logo
Материалы для PDF / Информационная безопасность

Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой про­граммно-технических средств безопасности, поскольку остальные серви­сы рассчитаны на обслуживание именованных субъектов. Идентифика­ция и аутентификация — это первая линия обороны, «проходная» инфор­мационного пространства организации.

Идентификация позволяет субъекту (пользователю, процессу, дейст­вующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредст­вом аутентификации вторая сторона убеждается, что субъект действи­тельно тот, за кого себя выдает. В качестве синонима слова «аутентифи­кация» иногда используют словосочетание «проверка подлинности».

(Заметим, что происхождение русскоязычного термина "ау­тентификация" не совсем понятно. Английское "authentication" скорее можно прочитать как "аутентикация"; трудно сказать, откуда в середине взялось еще "фи" — может, из идентификации? Тем не менее термин устоялся, он закреп­лен в Руководящих документах Гостехкомиссии России, использован в мно­гочисленных публикациях, поэтому исправить его уже невозможно.)

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односто­ронней аутентификации — процедура входа пользователя в систему.

В сетевой среде, когда стороны идентификации/аутентификации территориально разнесены, у рассматриваемого сервиса есть два основ­ных аспекта:

Субъект может подтвердить свою подлинность, предъявив, по край­ней мере, одну из следующих сущностей:

В открытой сетевой среде между сторонами идентификации/аутен­тификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, по­лученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает по­ложение и шифрование паролей, так как оно не защищает от воспроизве­дения. Нужны более сложные протоколы аутентификации.

Надежные идентификация и аутентификация затруднены не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во-вто­рых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора, с дру­гой. Так, из соображений безопасности необходимо с определенной часто­той просить пользователя повторно вводить аутентификационную инфор­мацию (ведь на его место мог сесть другой человек), а это не только хлопот­но, но и повышает вероятность того, что кто-то может подсмотреть за вво­дом данных. В-третьих, чем надежнее средство защиты, тем оно дороже.

Современные средства идентификации или аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть — это, в первую очередь, требование удобства для пользователей. Если в корпо­ративной сети много информационных сервисов, допускающих незави­симое обращение, то многократная идентификация или аутентификация ста­новится слишком обременительной. К сожалению, пока нельзя сказать, что единый вход в сеть стал нормой, доминирующие решения пока не сформировались.

Таким образом, необходимо искать компромисс между надежнос­тью, доступностью по цене и удобством использования и администриро­вания средств идентификации и аутентификации.

Любопытно отметить, что сервис идентификации или аутентификации может стать объектом атак на доступность. Если система сконфигуриро­вана так, что после определенного числа неудачных попыток устройство ввода идентификационной информации (например, терминал) блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш.