аутентификация и авторизация. Безопасная аутентификация и авторизация
 Скачать 1.61 Mb.
|
Безопасная аутентификация и авторизация.Аутентификация - процесс проверки подлинности данных о пользователе. Средства контроля аутентификацииДлина пароля. Сложность паролей и фильтры. История паролей. Максимальный возраст пароля. Минимальный возраст пароля. Невозможность изменения пароля до истечения некоторого минимального числа дней. Истечение срока действия учетных записей. Ограничения учетных записей. Блокировка учетных записей. Однофакторная аутентификация Пароли Цифровой сертификат – элемент криптографической защиты информации, электронное удостоверение, которое подтверждает, что открытый ключ шифрования принадлежит определенному пользователю. ЭЦП удостоверяет, что документ действительно исходит от определенного лица и может рассматриваться как официальное выражение его намерений. Аппаратный токен – это устройство, предназначенное специально для аутентификации. ПарольПароль хорош тем, что без него сложно проникнуть в систему, но как только его узнает злоумышленник, то возникает угроза. При выборе парольной системы необходимо ориентироваться не только на алгоритм, но и на механизм управления защитой паролей. Системы с одноразовыми паролямиТребуется ввод нового пароля при каждой последующей аутентификации. При этом возможно использовать текущий пароль для генерирования следующего. Концепция одноразовых паролей OTP — One-Time Password. Варианты реализации систем аутентификации по одноразовым паролям. Метод «запрос-ответ» Метод «только ответ». Метод «синхронизация по времени». Метод «синхронизация по событию» Аутентификация по сертификатамЦифровой сертификат — это документ, защищённый цифровой подписью (т.е. защищён от подделки), который содержит необходимую информацию о его владельце, которая позволяет уникально идентифицировать пользователя. Шаги аутентификации по сертификату Пользователь запрашивает доступ к некоторой сетевой службе; По запросу сервер посылает клиенту свой серверный сертификат (сертификат SSL). Если проверка прошла успешно, клиент запрашивает доступ к ресурсам службы; Служба сконфигурирована на обязательную аутентификацию пользователя и отправляет клиенту доступные (на сервере) методы аутентификации Клиент посылает на сервер публичную часть своего сертификата и некоторый объём подписанных клиентским сертификатом данных. Сервер проверяет клиентский сертификат на валидность. Если учётная запись найдена и сертификат удалось сопоставить с ней, сервер начинает установку защищённого канала. Шаги аутентификации по сертификату Смарт-картыпредставляют собой пластиковые карты со встроенной микросхемой. В большинстве случаев, смарт-карты содержат микропроцессор и операционную систему, контролирующую устройство и доступ к объектам в его памяти. Kerberos. Сеансовые билетыПреимущества сеансовых билетов. Серверу не нужно хранить сеансовые ключи для связи с клиентами. Клиенту не надо обращаться к KDC перед каждым сеансом связи с конкретным сервером. Сеансовые билеты можно использовать многократно. На случай хищения устанавливается срок годности билета, который KDC указывает в самой структуре данных. Это время определяется политикой Kerberos для конкретного домена (обычно не более 8 часов). Сервер, получив удостоверение клиента, с помощью своего секретного ключа расшифровывает сеансовый билет и извлекает из него сеансовый ключ, который затем использует для расшифрования аутентификатора клиента. Биометрическая аутентификацияпо лицу радужной оболочка глаза сетчатке глаза отпечаткам пальцев голосу нажатию клавиш Для выполнения такой аутентификации используются специализированные модули распознавания Идеология многофакторной аутентификации (multi-factor authentication, MFA) заключается в том, чтобы взаимно компенсировать недостатки нескольких отдельных факторов, как минимум двух, у которых различаются ключевые риски. Чаще всего на практике используется двухфакторная аутентификация. Многофакторная аутентификация Авторизация — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки данных прав при попытке выполнения этих действий. Простая авторизация на сайте Встречается повсеместно, возможна только после регистрации на конечном ресурсе, а для осуществления обычно требуется пара логин-пароль, предоставляемая пользователем. Плюсы: простота реализации, надежность. Минусы: для разных сайтов разные учетные данные, которые нужно запоминать, и не всегда это удается Мандатное управление доступом Мандатный доступ (MAC) заключается в разделении информации по степени секретности, а пользователей по уровням допуска к этой информации. Плюсы: Высокая степень надежности. Практически исключен взлом; Автоматизированная проверка и обеспечение прав доступа; Данные не могут быть изменены несанкционированно. Минусы: Требует много планирования; Так как система MAC достаточно громоздкая, администраторы сильно загружены. Необходимо регулярно проверять назначение прав доступа; Долгий и дорогостоящий процесс перехода на MAC, например с DAC. Мандатный контроль доступа имеет две формы: Многоуровневая система безопасности (MLS) - это первая реализация MAC, которую многие называют классической. Модель Белла - Лападулы Мандатный контроль доступа имеет две формы: Многосторонние системы безопасности (Multilateral security systems). Эта форма более сложная. Помимо вертикального уровня безопасности с политикой конфиденциальности, накладывается и горизонтальный уровень безопасности. Он нужен для разграничения доступа внутри одного уровня доступа. Модели организации безопасного доступа к данным Модель секционирования (Compartmentation): Данная модель уходит корнями еще во времена Второй Мировой войны. Тогда она использовалась разведкой. Она основана на использовании кодовых слов и классификаций для разграничения доступа. Модель «Китайская стена». Принципы этой модели строятся на опыте бизнес отношений. Согласно этой модели субъект может иметь доступ к информации, которая не входит в конфликт с информацией, с которой он работал ранее. Британская медицинская ассоциация (BMA) представила свою модель управления доступом. Суть ее в том, что для определенных категорий субъект данных должен сам давать согласие на доступ, либо - запрет. Enum — авторизация Суть метода: привязка «аккаунта» мобильному телефону, номеру. При регистрации на сайте такого провайдера пользователю выдается ссылка, по которой он устанавливает java-приложение себе в телефон. Enum — авторизация Плюсы решения: простота реализации и пользования, безопасность (метод исключает перехват учетных данных, пригодных для повторной авторизации) Минусы: малое распространение метода, привязка к телефону, который может быть украден или потерян, или просто может не находиться рядом в нужный момент Разовая авторизация по ссылке Сразу пример: после обычной регистрации на каком-нибудь форуме, на указанный электронный адрес высылается письмо со ссылкой — подтверждением адреса. Ссылка работает только один раз, цель у нее тоже одна — подтвердить что именно хозяин этого адреса зарегистрировался на том форуме, но при этом иногда при переходе по такой ссылке пользователь попадает сразу в свой аккаунт, не вводя логин и пароль, что тоже удобно |