Аутентификация как способ защиты информации

Что такое Аутентификация: Методы и Элементы

Узнайте больше о том, для чего нужна аутентификация, и ознакомьтесь с её методами

1. Главная
2. Поддержка
3. Глоссарий
4. Аутентификация

Аутентификация (англ. authentication) — это основа безопасности любой системы, которая заключается в проверке подлинности данных о пользователе сервером.

Она не тождественна идентификации и авторизации. Эти три термина являются элементами защиты информации. Первая стадия — идентификация. На ней происходит распознавание информации о пользователе, например, логин и пароль. Вторая стадия — аутентификация. Это процесс проверки информации о пользователе. Третья стадия — авторизация. Здесь происходит проверка прав пользователя и определяется возможность доступа.

Содержание

Зачем нужна аутентификация

Аутентификация нужна для доступа к:

1. Соцсетям
2. Электронной почте
3. Интернет-магазинам
4. Форумам
5. Интернет-банкингу
6. Платежным системам

Элементы аутентификации

1. Субъект — пользователь
2. Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
3. Владелец системы аутентификации — владелец ресурса.
4. Механизм аутентификации — принцип проверки
5. Механизм авторизации — управление доступом

Методы аутентификации

1. Парольные
2. Комбинированные
3. Биометрические
4. Информация о пользователе
5. Пользовательские данные

Парольные

Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.

Комбинированные

Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.

Биометрические

Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.

Информация о пользователе

Она используется для восстановления логина или пароля и для двухэтапной аутентификации, чтобы обеспечить безопасность. К этому методу относится номер телефона, девичья фамилия матери, год рождения, дата регистрации, кличка питомца, место проживания.

Пользовательские данные

Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.

Классификация видов аутентификации

В зависимости от количества используемых методов

• Однофакторная. Используется только один метод.
• Многофакторная. Используется несколько методов.

В зависимости от политики безопасности систем и уровня доверия

• Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
• Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.

Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.

Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.

Аутентификация на PC

• Login
• PAP (Password Authentication Protocol) — логин и пароль
• Карта доступа — USB и сертификаты
• Биометрические данные

Аутентификация в сети

• Cookies. Используются для отслеживания сеанса, сохранения предпочтений и сбора статистики. Степень защиты невысокая, однако привязка к IP-адресу решает эту проблему.
• Kerberos. Протокол взаимной аутентификации с помощью криптографического ключа.
• SAML (Security Assertion Markup Language) Язык разметки, который позволяет сторонам обмениваться данными аутентификации.
• SNMP (Simple Network Management Protocol) Протокол, который контролирует подключенные к сети устройства.
• Сертификаты X.509 Сертификаты с открытым ключом.
• OpenID Connect. Используется для создания единой учетной записи для аутентификации на разных ресурсах.

Ресурсы

1. В этой статье детально рассмотрены элементы, факторы и способы аутентификации.
2. В этой статье объясняют, для доступа на какие сервисы нужна аутентификация и рассматривают классификацию её методов.

Также искали с «Аутентификация»

Оценка: 4 / 5 (18)

Начните пользоваться сервисом SendPulse прямо сегодня

Если вам интересно, что такое «✅ Аутентификация: Определение, Методы, Виды», вам может быть интересен наш сервис рассылок.

Источник

«Я» могут быть разные. Пройдите аутентификацию

Специалисты, ответственные за информационную безопасность в компании, имеют дело с целым комплексом задач. Рассмотрим, какие механизмы аутентификации, шифрования и электронной подписи помогают их решать.

Перед ИТ-специалистами стоит нетривиальная задача — не просто обеспечить максимальную безопасность операций, но и придать информации юридическую значимость, сохранить удобство использования сервиса, не выйти за рамки бюджета на техническую часть.

Компании используют возможности интернета в разной степени и с различными целями. Например, согласно законодательству, все предприятия обязаны передавать отчетность по НДС в электронном виде с использованием защищенных каналов связи. Требований, обязывающих вести документооборот в электронном виде, нет, однако электронный документооборот внедрен во многих компаниях с целью оптимизации деятельности. Уровень защиты передаваемой информации и класс используемых технических средств в тех или иных сервисах может быть прописан законодательно, ограничен возможностями и требованиями информационных систем, либо определяться по усмотрению компании.

На данный момент существуют следующие средства обеспечения безопасности, аутентификации, шифрования и придания юридической значимости информации в электронных системах:

• Средства простой аутентификации (логин\пароль, SMS, коды подтверждения и т п.)
• Средства строгой аутентификации (съемные носители, хранящие секретную информацию, использующие криптографические механизмы — токены, смарт-карты, электронные ключи и т п.)
• Облачная криптография (хранение закрытого ключа в облаке, шифрование без использования съемного носителя)

Перечисленные средства различаются по цене, обеспечивают разную степень удобства использования (мобильности), юридической значимости, безопасности. Рассмотрим, какие из этих параметров наиболее важны при проведении ключевых операций в интернете.

Что и когда защищать? Расставим приоритеты

Первый блок задач: осуществление безналичных платежей с использованием электронных сервисов банков

Основная часть платежей компаний проходит в электронном виде. Самое важное при работе с деньгами — обеспечить юридическую значимость платежа и защититься от злоумышленников, которые хотят незаконно совершить финансовую операцию.

Платежи часто совершает руководитель, который должен иметь возможность провести операцию вне офиса. Удобство использования, мобильность — следующий по важности фактор после обеспечения безопасности и легитимности платежей.

В то же время банки обязаны соблюдать внушительное количество требований различных регуляторов. Внимательное отношение к рискам и ответственность перед клиентами накладывают определенные ограничения на выбор технических средств при работе с сервисами банков.

Второй блок задач: взаимодействие с контролирующими органами через интернет

Каждая компания, которая ведет деятельность на территории России, должна отчитываться в Пенсионный фонд, Налоговую службу, Фонд социального страхования и т д. Часть отчетности уже сейчас необходимо передавать в электронном виде по защищенным каналам.

В рамках задачи по передаче электронной отчетности через интернет основная цель — обеспечение юридической значимости документов. Во-первых, контролирующий орган должен иметь возможность удостовериться, что данная отчетность легитимна. Во-вторых, компании необходимо иметь механизмы подтверждения того, что отчетность подготовлена правильно и сдана вовремя.

Размер возможного ущерба при передаче отчетности гораздо меньше, чем при совершении финансовых операций, поэтому и требования по обеспечению безопасности более мягкие. Однако здесь важно пресечь возможность махинаций с отчетностью лицами внутри компании.

Параметр мобильности наименее важен, но есть ряд компаний, которым эта опция нужна. Например, предпринимателям, не имеющим выделенного офиса, фрилансерам и т д.

Третий блок задач: электронный документооборот внутри компании и с контрагентами.

Данный спектр задач опционален. Компании самостоятельно принимают решение об использовании электронного документооборота и его объеме, а также о механизмах обеспечения безопасности. Законодательно регулируется лишь небольшая часть форматов электронного документооборота. Для придания документам юридической значимости рекомендуется использовать квалифицированную электронную подпись, так как она имеет максимальную юридическую силу в текущем правовом поле РФ.

Электронный документооборот применяется каждый день большим количеством сотрудников. Поэтому на первый план выходит обеспечение удобства использования.

Вторым по значимости фактором является юридическая значимость документов — они должны иметь вес в суде.

На третьем месте — безопасность. Каждая электронная транзакция должна быть легитимна, у сотрудников должны быть права лишь на те операции, которые он имеет право совершать, и т д. Впрочем, приоритет параметра безопасности зависит от величины рисков. Если в системе электронного документооборота вращается конфиденциальная информация, то фактор безопасности может выйти на первый план.

Четвертый блок задач: работа с веб-сервисами

Компании участвуют в электронных торгах, используют публичные государственные информационные системы (например, портал госуслуг), а также коммерческие облачные сервисы.

При работе с государственными ресурсами действуют правила этих информационных систем, и компании должны соблюдать требования площадок, к которым обращаются. Часто это прописано на уровне законодательства. Владельцы негосударственных ресурсов могут жестко регламентировать технические средства защиты либо отдать этот вопрос на выбор пользователям. В последнем случае использование тех или иных технических средств определяется на основе здравого смысла и оценки рисков.

Пароль или ключ? Смотрим на риски

Теперь рассмотрим технические средства с точки зрения значимых для пользователей параметров: удобство использования, стоимость, юридическая значимость, безопасность.

1. Средства простой аутентификации

Общий признак — отсутствие криптографических механизмов защиты.

Определить, что человек является именно тем, кем он представляется, предлагается по какому-то идентификатору (пароль, номер телефона). Следовательно, уровень защищенности данных средств априори ниже, чем у средств, использующих криптографию.

Особенности:

• Самый низкий уровень защищенности.
• Нулевая стоимость. Мы платим за сервис, но не за средства (SMS-код ничего не стоит для клиента).
• Средний уровень удобства (привязка к устройствам).
• Минимальный уровень юридической значимости.

Согласно 63-ФЗ «Об электронной подписи», эти средства позволяют сформировать простую электронную подпись, однако она не идентична собственноручной подписи. В суде потребуются доказательства.

Разумно использовать: когда риски невелики. Например, в системе внутреннего документооборота компании, где нет высоко критичных данных; на портале госуслуг, когда невозможно совершить серьезных действий без личного присутствия, и т д. Если в систему вошел злоумышленник по чужому паролю, но при этом в ней не вращается критически важной информации, использование нестрогих средств оправдано.

Усилить надежность данных средств можно, используя их комбинации (например, логин\пароль + SMS) в контексте двухфакторной аутентификации.

Для передачи электронной отчетности данных тип средств не подходит, так как по закону требуется использование квалифицированной электронной подписи.

2. Строгие средства аутентификации

В основе работы строгих средств аутентификации лежат криптографические механизмы. Для хранения ключевой секретной информации используются внешние носители.

Особенности:

• Максимальный уровень защищенности.

Наиболее неуязвимы средства, в которых криптографические механизмы реализованы на самом носителе. Существуют также средства, которые хранят закрытый ключ, при этом программа, которая осуществляет шифрование, установлена на компьютере. В момент, когда ключ покидает устройство, чтобы попасть в оперативную память компьютера, он может быть перехвачен вредоносным ПО. Этот ряд средств более уязвим, однако превосходит по уровню защищенности средства нестрогой аутентификации.

• Максимально неудобные в использовании средства.

Спектр устройств, на которых возможно применение данных средств, ограничен (необходим внешний разъем для подключения устройства). Требуется установка ПО на компьютер, а также настройка рабочего места. Устройство может выйти из строя, при этом его восстановление или замена потребует времени.

• Ненулевая стоимость. Из трех видов это самое дорогое средство.

Использование строгих средств аутентификации может быть предписано законом. Например, Федеральная таможенная служба требует использовать сертифицированный носитель и квалифицированную электронную подпись при подаче электронных деклараций.

3. Облачная криптография

Закрытые ключи пользователей хранятся на облачном сервере, который отвечает определенным требованиям безопасности. Специальное ПО умеет использовать закрытые ключи и осуществлять криптографические операции с ними. Подтверждение операций происходит с помощью простой электронной подписи или пары логин\пароль + SMS (то есть средств нестрогой аутентификации).

Суть работы:

Когда пользователю требуется поставить электронную подпись в информационной системе, система обращается к облачному хранилищу ключей. Хранилище высылает пользователю код подтверждения. Пользователь вводит код в информационную систему, система высылает код в хранилище. Если код, отправленный пользователю, совпадает с кодом, пришедшим из информационной системы, документ подписывается электронной подписью пользователя.

Особенности:

Применение механизмов облачной криптографии требует интеграции информационной системы с системой хранения закрытых ключей. Это делает такой способ менее универсальным с точки зрения разнообразия сценариев применения.

Также есть нюанс, связанный с необходимостью доверия к оператору облачной системы хранения закрытых ключей, так как физически закрытый ключ пользователя находится на стороннем сервере оператора.

Использовать облачную криптографию для аутентификации в сторонних сервисах проблематично.

• Максимальный уровень удобства
• Максимальное обеспечение юридической значимости
• Низкая стоимость

Разумно использовать: в сервисах не самой высокой доли риска.

Подходит для сектора отчетности. Идеально для электронного документооборота.

Для банковского сектора подходит при условии, что сервер для хранения закрытых ключей пользователя расположен на стороне банка.

Комментарий Артура Скока, ведущего специалиста по внедрению систем защиты «Контур-Безопасность» (СКБ Контур)

Назначить сотруднику тот или иной идентификатор и выдать ему, к примеру, аппаратный ключ типа eToken — недостаточно. Необходимо также организовать систему учета и контроля за аутентификационной информацией. Часто случается, что уволенный сотрудник может использовать аутентификационные данные еще некоторое время после увольнения, что может привести к финансовым потерям, таким как кража клиентской базы, проведение расчетных операций. К похожим последствиям приводят случаи бесконтрольного обращения идентификаторов.
С одной стороны, данный вопрос можно решить организационными мерами (журналы учета, политика обращения). Но это удобно, когда в компании порядка нескольких десятков сотрудников. По мере роста их количества встает вопрос контроля за идентификаторами: их выдача, отслеживание, интеграция с сервисами компании, отзыв в случае утери или увольнения сотрудника.
В данном случае целесообразно было бы рассмотреть решения в области создания систем управления учетными данными (IdM — identity management) и систем управления безопасностью (SIЕM — Security information and event management). Данные системы предлагают возможности по автоматизации процессов по контролю доступа по идентификаторам (то есть снижению рисков, связанных с человеческим фактором), расследованию инцидентов по утечке информации.
Также процесс внедрения IDM-, SIEM-систем помогает понять, какая информация циркулирует и является важной.

Михаил Добровольский, эксперт в области применения сертификатов электронных подписей компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник