КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Аутентификация с помощью пароля
 |
Строгая аутентификация
Термин аутентификация означает процедуру, в ходе которой проводится проверка подлинности образа идентифицированного субъекта, объекта, процесса (принципала). В роли принципала могут выступать пользователь, организация, сервер, маршрутизатор, межсетевой экран, клиентские и серверные приложения.
В процессе аутентификации принципал сообщает системе определенную информацию, которую может знать только он. Имея такую информацию, служба аутентификации принимает решение о предоставлении данному принципалу доступа к системе и определяет права данного принципала (авторизация принципала). Например, принимая решение о том, следует ли разрешить доступ к определенному ресурсу, система должна обязательно установить личность принципала, желающего получить этот доступ. Если пользователь, сможет выдать себя за принципала, обладающего большими полномочиями, то в результате он получит доступ к тем ресурсам, обращаться к которым он не имеет права.
Таким образом, аутентификация принципала является одной из основных задач, которую должны выполнять средства защиты.
Строгая аутентификация (иногда используют термины – усиленная или жесткая) – это надежное и достоверное определение принципала.
В настоящее время разработаны различные технологии, позволяющие обеспечить строгую аутентификацию принципалов в корпоративной информационной системе.
Самым распространенным видом аутентификации является использование некоторого идентификатора принципала, например, имени пользователя и его пароля, которые поступают в систему опознавания. Далее система определяет, соответствует ли пароль, введенный в процессе регистрации, паролю, хранящемуся в системе. Если установлено соответствие, то значит пользователь тот, или выдает себя за того, кому принадлежит введенный пароль.
|
|
|
Легкость реализации данного метода аутентификации способствует его широкому применению, однако пароль необходимо передавать с места, где находится пользователь, на компьютер, где установлена система аутентификации, и, если канал передачи не обеспечивает механизмов защиты передаваемых данных, то при пересылке пароль может быть перехвачен злоумышленником. В связи с этим разработчики систем безопасности используют различные механизмы защиты паролей во время его передачи по сети. Наиболее распространенным способом защиты пароля во время его передачи является использование функций одностороннего (необратимого) преобразования (хэш-функций), которые, основываясь на исходной информации, порождают уникальный набор двоичных символов - дайджест.
Пользователь, использует хэш-функцию перед передачей данных аутентификации на сервер. На сервере пароли хранятся также в зашифрованном виде. Сервер, получив парольный хэш, проверяет его с дайджестом в базе данных пользователей, после чего делает заключение об аутентификации пользователя.
Использование хэш-функций для защищенной передачи данных аутентификации также имеет недостатки, позволяющие злоумышленнику перехватить хэш-пароль во время передачи по сети и использовать его для нелегального получения привилегий (рис. 6).
Рис.6. Схема атаки перехвата хэш-пароля пользователя
Аутентификация «запрос-ответ»
Для предотвращения использования злоумышленником хэш-паролей используется механизм, основанный на принципе «запрос-ответ» (Challenge-Response). Принцип данного метода заключается в послании пользователю случайной последовательности данных, к которой применяется хэш-алгоритм совместно с паролем пользователя. Результирующие данные отправляются на сервер, который проделывает ту же последовательность преобразований, после чего сверяет полученный результат с поступившими данными клиента (рис.7).
|
|
|
Рис.7 Схема реализации парольной аутентификации по методу Challenge-Response
Метод парольной аутентификации, основанный на Challenge-Response, используется в CHAP - аутентификации PPP-соединений. Основной недостаток данного метода состоит в том, что идентификационные данные пользователей должны храниться на сервере аутентификации в открытом виде, так как пересылаемая пользователю случайная последовательность при каждой аутентификации различна, в связи с чем, нельзя заранее произвести какие-либо преобразования над паролем.
Использование паролей должно регламентироваться определенным набором правил, определяющих такие параметры как:
- минимальная длина пароля;
- сложность – типы символов, присутствующих в пароле (буквы, цифры, спецсимволы);
- время обновления – интервал времени действительности паролей;
- время повторного использования – интервал времени, между использованием одинаковых паролей
Правила использования паролей должны находить отражение в политики безопасности предприятия.
|
|
|
|
Дата добавления: 2014-01-04; Просмотров: 2441; Нарушение авторских прав?; Мы поможем в написании вашей работы!