схема має великий вада. А саме при передачі пароля з клієнтського комп'ютера на сервер, що виконує процедуру аутентифікації, цей пароль може бути перехоплений зловмисником. Тому в різних операційних системах застосовуються різні прийоми, щоб уникнути передачі пароля по мережі в незахищеному вигляді. Розглянемо, як вирішується ця проблема в популярної мережевої ОС Windows NT.
В основі концепції мережевої безпеки Windows NT лежить поняття домену. Домен - це сукупність користувачів, серверів і робочих станцій, облікова інформація про які централізовано зберігається в загальній базі даних, званої базою SAM (Security ACCOUNTS lt; # justify gt;
Малюнок 3.1 - Схема мережевий аутентифікації на основі багаторазового пароля
При логічному вході користувач локально вводить в свій комп'ютер ім'я-ідентифікатор (ID) та пароль Р. Клієнтська частина підсистеми аутентифікації, отримавши ці дані, передає запит по мережі на сервер, який зберігає базу SAM. У цьому запиті у відкритому вигляді міститься ідентифікатор користувача ID, але пароль не передається в мережу ні в якому вигляді.
До паролю на клієнтській станції застосовується та ж одностороння функція ОФШ1, яка була використана при записі пароля в базу даних SAM, тобто динамічно обчислюється дайджест пароля d (P).
У відповідь на запит, що надійшов серверна частина служби аутентифікації генерує випадкове число S випадкової довжини, зване словом-викликом (challenge). Це слово передається по мережі з сервера на клієнтську станцію користувача. До слова-викликом на клієнтській стороні застосовується одностороння функція шифрування ОФШ2. На відміну від функції ОФШ1 функція ОФШ2 є параметричної і отримує як параметр дайджест пароля d (P). Отриманий в результаті відповідь d (S) передається по мережі на сервер SAM.
Паралельно цьому на сервері слово-виклик S аналогічно шифрується за допомогою тієї ж односторонньої функції ОФШ2 і дайджесту пароля користувача d (P), витягнутого з бази SAM, а потім порівнюється з відповіддю, переданим клієнтської станцією. При збігу результатів вважається, що аутентифікація пройшла успішно. Таким чином, при логічному вході користувача паролі в мережі Windows NT ніколи не передаються по каналах зв'язку.
Зауважимо також, що при кожному запиті на аутентифікацію генерується нове слово-виклик, так що перехоплення відповіді d (S) клієнтського комп'ютера не може бути використаний в ході іншої процедури аутентифікації.
3.2 Аутентифікація з використанням одноразового пароля
Алгоритми аутентифікації, засновані на багаторазових паролі, що не дуже надійні. Паролі можна підглянути або просто вкрасти. Більш надійними виявляються схеми, використовують одноразові паролі. З іншого боку, одноразові паролі набагато дешевше і простіше біометричних систем аутентифікації, таких як сканери сітківки ока або відбитків пальців. Все це робить системи, засновані на одноразових паролі, дуже перспективними. Слід мати на увазі, що, як правило, системи аутентифікації на основі одноразових паролів розраховані на перевірку тільки віддалених, а не локальних користувачів.
Генерація одноразових паролів може виконуватися або програмно, або апаратно. Деякі реалізації апаратних пристроїв доступу на основі одноразових паролів являють собою мініатюрні пристрої з вбудованим мікропроцесором, схожі на звичайні пластикові картки, використовувані для доступу до банкоматів. Такі картки, часто звані апаратними ключами, можуть мати клавіатуру і маленьке дисплейне вікно. Апаратні ключі можуть бути також реалізовані у вигляді присоединяемого до гнізда пристрою, яке розташовується між комп'ютером і модемом, або у вигляді карти (гнучкого диска), що вставляється в дисковод комп'ютера.
Існують і програмні реалізації засобів аутентифікації на основі одноразових паролів (програмні ключі). Програмні ключі розміщуються на змінному магнітному диску у вигляді звичайної програми, важливою частиною якої є генератор одноразових паролів. Застосування програмних ключів і приєднати до комп'ютера карток пов'язано з деяким ризиком, оскільки користувачі часто забувають гнучкі диски в машині або не відключайте картки від ноутбуків.
Незалежно від того, яку реалізацію системи аутентифікації на основі одноразових паролів вибирає користувач, він, як і в системах аутентифікації з використанням багаторазових паролів, повідомляє системі свій ідентифікатор, однак замість того, щоб вводити кожного разу один і той же пароль, він вказує послідовність цифр, сообщаемую йому апаратним або програмним ключем. Через певний невеликий період часу генерується інша послідовність - новий пароль. Аутентифікаційні сервер перевіряє введену послідовність і дозволяє користувачеві здійснити логічний вхід. ...
