Аутентификация на основ метода «рукопожатия».

Аутентификация – процедура установления соответствия параметров, характеризующих пользователя, процесс или данные, заданным критериям.

Аутентификация, как правило, применяется для проверки права доступа пользователя к тем или иным ресурсам, программам, данным.

В качестве критерия соответствия обычно используется совпадение заранее введенной в систему и поступающей в процессе аутентификации информации, например, о пароле пользователя, его отпечатке пальца или структуре сетчатки глаза.

Текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Всё большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт, биометрических устройств, например, сканеров радужной оболочки глаза, отпечатков пальцев или ладони.

В последнее время всё чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии идентификации личности (биометрические данные).

Действительно защищенной от перехвата при прослушивании является схема "запрос-ответ" . Она основана на том, что клиент подтверждает серверу знание парольной информации, не раскрывая ее. Традиционная методика схемы "запрос-ответ" выглядит следующим образом:

1. Сервер генерирует случайное или псевдослучайное число (оно должно отвечать только одному требованию — уникальности, т. е. неповторяемости с течением времени) и высылает его клиенту

2. Клиент производит какое-либо однонаправленное криптопреобразование (блочное шифрование или хэширование) над парольной фразой и присланным запросом и высылает результат серверу.

3. Сервер производит независимо от клиента такие же преобразования и сверяет получившийся у него результат с присланным ответом клиента.

Технология "запрос-ответ" надежно защищает абонентов от злоумышленников, имеющих возможность прослушивать канал. Информацию о пароле в открытом виде извлечь они не могут из-за необратимости примененного преобразования, а позднее использовать перехваченный ответ клиента для аутентификации не получится из-за того, что сервер каждый раз генерирует новый вектор запроса. Технические аспекты протоколов аутентификации, использующих эту схему, описаны в разделе "протоколы сетевой безопасности".

Характер передаваемой информации в схеме "запрос-ответ" позволяет реализовать очень простые и, как следствие, доступные по цене программно-аппаратные комплексы аутентификации. Не превышающие по размерам зажигалки или брелока, они подключаются к одному из портов ввода-вывода компьютера и позволяют аутентифицировать своего владельца без раскрытия какой-либо информации о записанном секретном ключе. При этом даже при наличии на ЭВМ троянской программы скомпрометированы будут только те данные, которые передавались в данный сеанс с данной ЭВМ но не сам ключ аутентификации клиента.