вих механізмів перевірки автентичності.
Найбільш поширеним засобом аутентифікації є паролі. Система порівнює введений і раніше заданий для даного користувача пароль; в разі збігу справжність користувача вважається доведеною. Інший засіб, поступово набирає популярність та забезпечує найбільшу ефективність - секретні криптографічні ключі користувачів.
Головне достоїнство пральний аутентифікації - простота і звичність. Паролі давно вбудовані в операційні системи та інші сервіси. При правильному використанні паролі можуть забезпечити прийнятний для багатьох організацій рівень безпеки. Проте за сукупністю характеристик їх слід визнати найслабшим засобом перевірки автентичності. Надійність паролів грунтується на здатності пам'ятати їх і зберігати в таємниці. Введення пароля можна підглянути. Пароль можна вгадати методом, наприклад, використання словника найбільш часто використовуваних паролів. Якщо файл паролів зашифрований, але доступний на читання, його можна скопіювати до себе на комп'ютер і спробувати підібрати пароль, запрограмувавши повний перебір.
Паролі уразливі по відношенню до електронного перехоплення - це найбільш принциповий недолік, який не можна компенсувати поліпшенням адміністрування або навчанням користувачів. Практично єдиний вихід - використання криптографії для шифрування паролів перед передачею по лініях зв'язку або взагалі їх не передавати.
Проте, такі заходи дозволяють значно підвищити надійність парольного захисту:
Накладення технічних обмежень (пароль повинен бути не дуже коротким, він повинен містити літери, цифри, знаки пунктуації тощо.);
Управління терміном дії паролів, їх періодична зміна;
Обмеження доступу до файлу паролів;
Обмеження числа невдалих спроб входу в систему;
Навчання та виховання користувачів.
Перераховані заходи доцільно застосовувати завжди, навіть якщо поряд з паролями використовуються інші методи аутентифікації, засновані, наприклад, на застосуванні токенов.
Токен - це предмет або пристрій, володіння яким підтверджує справжність користувача. Розрізняють токени з пам'яттю (пасивні, які тільки зберігають, але не обробляють інформацію) та інтелектуальні токени (активні).
Найпоширенішою різновидом токенов з пам'яттю є картки з магнітною смугою. Для використання подібних токенов необхідно пристрій читання, забезпечене також клавіатурою і процесором. Зазвичай користувач набирає на цій клавіатурі свій особистий ідентифікаційний номер, після чого процесор перевіряє його збіг з тим, що записано на картці, а також справжність самої картки. Таким чином, тут фактично застосовується комбінація двох способів захисту, що істотно ускладнює дії зловмисника.
Необхідна обробка аутентификационной інформації самим пристроєм читання, без передачі в комп'ютер - це виключає можливість електронного перехоплення.
Іноді (зазвичай для фізичного контролю доступу) картки застосовують самі по собі, без запиту особистого ідентифікаційного номера.
Як відомо, одним з найбільш потужних засобів в руках зловмисника є зміна програми аутентифікації, при якому паролі не тільки перевіряються, але й запам'ятовуються для подальшого несанкціонованого використання.
Інтелектуальні токени характеризуються наявністю власної обчислювальної потужності. Вони поділяються на інтелектуальні карти, стандартизовані ISO та інші токени. Карти потребують интерфейсном пристрої, інші токени зазвичай володіють ручним інтерфейсом (дисплеєм і клавіатурою) і за зовнішнім виглядом нагадують калькулятори. Щоб токен почав працювати, користувач повинен ввести свій особистий ідентифікаційний номер.
За принципом дії інтелектуальні токени можна розділити на такі категорії:
Статичний обмін паролями: користувач звичайним чином доводить токені свою справжність, потім токен перевіряється комп'ютерною системою.
Динамічна генерація паролів: токен генерує паролі, періодично змінюючи їх. Комп'ютерна система повинна мати синхронізований генератор паролів. Інформація від токена надходить за електронною інтерфейсу або набирається користувачем на клавіатурі терміналу.
запитання-відповідь системи: комп'ютер видає випадкове число, яке перетворюється криптографічним механізмом, вбудованим в токен, після чого результат повертається в комп'ютер для перевірки. Тут також можливе використання електронного або ручного інтерфейсу. В останньому випадку користувач читає запит з екрана термінала, набирає його на клавіатурі токена (можливо, в цей час вводиться і особистий номер), а на дисплеї токена бачить відповідь і переносить й...
