Аутентификацией пользователя является это проверка, действительно ли проверяемый пользователь является тем, за кого он себя выдает. Различные методы аутентификации необходимы, фактически во всех системах ограничения и разграничения доступа к данным.
Для корректной аутентификации пользователя пользователь должен предъявить аутентификационную информацию — уникальную информацию, которой должен обладать лишь он один. Существует три главных типа аутентификационных данных:
Проверяемый пользователь обладает определенной уникальной информацией. Пример: парольная аутентификация.
Пользователь имеет определенный предмет с уникальными характеристиками. Примеры: смарт-карта, USB-токен и т. д.
Аутентификационная информация является неотъемлемой частью пользователя. Пример: отпечаток пальца и другие виды биометрической аутентификации.
В каждом из данных случаев аутентификация выполняется в два этапа:
Пользователь единожды дает эталонный образец аутентификационной информации, к примеру, запрашивается пароль. Этот образец хранится у субъекта системы, который проверяет аутентификацию — модуля аутентификации (это может быть, к примеру, сервер, выполняющий аутентификацию пользователей). Как правило, данный эталон действует определенное время, по завершении которого эталонный образец перезапрашивается.
Всякий раз, когда выполняется аутентификация, у пользователя запрашивается аутентификационная информация, которую затем сравнивают с эталоном. Исходя из результатов сравнения, делается вывод о подлинности пользователя.
Нередко процесс аутентификации неразрывно связан с процессом идентификации.
В процессе идентификации устанавливается взаимно однозначное соответствие между множеством сущностей системы и множеством идентификаторов. С помощью идентификации можно различать сущности системы при контроле доступа, аудите и т. д.
В процессе идентификации и аутентификации пользователь или программа запрашивает доступ у системы (верификатора). В первую очередь осуществляется идентификация. Верификатор требует от претендента предъявить определенный идентификатор и выполняет проверку принадлежности предъявленного идентификатора ID множеству зарегистрированных в системе. Если идентификатор корректен, верификатор выполняет процедуру аутентификации (к примеру, запрашивает пароль), для того, чтобы убедиться, что претендент является именно тем, за кого себя выдает. Претендент допускается в систему при условии, что процедура аудентификации успешно завершена. В некоторых системах устанавливается дополнительное пороговое значение для числа попыток предъявления некорректного идентификатора и пароля, при превышении которого все дальнейшие попытки доступа данного претендента к системе блокируются [1].
Чаще всего аутентификационная информация не должна храниться в открытом виде и из соображений безопасности — к примеру, эталонные образцы паролей хранятся в модуле аутентификации либо в зашифрованном виде, либо в виде хэш-значений.
Аутентификация может быть как односторонней, так и взаимной.
Помимо этого, для того, чтобы повысить стойкость аутентификации нередко применяют несколько методов аутентификации в одно время. Аутентификация на основе одновременного предъявления аутентификационной информации двух видов называется двухфакторной. Также существуют примеры и трехфакторной аутентификации, определяемой аналогичным образом.
Рассмотрим наиболее показательные примеры применения аутентификационной информации каждого из перечисленных выше типов.
Парольная аутентификация.
На сегодняшний день парольная аутентификация является наиболее распространенной, в первую очередь, благодаря своему единственному достоинству — простоте применения.
Но у парольной аутентификации имеется немало недостатков:
В отличие от случайно формируемых криптографических ключей (которые, к примеру, могут содержать уникальный предмет, применяемый для аутентификации), пароли пользователя можно подобрать из-за довольно небрежного отношения большинства пользователей к формированию пароля. Нередко пользователи выбирают легко предугадываемые пароли, к примеру:
пароль эквивалентен идентификатору пользователя (или имени пользователя, записанному в обратном порядке, или легко формируется из имени пользователя и т. д.);
паролем является слово или фраза какого-либо языка; такие пароли могут быть подобраны за ограниченное время путем «словарной атаки», т. е. перебора всех слов согласно словарю, который содержит все слова и общеупотребительные фразы применяемого языка;
нередко пользователи используют короткие пароли, которые можно взломать методом «грубой силы», то есть простым перебором всех возможных вариантов.
Существуют и свободно доступны разные утилиты подбора паролей, в том числе, специализированные для конкретных широко распространенных программных средств. Например, существует утилита подбора пароля для документа Microsoft Word 2000 (Word Password Recovery Key), которая предназначена для восстановления доступа к документу в случае, если его владелец забыл пароль. Несмотря на данное полезное назначение, она и подобные ей утилиты могут быть использованы для взлома чужих паролей. [2]
Пароль может быть подсмотрен или перехвачен при вводе.
Аутентификация с помощью уникального предмета.
Чаще всего аутентификация с помощью уникального предмета обеспечивает более серьезную защиту по сравнению с парольной аутентификацией.
Предметы, применяемые для аутентификации, можно условно разделить на следующие две группы:
«Пассивные» предметы, содержащие аутентификационную информацию (к примеру, некий случайно генерируемый пароль) и передают ее в модуль аутентификации по требованию. При этом аутентификационная информация может храниться в предмете как в открытом (примеры: магнитные карты, смарт-карты с открытой памятью, электронные таблетки Touch Memory), так и в защищенном виде (смарт-карты с защищенной памятью, USB-токены). В последнем случае требуется ввод PIN-кода для доступа к хранящейся информации, что автоматически превращает предмет в средство двухфакторной аутентификации.
«Активные» предметы, которые обладают достаточными вычислительными ресурсами и способны активно участвовать в процессе аутентификации (к примеру, USB-токены и микропроцессорные смарт-карты). Эта возможность особенно интересна при удаленной аутентификации пользователя, так как на основе таких предметов можно обеспечить строгую аутентификацию. Под этим термином скрывается такой вид аутентификации, при котором секретная информация, с помощью которой можно проверить подлинность пользователя, не передается в открытом виде:
предмет может быть отнят либо похищен у пользователя;
нередко требуется специальное оборудование для работы с предметами;
теоретически возможно изготовление эмулятора либо копии предмета;
Биометрическая аутентификация. Данный вид аутентификации основан на уникальности ряда характеристик человека. Чаще всего для аутентификации применяются следующие характеристики:
отпечатки пальцев;
узор радужной оболочки глаза и структура сетчатки глаза;
черты лица;
форма кисти руки;
параметры голоса;
схема кровеносных сосудов лица;
форма и способ подписи.
В процессе биометрической аутентификации эталонный и предъявленный пользователем образцы сравнивают с некоторой погрешностью, определяемой и устанавливаемой заранее. Данная погрешность подбирается для установления оптимального соотношения двух основных характеристик применяемого средства биометрической аутентификации:
FAR (False Accept Rate) — коэффициент ложного принятия (то есть некто успешно прошел аутентификацию под именем легального пользователя).
FRR (False Reject Rate) — коэффициент ложного отказа (то есть легальный пользователь системы не прошел аутентификацию). [2]
Обе данные величины измеряются в процентах и должны быть минимальны. Необходимо отметить, что величины являются обратнозависимыми, поэтому аутентифицирующий модуль при применении биометрической аутентификации настраивается индивидуально — в зависимости от применяемой биометрической характеристики и требований к качеству защиты ищется некая «золотая середина» между данными коэффициентами. Серьезное средство биометрической аутентификации должно позволять настроить коэффициент FAR до величин порядка 0,01–0,001 % при коэффициенте FRR до 3–5 %.
В зависимости от используемой биометрической характеристики, средства биометрической аутентификации имеют различные достоинства и недостатки. Например, использование отпечатков пальцев наиболее привычно и удобно для пользователей, но, теоретически, возможно создание «искусственного пальца», успешно проходящего аутентификацию. Общий же недостаток биометрической аутентификации — необходимость в оборудовании для считывания биометрических характеристик, которое может быть достаточно дорогостоящим.
Литература:
1. Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в современных компьютерных системах. — 2-е издание: М.: Радио и связь, 2001.
2. Леонтьев Б. Хакинг без секретов. — М.: Познавательная книга плюс, 2000.
