Identificació i autenticació: conceptes bàsics

2024 Autora: Howard Calhoun | [email protected]. Última modificació: 2023-12-17 10:21

La identificació i l'autenticació són la base de les eines modernes de seguretat de programari i maquinari, ja que qualsevol altre servei està dissenyat principalment per servir aquestes entitats. Aquests conceptes representen una mena de primera línia de defensa que garanteix la seguretat de l'espai informatiu de l'organització.

Què és això?

La identificació i l'autenticació tenen funcions diferents. El primer ofereix al subjecte (l'usuari o procés que actua en nom seu) l'oportunitat de proporcionar el seu propi nom. Amb l'ajuda de l'autenticació, la segona part finalment està convençuda que el subjecte realment és qui diu ser. La identificació i l'autenticació sovint se substitueixen per les frases "missatge de nom" i "autenticació" com a sinònims.

Ells mateixos es divideixen en diverses varietats. A continuació, veurem què són la identificació i l'autenticació i què són.

Autenticació

Aquest concepte preveu dos tipus: unilateral, quan el clientprimer ha de demostrar la seva autenticitat al servidor, i bidireccional, és a dir, quan s'està duent a terme la confirmació mútua. Un exemple estàndard de com es duu a terme la identificació i l'autenticació d'usuari estàndard és el procediment per iniciar sessió en un sistema determinat. Així, es poden utilitzar diferents tipus en diferents objectes.

En un entorn de xarxa on la identificació i l'autenticació d'usuaris es duen a terme en costats dispersos geogràficament, el servei en qüestió difereix en dos aspectes principals:

• que actua com a autenticador;
• com es va organitzar exactament l'intercanvi de dades d'autenticació i identificació i com es protegeix.

Per acreditar la seva identitat, el subjecte ha de presentar una de les entitats següents:

• certa informació que coneix (número personal, contrasenya, clau criptogràfica especial, etc.);
• certa cosa que té (targeta personal o algun altre dispositiu amb una finalitat similar);
• una cosa determinada que és un element en si mateix (empremtes dactilars, veu i altres mitjans biomètrics per identificar i autenticar usuaris).

Funcions del sistema

En un entorn de xarxa oberta, les parts no disposen d'una ruta de confiança, la qual cosa significa que, en general, la informació transmesa pel subjecte pot no coincidir finalment amb la informació rebuda i utilitzada.en autenticar-se. Es requereix per garantir la seguretat de l'escolta activa i passiva de la xarxa, és a dir, protecció contra la correcció, intercepció o reproducció de dades diverses. L'opció de transmetre contrasenyes en text pla és insatisfactòria i, de la mateixa manera, el xifrat de contrasenyes no pot salvar el dia, ja que no ofereixen protecció contra la reproducció. És per això que actualment s'utilitzen protocols d'autenticació més complexos.

La identificació fiable és difícil no només a causa de diverses amenaces en línia, sinó també per diverses altres raons. En primer lloc, gairebé qualsevol entitat d'autenticació pot ser robada, falsificada o inferida. També hi ha una certa contradicció entre la fiabilitat del sistema utilitzat, d'una banda, i la comoditat de l'administrador o usuari del sistema, de l' altra. Així, per motius de seguretat, cal demanar a l'usuari que torni a introduir la seva informació d'autenticació amb certa freqüència (ja que alguna altra persona ja pot estar asseguda al seu lloc), i això no només crea problemes addicionals, sinó que també augmenta significativament la possibilitat que algú pugui espiar introduir informació. Entre altres coses, la fiabilitat de l'equip de protecció afecta significativament el seu cost.

Els sistemes moderns d'identificació i autenticació admeten el concepte d'inici de sessió únic a la xarxa, que us permet principalment complir els requisits en termes de comoditat per a l'usuari. Si una xarxa corporativa estàndard té molts serveis d'informació,oferint la possibilitat de tractament independent, aleshores la introducció reiterada de dades personals esdevé massa onerosa. De moment, encara no es pot dir que l'ús de l'inici de sessió únic es consideri normal, ja que les solucions dominants encara no s'han format.

Així, molts estan intentant trobar un compromís entre assequibilitat, comoditat i fiabilitat dels mitjans que proporcionen identificació/autenticació. L'autorització dels usuaris en aquest cas es duu a terme d'acord amb les normes individuals.

S'ha de prestar especial atenció al fet que el servei utilitzat pot ser escollit com a objecte d'un atac de disponibilitat. Si el sistema està configurat de manera que després d'un nombre determinat d'intents infructuosos, es bloqueja la possibilitat d'entrar, en aquest cas, els atacants poden aturar el treball dels usuaris legals amb només unes poques pulsacions de tecla.

Autenticació de contrasenya

El principal avantatge d'aquest sistema és que és extremadament senzill i familiar per a la majoria. Els sistemes operatius i altres serveis utilitzen les contrasenyes durant molt de temps i, quan s'utilitzen correctament, proporcionen un nivell de seguretat força acceptable per a la majoria de les organitzacions. Però, d' altra banda, pel que fa al conjunt total de característiques, aquests sistemes representen el mitjà més feble pel qual es pot dur a terme la identificació/autenticació. L'autorització en aquest cas esdevé força senzilla, ja que les contrasenyes han de ser-hocombinacions memorables, però al mateix temps senzilles no són difícils d'endevinar, sobretot si una persona coneix les preferències d'un usuari concret.

De vegades passa que les contrasenyes, en principi, no es mantenen en secret, ja que tenen valors força estàndards especificats en certa documentació, i no sempre després d'instal·lar el sistema, es canvien.

Quan introduïu la contrasenya, podeu veure i, en alguns casos, fins i tot la gent utilitza dispositius òptics especialitzats.

Els usuaris, els principals subjectes de la identificació i l'autenticació, sovint poden compartir contrasenyes amb els seus companys per tal que canviïn de propietari durant un temps determinat. En teoria, en aquestes situacions, el millor seria utilitzar controls d'accés especials, però a la pràctica ningú no els fa servir. I si dues persones coneixen la contrasenya, augmentarà molt les possibilitats que altres persones eventualment se n'assabentin.

Com solucionar-ho?

Hi ha diversos mitjans de com es pot assegurar la identificació i l'autenticació. El component de processament d'informació es pot assegurar de la següent manera:

• La imposició de diverses restriccions tècniques. Molt sovint, s'estableixen regles per a la longitud de la contrasenya, així com el contingut de determinats caràcters.
• Gestionar la caducitat de les contrasenyes, és a dir, la necessitat de canviar-les periòdicament.
• Restringir l'accés al fitxer de contrasenyes principal.
• En limitar el nombre total d'intents fallits disponibles a l'inici de sessió. Gràcies aEn aquest cas, els atacants només haurien de realitzar accions abans de realitzar la identificació i l'autenticació, ja que no es pot utilitzar el mètode de força bruta.
• Formació prèvia dels usuaris.
• Utilitzar un programari especialitzat generador de contrasenyes que us permet crear combinacions prou eufòniques i memorables.

Totes aquestes mesures es poden utilitzar en qualsevol cas, encara que s'utilitzin altres mitjans d'autenticació juntament amb contrasenyes.

Contrasenyes d'una sola vegada

Les opcions comentades anteriorment són reutilitzables i, si es revela la combinació, l'atacant té l'oportunitat de realitzar determinades operacions en nom de l'usuari. És per això que les contrasenyes d'un sol ús s'utilitzen com a mitjà més fort, resistent a la possibilitat d'escoltar la xarxa passiva, gràcies a la qual el sistema d'identificació i autenticació esdevé molt més segur, encara que no tan còmode.

En aquest moment, un dels generadors de contrasenyes d'un sol programari més populars és un sistema anomenat S/KEY, llançat per Bellcore. El concepte bàsic d'aquest sistema és que hi ha una determinada funció F que és coneguda tant per l'usuari com per al servidor d'autenticació. La següent és la clau secreta K, que només coneix un usuari determinat.

Durant l'administració inicial de l'usuari, aquesta funció s'utilitza a la teclaun nombre determinat de vegades, després del qual el resultat es desa al servidor. En el futur, el procediment d'autenticació serà així:

1. Un número arriba al sistema de l'usuari des del servidor, que és 1 menys que el nombre de vegades que s'utilitza la funció a la tecla.
2. L'usuari utilitza la funció a la clau secreta disponible el nombre de vegades que es va establir al primer paràgraf, després de la qual cosa el resultat s'envia a través de la xarxa directament al servidor d'autenticació.
3. El servidor utilitza aquesta funció amb el valor rebut, després del qual el resultat es compara amb el valor desat anteriorment. Si els resultats coincideixen, l'usuari s'autentica i el servidor desa el valor nou i, a continuació, disminueix el comptador en un.

A la pràctica, la implementació d'aquesta tecnologia té una estructura una mica més complexa, però de moment no és tan important. Com que la funció és irreversible, fins i tot si s'intercepta la contrasenya o s'obté un accés no autoritzat al servidor d'autenticació, no ofereix la possibilitat d'obtenir una clau secreta i de cap manera predir com serà específicament la següent contrasenya única.

A Rússia, s'utilitza un portal estatal especial com a servei unificat: el "Sistema d'identificació/autenticació unificat" ("ESIA").

Un altre enfocament per a un sistema d'autenticació fort és tenir una nova contrasenya generada a intervals curts, que també s'implementa mitjançantús de programes especialitzats o diverses targetes intel·ligents. En aquest cas, el servidor d'autenticació ha d'acceptar l'algoritme de generació de contrasenyes adequat, així com determinats paràmetres associats a aquest, i a més, també ha d'haver sincronització de rellotge de servidor i client.

Kerberos

El servidor d'autenticació Kerberos va aparèixer per primera vegada a mitjans dels anys 90 del segle passat, però des d'aleshores ja ha rebut un gran nombre de canvis fonamentals. Actualment, els components individuals d'aquest sistema estan presents en gairebé tots els sistemes operatius moderns.

L'objectiu principal d'aquest servei és resoldre el següent problema: hi ha una certa xarxa desprotegida, i en els seus nodes es concentren diversos temes en forma d'usuaris, així com sistemes de programari servidor i client. Cada subjecte té una clau secreta individual, i perquè el subjecte C tingui l'oportunitat de demostrar la seva pròpia autenticitat al subjecte S, sense la qual simplement no li servirà, no només haurà d'anomenar-se, sinó també per demostrar que coneix una certa La clau secreta. Al mateix temps, C no té l'oportunitat d'enviar simplement la seva clau secreta a S, ja que, en primer lloc, la xarxa està oberta i, a més, S no ho sap i, en principi, no ho hauria de saber. En aquesta situació, s'utilitza una tècnica menys senzilla per demostrar el coneixement d'aquesta informació.

La identificació/autenticació electrònica mitjançant el sistema Kerberos ho proporcionautilitzar com a tercer de confiança que té informació sobre les claus secretes dels objectes enviats i, si cal, els ajuda a dur a terme l'autenticació per parells.

Així, el client envia primer una sol·licitud al sistema, que conté la informació necessària sobre ell, així com sobre el servei sol·licitat. Després d'això, Kerberos li proporciona una mena de bitllet, que es xifra amb la clau secreta del servidor, així com una còpia d'algunes de les dades d'aquest, que es xifra amb la clau del client. En cas de coincidència, s'estableix que el client va desxifrar la informació destinada a ell, és a dir, va poder demostrar que realment coneix la clau secreta. Això suggereix que el client és exactament qui diu ser.

Aquí s'ha de prestar especial atenció al fet que la transferència de claus secretes no es va dur a terme a través de la xarxa i s'utilitzaven exclusivament per a l'encriptació.

Autenticació biomètrica

La biometria implica una combinació de mitjans automatitzats per identificar/autenticar persones en funció de les seves característiques fisiològiques o de comportament. Els mitjans físics d'autenticació i identificació inclouen la verificació de la retina i la còrnia dels ulls, les empremtes dactilars, la geometria de la cara i la mà i altra informació personal. Les característiques del comportament inclouen l'estil de treball amb el teclat i la dinàmica de la signatura. CombinatEls mètodes són l'anàlisi de diverses característiques de la veu d'una persona, així com el reconeixement de la seva parla.

Aquests sistemes d'identificació/autenticació i xifratge s'utilitzen àmpliament a molts països del món, però durant molt de temps van ser extremadament cars i difícils d'utilitzar. Recentment, la demanda de productes biomètrics ha augmentat notablement a causa del desenvolupament del comerç electrònic, ja que, des del punt de vista de l'usuari, és molt més convenient presentar-se que memoritzar alguna informació. En conseqüència, la demanda crea l'oferta, de manera que van començar a aparèixer al mercat productes relativament econòmics, que se centren principalment en el reconeixement d'empremtes digitals.

En la gran majoria dels casos, la biometria s'utilitza en combinació amb altres autenticadors com les targetes intel·ligents. Sovint, l'autenticació biomètrica és només la primera línia de defensa i actua com a mitjà per activar targetes intel·ligents que inclouen diversos secrets criptogràfics. Quan s'utilitza aquesta tecnologia, la plantilla biomètrica s'emmagatzema a la mateixa targeta.

L'activitat en el camp de la biometria és força elevada. Ja existeix un consorci adequat, i també s'està treballant de manera força activa encaminada a normalitzar diversos aspectes de la tecnologia. Avui es poden veure molts articles publicitaris en què les tecnologies biomètriques es presenten com un mitjà ideal per augmentar la seguretat i alhora accessibles al públic en general.les masses.

ESIA

El Sistema d'Identificació i Autenticació ("ESIA") és un servei especial creat amb la finalitat de garantir la realització de diferents tasques relacionades amb la verificació de la identitat dels sol·licitants i participants en la interacció interdepartamental en el cas de la prestació de qualsevol servei municipal o estatal en format electrònic.

Per accedir al "Portal Únic d'Agències de Govern", així com a qualsevol altre sistema d'informació de la infraestructura de l'administració electrònica actual, primer caldrà registrar un compte i, en conseqüència,, rebeu un PES.

Nivells

El portal del sistema unificat d'identificació i autenticació ofereix tres nivells principals de comptes per a persones:

• Simplificat. Per registrar-lo només cal que indiquis el teu cognom i nom, així com algun canal de comunicació específic en forma d'adreça de correu electrònic o telèfon mòbil. Aquest és el nivell principal, a través del qual una persona només té accés a una llista limitada de diversos serveis públics, així com a les capacitats dels sistemes d'informació existents.
• Estàndard. Per obtenir-lo, primer heu d'emetre un compte simplificat i, a continuació, proporcionar dades addicionals, inclosa la informació del passaport i el número del compte personal individual de l'assegurança. La informació especificada es verifica automàticament mitjançant sistemes d'informacióFons de pensions, així com el Servei Federal de Migració, i si el xec té èxit, el compte es transfereix al nivell estàndard, que obre una llista ampliada de serveis públics a l'usuari.
• Confirmat. Per obtenir aquest nivell de compte, el sistema unificat d'identificació i autenticació requereix que els usuaris tinguin un compte estàndard, així com una verificació d'identitat, que es realitza mitjançant una visita personal a una oficina de servei autoritzada o mitjançant l'obtenció d'un codi d'activació per correu certificat. En cas que la verificació d'identitat tingui èxit, el compte passarà a un nou nivell i l'usuari tindrà accés a la llista completa dels serveis governamentals necessaris.

Malgrat que els tràmits poden semblar força complicats, de fet, podeu familiaritzar-vos amb la llista completa de dades necessàries directament al lloc web oficial, de manera que un registre complet és molt possible en pocs dies.