Автентифікація

Не плутати з Авторизацією — перевіркою: чи має авторизований об'єкт права на роботу в системі?.

Автентифікáція (з грец. αυθεντικός; реальний або істинний) — процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора.^[1].

З позицій інформаційної безпеки автентифікація є частиною процедури надання доступу для роботи в інформаційній системі, наступною після ідентифікації і передує авторизації.

Механізм автентифікації

Один із способів автентифікації в інформаційній системі полягає у попередній ідентифікації на основі користувацького ідентифікатора («логіна», від англ. login — реєстраційного імені користувача) і пароля — певної конфіденційної інформації, знання якої передбачає володіння певним ресурсом в мережі. Отримавши введений користувачем логін і пароль, комп'ютер порівнює їх зі значенням, яке зберігається в спеціальній захищеній базі даних і, у випадку успішної автентифікації проводить авторизацію з подальшим допуском користувача до роботи в системі.

Види автентифікації

Слабка автентифікація

Традиційну автентифікацію за допомогою пароля називають ще однофакторною або слабкою, оскільки, за наявності певних ресурсів, перехоплення або підбір пароля є справою часу. Не останню роль в цьому грає людський чинник — чим стійкішим до злому методом підбору є пароль, тим важче його запам'ятати людині і тим вища ймовірність, що він буде додатково записаний, що підвищить ймовірність його перехоплення або викрадення. І навпаки — легкі для запам'ятовування паролі (наприклад, часто вживані слова або фрази, дати народження, імена близьких, назви моніторів чи найближчого обладнання) в плані стійкості до злому є дуже не вдалими. Як вихід, впроваджуються одноразові паролі, проте їхнє перехоплення також можливе.

Багатофакторна автентифікація

Див. також: Багатофакторна автентифікація

Автентифікація, що здійснюється з використанням двох чи більше факторів.

Посилена автентифікація

У відповідності до вимог Європейської директиви PSD2 в платіжних системах використовується так звана посилена автентифікація, коли для автентифікації використовуються принаймні два різних типи факторів. Типами факторів є:

• властивість, якою володіє суб'єкт;
• знання — інформація, яку знає суб'єкт;
• володіння — річ, якою володіє суб'єкт.

Сувора автентифікація

Автентифікація, під час якої використовується інформація без розкриття цієї інформації. Як правило, реалізується за допомогою асиметричних криптографічних алгоритмів.

Способи автентифікації

Ramin1995

Здійснюється на основі володіння користувачем певною конфіденційною інформацією.

Біометрична

Біометрична^[2] автентифікація основана на унікальності певних антропометричних характеристик людини. У галузі інформаційних технологій термін біометрія застосовується в значенні технології ідентифікації особистості. Біометричний захист ефективніший ніж такі методи як, використання смарт-карток, паролів, PIN-кодів. Найчастіше використовуються:

1. Параметри голосу.
2. Візерунок райдужної оболонки ока і карта сітківки ока — Автентифікація за райдужною оболонкою ока.
3. Риси обличчя.
4. Форма долоні.
5. Відбитки пальців.
6. Форма і спосіб особистого підпису — Електронний цифровий підпис, Верифікація підпису.

Етапи

Основні етапи проектування системи біометричної автентифікації на основі динамічного підпису в цілому. Розробка математичної моделі динамічного підпису і методів його обробки. Реалізація алгоритму роботи модуля автентифікації системи на основі створеної математичної моделі і методів обробки. Реалізація системи автентифікації у складі інформаційної системи. Тестування системи автентифікації. Модифікація коду фрагментів системи у процесі функціонування системи.

Перший етап — проектування, полягає у аналізі вимог, які ставляться до системи і на їх основі проектується архітектура системи автентифікації в цілому. Враховується сфера застосування системи, зокрема задається її точність, надійність, зручність; операційна система (ОС) у якій буде функціонувати ПЗ та інші параметри. У випадку розробки універсальної системи необхідно передбачити можливість зміни цих параметрів інтегратором (адміністратором) системи, а також бажано розробляти кросплатформенне ПЗ, незалежне від ОС. Розробити рольову модель роботи системи — скористатися апаратом об'єктно-орієнтованого аналізу і об'єктно-орієнтованого проектування. Рекомендується використовувати уніфіковану мову програмування UML для проектування і моделювання інформаційної системи, а також дотримуватися наступних принципів: модульність — кожна компонента системи є модулем, який просто модифікується, замінюється і виконує відведену йому специфічну роль; підтримка відкритих стандартизованих протоколів для передачі даних, взаємодії об'єктів і форматів збереження файлів; документованість — усі методи (функції), класи, об'єкти детально і доступно документувати.

Другий етап — розробка математичної моделі є ключовим. Необхідно вдало підібрати підхід до побудови моделі: стохастичний чи детермінований, на думку авторів це стохастичний підхід. Розробка математичної моделі передбачає: розробку моделі, яка враховувала б ключові особливості об'єкта дослідження і вибір діагностичних ознак; проведення аналізу цих діагностичних ознак і розробка методів для попередньої обробки. У випадку використання статистичного підходу — дослідити статистичні характеристики діагностичних ознак. Ці дослідження дозволяють зробити висновки про адекватність моделі.

Третій етап — на основі математичної моделі розробляється алгоритм, який реалізується на деякій мові програмування. Особливу увагу слід привернути на реалізацію системи вводу підпису

За допомогою унікального предмета

Здійснюється за допомогою додаткових предметів (токен автентифікації, смарт-карта) або атрибутів (криптографічний сертифікат).

Автентифікація в ОС

Протоколи автентифікації

Протоколи автентифікації — категорія криптографічних протоколів, які забезпечують надійну автентифікацію особи.

Існує багато різноманітних протоколів автентифікації:

• AKA^[en]
• CAVE-based authentication^[en]
• Challenge-handshake authentication protocol (CHAP)
• CRAM-MD5
• Diameter
• EAP (EAP)
• Host Identity Protocol^[en] (HIP)
• Kerberos
• MS-CHAP і MS-CHAPv2 різновиди CHAP
• LAN Manager^[en]
• NTLM, також відомий як NT LAN Manager
• Password-authenticated key agreement^[en] протоколи
• Password Authentication Protocol (PAP)
• Protected Extensible Authentication Protocol^[en] (PEAP)
• RADIUS
• Secure Remote Password protocol^[en] (SRP)
• TACACS і TACACS+^[fr]
• RFID-Authentication Protocols
• Woo Lam 92 (protocol)^[en]
• Протокол Нідхема-Шредера

Див. також

• Комп'ютерна термінологія
• Принципал (комп'ютерна безпека)
• BankID
• Автентифікація (веб)
• Автентифікація повідомлень
• Дайджест автентифікація
• Універсальна двофакторна автентифікація
• Автентичність (значення)

Примітки

1. Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені Постановою КМУ № 373 від 29 березня 2006. Архів оригіналу за 11 квітня 2012. Процитовано 25 серпня 2010.
2. Harvey Specter. best biometric gun safe. Архів оригіналу за 6 червня 2016. Процитовано 21 jun 2016.

Джерела

• Тлумачення на Словник. НЕТ^{[недоступне посилання з червня 2019]}
• Thomas D. The Current State Of Authentication: We Have A Password Problem [Архівовано 4 березня 2017 у Wayback Machine.]/Smashing Magazine. Пер. з англ.: У нас проблема с паролем, или Что происходит сейчас в области аутентификации [Архівовано 4 березня 2017 у Wayback Machine.]

Посилання

• Автентифікація (інформаційні технології) [Архівовано 3 травня 2022 у Wayback Machine.] // Велика українська енциклопедія : у 30 т. / проф. А. М. Киридон (відп. ред.) та ін. — 2016. — Т. 1 : А — Акц. — 592 с. — ISBN 978-617-7238-39-2.
• Автентифікація (юридичні науки) [Архівовано 5 квітня 2022 у Wayback Machine.] // ВУЕ