нтифікатора і порівняння пред'явленого з переліком привласнених ідентифікаторів. Ідентифікація складається з процедур, що дозволяють зовнішнім по відношенню до деякої обчислювальної системи агентам повідомляти систему про їх особистості. При цьому розділяються поняття повідомлення системи і гарантії того, що це повідомлення коректно. У результаті ідентифікацію об'єднують з другим поняттям аутентифікацією, яке гарантує коректність ідентифікаційної послідовності.
Під аутентифікацією розуміється перевірка приналежності суб'єкту доступу пред'явленого їм ідентифікатора, підтвердження автентичності. Під інформацією аутентифікації розуміється інформація, використовувана для встановлення автентичності запитуваної особистості.
Методи зазвичай включають:
1. метод перевірки правильності даних, що дає доказ або виражає довіру фактом, що особистість, про яку повідомлялося - припустима;
2. функції додавання нових ідентифікаторів систему з забезпеченням відповідної інформації аутентифікації, а так само видалення застарілої і відповідної їм інформації аутентифікації з системи;
. функції генерації, зміни та перегляду авторизованими користувачами інформації аутентифікації;
. функції перевірки цілісності та запобігання неавторизованого використання інформації аутентифікації;
. функції обмеження кількості спроб введення для некоректної інформації аутентифікації.
Виділяються три методи аутентифікації:
1) аутентифікація, заснована на володінні предметом (карткою, ключем ...);
2) аутентифікація, заснована на втілених характеристиках;
) аутентифікація, заснована на знаннях.
Біометрична аутентифікація заснована на аутентифікації в розпізнаванні деякої характеристики є невід'ємною частиною агента: голос, відбитки пальців, сітчаста оболонка ока. Цей метод відноситься до біометричних системам.
Парольная аутентифікація - це аутентифікація, заснована на знаннях. Під паролем розуміється конфіденційна інформація, зазвичай складається з рядка символів.
У пральний аутентифікації пред'являють ряд вимог як до адміністраторів і користувачам, так і до механізму аутентифікації.
Вимоги до адміністратора:
1) вимога до адміністратора системи (ініціалізація пральний системи). Багато систем поставляються з вбудованими обліковими записами, адміністратор повинен замінити всі вбудовані в систему облікові записи;
2) адміністратор повинен згенерувати паролі всіх нових облікових записів і проінформувати про це користувачів;
) користувач може забути пароль, або адміністратор може виявити, що пароль скомпрометований, для вирішення подібних проблем адміністратор повинен мати можливість зміни пароля будь-якого користувача навіть не знаючи забутого пароля;
) не в один з моментів функціонування системи два користувачі не можуть мати два однакових ідентифікатора або знати для них пароль;
) адміністратор відповідає за своєчасне видалення облікових записів з системи.
Вимоги до користувачам системи:
1) користувачі несуть відповідальність за таємницю пароля і доповідають адміністратору про всі порушення безпеки, тобто допомагають адміністратору виявити порушення;
2) паролі повинні мінятися періодично і користувачі повинні пам'ятати паролі;
Вимоги до механізму аутентифікації:
1) при внутрішньому зберіганні паролів база даних паролів повинна бути захищена, а паролі повинні бути зашифровані. При перевірці паролів їх не розшифровують, а порівнюють як зашифроване значення кеш-функції;
2) система не повинна відображати паролі, що вводяться користувачами;
) кількість спроб неуспішного входу в систему має бути обмежена;
) система повинна реєструвати використання і зміну пароля, при цьому самі паролі не реєструються;
) при вході в систему з деякою обліковим записом користувач повинен бути оповіщений про час останнього входу в систему з цим обліковим записом, місці останнього входу і результаті останнього входу з цим обліковим записом. У цьому ж документі повинна бути приведена оцінка пароля з наступними параметрами:
L - максимальний час життя пароля, M - довжина пароля, А - кількість символів в паролі, Р - ймовірність того, що пароль може бути підібраний за час його життя, R - кількість можливих спроб підбору в одиницю часу, S - кількість паролів, яке може створити генератор,
