Posted:
Фев 12, 2023
Comments:
0 Comments

Аутентификация это в информационной безопасности: Системы идентификации, аутентификации и авторизации

Содержание

Идентификация, аутентификация и авторизация

На самом деле никакого обмена не происходило. Произошли поочередно три процесса: идентификация, аутентификация и авторизация. Данная статья поможет понять, как происходят эти процессы, когда они происходят, в какой последовательности и как с их помощью защитить свои персональные данные и денежные средства.

Содержание статьи:

  • Определения


  • Механизмы идентификации, аутентификации и авторизации


  • Многофакторная аутентификация


  • Однофакторная двухэтапная аутентификация


  • Рекомендации



Определения



Идентификация, аутентификация и авторизация – три процесса защищающие Ваши данные или денежные средства от доступа посторонних лиц.


Понимание процессов придет быстрее, если дать им определения.

  • Идентификация — процесс распознавания пользователя по его идентификатору.

  • Аутентификация — процедура проверки подлинности, доказательство что пользователь именно тот, за кого себя выдает.

  • Авторизация — предоставление определённых прав.



Для начала этих теоретических знаний будет достаточно. Вернемся к примеру с доступом в онлайн-банкинг. Каждое действие пользователя и системы рассмотрим подробно.



Механизмы идентификации, аутентификации и авторизации


Находясь на сайте банка, пользователь решает зайти в личный кабинет, чтобы сделать денежный перевод. На странице личного кабинета система вначале просит ввести идентификатор. Это может быть логин, имя и фамилия, адрес электронной почты или номер мобильного телефона.

Какой конкретно вид данных необходимо ввести – зависит от ресурса. Данные, которые указывались при регистрации, необходимо ввести для получения доступа. Если при регистрации указывалось несколько типов данных – и логин, и адрес электронной почты, и номер мобильного, то система сама подскажет что ей конкретно нужно.



Ввод этих данных необходим для идентификации человека за монитором как пользователя конкретно этого банка.



Если пользователь в качестве идентификатора ввел «Александр Петров», и система нашла в своей базе запись о пользователе с таким именем, то

идентификация

завершилась.



После идентификации следует процесс аутентификации, в котором пользователю нужно доказать, что он является человеком, который регистрировался под именем Александр Петров.


Для доказательства необходимо наличие одного из типов аутентификационных данных:

  • Нечто, присущее только пользователю. Биометрические данные: сканеры лица, отпечатки пальцев или сетчатки глаза.

  • Нечто, известное только пользователю. Сюда относятся pin-коды, пароли, графические ключи, секретные слова.

  • Нечто, имеющееся у пользователя. В данном качестве может выступать токен, то есть компактное устройство, предназначенное для обеспечения информационной безопасности пользователя, также используется для идентификации владельца. Самые простые токены не требуют физического подключения к компьютеру – у них имеется дисплей, где отображается число, которое пользователь вводит в систему для осуществления входа; более сложные подключаются к компьютерам посредством USB и Bluetooth-интерфейсов.


Самый распространенный тип аутентификационных данных – это пароль. Именно поэтому так важно создавать и правильно хранить свои пароли. Подробнее об этом можно прочитать в статьях «Создание надежных паролей» и «Как правильно выбирать и хранить пароли».


После ввода пользователем пароля система проверяет: соответствует ли условный пароль «Q45fp02@13» пользователю с именем Александр Петров. Таким образом происходит

аутентификация

.


Если все верно, и пара логин-пароль верны, то система предоставит пользователю доступ к его ресурсам и совершение банковских операций, то есть произойдет

авторизация

.


Описанные процессы всегда происходят только в таком порядке: идентификация, аутентификация, авторизация. Вся цепочка потеряет смысл, если, например, сайт сначала предоставит доступ к денежным средствам пользователя, а потом будет уточнять, он ли это на самом деле.

Процессы идентификации, аутентификации и авторизации характерны не только для онлайн-банкинга, но и для электронной почты, социальных сетей и других ресурсов.

В реальной жизни мы также сталкиваемся идентификацией, аутентификацией и авторизацией. Примером может служить проверка документов сотрудником полиции. Вы представились как Александр Петров, и сотрудник полиции идентифицировал Вас как Александра Петрова. Для аутентификации необходим паспорт, в котором видно, что Александр Петров выглядит так же, как и вы. Авторизацией в данном случае будет то, что сотрудник отпустит вас и пожелает счастливого пути, т.е. предоставит право свободного перемещения.


Процессы идентификации, аутентификации и авторизации есть во многих сферах. Даже в простейших детских сказках. Сказка «Волк и семеро козлят» является идеальным примером для демонстрации.


Здесь козлята выступают в роли системы безопасности, идентифицируя каждого, кто подходит к двери. В качестве данных для аутентификации выступает биометрия – тонкий голосок мамы-козы. И если в первый раз волк не смог пройти аутентификацию (его выдал грубый голос), то со второй попытки (после того как ему перековали горло, и он запел тонким голоском) он аутентифицировался как мама-коза и козлята «авторизовали» его в свою избу.


Несмотря на то, что сказка закончилась благополучно, доступ к козлятам был получен неправомерно. Волку удалось обмануть процессы идентификации и аутентификации и тем самым пройти авторизацию.


Если в старой детской сказке это оказалось возможным, то что говорить о современных злоумышленниках. Чтобы защитить свои денежные средства и персональные данные и козлят от волка от злоумышленника необходимо использовать более сложные способы аутентификации.



Многофакторная аутентификация

Многофакторная аутентификация представляет собой метод, при котором пользователю для доступа к учетной записи или подтверждения операции с денежными средствами необходимо двумя различными факторами доказать, что именно он владелец учетной записи или что именно он осуществляет вход.

Среди видов многофакторной аутентификации наиболее распространена двухфакторная аутентификация (2FA — 2-factor authentication) – метод, при котором пользователю для получения доступа необходимо предоставить два разных типа аутентификационных данных, например, что-то известное только пользователю (пароль) и что-то присущее только пользователю (отпечаток пальца).

Доступ к ресурсам через ввод логина и пароля, является однофакторной аутентификацией, поскольку для входа используется только один тип аутентификационных данных — известный пользователю пароль.



Однофакторная двухэтапная аутентификация



Благодаря тому, что смартфоны стали неотъемлемой частью нашей жизни, именно они стали одним из способов подтверждения личности пользователя. Они являются токенами для доступа к различным ресурсам. В этом случае одноразовый пароль генерируется или с помощью специального приложения, или приходит по SMS – это максимально простой для пользователя метод.


Аутентификация происходит следующим образом:

  1. Пользователь вводит логин и пароль, указанные при регистрации. Если данная пара корректна (логин есть в базе и соответствует паролю) система высылает одноразовый пароль, имеющий ограниченное время действия.

  2. Пользователь вводит одноразовый пароль и, если он совпадает с тем, что отправила система, то пользователь получает доступ к своей учетной записи, денежным средствам или подтверждает денежный перевод.


Даже если злоумышленник получит логин и пароль для учетной записи (с помощью вредоносной программы, кражи записной книжки с паролями или методами социальной инженерии и фишинга), то после ввода этих данных система отправит на привязанный мобильный телефон пользователя одноразовый код с ограниченным временем действия. Без одноразового кода мошенник не сможет похитить денежные средства.



Рекомендации

  1. Используйте уникальные, надежные пароли для разных учетных записей.

  2. Настройте двухэтапную однофакторную или многофакторную аутентификацию на всех ресурсах, где это возможно.

Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf. ru
https://safe-surf.ru

Аутентификация пользователей — современные методы

Подсистема аутентификации пользователей — важнейший компонент корпоративной системы информационной безопасности, и ее значение трудно переоценить. Подсистема аутентификации подтверждает личность пользователя информационной системы и поэтому должна быть надежной и адекватной, то есть исключать все ошибки в предоставлении доступа. Существующие методы аутентификации различны по степени надежности, и, как правило, с усилением защиты резко возрастает цена систем, что требует при выборе средств аутентификации анализа рисков и оценки экономической целесообразности применения тех или иных мер защиты. Однако в последнее время «соотношение сил» в области эффективности применяемых методов аутентификации меняется.


Средства аутентификации можно разделить на три группы («фактора») в соответствии с применяемыми принципами: принцип «что вы знаете» («you know»), лежащий в основе методов аутентификации по паролю; принцип «что вы имеете» («you have»), когда аутентификация осуществляется с помощью магнитных карт, токенов и других устройств; и принцип «кто вы есть» («you are»), использующий персональные свойства пользователя (отпечаток пальца, структуру сетчатки глаза и т. д.). Системы строгой аутентификации используют 2 и более факторов при аутентификации пользователей.


На сегодняшний день средства аутентификации первой группы («you know») являются самыми экономичными по стоимости, но одновременно и наименее надежными. Пароль пользователя можно подсмотреть, перехватить в канале связи, да и просто подобрать. Если политика безопасности требует применения сложных паролей, пользователям трудно их запоминать, и нередко на самом видном месте появляются бумажные листочки с записями паролей (например, прикрепляются к монитору). Последствия особенно опасны в системах, где используется принцип «единого входа» (single sign-on), когда сотрудник применяет один пароль для аутентификации и работы со многими корпоративными приложениями и источниками информации. Часто, не осознавая важности аутентификации, сотрудники практикуют передачу личного пароля коллегам. Здесь стоит отметить, что процедура аутентификации тесно связана с другими процессами в системе информационной безопасности (ИБ), например с мониторингом действий в системе, и при расследовании инцидента, не имея строгой идентификации пользователя, нередко очень тяжело установить причину инцидента.


Системы строгой аутентификации, построенные на факторе «you know» и «you have», предоставляют больше возможностей для усиления защиты. Например, работу токенов, которые генерируют одноразовые пароли, не имея соединения с защищаемой системой, очень сложно подделать, а сам пароль не может быть повторно использован. Примерами могут служить устройства RSA SecureID и Vasco Digipass. Наиболее интересно применение этих устройств в таких областях, как электронная коммерция, включая интернет-банкинг, или для организации защиты ключевых с точки зрения безопасности пользователей (администраторов информационной системы и руководителей). Этими устройствами можно пользоваться для проведения аутентификации при удаленном доступе с рабочего места, имеющего низкий уровень доверия, например при работе в интернет-кафе. Но такой способ аутентификации также не лишен недостатков — токен, например, можно передать вместе с ПИН другому пользователю.


С этой точки зрения более строгую аутентификацию обеспечивают средства, основанные на биометрических методах, интерес к которым сейчас активно растет, что связано не в последнюю очередь с постепенным снижением их стоимости.


Биометрические системы идентификации, доступные в настоящее время или находящиеся в стадии разработки, включают системы доступа по отпечатку пальца, запаху, ДНК, форме уха, геометрии лица, температуре кожи лица, клавиатурному почерку, отпечатку ладони, рисунку вен ладони, структуре сетчатки глаза, рисунку радужной оболочки глаза, подписи и голосу.


Аутентификация по отпечаткам пальцев


Эта биометрическая технология, вполне вероятно, в будущем будет использоваться наиболее широко. Преимущества средств доступа по отпечатку пальца — простота использования, удобство и надежность. Весь процесс идентификации осуществляется довольно быстро и не требует особых усилий от пользователей. Вероятность ошибки при идентификации пользователя намного меньше в сравнении с другими биометрическими методами. Кроме того, устройство идентификации по отпечатку пальца достаточно компактно — в настоящее время уже производятся подобные системы размером меньше колоды карт.


Использование для идентификации геометрии руки


Этот метод сегодня применяется в более чем 8 000 организаций, включая колумбийский парламент, международный аэропорт Сан-Франциско, больницы и иммиграционные службы. Преимущества идентификации по геометрии ладони сравнимы с аутентификацией по отпечатку пальца в части надежности, хотя устройство для считывания отпечатков ладоней занимает больше места. Наиболее удачное устройство, Handkey, сканирует как внутреннюю, так и боковую сторону руки.


Аутентификация по радужной оболочке глаза


Преимущество сканирования радужной оболочки состоит в том, что образец пятен на радужной оболочке находится на поверхности глаза, и от пользователя не требуется специальных усилий — фактически видеоизображение глаза может быть отснято на расстоянии метра, что делает возможным использование таких сканеров в банкоматах. Идентифицирующие параметры могут сканироваться и кодироваться, в том числе и у людей с ослабленным зрением, но неповрежденной радужной оболочкой. Катаракта — повреждение хрусталика глаза, который находится позади радужной оболочки, также никоим образом не влияет на процесс сканирования радужной оболочки.


Аутентификация по сетчатке глаза


Сканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры для сетчатки глаза получили большое распространение в сверхсекретных системах контроля доступа, так как эти средства аутентификации характеризуются одним из самых низких процентов отказа в доступе зарегистрированным пользователям и почти нулевым процентом ошибочного доступа. Однако такая болезнь глаз, как катаракта, может отрицательно воздействовать на качество получаемого изображения и увеличивать вероятность ошибок.


Идентификация по чертам лица (по геометрии лица)


Одно из быстро развивающихся направлений в биометрической индустрии. Данный метод наиболее близок к тому, как люди идентифицируют друг друга, и в этом его привлекательность. Развитие этого направления связано с быстрым ростом мультимедийных видеотехнологий. Однако большинство разработчиков пока испытывают трудности в достижении высокого уровня исполнения таких устройств. Тем не менее, можно ожидать появления в ближайшем будущем специальных устройств идентификации личности по чертам лица в залах аэропортов для защиты от террористов и т. п.


Исходя из данных, приведенных в таблице, можно выделить две наиболее востребованные сегодня технологии, — это биометрическая идентификация с использованием папиллярного узора пальца (отпечатка) и радужной оболочки глаза.


Вопреки бытующему мнению о том, что «обмануть» сканер отпечатков пальцев несложно, следует отметить, что в настоящее время ведущим производителям устройств сканирования отпечатков пальцев удалось создать комбинацию аппаратного и программного обеспечения, устойчивую к подделкам и муляжам. А для систем биометрической идентификации на основе радужной оболочки глаза стоимость создания «муляжа» сопоставима со стоимостью совокупного владения системой. Таким образом, возникновение «ошибок второго рода» (то есть предоставление доступа человеку, не имеющему на это права) практически исключено.


Конечно, есть и проблемы. Под воздействием некоторых факторов биологические особенности, по которым производится идентификация личности, могут изменяться. Например, возможна деформация папиллярного узора при порезах и ожогах. Поэтому частота появлений «ошибок первого рода» (отказ в доступе человеку, имеющему на это право) при использовании однофакторной идентификации в биометрических системах достаточно велика. Решением данной проблемы является применение систем многофакторной аутентификации, которые идентифицируют личность сразу по нескольким факторам, например по отпечатку пальца, геометрии ладони и рисунку вен ладони.


В этом случае вероятность «ошибок первого рода» резко снижается, а общая степень надежности системы растет пропорционально количеству используемых факторов.


В качестве фактора, ускоряющего развитие биометрических средств аутентификации, необходимо отметить существенное снижение стоимости устройств сканирования. Так например, себестоимость некоторых сканеров отпечатков пальцев уже снизилась до 50 долларов. Этот факт позволяет утверждать, что в ближайшем будущем стоимость сканеров отпечатков пальцев будет соизмерима (если не меньше) со стоимостью токенов.


Рассматривая рынок систем биометрической идентификации, можно выделить три основных направления их использования: системы гражданской идентификации, системы контроля и управления доступом и системы учета рабочего времени. Сегодня аналитики прогнозируют серьезное развитие всех трех направлений и, в частности, систем гражданской идентификации в связи со стартом проекта «Российский биометрический паспорт» в Калининграде и Калининградской области. Это послужило мощным импульсом к развитию биометрической индустрии в России — снижается стоимость устройств, растет надежность, повышается уровень зрелости общества, необходимый для массового принятия технологии. Что касается мирового рынка биометрической идентификации, аналитики предсказывают рост его объема до 4 млрд. долларов в 2007 г.


 


Развитие рынка биометрической идентификации и удешевление технологий позволит использовать эти средства и в решениях по обеспечению информационной безопасности компаний, и в корпоративных системах учета рабочего времени (особенно для контроля бизнес-процессов, требующих строгой персонализации и персональной ответственности). Таким образом, можно с большой долей уверенности утверждать (это подтверждает и наш собственный опыт работы по созданию комплексных систем ИБ), что биометрическая идентификация как таковая ляжет в основу будущей инфраструктуры информационной безопасности предприятия, а также будет использована во многих прикладных решениях.


Авторы: Андрей Голов, Илья Прудников


Опубликовано в журнале «CIO» N4 от 14 апреля 2006 года


http://www. cio-world.ru/

Возврат к списку

Что такое аутентификация в информационной безопасности?

Одним из слов, которое мы часто подбрасываем, когда говорим об информационной безопасности, является аутентификация. Что означает аутентификация?

Что такое аутентификация?

В системе безопасности аутентификация — это процесс проверки того, является ли кто-то (или что-то) тем, кем (или чем) оно объявлено.

Аутентификация: проверка личности пользователя, процесса или устройства, часто являющаяся предварительным условием для предоставления доступа к ресурсам в информационной системе.

Определение из CSRC NIST

Независимо от того, входите ли вы в свою компьютерную систему в офисе, проверяете баланс своего счета на веб-сайте своего банка или посещаете свои любимые каналы социальных сетей, процесс аутентификации помогает этим сайтам определить, что вы являетесь правильный человек пытается получить доступ.

Ценность аутентификации

Человек, выросший в маленьком городке, мог зайти в местный банк, и кассир узнал бы его. Это один из методов, который кассиры использовали, чтобы узнать, что человек, который мог вносить и снимать средства с их счета, был правильным человеком.

Сегодня мы заходим на веб-сайт нашего национального банка, и кассир не приветствует нас по имени. Требуются другие методы аутентификации. Когда вы аутентифицируете свою учетную запись, вы устанавливаете свою личность и сообщаете сайту, к которому пытаетесь получить доступ, что вы на самом деле тот человек, за которого себя выдаете.

Этот процесс установления вашей личности для получения доступа к системе обычно состоит из двух шагов: сначала вы должны идентифицировать себя (т. е. указать идентификатор пользователя, номер учетной записи или адрес электронной почты), а затем вы должны доказать, что вы тот, за кого себя выдаете. являются (подтвердить себя).

В конечном итоге это снижает шансы того, что имитатор получит доступ к конфиденциальной информации, которая ему не принадлежит.

Способы аутентификации

Существует три метода аутентификации: что-то, что вы знаете (например, пароли), что-то, что у вас есть (например, токены-ключи), или что-то, чем вы являетесь (отсканированная часть тела, например, отпечаток пальца):

Что-то, чем вы являетесь  

Это, как правило, самое прочное и сложное для взлома — нелегко воспроизвести сканирование радужной оболочки глаза или дублировать отпечаток пальца. Однако технология развертывания этого типа аутентификации является дорогостоящей и не может быть легко адаптирована ко всем способам доступа к ресурсам. Мы начинаем видеть более широкое распространение этого метода аутентификации (вспомните Face ID в iPhone), но нам еще далеко до серьезного прогресса.

То, что у вас есть  

Это становится все более популярным, учитывая наше общее нежелание отключаться от мобильных телефонов. Этот тип контроля доступа обычно принимает форму одноразового ключа-токена, который вы получаете из внешнего источника (ключ, ваша электронная почта, текстовое сообщение или приложение для проверки подлинности). Традиционно предоставление пользователям устройства, которое доставляет токен-ключ, было самым большим сдерживающим фактором для более широкого развертывания, но сегодня, когда у большинства пользователей всегда есть смарт-устройства, метод аутентификации «то, что у вас есть», набирает силу.

Что-то, что вы знаете w

Наиболее распространенным примером этого являются наши пароли — для биосканирования не требуется ни специального оборудования, ни дополнительных инструментов для предоставления секретных кодов. Вот почему так важно создавать пароли, которые трудно угадать. В большинстве случаев ваш пароль — это единственная часть информации, которую другие люди не знают, и единственный способ защитить вашу информацию.

Хранение вашей аутентификационной информации конфиденциальной и надежной

Возвращаясь к сценарию местного банка в маленьком городке, если бы ваш друг подошел к кассиру и попытался предъявить квитанцию ​​о снятии средств с вашего счета, кассир смог бы сказать, что это не вы, и отрицать перевод.

Но если этот же друг попытается войти в ваш текущий банковский счет с моим именем пользователя и паролем, сайт не помешает им это сделать. «Вы имели в виду войти на свой собственный сайт, а не на сайт вашего друга?»

Платформа не может отличить. Имея правильную комбинацию, он примет имя пользователя и пароль независимо от того, правильный это человек или нет.

Поэтому крайне важно хранить при себе любую потенциально идентифицирующую информацию или устройства аутентификации.

Как насчет двухфакторной аутентификации?

Многофакторная аутентификация (MFA) — это действительно хорошая штука. MFA сочетает в себе два разных метода аутентификации (т. е. пароль и токен) для обеспечения большей безопасности при подтверждении вашей личности.

Продолжая наш пример с учетной записью в онлайн-банке, если бы друг угадал пароль к вашей учетной записи, но у вас была включена аутентификация MFA, ему будет отказано в доступе, если у нее также нет моего мобильного телефона, и он не знает PIN-код для доступа к телефону. , и смог получить одноразовый код, необходимый в качестве второго метода проверки.

То же самое относится и к злоумышленникам. Если они смогут взломать ваши учетные данные пользователя и MFA включена, они, скорее всего, будут остановлены в момент отсутствия доступа.

Многим организациям теперь требуется MFA для установления соединения с их сетью и программами — разумный шаг, чтобы защитить вас в случае, если ваши учетные данные будут скомпрометированы.

Если какая-либо из ваших защищенных систем предлагает многофакторную проверку подлинности, я рекомендую вам включить эту службу, чтобы повысить безопасность вашей личной информации.

Аутентификация стала полезной практикой защиты информации как для компаний, так и для людей. Надежные пароли, хорошие привычки обмена и инструменты MFA — все это поможет защитить ваши учетные записи и сети от компрометации.

Чтобы получить дополнительные советы и рекомендации по предотвращению атак на вашу сеть или поработать с поставщиком услуг безопасности для улучшения методов обеспечения безопасности вашего бизнеса, посетите frsecure. com.

Аутентификация: определение, типы, использование и многое другое

Автор

Эндрю Магнуссон
Директор по работе с глобальными клиентами
СильныйDM

Проверено

Джастин Маккарти
Соучредитель / технический директор
StrongDM

Резюме: Хорошая кибербезопасность зависит от предоставления нужным людям доступа к нужной информации в нужное время. Но как убедиться, что пользователи, пытающиеся получить доступ к вашим системам, являются теми, за кого себя выдают? Аутентификация . В этой статье мы всесторонне рассмотрим аутентификацию, включая то, что это такое, как она работает и как выглядит будущее аутентификации. К концу этого обзора вы поймете различные типы аутентификации, три основных фактора аутентификации и то, как аутентификация используется для защиты данных и систем от угроз.

Что такое аутентификация?

Аутентификация — это процесс проверки пользователя или устройства перед предоставлением доступа к системе или ресурсам.

Другими словами, аутентификация означает подтверждение того, что пользователь является тем, кем он себя называет. Это гарантирует, что только те, у кого есть авторизованные учетные данные, получат доступ к безопасным системам. Когда пользователь пытается получить доступ к информации в сети, он должен предоставить секретные учетные данные для подтверждения своей личности. Аутентификация позволяет с уверенностью предоставлять доступ нужному пользователю в нужное время. Но это не происходит изолированно.

Аутентификация является частью трехэтапного процесса получения доступа к цифровым ресурсам:

  1. Идентификация — кто вы?
  2. Аутентификация — подтвердите это.
  3. Авторизация — у вас есть разрешение?

Для идентификации требуется идентификатор пользователя, такой как имя пользователя. Но без аутентификации личности невозможно узнать, действительно ли это имя пользователя принадлежит им. Вот где вступает в действие аутентификация — соединение имени пользователя с паролем или другими подтверждающими учетными данными.

Наиболее распространенным методом аутентификации является уникальный логин и пароль, но поскольку угрозы кибербезопасности в последние годы возросли, большинство организаций используют и рекомендуют дополнительные факторы аутентификации для многоуровневой безопасности.

История аутентификации

Цифровая аутентификация восходит к 1960-м годам, когда современные компьютеры стали доступны в крупных научно-исследовательских институтах и ​​университетах. В то время компьютеры были огромными — часто занимали целые комнаты — и дефицитным ресурсом. В большинстве университетов, где был компьютер, был только один. Это означало, что студенты и исследователи должны были поделиться ею. Но это также означало, что пользователи могли без ограничений получать доступ к файлам других пользователей.

Когда Фернандо Корбато, студент Массачусетского технологического института, заметил эту слабость, он создал простую программу паролей, которая предлагала пользователю ввести свой пароль и сохраняла его в текстовом файле в файловой системе. Оттуда родилась цифровая аутентификация.

Хронология цифровой аутентификации

1960-е годы: пароли и шифрование
В 1961 году Корбато создал программу паролей для использования в компьютерной системе Массачусетского технологического института. К концу 1960-х годов программисты работали над созданием более надежного решения для паролей, которое не хранилось бы в текстовых файлах. Роберт Моррис, криптограф из Bell Labs, разработал схему шифрования паролей, работая над Unix. В нем использовалась функция получения ключа, которая вычисляет секретное значение и упрощает вычисления в одном направлении, но не в обратном.

1970-е годы: асимметричная криптография
Асимметричная криптография, также известная как криптография с открытым ключом, использует математически связанную пару ключей — один открытый и один частный — для шифрования и расшифровки информации. Асимметричная криптография была разработана в 1970-х годах британскими государственными служащими Джеймсом Эллисом, Клиффордом Коксом и Малкольмом Дж. Уильямсоном. Однако это знание не было обнародовано до 1997 года.

1980-е годы: динамические пароли
Традиционные пароли быстро стали недостаточными по мере развития технологий. Пароли легко угадывались, и многие люди повторно использовали свои пароли, что делало их уязвимыми. Поэтому ученые-компьютерщики разработали динамические пароли. Динамические пароли меняются в зависимости от таких переменных, как местоположение, время или обновление физического пароля. Со временем были введены два протокола динамических паролей: 

TOTP – одноразовый пароль на основе времени (OTP), где пароль создается на основе запрошенного времени.

HOTP — HMAC (код проверки подлинности сообщения на основе хэша) OTP — это OTP на основе событий, в котором пароль создается с помощью хэш-кода, использующего инкрементный счетчик.

Динамические пароли часто используются в сочетании с обычными паролями в качестве одной из форм двухфакторной аутентификации.

1990-е годы: инфраструктура открытых ключей
После того, как асимметричная криптография стала достоянием общественности, ученые-компьютерщики использовали эту работу и стандартизировали ее путем разработки инфраструктуры открытых ключей (PKI). PKI определил, как создавать, хранить и отправлять цифровые сертификаты, добавляя более надежную защиту для онлайн-пользователей и связи.

2000-е: многофакторная аутентификация и единый вход
К началу 2000-х программисты создали более надежные технологии аутентификации с многоуровневой защитой.

Многофакторная проверка подлинности требовала от пользователей предоставления двух форм проверки перед получением доступа. А система единого входа (SSO) упростила процесс проверки, так что пользователям нужно вводить учетные данные только в одной точке доступа, проверенной доверенной третьей стороной.

2010-е: Биометрия
До 2010-х биометрическая аутентификация была зарезервирована для правительственного доступа с высоким уровнем безопасности и шпионских фильмов. Но с развитием новейших технологий биометрия стала обычной формой аутентификации, включая TouchID и FaceID на смарт-устройствах.

Важность аутентификации

В настоящее время кибератаки представляют серьезную угрозу для организаций. По мере того, как все больше людей работают удаленно, а облачные вычисления становятся нормой во всех отраслях, ландшафт угроз в последние годы расширился в геометрической прогрессии. В результате Согласно недавнему исследованию Identity Defined Security Alliance (IDSA), 94 % корпоративных организаций столкнулись с утечкой данных, причем 79 % были взломаны за последние два года .

Кроме того, исследование, проведенное Cybersecurity Insiders, показало, что 90 % респондентов подверглись фишинговым атакам в 2020 году, а еще 29 % подверглись атакам с заполнением учетных данных и подбором пароля, что привело к значительным затратам службы поддержки из-за сброса пароля.

В связи с тем, что глобальные расходы на киберпреступность, как ожидается, будут расти на 15% в год в течение следующих пяти лет и к 2025 году достигнут 10,5 трлн долларов США в год, организациям как никогда важно защищать себя.

В результате аутентификация становится все более важной стратегией снижения риска для снижения риска и защиты конфиденциальных данных. Аутентификация помогает организациям и пользователям защитить свои данные и системы от злоумышленников, стремящихся получить доступ и украсть (или использовать) личную информацию. Эти системы могут включать компьютерные системы, сети, устройства, веб-сайты, базы данных и другие приложения и службы.

Организации, инвестирующие в аутентификацию в рамках стратегии инфраструктуры управления идентификацией и доступом (IAM), получают множество преимуществ, в том числе: 

  • Ограничение утечки данных
  • Сокращение и управление организационными затратами
  • Достижение соответствия нормативным требованиям

Развитие многофакторной аутентификации

Одним из наиболее важных способов защиты данных является многофакторная аутентификация (MFA). Отчет DBIR за 2021 год показал, что учетные данные являются наиболее часто скомпрометированными данными при взломе, особенно при фишинговой атаке, которая обычно использует учетные данные жертвы для получения дальнейшего доступа к целевой организации.

Но многофакторная аутентификация добавляет еще один уровень проверки, который может помочь предотвратить подобные атаки. Другими словами, даже если хакеры украдут ваши учетные данные, этого будет недостаточно для проникновения в систему.

Microsoft и Google недавно расхваливали преимущества включения многофакторной аутентификации в свои передовые методы обеспечения безопасности:

«Наше исследование показывает, что простое добавление резервного номера телефона в вашу учетную запись Google может заблокировать до 100% автоматические боты, 99% массовых фишинговых атак и 66% целевых атак , которые произошли во время нашего расследования», — поделился Google. текущий пароль . Это особенно важно, поскольку одних только паролей уже недостаточно для защиты учетных записей, — объясняет Алекс Вейнерт, руководитель групповой программы по безопасности и защите личных данных в Microsoft. снижает риск несанкционированного доступа и атак методом грубой силы, поэтому организации и пользователи могут надежно защитить свои учетные записи и другие важные данные. 

Варианты использования аутентификации

Сегодня аутентификация является обычной практикой не только среди ИТ-специалистов и ученых, но и среди нетехнических пользователей. Будь то вход в Facebook с именем пользователя и паролем или открытие телефона с помощью TouchID или уникального PIN-кода, большинство людей использовали аутентификацию для доступа к своей личной информации и устройствам дома и на работе.

Конечно, по мере того, как технологии развиваются, а хакеры становятся все более искусными и широко распространенными, новые методы аутентификации набирают обороты для лучшей защиты личных, деловых и государственных ресурсов от несанкционированного доступа. Подробнее об этих методах мы поговорим ниже.

Как работает аутентификация?

Базовая аутентификация включает подтверждение того, что пользователь является тем, кем он себя называет, с помощью таких методов аутентификации, как имя пользователя и пароль, биометрическая информация, такая как распознавание лица или сканирование отпечатков пальцев, а также телефонные или текстовые подтверждения (которые чаще всего используются как часть двух- методы факторной аутентификации).

Но как работает аутентификация на сервере?

Для аутентификации личности с помощью логина и пароля (наиболее распространенная форма аутентификации) процесс довольно прост:

  1. Пользователь создает имя пользователя и пароль для входа в учетную запись, к которой он хочет получить доступ. Эти логины затем сохраняются на сервере.
  2. Когда этот пользователь входит в систему, он вводит свое уникальное имя пользователя и пароль, и сервер сверяет эти учетные данные с теми, которые сохранены в его базе данных. Если они совпадают, пользователю предоставляется доступ.

Имейте в виду, что многие приложения используют файлы cookie для аутентификации пользователей после первоначального входа в систему, чтобы им не приходилось каждый раз входить в свою учетную запись. Каждый период, в течение которого пользователь может войти в систему без повторной аутентификации, называется сеансом. Чтобы сеанс оставался открытым, приложение делает две вещи, когда пользователь входит в систему в первый раз:

  1. Создайте токен (строку уникальных символов), привязанный к учетной записи.
  2. Назначить браузеру файл cookie с прикрепленным токеном.

Когда пользователь загружает безопасную страницу, приложение проверяет маркер в файле cookie браузера и сравнивает его с маркером в своей базе данных. Если они совпадают, пользователь сохраняет доступ без повторного ввода своих учетных данных.

В конце концов, приложение уничтожает токен на сервере, что приводит к тайм-ауту сеанса пользователя. Преимущество этого типа аутентификации заключается в том, что он упрощает взаимодействие с пользователем и экономит время пользователя. Однако это также означает, что устройство или браузер, в который вошел пользователь, уязвимы, если попадут в чужие руки.

Факторы аутентификации

Фактор аутентификации — это категория учетных данных, используемых для аутентификации или подтверждения личности пользователя. Факторы аутентификации могут включать пароли, токены безопасности (такие как ключи или смарт-карты) и биометрическую проверку, такую ​​как сканирование отпечатков пальцев.

Существует три основных фактора аутентификации:

  • То, что вы знаете (также известные как факторы знаний): Это наиболее распространенный фактор аутентификации. Он проверяет личность, подтверждая пользователей с помощью имеющейся у них конфиденциальной информации, такой как логин и пароль.
  • То, что у вас есть (также известные как факторы владения): Пользователи подтверждают свою личность с помощью уникального объекта, такого как карта доступа или брелок. Эта аутентификация устраняет риск забывания паролей; однако это означает, что пользователь должен иметь объект при себе всякий раз, когда ему нужно получить доступ к системе, и они рискуют потерять его в результате несчастного случая или кражи.
  • Что-то, чем вы являетесь (также известные как факторы наследственности): Фактор наследственности подтверждает личность с помощью неотъемлемых биометрических характеристик пользователя, таких как отпечаток пальца, голос или структура радужной оболочки глаза. Преимущество биометрической аутентификации в том, что ее труднее потерять или воспроизвести. Но они могут быть дорогими и менее точными, чем традиционные факторы аутентификации.

Существуют ли дополнительные факторы аутентификации?

Некоторые указывают на такие меры, как местоположение (где-то вы находитесь) и время (сколько сейчас времени) в качестве дополнительных факторов аутентификации. Но их лучше классифицировать как элементы управления безопасностью или дополнительную аутентификацию.

Как поясняет Национальный институт стандартов и технологий (NIST), федеральное агентство, которое публикует официальные руководства по кибербезопасности: или верификатор для оценки риска заявленной личности, но они не считаются факторами аутентификации ».

Это связано с тем, что вы не можете подтвердить чью-либо личность, основываясь только на том, где они находятся или когда они получают доступ к системе. Например, два человека могут находиться в одном и том же месте, но это явно не один и тот же человек. Само по себе их расположение не может быть определяющим фактором. Точно так же время само по себе не может быть использовано для идентификации кого-либо.

Но их можно применять в качестве дополнительных уровней безопасного управления доступом в дополнение к основным факторам аутентификации. Например, вы можете запланировать доступ в определенные часы дня или недели. Пользователям, пытающимся получить доступ к системе за пределами этих временных окон, будет отказано. Кроме того, вы можете использовать местоположение, например местоположение GPS или IP-адрес, чтобы обнаруживать аномальные действия.

Типы проверки подлинности

Однофакторная проверка подлинности

Однофакторная проверка подлинности (SFA) или однофакторная проверка подлинности предполагает сопоставление одних учетных данных для получения доступа к системе (т. е. имени пользователя и пароля). Хотя это наиболее распространенная и известная форма аутентификации, она считается небезопасной, и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) недавно добавило ее в свой список недобросовестных методов.

Основным недостатком является то, что однофакторная аутентификация обеспечивает только один барьер. Хакерам нужно только украсть учетные данные, чтобы получить доступ к системе. А такие методы, как повторное использование пароля, совместное использование пароля администратора и использование стандартных или иных слабых паролей, значительно облегчают хакерам их угадывание или получение.

Двухфакторная аутентификация

Двухфакторная аутентификация (2FA) добавляет второй уровень защиты к вашим точкам доступа. Вместо одного фактора аутентификации для двухфакторной аутентификации требуется два фактора аутентификации из трех категорий:

  • То, что вы знаете (например, имя пользователя и пароль)
  • Что-то, что у вас есть (например, токен безопасности или смарт-карта)
  • Что-то, чем вы являетесь (например, TouchID или другие биометрические учетные данные)

Имейте в виду, что хотя имя пользователя и пароль представляют собой две части информации, они оба являются факторами знаний, поэтому считаются одним фактором. Чтобы считаться двухфакторной аутентификацией, другой метод аутентификации должен относиться к одной из двух других категорий.

2FA более безопасна, потому что даже если пароль пользователя будет украден, хакеру придется предоставить вторую форму аутентификации для получения доступа, что гораздо менее вероятно.

Трехфакторная аутентификация

Трехфакторная аутентификация (3FA) требует учетных данных, подтверждающих личность, от трех отдельных факторов аутентификации (т. е. одного от того, что вы знаете, одного от того, что у вас есть, и одного от того, кем вы являетесь). Как и 2FA, трехфакторная аутентификация является более безопасным процессом аутентификации и добавляет третий уровень защиты доступа к вашим учетным записям.

Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) относится к любому процессу, требующему двух или более факторов проверки подлинности. Двухфакторная и трехфакторная аутентификация считаются многофакторной аутентификацией.

Аутентификация единого входа

Аутентификация единого входа (SSO) позволяет пользователям входить в систему и получать доступ к нескольким учетным записям и приложениям, используя только один набор учетных данных. Чаще всего мы видим это на практике в таких компаниях, как Facebook или Google, которые позволяют пользователям создавать и входить в другие приложения, используя свои учетные данные Google или Facebook. По сути, приложения передают процесс аутентификации на аутсорсинг доверенной третьей стороне (например, Google), которая уже подтвердила личность пользователя.

Система единого входа может повысить безопасность за счет упрощения управления именами пользователей и паролями для пользователей, а также ускорить и упростить вход в систему. Это также может сократить время, затрачиваемое службой поддержки на сброс забытых паролей. Кроме того, администраторы по-прежнему могут централизованно контролировать такие требования, как многофакторная аутентификация и сложность пароля, и может быть проще удалить учетные данные после того, как пользователь покинет организацию.

Одноразовый пароль

Одноразовый пароль (OTP) или одноразовый PIN-код (иногда называемый динамическим паролем) — это автоматически сгенерированный пароль, действительный для одного сеанса входа или транзакции. OTP часто используется для MFA. Например, пользователь начнет входить в систему со своим именем пользователя и паролем, что затем запускает приложение для отправки одноразового пароля на его зарегистрированный телефон или адрес электронной почты. Затем пользователь может ввести этот код для завершения аутентификации и входа в свою учетную запись.

Аутентификация без пароля

Аутентификация без пароля, как следует из названия, не требует пароля или другого фактора аутентификации, основанного на знаниях. Как правило, пользователь вводит свой идентификатор, а затем ему предлагается пройти аутентификацию с помощью зарегистрированного устройства или токена. Аутентификация без пароля часто используется в сочетании с единым входом и многофакторной аутентификацией для улучшения взаимодействия с пользователем, упрощения и сложности администрирования ИТ и повышения безопасности.

Аутентификация на основе сертификатов

Проверка подлинности на основе сертификатов (CBA) использует цифровой сертификат для идентификации и проверки подлинности пользователя, устройства или компьютера. Цифровой сертификат, также известный как сертификат открытого ключа, представляет собой электронный документ, в котором хранятся данные открытого ключа, включая информацию о ключе, его владельце и цифровую подпись, подтверждающую личность. CBA часто используется как часть процесса двухфакторной или многофакторной аутентификации.

Биометрия

Биометрическая аутентификация опирается на биометрические данные, такие как отпечатки пальцев, сканирование сетчатки глаза и сканирование лица, для подтверждения личности пользователя. Для этого система должна сначала собрать и сохранить биометрические данные. А затем, когда пользователь входит в систему, он представляет свои биометрические данные, и система сравнивает их с биометрическими данными в своей базе данных. Если они совпадают, они в игре.

Аутентификация и авторизация

Так в чем же разница между аутентификацией и авторизацией?

Проще говоря, аутентификация — это процесс проверки личности пользователя, а авторизация — это процесс проверки того, к каким файлам, данным и приложениям разрешен доступ этому пользователю. После аутентификации пользователя авторизация предоставляет ему доступ к разным уровням информации и к выполнению определенных функций на основе заранее определенных правил, установленных для определенных типов пользователей.

Например, сотрудники отдела продаж могут иметь доступ к определенным приложениям и базам данных, которые позволяют им выполнять свою работу и эффективно сотрудничать. Но у них не будет доступа к внутренним серверам и программному обеспечению, которое ИТ-отдел использует для управления информационной инфраструктурой компании. Эта стратегия безопасности называется доступом с наименьшими привилегиями (или, формально, принципом наименьших привилегий [POLP]), и она гарантирует, что пользователям предоставляется доступ только к той информации и системам, которые им необходимы для выполнения их работы, — ни больше, ни меньше. Это защищает данные организации, ограничивая количество пользователей, которые могут получить доступ к конфиденциальной информации, ‌уменьшая поверхность для угроз.

Организации могут использовать аутентификацию и авторизацию как часть стратегической структуры для интеллектуального управления доступом в своих системах.

Новые тенденции аутентификации

Методы аутентификации постоянно развиваются. По мере того как угрозы безопасности становятся все более сложными, мы будем видеть все больше и больше передовых протоколов аутентификации для обеспечения безопасного доступа в различных отраслях. Одна из главных тенденций будет заключаться в улучшении и расширении возможностей биометрической аутентификации.

Statista сообщает, что мировой рынок биометрических систем, по прогнозам, достигнет почти 43 миллиардов долларов в 2022 году. Ожидается, что в ближайшие годы рынок резко вырастет, достигнув размера 83 миллиардов долларов к 2027 году.  

Еще одной ключевой областью роста будет в адаптивной аутентификации. Это следующее поколение MFA основано на искусственном интеллекте и машинном обучении для определения дополнительной информации о пользователе, такой как местоположение, время и устройство, для контекстуализации попытки входа в систему и выявления подозрительного поведения при доступе.

По мере того, как угрозы безопасности становятся все более сложными, адаптивные меры MFA будут необходимы для блокировки злоумышленников.

Обеспечение светлого будущего

Надежные методы аутентификации имеют решающее значение для защиты вашей организации и снижения рисков, которые угрожают вашей будущей жизнеспособности. Тем не менее, слабая аутентификация остается распространенной уязвимостью для информационных систем.

Как показано в Руководстве по расширению емкости CISA: «Актив с самым слабым методом аутентификации становится потенциальным путем для обхода более строгой аутентификации для системы, к которой он подключен. Злоумышленники могут легко проникнуть в здание из бетона и стали с усиленными дверями и сложными замками, если есть большие открытые окна».

Аутентификация в strongDM

Платформа доступа к инфраструктуре strongDM предоставляет комплексные решения по управлению доступом для всей вашей организации. Управляйте и проверяйте доступ к вашим базам данных, серверам, кластерам и веб-приложениям — все с помощью одного простого решения.

strongDM обеспечивает защиту доступа на каждом этапе от аутентификации до авторизации, обеспечивая полную наблюдаемость стека, чтобы вы знали, что защищены в каждой точке доступа.

Защитите свою инфраструктуру, включая все ваши конфиденциальные данные, с помощью strongDM. Закажите бесплатную демонстрацию без BS сегодня.

об авторе

Эндрю Магнуссон (Andrew Magnusson), директор по глобальному обслуживанию клиентов , 20 лет проработал в сфере информационной безопасности, выполняя самые разные задачи: от администрирования брандмауэров до мониторинга сетевой безопасности. Его навязчивая идея дать людям доступ к ответам привела его к публикации
Практическое управление уязвимостями с помощью No Starch Press в 2020 году.

This entry was posted in Популярное