довності символів) сервером аутентифікації, програмне забезпечення клієнта виробляє за допомогою закритого ключа, що зберігається у користувача, цифровий підпис, якої і підписується запит від сервера аутентифікації. Стадії процесу підтвердження автентичності користувача:
- отримання відкритого ключа CA (одноразовий процес);
- отримання по деякому незахищеному каналу від цього користувача його сертифіката відкритого ключа (що включає отримання ідентифікатора користувача, перевірку дати і часу щодо терміну дії, зазначеного в сертифікаті, на основі локальних довірених годин, перевірку дійсності відкритого ключа СА , перевірку підписи під сертифікатом користувача за допомогою відкритого ключа СА, перевірку сертифіката на предмет відкликання);
- якщо всі перевірки успішні, відкритий ключ в сертифікаті вважається справжнім відкритим ключем заявленого користувача;
- перевірка на наявність у користувача закритого ключа, відповідного даному сертифікату, за допомогою алгоритму запит-відповідь.
До протоколів, що використовує подібний алгоритм перевірки автентичності відносяться SSL, Kerberos і RADIUS.
Використання смарт-карт і USB-ключів
Незважаючи на те, що аутентифікація по пред'явленню цифрового сертифікату забезпечує сувору автентифікацію користувача, існує небезпека уразливості до прямих і мережевим атакам закритого ключа у разі його зберігання на жорсткому диску комп'ютера користувача.
Досить підготовлений зловмисник може викрасти персональний ключ користувача і за допомогою цього ключа представлятися цим користувачем. Захист ключа за допомогою пароля допомагає, але недостатньо ефективно - паролі уразливі по відношенню до багатьох атакам. Безсумнівно, потрібно більш безпечне сховище.
Для усунення цього недоліку використовується аутентифікація на основі смарт-карт і USB-ключів, що є більш безпечним методом, оскільки використовується унікальний фізичний об'єкт, яким повинен володіти людина, щоб увійти в систему. Фізичний об'єкт важче вкрасти, на відміну від паролів, та й власник швидше помітить його крадіжку і вживе необхідних заходів для захисту від негативних наслідків. Крім того, реалізується двофакторна аутентифікація.
Мікропроцесорні смарт-карти і USB-ключі можуть підвищити надійність служб PKI: смарт-карта може використовуватися для безпечного зберігання закритих ключів користувача, а також для безпечного виконання криптографічних перетворень. Хоча смарт-карти і USB-ключі не забезпечують абсолютну безпеку, але надійність їх захисту набагато перевершує можливості звичайного настільного комп'ютера.
Класифікація засобів ідентифікації і аутентифікації з погляду застосовуваних технологій наведена на малюнку 1.
Рисунок 1 - Класифікація засобів ідентифікації і аутентифікації з погляду застосовуваних технологій
. 3 Парольная ідентифікація
. 3.1 Політика паролів
Парольная політика - це набір правил роботи з паролями в організації. Правила включають в себе такі важливі умови:
· вимоги до складності пароля;
· вимоги до довжини пароля;
· вимоги до частоті зміни пароля;
· критерії, за якими можна судити про неприпустимість пароля;
· спосіб зберігання і заміни паролів.
Парольная політика являє собою засіб захисту інформації, яке доступне будь-якої організації, так як реалізується безкоштовно. Функ-ція запиту пароля вбудована не тільки в операційну систему, але й в багато програм, у тому числі в офісні додатки, з якими співробітники працюють щодня. Апаратна аутентифікація та перевірка біометричних даних не виключають парольний захист. Вхід в операційну систему може виконуватися за допомогою електронного ключа, а доступ до даних найчастіше здійснюватися за паролем.
Для того щоб визначитися з заходами захисту паролів, необхідно зрозуміти, як може відбуватися злом. Загрози, пов'язані з паролями, можна умовно розділити на наступні основні види:
· загроза втрати пральний інформації;
· крадіжка матеріального носія, на якому записаний пароль;
· підбір пароля зловмисником.
Для попередження втрати і крадіжки пароля рекомендується не зберігати їх на матеріальних носіях. З підбором пароля все складніше, зловмисники часто використовують спеціальні програми підбору паролів. Такі додатки можуть працювати зі словниками слів, часто використовуваних в якості пароля, а також здійснювати повний перебір всіх комбінацій символів. Пі...
