרת את הישויות הללו. מושגים אלו מייצגים מעין קו הגנה ראשון המבטיח את אבטחת מרחב המידע של הארגון.

מה זה?

לזיהוי ואימות יש פונקציות שונות. הראשון נותן לנושא (המשתמש או התהליך הפועלים בשמם) את ההזדמנות לספק את השם שלו. בעזרת אימות, הצד השני משתכנע לבסוף שהנושא באמת הוא מי שהוא מתיימר להיות. זיהוי ואימות מוחלפים לרוב בביטויים "הודעה שם" ו"אימות" כמילים נרדפות.

הם עצמם מחולקים לכמה סוגים. לאחר מכן, נבחן מה הם זיהוי ואימות ומהם.

Authentication

קונספט זה מספק שני סוגים: חד צדדי, כאשר הלקוחתחילה צריך להוכיח את האותנטיות שלו לשרת, ודו-כיוונית, כלומר, כאשר מתבצע אישור הדדי. דוגמה סטנדרטית לאופן שבו מתבצע זיהוי ואימות משתמש סטנדרטיים היא הליך הכניסה למערכת מסוימת. לפיכך, ניתן להשתמש בסוגים שונים באובייקטים שונים.

בסביבת רשת שבה זיהוי ואימות משתמשים מתבצעים בצדדים מפוזרים גיאוגרפית, השירות המדובר נבדל בשני היבטים עיקריים:

• שמשמש כמאמת;
• איך בדיוק אורגנה החלפת נתוני האימות והזיהוי וכיצד הם מוגנים.

כדי להוכיח את זהותו, הנבדק חייב להציג אחת מהישויות הבאות:

• מידע מסוים שהוא יודע (מספר אישי, סיסמה, מפתח קריפטוגרפי מיוחד וכו');
• דבר מסוים שבבעלותו (כרטיס אישי או מכשיר אחר עם מטרה דומה);
• דבר מסוים שהוא מרכיב של עצמו (טביעות אצבע, קול ואמצעים ביומטריים אחרים לזיהוי ואימות משתמשים).

תכונות המערכת

בסביבת רשת פתוחה, אין לצדדים מסלול מהימן, מה שאומר שבאופן כללי, המידע שמשדר הנבדק עלול בסופו של דבר לא להתאים למידע המתקבל והשימוש בו.בעת אימות. נדרש להבטיח אבטחה של האזנה אקטיבית ופסיבית לרשת, כלומר הגנה מפני תיקון, יירוט או השמעה של נתונים שונים. אפשרות העברת סיסמאות בטקסט רגיל אינה מספקת, ובאותה צורה, הצפנת סיסמאות אינה יכולה להציל את המצב, שכן הן אינן מספקות הגנה מפני שכפול. לכן משתמשים כיום בפרוטוקולי אימות מורכבים יותר.

זיהוי אמין קשה לא רק בגלל איומים מקוונים שונים, אלא גם ממגוון סיבות אחרות. קודם כל, כמעט כל ישות אימות יכולה להיגנב, לזייף או להסיק. כמו כן, ישנה סתירה מסוימת בין אמינות המערכת בה משתמשים מחד, לבין נוחות מנהל המערכת או המשתמש מאידך. לפיכך, מטעמי אבטחה, נדרש לבקש מהמשתמש להזין מחדש את פרטי האימות שלו בתדירות מסוימת (שכן מישהו אחר כבר יושב במקומו), וזה לא רק יוצר צרות נוספות, אלא גם מגדיל משמעותית את סיכוי שמישהו יכול לרגל אחר הזנת מידע. בין היתר, אמינות ציוד המיגון משפיעה משמעותית על עלותו.

מערכות זיהוי ואימות מודרניות תומכות בקונספט של כניסה יחידה לרשת, המאפשרת בעיקר לעמוד בדרישות מבחינת נוחות המשתמש. אם לרשת ארגונית סטנדרטית יש שירותי מידע רבים,מתן אפשרות לטיפול עצמאי, אז ההכנסה החוזרת ונשנית של נתונים אישיים הופכת למכבידה מדי. נכון לעכשיו, עדיין לא ניתן לומר שהשימוש בכניסה יחידה נחשב נורמלי, שכן טרם נוצרו הפתרונות הדומיננטיים.

לפיכך, רבים מנסים למצוא פשרה בין סבירות, נוחות ואמינות של האמצעים המספקים זיהוי / אימות. אישור המשתמשים במקרה זה מתבצע על פי כללים אישיים.

יש להקדיש תשומת לב מיוחדת לעובדה שניתן לבחור את השירות שבו נעשה שימוש כמושא להתקפת זמינות. אם המערכת מוגדרת כך שלאחר מספר מסוים של ניסיונות לא מוצלחים, יכולת הכניסה נחסמת, אז במקרה זה, התוקפים יכולים לעצור את עבודתם של משתמשים חוקיים בכמה הקשות בלבד.

אימות סיסמה

היתרון העיקרי של מערכת כזו הוא שהיא פשוטה מאוד ומוכרת לרוב. סיסמאות נמצאות בשימוש על ידי מערכות הפעלה ושירותים אחרים במשך זמן רב, ובשימוש נכון הן מספקות רמת אבטחה שמקובלת למדי על רוב הארגונים. אבל מצד שני, במונחים של מכלול המאפיינים, מערכות כאלה מייצגות את האמצעים החלשים ביותר שבאמצעותו ניתן לבצע זיהוי / אימות. הרשאה במקרה זה הופכת די פשוטה, שכן סיסמאות חייבות להיותבלתי נשכח, אך יחד עם זאת לא קשה לנחש שילובים פשוטים, במיוחד אם אדם מכיר את ההעדפות של משתמש מסוים.

לפעמים קורה שסיסמאות, באופן עקרוני, אינן נשמרות בסוד, מכיוון שיש להן ערכים די סטנדרטיים שצוינו בתיעוד מסוים, ולא תמיד לאחר התקנת המערכת, הן משתנות.

עם הזנת הסיסמה, אתה יכול לראות, ובמקרים מסוימים אנשים אפילו משתמשים במכשירים אופטיים מיוחדים.

משתמשים, הנושאים העיקריים של זיהוי ואימות, יכולים לעתים קרובות לשתף סיסמאות עם עמיתים על מנת שיחליפו בעלות לזמן מסוים. בתיאוריה, במצבים כאלה עדיף להשתמש בבקרות גישה מיוחדות, אבל בפועל זה לא משמש אף אחד. ואם שני אנשים יודעים את הסיסמה, זה מגדיל מאוד את הסיכוי שאחרים יגלו אותה בסופו של דבר.

איך לתקן את זה?

ישנם מספר אמצעים כיצד ניתן לאבטח זיהוי ואימות. רכיב עיבוד המידע יכול לאבטח את עצמו באופן הבא:

• הטלת מגבלות טכניות שונות. לרוב, נקבעים כללים לאורך הסיסמה, כמו גם לתוכן של תווים מסוימים בה.
• ניהול תפוגה של סיסמאות, כלומר, הצורך לשנות אותן מעת לעת.
• הגבלת גישה לקובץ הסיסמה הראשי.
• על ידי הגבלת המספר הכולל של ניסיונות כושלים הזמינים בכניסה. הודות לבמקרה זה, תוקפים צריכים לבצע פעולות רק לפני ביצוע זיהוי ואימות, מכיוון שלא ניתן להשתמש בשיטת brute-force.
• אימון מקדים של משתמשים.
• שימוש בתוכנת מחולל סיסמאות ייעודית המאפשרת לך ליצור שילובים יפים ובלתי נשכחים מספיק.

ניתן להשתמש בכל האמצעים הללו בכל מקרה, גם אם נעשה שימוש באמצעי אימות אחרים יחד עם סיסמאות.

סיסמאות חד פעמיות

האפשרויות שנדונו לעיל ניתנות לשימוש חוזר, ואם השילוב מתגלה, התוקף מקבל הזדמנות לבצע פעולות מסוימות בשם המשתמש. זו הסיבה שסיסמאות חד פעמיות משמשות אמצעי חזק יותר, עמיד בפני אפשרות של האזנה פסיבית ברשת, שבזכותה מערכת הזיהוי והאימות הופכת מאובטחת הרבה יותר, אם כי לא נוחה.

כרגע, אחת ממחוללי הסיסמאות החד-פעמיים התוכנה הפופולרית ביותר היא מערכת בשם S/KEY, שיצאה על ידי Bellcore. התפיסה הבסיסית של מערכת זו היא שקיימת פונקציה מסוימת F המוכרת הן למשתמש והן לשרת האימות. להלן המפתח הסודי K, המוכר רק למשתמש מסוים.

במהלך הניהול הראשוני של המשתמש, פונקציה זו משמשת למפתחמספר מסוים של פעמים, ולאחר מכן התוצאה נשמרת בשרת. בעתיד, הליך האימות ייראה כך:

1. מספר מגיע למערכת המשתמש מהשרת, שהוא 1 פחות ממספר הפעמים שהפונקציה משמשת למפתח.
2. המשתמש משתמש בפונקציה למפתח הסודי הזמין את מספר הפעמים שנקבע בפסקה הראשונה, ולאחר מכן התוצאה נשלחת דרך הרשת ישירות לשרת האימות.
3. שרת משתמש בפונקציה זו לערך שהתקבל, ולאחר מכן התוצאה מושווה לערך שנשמר קודם לכן. אם התוצאות תואמות, המשתמש מאומת והשרת שומר את הערך החדש, ולאחר מכן מקטין את המונה באחד.

בפועל, ליישום הטכנולוגיה הזו יש מבנה קצת יותר מורכב, אבל כרגע זה לא כל כך חשוב. מכיוון שהפונקציה היא בלתי הפיכה, גם אם הסיסמה מיירטת או מתקבלת גישה לא מורשית לשרת האימות, היא אינה מספקת את היכולת להשיג מפתח סודי ובשום אופן לחזות כיצד תיראה הסיסמה החד-פעמית הבאה באופן ספציפי.

ברוסיה, פורטל מדינה מיוחד משמש כשירות מאוחד - "מערכת זיהוי/אימות מאוחדת" ("ESIA").

גישה נוספת למערכת אימות חזקה היא ליצור סיסמה חדשה במרווחי זמן קצרים, אשר מיושמת גם באמצעותשימוש בתוכנות מיוחדות או כרטיסים חכמים שונים. במקרה זה, שרת האימות חייב לקבל את האלגוריתם המתאים ליצירת סיסמה, כמו גם פרמטרים מסוימים הקשורים אליו, ובנוסף, חייב להיות גם סנכרון שעון שרת ולקוח.

Kerberos

שרת האימות של Kerberos הופיע לראשונה באמצע שנות ה-90 של המאה הקודמת, אך מאז הוא כבר קיבל מספר עצום של שינויים מהותיים. כרגע, רכיבים בודדים של מערכת זו קיימים כמעט בכל מערכת הפעלה מודרנית.

המטרה העיקרית של שירות זה היא לפתור את הבעיה הבאה: קיימת רשת מסוימת שאינה מוגנת, ובצמתים שלה מתרכזים נושאים שונים בדמות משתמשים, כמו גם מערכות תוכנות שרת ולקוח. לכל נושא כזה יש מפתח סודי אינדיבידואלי, וכדי שלנושא ג' תהיה הזדמנות להוכיח את האותנטיות שלו לנושא ס', שבלעדיו הוא פשוט לא ישרת אותו, הוא יצטרך לא רק למנות את עצמו, אלא גם להראות שהוא יודע מסויים המפתח הסודי. יחד עם זאת, ל-C אין אפשרות פשוט לשלוח את המפתח הסודי שלו ל-S, שכן קודם כל, הרשת פתוחה, וחוץ מזה, S לא יודע, ובאופן עקרוני, לא אמור לדעת את זה. במצב כזה, נעשה שימוש בטכניקה פחות פשוטה כדי להדגים ידע במידע זה.

זיהוי/אימות אלקטרוני באמצעות מערכת Kerberos מספק זאתלהשתמש כצד שלישי מהימן שיש לו מידע על המפתחות הסודיים של האובייקטים המוגשים, ובמידת הצורך, מסייע להם בביצוע אימות זוגי.

לכן, הלקוח שולח תחילה בקשה למערכת, המכילה את המידע הדרוש אודותיו וכן אודות השירות המבוקש. לאחר מכן, Kerberos מספקת לו מעין כרטיס, המוצפן במפתח הסודי של השרת, וכן עותק של חלק מהנתונים ממנו, המוצפן במפתח של הלקוח. במקרה של התאמה, נקבע שהלקוח פיענח את המידע המיועד עבורו, כלומר, הוא הצליח להוכיח שהוא באמת מכיר את המפתח הסודי. זה מצביע על כך שהלקוח הוא בדיוק מי שהוא טוען שהוא.

יש לשים לב במיוחד לעובדה שהעברת המפתחות הסודיים לא בוצעה דרך הרשת, והם שימשו אך ורק להצפנה.

אימות ביומטרי

ביומטריה כוללת שילוב של אמצעים אוטומטיים לזיהוי/אימות אנשים על סמך המאפיינים ההתנהגותיים או הפיזיולוגיים שלהם. אמצעי אימות וזיהוי פיזיים כוללים אימות של הרשתית והקרנית של העיניים, טביעות אצבעות, גיאומטריית הפנים והיד ומידע אישי אחר. מאפייני ההתנהגות כוללים את סגנון העבודה עם המקלדת ואת הדינמיקה של החתימה. מְשׁוּלָבשיטות הן ניתוח של תכונות שונות של קולו של אדם, כמו גם זיהוי של דיבורו.

מערכות זיהוי/אימות והצפנה כאלה נמצאות בשימוש נרחב במדינות רבות ברחבי העולם, אך במשך זמן רב הן היו יקרות ביותר וקשות לשימוש. לאחרונה, הביקוש למוצרים ביומטריים גדל משמעותית בעקבות התפתחות המסחר האלקטרוני, שכן מבחינת המשתמש הרבה יותר נוח להציג את עצמו מאשר לשנן מידע מסוים. בהתאם לכך, הביקוש יוצר היצע, ולכן החלו להופיע בשוק מוצרים זולים יחסית, המתמקדים בעיקר בזיהוי טביעות אצבע.

ברוב המוחלט של המקרים, ביומטריה משמשת בשילוב עם מאמתים אחרים כמו כרטיסים חכמים. לעתים קרובות, אימות ביומטרי הוא רק קו ההגנה הראשון ופועל כאמצעי להפעלת כרטיסים חכמים הכוללים סודות קריפטוגרפיים שונים. בעת שימוש בטכנולוגיה זו, התבנית הביומטרית מאוחסנת באותו כרטיס.

הפעילות בתחום הביומטרי גבוהה למדי. קונסורציום מתאים כבר קיים, וגם מתבצעת עבודה די אקטיבית שמטרתה לתקן היבטים שונים של הטכנולוגיה. כיום ניתן לראות המון מאמרי פרסום בהם טכנולוגיות ביומטריות מוצגות כאמצעי אידיאלי להגברת האבטחה ובמקביל נגישות לקהל הרחב.ההמונים.

ESIA

מערכת הזיהוי והאימות ("ESIA") היא שירות מיוחד שנוצר על מנת להבטיח יישום של משימות שונות הקשורות לאימות הזהות של מועמדים ומשתתפים באינטראקציה בין-מחלקתית במקרה של מתן של כל שירות עירוני או מדינה בצורה אלקטרונית.

כדי לקבל גישה ל"פורטל יחיד של סוכנויות ממשלתיות", כמו גם לכל מערכות מידע אחרות של התשתית של הממשל האלקטרוני הנוכחי, תצטרך תחילה לרשום חשבון וכתוצאה מכך, קבל PES.

Levels

הפורטל של מערכת הזיהוי והאימות המאוחדת מספק שלוש רמות עיקריות של חשבונות ליחידים:

• פשוט. כדי לרשום אותו, אתה רק צריך לציין את שם המשפחה והשם הפרטי שלך, כמו גם ערוץ תקשורת ספציפי בצורה של כתובת דואר אלקטרוני או טלפון נייד. זוהי הרמה הראשונית, שבאמצעותה יש לאדם גישה רק לרשימה מוגבלת של שירותים ציבוריים שונים, כמו גם ליכולות של מערכות מידע קיימות.
• סטנדרטי. כדי להשיג אותו, תחילה עליך להנפיק חשבון פשוט, ולאחר מכן גם לספק נתונים נוספים, כולל מידע מהדרכון ומספר החשבון האישי האישי של הביטוח. המידע שצוין נבדק אוטומטית באמצעות מערכות מידעקרן פנסיה, כמו גם שירות ההגירה הפדרלי, ובמידה והבדיקה מצליחה, החשבון מועבר לרמה הסטנדרטית, מה שפותח רשימה מורחבת של שירותים ציבוריים למשתמש.
• אושר. כדי לקבל רמת חשבון זו, מערכת הזיהוי והאימות המאוחדת מחייבת את המשתמשים להחזיק בחשבון סטנדרטי, וכן אימות זהות, המתבצע באמצעות ביקור אישי בסניף שירות מורשה או באמצעות קבלת קוד הפעלה בדואר רשום. במקרה שאימות הזהות יצליח, החשבון יעבור לרמה חדשה, ולמשתמש תהיה גישה לרשימה המלאה של שירותי הממשלה הדרושים.

למרות שהנהלים עשויים להיראות די מסובכים, למעשה, אתה יכול להכיר את רשימת הנתונים המלאה ישירות באתר הרשמי, כך שההרשמה המלאה בהחלט אפשרית תוך מספר ימים.