Identificatie en authenticatie: basisconcepten

2024 Auteur: Howard Calhoun | [email protected]. Laatst gewijzigd: 2023-12-17 10:36

Identificatie en authenticatie vormen de basis van moderne software- en hardwarebeveiligingstools, aangezien alle andere services voornamelijk zijn ontworpen om deze entiteiten van dienst te zijn. Deze concepten vertegenwoordigen een soort eerste verdedigingslinie die zorgt voor de beveiliging van de informatieruimte van de organisatie.

Wat is dit?

Identificatie en authenticatie hebben verschillende functies. De eerste geeft het onderwerp (de gebruiker of het proces dat namens hen handelt) de mogelijkheid om zijn eigen naam op te geven. Met behulp van authenticatie is de tweede partij er eindelijk van overtuigd dat de persoon werkelijk is wie hij beweert te zijn. Identificatie en authenticatie worden vaak vervangen door de termen "naam bericht" en "authenticatie" als synoniemen.

Ze zijn zelf onderverdeeld in verschillende variëteiten. Vervolgens zullen we kijken naar wat identificatie en authenticatie zijn en wat ze zijn.

Authenticatie

Dit concept voorziet in twee soorten: eenzijdig, wanneer de cliëntmoet eerst zijn authenticiteit bewijzen aan de server, en in twee richtingen, dat wil zeggen, wanneer wederzijdse bevestiging wordt uitgevoerd. Een standaardvoorbeeld van hoe standaard gebruikersidentificatie en -authenticatie wordt uitgevoerd, is de procedure voor het inloggen op een bepaald systeem. Zo kunnen verschillende typen in verschillende objecten worden gebruikt.

In een netwerkomgeving waar gebruikersidentificatie en authenticatie worden uitgevoerd aan geografisch verspreide zijden, verschilt de betreffende dienst in twee hoofdaspecten:

• die fungeert als authenticator;
• hoe de uitwisseling van authenticatie- en identificatiegegevens precies is georganiseerd en hoe deze wordt beveiligd.

Om hun identiteit te bewijzen, moet de proefpersoon een van de volgende entiteiten presenteren:

• bepaalde informatie die hij kent (persoonlijk nummer, wachtwoord, speciale cryptografische sleutel, enz.);
• bepaald ding dat hij bezit (persoonlijke kaart of een ander apparaat met een soortgelijk doel);
• een bepaald ding dat een element van zichzelf is (vingerafdrukken, stem en andere biometrische middelen om gebruikers te identificeren en te authenticeren).

Systeemfuncties

In een open netwerkomgeving hebben de partijen geen vertrouwde route, wat betekent dat de informatie die door de proefpersoon wordt verzonden in het algemeen uiteindelijk niet overeenkomt met de ontvangen en gebruikte informatiebij authenticatie. Het is vereist om de veiligheid van actief en passief luisteren naar het netwerk te waarborgen, dat wil zeggen bescherming tegen de correctie, onderschepping of weergave van verschillende gegevens. De mogelijkheid om wachtwoorden in leesbare tekst te verzenden is onbevredigend, en op dezelfde manier kan wachtwoordversleuteling de dag niet redden, omdat ze geen bescherming bieden tegen reproductie. Daarom worden tegenwoordig complexere authenticatieprotocollen gebruikt.

Betrouwbare identificatie is niet alleen moeilijk vanwege verschillende online bedreigingen, maar ook om verschillende andere redenen. Allereerst kan bijna elke authenticatie-entiteit worden gestolen, vervalst of afgeleid. Er is ook een zekere tegenstelling tussen de betrouwbaarheid van het gebruikte systeem enerzijds en het gemak van de systeembeheerder of gebruiker anderzijds. Om veiligheidsredenen is het dus vereist om de gebruiker te vragen zijn authenticatie-informatie met enige regelmaat opnieuw in te voeren (aangezien een andere persoon al op zijn plaats kan zitten), en dit zorgt niet alleen voor extra problemen, maar verhoogt ook aanzienlijk de kans dat iemand kan spioneren bij het invoeren van informatie. De betrouwbaarheid van de beschermingsmiddelen heeft onder andere een aanzienlijke invloed op de kosten.

Moderne identificatie- en authenticatiesystemen ondersteunen het concept van eenmalige aanmelding bij het netwerk, waardoor u vooral kunt voldoen aan de eisen op het gebied van gebruikersgemak. Als een standaard bedrijfsnetwerk veel informatiediensten heeft,onafhankelijke behandeling mogelijk te maken, dan wordt het herhaaldelijk invoeren van persoonsgegevens te belastend. Op dit moment kan nog niet worden gezegd dat het gebruik van single sign-on als normaal wordt beschouwd, aangezien de dominante oplossingen zich nog niet hebben gevormd.

Velen proberen dus een compromis te vinden tussen betaalbaarheid, gemak en betrouwbaarheid van de middelen die identificatie / authenticatie bieden. Autorisatie van gebruikers wordt in dit geval uitgevoerd volgens individuele regels.

Er moet speciale aandacht worden besteed aan het feit dat de gebruikte service kan worden gekozen als object van een beschikbaarheidsaanval. Als het systeem zo is geconfigureerd dat na een bepaald aantal mislukte pogingen de mogelijkheid om binnen te komen wordt geblokkeerd, kunnen aanvallers in dit geval het werk van legale gebruikers met slechts een paar toetsaanslagen stoppen.

Wachtwoord authenticatie

Het belangrijkste voordeel van zo'n systeem is dat het voor de meesten extreem eenvoudig en vertrouwd is. Wachtwoorden worden al heel lang door besturingssystemen en andere services gebruikt en als ze correct worden gebruikt, bieden ze een beveiligingsniveau dat voor de meeste organisaties redelijk acceptabel is. Maar aan de andere kant, in termen van de totale set van kenmerken, vertegenwoordigen dergelijke systemen het zwakste middel waarmee identificatie / authenticatie kan worden uitgevoerd. Autorisatie wordt in dit geval vrij eenvoudig, omdat wachtwoorden moeten zijngedenkwaardige, maar tegelijkertijd eenvoudige combinaties zijn niet moeilijk te raden, vooral als een persoon de voorkeuren van een bepaalde gebruiker kent.

Soms gebeurt het dat wachtwoorden in principe niet geheim worden gehouden, omdat ze vrij standaardwaarden hebben die in bepaalde documentatie zijn gespecificeerd, en niet altijd nadat het systeem is geïnstalleerd, worden ze gewijzigd.

Als je het wachtwoord invoert, kun je zien, en in sommige gevallen gebruiken mensen zelfs gespecialiseerde optische apparaten.

Gebruikers, de belangrijkste onderwerpen van identificatie en authenticatie, kunnen vaak wachtwoorden delen met collega's zodat ze voor een bepaalde tijd van eigenaar kunnen veranderen. In theorie zou het in dergelijke situaties het beste zijn om speciale toegangscontroles te gebruiken, maar in de praktijk wordt dit door niemand gebruikt. En als twee mensen het wachtwoord weten, vergroot dit de kans enorm dat anderen er uiteindelijk achter zullen komen.

Hoe dit op te lossen?

Er zijn verschillende manieren om identificatie en authenticatie te beveiligen. De informatieverwerkingscomponent kan zichzelf als volgt beveiligen:

• Het opleggen van verschillende technische beperkingen. Meestal worden regels ingesteld voor de lengte van het wachtwoord, evenals de inhoud van bepaalde tekens erin.
• De vervaldatum van wachtwoorden beheren, dat wil zeggen, de noodzaak om ze periodiek te wijzigen.
• Beperking van de toegang tot het hoofdwachtwoordbestand.
• Door het totale aantal mislukte pogingen dat beschikbaar is bij het inloggen te beperken. DankzijIn dit geval mogen aanvallers alleen acties uitvoeren voordat ze identificatie en authenticatie uitvoeren, aangezien de brute-force-methode niet kan worden gebruikt.
• Vooropleiding van gebruikers.
• Gespecialiseerde software voor het genereren van wachtwoorden gebruiken waarmee u combinaties kunt maken die welluidend en gedenkwaardig genoeg zijn.

Al deze maatregelen kunnen in ieder geval worden gebruikt, zelfs als naast wachtwoorden ook andere authenticatiemiddelen worden gebruikt.

Eenmalige wachtwoorden

De hierboven besproken opties zijn herbruikbaar en als de combinatie wordt onthuld, krijgt de aanvaller de mogelijkheid om namens de gebruiker bepaalde bewerkingen uit te voeren. Dat is de reden waarom eenmalige wachtwoorden worden gebruikt als een sterker middel, bestand tegen de mogelijkheid van passief luisteren naar het netwerk, waardoor het identificatie- en authenticatiesysteem veel veiliger wordt, hoewel niet zo handig.

Op dit moment is een van de meest populaire software voor het genereren van eenmalige wachtwoorden een systeem genaamd S/KEY, uitgebracht door Bellcore. Het basisconcept van dit systeem is dat er een bepaalde functie F is die bekend is bij zowel de gebruiker als de authenticatieserver. Het volgende is de geheime sleutel K, die alleen bekend is bij een bepaalde gebruiker.

Tijdens het eerste beheer van de gebruiker wordt deze functie gebruikt om de sleuteleen bepaald aantal keren, waarna het resultaat op de server wordt opgeslagen. In de toekomst ziet de authenticatieprocedure er als volgt uit:

1. Er komt een getal naar het gebruikerssysteem van de server, wat 1 minder is dan het aantal keren dat de functie voor de sleutel wordt gebruikt.
2. De gebruiker gebruikt de functie om de beschikbare geheime sleutel het aantal keren dat is ingesteld in de eerste alinea, waarna het resultaat via het netwerk rechtstreeks naar de authenticatieserver wordt verzonden.
3. Server gebruikt deze functie om de ontvangen waarde te krijgen, waarna het resultaat wordt vergeleken met de eerder opgeslagen waarde. Als de resultaten overeenkomen, wordt de gebruiker geverifieerd en slaat de server de nieuwe waarde op, waarna de teller met één wordt verlaagd.

In de praktijk heeft de implementatie van deze technologie een iets complexere structuur, maar op dit moment is dat niet zo belangrijk. Omdat de functie onomkeerbaar is, zelfs als het wachtwoord wordt onderschept of ongeautoriseerde toegang tot de authenticatieserver wordt verkregen, biedt het niet de mogelijkheid om een geheime sleutel te verkrijgen en op enigerlei wijze te voorspellen hoe het volgende eenmalige wachtwoord er specifiek uit zal zien.

In Rusland wordt een speciaal staatsportaal gebruikt als een uniforme service - het "Unified Identification / Authentication System" ("ESIA").

Een andere benadering van een sterk authenticatiesysteem is om met korte tussenpozen een nieuw wachtwoord te laten genereren, wat ook wordt geïmplementeerd doorgebruik van gespecialiseerde programma's of verschillende smartcards. In dit geval moet de authenticatieserver het juiste algoritme voor het genereren van wachtwoorden accepteren, evenals bepaalde bijbehorende parameters, en daarnaast moet er ook server- en clientkloksynchronisatie zijn.

Kerberos

De Kerberos-authenticatieserver verscheen voor het eerst in het midden van de jaren 90 van de vorige eeuw, maar heeft sindsdien al een groot aantal fundamentele veranderingen ondergaan. Op dit moment zijn individuele componenten van dit systeem aanwezig in bijna elk modern besturingssysteem.

Het belangrijkste doel van deze service is om het volgende probleem op te lossen: er is een bepaald onbeschermd netwerk en verschillende onderwerpen zijn geconcentreerd in de knooppunten in de vorm van gebruikers, evenals server- en clientsoftwaresystemen. Elk zo'n onderwerp heeft een individuele geheime sleutel, en om het onderwerp C de kans te geven zijn eigen authenticiteit aan het onderwerp S te bewijzen, zonder welke hij hem gewoon niet zal dienen, zal hij niet alleen zichzelf moeten noemen, maar ook om te laten zien dat hij een zekere De geheime sleutel kent. Tegelijkertijd heeft C niet de mogelijkheid om gewoon zijn geheime sleutel naar S te sturen, omdat het netwerk in de eerste plaats open is, en daarnaast weet S het niet en zou het het in principe ook niet moeten weten. In een dergelijke situatie wordt een minder eenvoudige techniek gebruikt om kennis van deze informatie aan te tonen.

Elektronische identificatie/authenticatie via het Kerberos-systeem zorgt ervoorgebruiken als een vertrouwde derde partij die informatie heeft over de geheime sleutels van de aangeboden objecten en, indien nodig, hen helpt bij het uitvoeren van paarsgewijze authenticatie.

De klant stuurt dus eerst een verzoek naar het systeem, dat de nodige informatie over hem bevat, evenals over de gevraagde dienst. Daarna geeft Kerberos hem een soort ticket, dat is versleuteld met de geheime sleutel van de server, evenals een kopie van een deel van de gegevens ervan, dat is versleuteld met de sleutel van de client. In het geval van een match wordt vastgesteld dat de klant de voor hem bestemde informatie heeft gedecodeerd, dat wil zeggen dat hij heeft kunnen aantonen dat hij de geheime sleutel echt kent. Dit suggereert dat de cliënt precies is wie hij beweert te zijn.

Hier moet speciale aandacht worden besteed aan het feit dat de overdracht van geheime sleutels niet via het netwerk werd uitgevoerd en uitsluitend voor codering werden gebruikt.

Biometrische authenticatie

Biometrie omvat een combinatie van geautomatiseerde middelen om mensen te identificeren/authenticeren op basis van hun gedrags- of fysiologische kenmerken. Fysieke middelen voor authenticatie en identificatie omvatten verificatie van het netvlies en het hoornvlies van de ogen, vingerafdrukken, gezichts- en handgeometrie en andere persoonlijke informatie. Gedragskenmerken zijn onder meer de stijl van werken met het toetsenbord en de dynamiek van de handtekening. gecombineerdmethoden zijn de analyse van verschillende kenmerken van iemands stem, evenals herkenning van zijn spraak.

Dergelijke identificatie-/authenticatie- en encryptiesystemen worden veel gebruikt in veel landen over de hele wereld, maar waren lange tijd extreem duur en moeilijk te gebruiken. Onlangs is de vraag naar biometrische producten aanzienlijk toegenomen als gevolg van de ontwikkeling van e-commerce, omdat het vanuit het oogpunt van de gebruiker veel handiger is om zichzelf te presenteren dan om wat informatie te onthouden. Dienovereenkomstig creëert de vraag een aanbod, zodat er relatief goedkope producten op de markt verschenen, die vooral gericht zijn op vingerafdrukherkenning.

In de overgrote meerderheid van de gevallen wordt biometrie gebruikt in combinatie met andere authenticatiemiddelen zoals smartcards. Biometrische authenticatie is vaak slechts de eerste verdedigingslinie en fungeert als een middel om smartcards te activeren die verschillende cryptografische geheimen bevatten. Bij gebruik van deze technologie wordt de biometrische sjabloon op dezelfde kaart opgeslagen.

Activiteit op het gebied van biometrie is vrij hoog. Er bestaat al een geschikt consortium en er wordt ook behoorlijk actief gewerkt aan het standaardiseren van verschillende aspecten van de technologie. Tegenwoordig zie je veel reclameartikelen waarin biometrische technologieën worden gepresenteerd als een ideaal middel om de veiligheid te vergroten en tegelijkertijd toegankelijk zijn voor het grote publiek.de massa.

ESIA

Het identificatie- en authenticatiesysteem ("ESIA") is een speciale dienst die is opgericht om de uitvoering te garanderen van verschillende taken met betrekking tot de verificatie van de identiteit van aanvragers en deelnemers aan interdepartementale interactie in het geval van het verstrekken van alle gemeentelijke of staatsdiensten in elektronische vorm.

Om toegang te krijgen tot het "Single Portal of Government Agencies", evenals alle andere informatiesystemen van de infrastructuur van de huidige e-government, moet u eerst een account registreren en als resultaat, ontvang een PES.

Niveaus

Het portaal van het uniforme identificatie- en authenticatiesysteem voorziet in drie hoofdniveaus van accounts voor individuen:

• Vereenvoudigd. Om het te registreren, hoeft u alleen uw achternaam en voornaam op te geven, evenals een specifiek communicatiekanaal in de vorm van een e-mailadres of mobiele telefoon. Dit is het primaire niveau, waardoor een persoon slechts toegang heeft tot een beperkte lijst van verschillende openbare diensten, evenals tot de mogelijkheden van bestaande informatiesystemen.
• Standaard. Om het te verkrijgen, moet u eerst een vereenvoudigde rekening uitgeven en vervolgens ook aanvullende gegevens verstrekken, waaronder informatie uit het paspoort en het nummer van de individuele persoonlijke rekening van de verzekering. De opgegeven informatie wordt automatisch gecontroleerd via informatiesystemenPensioenfonds, evenals de Federale Migratiedienst, en als de controle succesvol is, wordt de rekening overgezet naar het standaardniveau, waardoor een uitgebreide lijst van openbare diensten voor de gebruiker wordt geopend.
• Bevestigd. Om dit accountniveau te verkrijgen, vereist het uniforme identificatie- en authenticatiesysteem dat gebruikers een standaardaccount hebben, evenals identiteitsverificatie, die wordt uitgevoerd door een persoonlijk bezoek aan een geautoriseerd servicefiliaal of door het verkrijgen van een activeringscode via aangetekende post. In het geval dat identiteitsverificatie succesvol is, wordt het account naar een nieuw niveau verplaatst en heeft de gebruiker toegang tot de volledige lijst met noodzakelijke overheidsdiensten.

Ondanks het feit dat de procedures nogal ingewikkeld lijken, kun je in feite direct op de officiële website kennis maken met de volledige lijst met benodigde gegevens, dus een volledige registratie is binnen een paar dagen heel goed mogelijk.