Tanımlama ve doğrulama: temel kavramlar

2024 Yazar: Howard Calhoun | [email protected]. Son düzenleme: 2023-12-17 10:43

Tanımlama ve kimlik doğrulama, modern yazılım ve donanım güvenlik araçlarının temelidir, çünkü diğer hizmetler esas olarak bu varlıklara hizmet etmek için tasarlanmıştır. Bu kavramlar, kuruluşun bilgi alanının güvenliğini sağlayan bir tür ilk savunma hattını temsil eder.

Bu nedir?

Tanımlama ve kimlik doğrulamanın farklı işlevleri vardır. İlki, özneye (onlar adına hareket eden kullanıcı veya süreç) kendi adını verme fırsatı verir. Kimlik doğrulamanın yardımıyla, ikinci taraf sonunda öznenin gerçekten iddia ettiği kişi olduğuna ikna olur. Tanımlama ve kimlik doğrulama genellikle eşanlamlı olarak "ad mesajı" ve "kimlik doğrulama" ifadeleriyle değiştirilir.

Kendileri birkaç çeşide ayrılır. Ardından, tanımlama ve doğrulamanın ne olduğuna ve ne olduğuna bakacağız.

Kimlik Doğrulama

Bu konsept iki tür sağlar: tek taraflı, istemciönce gerçekliğini sunucuya ve iki yönlü, yani karşılıklı doğrulama yapılırken kanıtlamalıdır. Standart kullanıcı tanımlama ve doğrulamanın nasıl gerçekleştirildiğine dair standart bir örnek, belirli bir sistemde oturum açma prosedürüdür. Böylece farklı nesnelerde farklı türler kullanılabilir.

Kullanıcı tanımlama ve kimlik doğrulamanın coğrafi olarak dağınık taraflarda gerçekleştirildiği bir ağ ortamında, söz konusu hizmet iki ana açıdan farklılık gösterir:

• kimlik doğrulayıcı görevi görür;
• kimlik doğrulama ve tanımlama verilerinin değişiminin tam olarak nasıl düzenlendiği ve nasıl korunduğu.

Kimliklerini kanıtlamak için özne aşağıdaki varlıklardan birini sunmalıdır:

• Bildiği belirli bilgiler (kişisel numara, şifre, özel şifreleme anahtarı vb.);
• sahip olduğu belirli bir şey (kişisel kart veya benzer amaçlı başka bir cihaz);
• kendisinin bir öğesi olan belirli bir şey (parmak izleri, ses ve kullanıcıları tanımlamaya ve doğrulamaya yönelik diğer biyometrik araçlar).

Sistem Özellikleri

Açık bir ağ ortamında, tarafların güvenilir bir yolu yoktur, bu da genel olarak, özne tarafından iletilen bilgilerin nihai olarak alınan ve kullanılan bilgilerle eşleşmeyebileceği anlamına gelir.kimlik doğrulaması yaparken. Ağı aktif ve pasif dinlemenin güvenliğini sağlamak, yani çeşitli verilerin düzeltilmesinden, kesilmesinden veya oynatılmasından korunmak için gereklidir. Şifreleri düz metin olarak iletme seçeneği tatmin edici değildir ve aynı şekilde şifre şifreleme, çoğ altmaya karşı koruma sağlamadığı için günü kurtaramaz. Bu nedenle günümüzde daha karmaşık kimlik doğrulama protokolleri kullanılmaktadır.

Güvenilir tanımlama, yalnızca çeşitli çevrimiçi tehditler nedeniyle değil, aynı zamanda çeşitli başka nedenlerle de zordur. Her şeyden önce, hemen hemen tüm kimlik doğrulama varlıkları çalınabilir, sahte olabilir veya çıkarsanabilir. Ayrıca kullanılan sistemin güvenilirliği ile sistem yöneticisinin veya kullanıcının rahatlığı arasında da belli bir çelişki vardır. Bu nedenle, güvenlik nedenleriyle, kullanıcıdan kimlik doğrulama bilgilerini belirli bir sıklıkta yeniden girmesinin istenmesi gerekir (çünkü onun yerinde başka biri oturuyor olabilir) ve bu yalnızca ek sorun yaratmakla kalmaz, aynı zamanda önemli ölçüde artırır. birinin bilgi girerken casusluk yapabilmesi ihtimali. Diğer şeylerin yanı sıra, koruyucu ekipmanın güvenilirliği maliyetini önemli ölçüde etkiler.

Modern tanımlama ve doğrulama sistemleri, öncelikle kullanıcı rahatlığı açısından gereksinimleri karşılamanıza olanak tanıyan ağda tek oturum açma kavramını destekler. Standart bir kurumsal ağda birçok bilgi hizmeti varsa,bağımsız muamele olasılığının sağlanması, ardından kişisel verilerin tekrar tekrar girilmesi çok zahmetli hale gelir. Şu anda baskın çözümler henüz oluşmadığı için tekli oturum açma kullanımının normal karşılandığı söylenemez.

Böylece birçok kişi, kimlik/kimlik doğrulama sağlayan araçların satın alınabilirliği, rahatlığı ve güvenilirliği arasında bir uzlaşma bulmaya çalışıyor. Bu durumda kullanıcıların yetkilendirilmesi bireysel kurallara göre gerçekleştirilir.

Kullanılan hizmetin bir kullanılabilirlik saldırısının nesnesi olarak seçilebilmesine özellikle dikkat edilmelidir. Sistem, belirli sayıda başarısız denemeden sonra giriş yeteneği engellenecek şekilde yapılandırılmışsa, bu durumda saldırganlar yasal kullanıcıların çalışmasını yalnızca birkaç tuşa basarak durdurabilir.

Şifre doğrulama

Böyle bir sistemin ana avantajı, son derece basit ve çoğu kişi için tanıdık olmasıdır. Parolalar, işletim sistemleri ve diğer hizmetler tarafından uzun süredir kullanılmaktadır ve doğru kullanıldığında çoğu kuruluş için oldukça kabul edilebilir bir güvenlik düzeyi sağlarlar. Ancak diğer yandan, toplam özellik seti açısından, bu tür sistemler, tanımlama / doğrulamanın gerçekleştirilebileceği en zayıf araçları temsil eder. Bu durumda yetkilendirme oldukça basit hale gelir, çünkü parolalarakılda kalıcı, ancak aynı zamanda, özellikle bir kişi belirli bir kullanıcının tercihlerini biliyorsa, basit kombinasyonları tahmin etmek zor değildir.

Bazen, belirli belgelerde belirtilen oldukça standart değerlere sahip olduklarından ve her zaman sistem kurulduktan sonra değil, değiştirildiğinden, prensip olarak şifrelerin gizli tutulmadığı olur.

Şifreyi girerken görebilirsiniz ve bazı durumlarda insanlar özel optik cihazlar bile kullanırlar.

Kimlik belirleme ve kimlik doğrulamanın ana konuları olan kullanıcılar, belirli bir süre için sahipliğini değiştirmeleri için genellikle iş arkadaşlarıyla şifrelerini paylaşabilir. Teoride, bu gibi durumlarda özel erişim kontrolleri kullanmak en iyisidir, ancak pratikte bu kimse tarafından kullanılmaz. Ve eğer iki kişi şifreyi biliyorsa, diğerlerinin sonunda bunu öğrenme şansını büyük ölçüde artırır.

Bunu nasıl düzeltebilirim?

Kimlik ve kimlik doğrulamanın nasıl güvenli hale getirilebileceğinin birkaç yolu vardır. Bilgi işleme bileşeni kendini şu şekilde güvenceye alabilir:

• Çeşitli teknik kısıtlamaların dayatılması. Çoğu zaman, şifrenin uzunluğu ve içindeki belirli karakterlerin içeriği için kurallar belirlenir.
• Parolaların süresinin dolmasını, yani bunları periyodik olarak değiştirme ihtiyacını yönetme.
• Ana şifre dosyasına erişimi kısıtlama.
• Giriş sırasında kullanılabilecek toplam başarısız deneme sayısını sınırlayarak. SayesindeBu durumda, kaba kuvvet yöntemi kullanılamayacağı için saldırganlar yalnızca tanımlama ve kimlik doğrulama gerçekleştirmeden önce eylemler gerçekleştirmelidir.
• Kullanıcıların ön eğitimi.
• Yeterince uyumlu ve akılda kalıcı kombinasyonlar oluşturmanıza olanak tanıyan özel şifre oluşturma yazılımı kullanma.

Şifrelerle birlikte başka kimlik doğrulama yöntemleri kullanılsa bile, bu önlemlerin tümü her durumda kullanılabilir.

Tek Kullanımlık Şifreler

Yukarıda tartışılan seçenekler yeniden kullanılabilir ve kombinasyon ortaya çıkarsa, saldırgan kullanıcı adına belirli işlemleri gerçekleştirme fırsatı elde eder. Bu nedenle, tek seferlik şifreler daha güçlü bir araç olarak kullanılır, pasif ağ dinleme olasılığına karşı dirençlidir, bu sayede tanımlama ve kimlik doğrulama sistemi o kadar uygun olmasa da çok daha güvenli hale gelir.

Şu anda en popüler yazılım tek kullanımlık şifre oluşturuculardan biri, Bellcore tarafından yayınlanan S/KEY adlı bir sistemdir. Bu sistemin temel konsepti, hem kullanıcı hem de kimlik doğrulama sunucusu tarafından bilinen belirli bir F fonksiyonunun olmasıdır. Aşağıdaki, yalnızca belirli bir kullanıcının bildiği K gizli anahtarıdır.

Kullanıcının ilk yönetimi sırasında, bu işlev tuşabelirli sayıda, bundan sonra sonuç sunucuya kaydedilir. Gelecekte, kimlik doğrulama prosedürü şöyle görünür:

1. Sunucudan kullanıcı sistemine bir sayı gelir, bu sayı işlevin tuşa kullanılma sayısından 1 eksiktir.
2. Kullanıcı, ilk paragrafta ayarlanan sayıda kullanılabilir gizli anahtar işlevini kullanır, ardından sonuç ağ üzerinden doğrudan kimlik doğrulama sunucusuna gönderilir.
3. Sunucu bu işlevi alınan değere kullanır, ardından sonuç önceden kaydedilen değerle karşılaştırılır. Sonuçlar eşleşirse, kullanıcının kimliği doğrulanır ve sunucu yeni değeri kaydeder, ardından sayacı birer birer az altır.

Uygulamada, bu teknolojinin uygulanması biraz daha karmaşık bir yapıya sahiptir, ancak şu anda o kadar önemli değil. İşlev geri döndürülemez olduğundan, parola ele geçirilse veya kimlik doğrulama sunucusuna yetkisiz erişim elde edilse bile, gizli bir anahtar elde etme yeteneği sağlamaz ve herhangi bir şekilde bir sonraki tek kullanımlık parolanın özel olarak nasıl görüneceğini tahmin etme olanağı sağlamaz.

Rusya'da, birleşik hizmet olarak özel bir devlet portalı kullanılır - "Birleşik Kimlik / Kimlik Doğrulama Sistemi" ("ÇSED").

Güçlü bir kimlik doğrulama sistemine başka bir yaklaşım, kısa aralıklarla oluşturulan yeni bir parolaya sahip olmaktır.özel programların veya çeşitli akıllı kartların kullanımı. Bu durumda, kimlik doğrulama sunucusu, uygun parola oluşturma algoritmasının yanı sıra bununla ilişkili belirli parametreleri kabul etmelidir ve ayrıca sunucu ve istemci saat senkronizasyonu da olmalıdır.

Kerberos

Kerberos kimlik doğrulama sunucusu ilk olarak geçen yüzyılın 90'lı yılların ortalarında ortaya çıktı, ancak o zamandan beri zaten çok sayıda temel değişiklik aldı. Şu anda, bu sistemin ayrı bileşenleri hemen hemen her modern işletim sisteminde mevcuttur.

Bu hizmetin temel amacı şu sorunu çözmektir: belirli bir korumasız ağ vardır ve çeşitli konular düğümlerinde kullanıcılar, sunucu ve istemci yazılım sistemleri şeklinde yoğunlaşmıştır. Bu tür her öznenin ayrı bir gizli anahtarı vardır ve C öznesinin, onsuz kendisine hizmet etmeyeceği S öznesine kendi özgünlüğünü kanıtlama fırsatına sahip olması için, yalnızca kendisini adlandırması değil, aynı zamanda Belli bir gizli anahtarı bildiğini göstermek için. Aynı zamanda, C'nin gizli anahtarını S'ye gönderme fırsatı yoktur, çünkü her şeyden önce ağ açıktır ve bunun yanı sıra S bunu bilmez ve prensipte bilmemelidir. Böyle bir durumda, bu bilginin bilgisini göstermek için daha az basit bir teknik kullanılır.

Kerberos sistemi aracılığıyla elektronik kimlik/kimlik doğrulama bunu sağlarsunulan nesnelerin gizli anahtarları hakkında bilgi sahibi olan ve gerekirse ikili kimlik doğrulaması yürütmelerine yardımcı olan güvenilir bir üçüncü taraf olarak kullanın.

Böylece müşteri önce sisteme kendisi hakkında ve talep edilen hizmet hakkında gerekli bilgileri içeren bir istek gönderir. Bundan sonra, Kerberos ona sunucunun gizli anahtarıyla şifrelenmiş bir tür bilet ve ayrıca ondan gelen verilerin bir kısmının istemcinin anahtarıyla şifrelenmiş bir kopyasını sağlar. Bir eşleşme durumunda, müşterinin kendisi için amaçlanan bilgilerin şifresini çözdüğü, yani gizli anahtarı gerçekten bildiğini gösterebildiği tespit edildi. Bu, müşterinin tam olarak iddia ettiği kişi olduğunu gösterir.

Gizli anahtarların aktarımının ağ üzerinden yapılmamasına ve yalnızca şifreleme için kullanılmasına burada özellikle dikkat edilmelidir.

Biyometrik kimlik doğrulama

Biyometri, davranışsal veya fizyolojik özelliklerine göre insanları tanımlama/doğrulama için otomatik araçların bir kombinasyonunu içerir. Fiziksel kimlik doğrulama ve tanımlama araçları, gözlerin retina ve korneasının, parmak izlerinin, yüz ve el geometrisinin ve diğer kişisel bilgilerin doğrulanmasını içerir. Davranışsal özellikler, klavyeyle çalışma stilini ve imzanın dinamiklerini içerir. kombineyöntemler, bir kişinin sesinin çeşitli özelliklerinin analizinin yanı sıra konuşmasının tanınmasıdır.

Bu tür tanımlama/kimlik doğrulama ve şifreleme sistemleri, dünyanın birçok ülkesinde yaygın olarak kullanılmaktadır, ancak uzun bir süre boyunca son derece pahalı ve kullanımları zor olmuştur. Son zamanlarda, e-ticaretin gelişmesi nedeniyle biyometrik ürünlere olan talep önemli ölçüde arttı, çünkü kullanıcının bakış açısından, bazı bilgileri ezberlemekten çok kendini sunmak çok daha uygun. Buna göre, talep arz yaratır, bu nedenle piyasada esas olarak parmak izi tanımaya odaklanan nispeten ucuz ürünler ortaya çıkmaya başladı.

Çoğu durumda biyometri, akıllı kartlar gibi diğer doğrulayıcılarla birlikte kullanılır. Çoğu zaman, biyometrik kimlik doğrulama yalnızca ilk savunma hattıdır ve çeşitli kriptografik sırlar içeren akıllı kartları etkinleştirmenin bir yolu olarak işlev görür. Bu teknolojiyi kullanırken, biyometrik şablon aynı kartta saklanır.

Biyometri alanındaki aktivite oldukça yüksektir. Uygun bir konsorsiyum halihazırda mevcuttur ve teknolojinin çeşitli yönlerini standartlaştırmaya yönelik çalışmalar da oldukça aktif bir şekilde yürütülmektedir. Bugün, biyometrik teknolojilerin güvenliği artırmanın ideal bir yolu olarak sunulduğu ve aynı zamanda genel halk tarafından erişilebilir olduğu birçok reklam makalesi görebilirsiniz.kitleler.

ESIA

Kimlik ve Kimlik Doğrulama Sistemi ("ÇSED"), başvuru sahiplerinin ve departmanlar arası etkileşimde katılımcıların kimliklerinin doğrulanması ile ilgili çeşitli görevlerin yerine getirilmesini sağlamak için oluşturulan özel bir hizmettir. elektronik biçimde herhangi bir belediye veya devlet hizmeti.

Mevcut e-devletin altyapısının diğer bilgi sistemlerinin yanı sıra "Devlet Kurumları Tek Portalı"na erişmek için önce bir hesap açmanız ve sonuç olarak, bir PES al.

Seviyeler

Birleşik tanımlama ve kimlik doğrulama sisteminin portalı, bireyler için üç ana hesap düzeyi sağlar:

• Basitleştirilmiş. Kaydolmak için, soyadınızı ve adınızı ve ayrıca bir e-posta adresi veya cep telefonu şeklinde belirli bir iletişim kanalını belirtmeniz yeterlidir. Bu, bir kişinin yalnızca çeşitli kamu hizmetlerinin sınırlı bir listesine ve ayrıca mevcut bilgi sistemlerinin yeteneklerine erişebildiği birincil düzeydir.
• Standart. Bunu elde etmek için önce basitleştirilmiş bir hesap açmanız ve ardından pasaporttaki bilgiler ve sigorta bireysel kişisel hesabının numarası da dahil olmak üzere ek veriler sağlamanız gerekir. Belirtilen bilgiler bilgi sistemleri aracılığıyla otomatik olarak kontrol edilir. Emeklilik Fonu ve Federal Göç Servisi ve kontrol başarılı olursa, hesap, kullanıcıya genişletilmiş bir kamu hizmetleri listesi açan standart seviyeye aktarılır.
• Onaylandı. Bu hesap düzeyini elde etmek için, birleşik tanımlama ve doğrulama sistemi, kullanıcıların bir yetkili servis şubesine kişisel ziyaret yoluyla veya taahhütlü posta yoluyla bir etkinleştirme kodu alarak gerçekleştirilen kimlik doğrulamasının yanı sıra standart bir hesaba sahip olmasını gerektirir. Kimlik doğrulamanın başarılı olması durumunda hesap yeni bir düzeye taşınacak ve kullanıcı gerekli devlet hizmetlerinin tam listesine erişebilecek.

Prosedürler oldukça karmaşık görünse de, aslında gerekli verilerin tam listesiyle doğrudan resmi web sitesinde tanışabilirsiniz, bu nedenle birkaç gün içinde tam kayıt yapmak oldukça mümkündür.