Аутентификация что: какие ее виды бывают и чем отличаются
какие ее виды бывают и чем отличаются
Здравствуйте, друзья.
Вы помните, как в школе проходили новую тему по математике, физике, химии и другим сложным предметам? Открываешь книгу, а там масса непонятных слов. Но постепенно мы изучали термины, и все становилось на свои места.
Заканчивая школу, мы не перестаем учиться. Жизнь стремительно меняется, развиваются технологии, побуждая нас получать новые знания и навыки. Чтобы свободно выходить в интернет, общаться и работать в сети, нужно осваивать основные понятия. Сегодня мы разберемся, что такое аутентификация, какой она бывает, и чем этот процесс отличается от идентификации и авторизации.
Определение
С процессом аутентификации в том или ином виде мы сталкиваемся довольно часто.
Аутентификация – это процедура установления подлинности или соответствия.
Чтобы объяснить это простыми словами, приведу пример.
Представьте себе, что недавно купили квартиру или сменили замки, к ключам еще не привыкли. Подходим к дверям и пытаемся вставить ключ в замочную скважину. Если мы ошиблись, то аутентификация не пройдена, ключ не соответствует замку, не открывает его. Если, наоборот, все сошлось, и двери открываются, значит, проверка подлинности пройдена.
Другие примеры аутентификации:
- ввод логина и пароля от учетной записи в социальной сети;
- использование ПИН-кода для снятия денег с карточки в банкомате;
- вход в систему компьютера;
- снятие блокировки с экрана телефона;
- применение кодового слова для подтверждения банковских операций в телефонном режиме;
- ввод кода доступа для подключения к интернету через Wi-Fi;
- подключение одного устройства к другому, например, телефона к компьютеру для передачи информации.
Отличие от идентификации и авторизации
Эти понятия легко можно спутать, потому что они являются этапами одного процесса, частями мозаики. Вернемся к нашему примеру с дверью в квартиру. Чтобы открыть ее, нам нужен ключ, он выступает идентификатором, то есть инструментом, при помощи которого мы будем совершать нужное действие. Вставили его в замок, покрутили – прошли идентификацию.
Если двери открылись, значит, идентификатор верный, подлинный. Это уже аутентификация или, говоря другими словами, процедура проверки. Последний этап – авторизация, мы входим в квартиру, то есть получаем доступ.
Теперь пример с социальными сетями. Мы открываем сайт или приложение в телефоне, вводим логин и пароль – это наши идентификаторы. Затем нажимаем Enter, и информация отправляется на аутентификацию. Программа проверяет, существует ли пользователь с такими учетными данными. Если мы все сделали правильно, то происходит авторизация. Мы входим в социальную сеть и попадаем именно на свою страницу, видим оповещения, диалоги с друзьями, добавленные записи в ленте.
Если вы перепутаете эти термины, ничего страшного, но чтобы понимать, о чем конкретно идет речь в том или ином случае, лучше научиться их отличать.
Виды аутентификации
Пользователи интернета в моем представлении подразделяются на оптимистов и параноиков. Оптимисты не заморачиваются кодами и сложными паролями. Фамилия, дата рождения или слово “qwerty” вполне могут стать их паролем от аккаунта в соцсети или электронной почты. Главное, чтобы было легко запомнить.
Параноики придумывают сложные пароли, шифры и коды, выходят в интернет только со своих устройств и через проверенные сети, пароли хранят у жены в чулке. Они всегда обеспокоены безопасностью.
Если вы относитесь к оптимистам, то я должна вас предупредить. В интернете, как и в реальной жизни, довольно много желающих воспользоваться вашим простодушием, украсть коды доступа, взломать аккаунт, снять деньги со счета. Для этого уже придумано множество технических средств и способов развода.
Поэтому системы аутентификации постоянно совершенствуются, чтобы уменьшить шансы злоумышленников. С другой стороны, каждый сервис, сайт, приложение стремится к тому, чтобы пользователям было удобно и приятно.
Со временем для разных случаев появились такие виды аутентификации:
- С помощью пароля, специального слова или кода. Этот вариант используется очень часто и в целом обеспечивает достаточную простоту доступа к программам и сервисам, но в последнее время часто является недостаточным. Появляется все больше программ для подбора паролей и все больше хитростей для их выманивания у пользователей.
- С помощью специального устройства, физического носителя. Примерами могут служить банковская карта, электронная подпись, ключи для входа в онлайн-банк предприятия. Это распространенный тип аутентификации, но, к сожалению, физический носитель также могут украсть.
- С помощью биометрических данных. Это может быть ваш голос, лицо, отпечаток пальцев, сетчатка глаза. Этот вариант считается наиболее надежным, но систем, которые его используют, не так уж много, и стоят они дорого.
- Сквозная. В данном случае проверку нужно пройти в одной программе, а пользоваться можно несколькими сервисами и приложениями без необходимости каждый раз авторизовываться. Примером может служить вход в Google-аккаунт. Войдя в него, вы автоматически получаете доступ к облачному хранилищу, почте, своему YouTube-каналу и другим сервисам.
Как видите, есть разные виды аутентификации для разных программ и случаев. Использовать нужно один из них или несколько вместе в зависимости от целей и задач.
Чем двухуровневая проверка лучше одноуровневой
Двухфакторная аутентификация подразумевает использование сразу двух перечисленных выше методов защиты. Например, мы вставляем карту в терминал и вводим ПИН-код. Или вводим учетные данные от страницы в соцсети и затем получаем одноразовый код на телефон, привязанный к аккаунту.
Такая двойная проверка не требует больших финансовых затрат, она довольно простая и удобная для пользователей, а также значительно увеличивает безопасность данных.
Параноики считают, что можно сделать даже трех- и четырехуровневую проверку, главное, чтобы враги не получили доступ к информации. Но такие меры чаще всего являются излишними, значительно усложняют и замедляют все операции. Можно сказать, что двухэтапная проверка – это компромиссное решение для безопасности и удобства.
Ошибки аутентификации: причины и пути решения
При подключении к сети Wi-Fi, одного устройства к другому или при входе в любую программу и на сайт могут возникнуть проблемы. Чаще всего они связаны с такими причинами:
- Неправильный идентификатор, то есть вы просто забыли или перепутали логин, пароль, ПИН-код, банковскую карту. Тут не возникает особых вопросов, как исправить ошибку. Проверьте данные для входа, возможно, вы не обратили внимание на регистр и написали строчные буквы вместо больших. Также часто при входе на сайт или в программу мы забываем проверить раскладку клавиатуры и пишем не на английском, а на русском языке.
- Повреждение физического носителя, например, магнитная лента на банковской карте поцарапалась, карта погнулась, ключ от онлайн-банка или электронная подпись сломались, на глазу появился конъюнктивит, на пальце ранка, что препятствует считыванию биометрических данных, а телефон потерялся или утонул в Волге. Все это приводит к определенным затруднениям, и нужно искать способ убрать ошибку и получить доступ к данным или деньгам в каждом конкретном случае. Можно перевыпустить карту, а тем временем перевести деньги на другой счет и обналичить с него, заказать новую подпись или ключ, обратиться в офис, чтобы подтвердить действие без отпечатка пальцев, а, к примеру, при помощи кодового слова.
- Разная система шифрования на телефоне и роутере приводит к их несовместимости. Чтобы подключиться к Wi-Fi в случае такой ошибки, потребуется изменить настройки роутера, применив шифрование, доступное в мобильном устройстве.
- Иногда телефон не подключается к сети из-за программного сбоя ОС или ошибки в работе роутера. В таком случае попробуйте обновить программу в мобильном устройстве и перезапустите маршрутизатор.
- Разная скорость передачи данных на устройствах, тут придется разбираться и снова лезть в настройки выставлять приемлемый объем данных, передаваемый за определенный промежуток времени.
- В настройках роутера или другого прибора могут быть четко прописаны устройства, с которыми он может поддерживать связь. Если нужно добавить новый гаджет, то снова-таки придется поработать с настройками.
Как видим, причины могут быть разными. Чтобы разобраться с ними, нужно иметь запасной план, уметь работать с настройками программ и устройств или знать того, кто умеет это делать.
Заключение
Надеюсь, эта статья помогла вам разобраться с тем, для чего нужна аутентификация, и какие ее виды бывают. Также мы обсудили возможные проблемы при проверке подлинности и пути их решения. Если у вас возникла конкретная ошибка доступа, напишите об этом в комментариях, обсудим.
Подписывайтесь на новости iklife.ru, учитесь вместе с нами работать с разными программами, сервисами и приложениями, чтобы идти в ногу со временем.
Всего доброго. До новой познавательной встречи.
✅ Аутентификация: Определение, Методы, Виды
Аутентификация (англ. authentication) — это основа безопасности любой системы, которая заключается в проверке подлинности данных о пользователе сервером.
Она не тождественна идентификации и авторизации. Эти три термина являются элементами защиты информации. Первая стадия — идентификация. На ней происходит распознавание информации о пользователе, например, логин и пароль. Вторая стадия — аутентификация. Это процесс проверки информации о пользователе. Третья стадия — авторизация. Здесь происходит проверка прав пользователя и определяется возможность доступа.
Зачем нужна аутентификация
Аутентификация нужна для доступа к:
- Соцсетям
- Электронной почте
- Интернет-магазинам
- Форумам
- Интернет-банкингу
- Платежным системам
Элементы аутентификации
- Субъект — пользователь
- Характеристика субъекта — информация, предоставляемая пользователем для проверки подлинности.
- Владелец системы аутентификации — владелец ресурса.
- Механизм аутентификации — принцип проверки
- Механизм авторизации — управление доступом
Методы аутентификации
- Парольные
- Комбинированные
- Биометрические
- Информация о пользователе
- Пользовательские данные
Парольные
Самый распространенный метод. Аутентификация может проходить по одноразовым и многоразовым паролям. Многоразовый пароль задает пользователь, а система хранит его в базе данных. Он является одинаковым для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли — разные для каждой сессии. Это может быть SMS с кодом.
Комбинированные
Этот метод говорит сам за себя. Аутентификация происходит с использованием нескольких методов, например, парольных и криптографических сертификатов. Он требует специальное устройство для считывания информации.
Биометрические
Это самый дорогостоящий метод аутентификации. Он предотвращает утечку или кражу персональной информации. Проверка проходит по физиологическим характеристикам пользователя, например, по отпечатку пальца, сетчатке глаза, тембру голоса и даже ДНК.
Информация о пользователе
Она используется для восстановления логина или пароля и для двухэтапной аутентификации, чтобы обеспечить безопасность. К этому методу относится номер телефона, девичья фамилия матери, год рождения, дата регистрации, кличка питомца, место проживания.
Пользовательские данные
Этот метод основывается на геоданных о местоположении пользователя с использованием GPS, а также использует информацию о точках доступа беспроводной связи. Недостаток заключается в том, что с помощью прокси-серверов можно подменить данные.
Классификация видов аутентификации
В зависимости от количества используемых методов
- Однофакторная. Используется только один метод.
- Многофакторная. Используется несколько методов.
В зависимости от политики безопасности систем и уровня доверия
- Односторонняя. Пользователь доказывает право доступа к ресурсу его владельцу.
- Взаимная. Проверяется подлинность прав доступа и пользователя и владельца сайта. Для этого используют криптографические способы.
Чтобы защитить владельца сайта от злоумышленников, используют криптографические протоколы аутентификации.
Типы протоколов обусловлены тем, где происходит аутентификация — на PC или в сети.
Аутентификация на PC
- Login
- PAP (Password Authentication Protocol) — логин и пароль
- Карта доступа — USB и сертификаты
- Биометрические данные
Аутентификация в сети
- Cookies. Используются для отслеживания сеанса, сохранения предпочтений и сбора статистики. Степень защиты невысокая, однако привязка к IP-адресу решает эту проблему.
- Kerberos. Протокол взаимной аутентификации с помощью криптографического ключа.
- SAML (Security Assertion Markup Language) Язык разметки, который позволяет сторонам обмениваться данными аутентификации.
- SNMP (Simple Network Management Protocol) Протокол, который контролирует подключенные к сети устройства.
- Сертификаты X.509 Сертификаты с открытым ключом.
- OpenID Connect. Используется для создания единой учетной записи для аутентификации на разных ресурсах.
Ресурсы
- В этой статье детально рассмотрены элементы, факторы и способы аутентификации.
- В этой статье объясняют, для доступа на какие сервисы нужна аутентификация и рассматривают классификацию её методов.
Обновлено: 2020-07-31
Оцените, насколько полезна статья «Аутентификация»
Оценка: 5 / 5 (12)
Чем отличаются друг от друга идентификация, аутентификация и авторизация
Это происходит с каждым из нас, причем ежедневно: мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», когда на самом деле речь идет об аутентификации.
Ничего такого уж страшного в этом нет — пока идет бытовое общение и обе стороны диалога по контексту понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляешь, а то рано или поздно нарвешься на зануду-специалиста, который вынет всю душу за «авторизацию» вместо «аутентификации», кофе среднего рода и такое душевное, но неуместное в серьезной беседе слово «ихний».
Идентификация, аутентификация и авторизация: серьезные определения
Итак, что же значат термины «идентификация», «аутентификация» и «авторизация» — и чем соответствующие процессы отличаются друг от друга? Для начала проконсультируемся с «Википедией»:
- Идентификация — процедура, в результате выполнения которой для субъекта идентификации выявляется его идентификатор, однозначно определяющий этого субъекта в информационной системе.
- Аутентификация — процедура проверки подлинности, например проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
- Авторизация — предоставление определенному лицу или группе лиц прав на выполнение определенных действий.
Объясняем идентификацию, аутентификацию и авторизацию на енотах
Выше было очень много умных слов, теперь давайте упростим до конкретных примеров. Скажем, пользователь хочет войти в свой аккаунт Google. Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов. Вот что при этом происходит:
- Для начала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
- После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь, похоже, действительно настоящий, раз пароль совпал, — это аутентификация.
- Скорее всего, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
- После этого система предоставит пользователю право читать письма в его почтовом ящике и все в таком духе — это авторизация.
Аутентификация без предварительной идентификации лишена смысла — пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.
Идентификация без аутентификации — это просто глупо. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, что может быть известно только данному пользователю: например, одноразовый код для подтверждения входа.
А вот авторизация без идентификации и тем более аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны вообще кому угодно. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный енот. Несмотря на то, что енот совершенно неопознанный, система его все же авторизовала — то есть выдала право прочитать этот документ.
А вот если бы вы открыли этот документ для чтения только определенным пользователям, то еноту в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа — авторизоваться.
А уж если речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного енота на чтение вашей переписки — если, конечно, он не идентифицируется с вашим логином и не аутентифицируется с вашим паролем. Но тогда это уже не будет неопознанный енот, поскольку Google однозначно определит этого енота как вас.
Теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Что еще важно понимать: аутентификация — пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только слабенький пароль, то какой-нибудь енот может ваш аккаунт угнать. Поэтому:
- Придумывайте для всех аккаунтов надежные и уникальные пароли.
- Если испытываете трудности с их запоминанием — вам всегда придет на помощь менеджер паролей. Он же поможет их сгенерировать.
- Обязательно включайте двухфакторную аутентификацию — одноразовые коды в SMS или приложении — во всех сервисах, которые это позволяют. Иначе какой-нибудь неопознанный енот, так или иначе заполучивший ваш пароль, сможет прочитать вашу тайную переписку или сделать что-то еще более неприятное.
Аутентификация — Википедия. Что такое Аутентификация
Аутентифика́ция (англ. authentication < греч. αὐθεντικός [authentikos] «реальный, подлинный» < αὐτός [authos] «сам; он самый») — процедура проверки подлинности, например:
В русском языке термин применяется, в основном, в области информационных технологий.
Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических способов.
Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).
История
С древних времён перед людьми стояла довольно сложная задача — убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников». В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сим-Сим, откройся!».
В настоящее время в связи с обширным развитием сетевых технологий автоматическая аутентификация используется повсеместно.
Стандарты
Документы, определяющие стандарты аутентификации
ГОСТ Р ИСО/МЭК 9594-8-98 — Основы аутентификации
Настоящий стандарт:
- определяет формат информации аутентификации, хранимой справочником;
- описывает способ получения из справочника информации аутентификации;
- устанавливает предпосылки о способах формирования и размещения в справочнике информации аутентификации;
- определяет три способа, с помощью которых прикладные программы могут использовать такую информацию аутентификации для выполнения аутентификации, и описывает, каким образом с помощью аутентификации могут быть обеспечены другие услуги защиты.
В настоящем стандарте изложены два вида аутентификации: простая, использующая пароль как проверку заявленной идентичности, и строгая, использующая удостоверения личности, созданные с использованием криптографических методов
FIPS 113 — COMPUTER DATA AUTHENTICATION
Настоящий стандарт устанавливает Data Authentication Algorithm(DAA), который может быть использован для обнаружения несанкционированных изменений данных, как преднамеренных, так и случайных, стандарт основан на алгоритме, указанном в Data Encryption Standard(DES) Federal Information Processing Standards Publication(FIPS PUB) 46, и совместим как с Department of the Treasury’s Electronic Funds and Security Transfer Policy and the American National Standards Institute(ANSI) так и с Standard for Financial Institution Message Authentication.
Данный стандарт используется для контроля над целостностью передаваемой информации средствами криптографической аутентификации.
Элементы системы аутентификации
В любой системе аутентификации обычно можно выделить несколько элементов:
- субъект, который будет проходить процедуру
- характеристика субъекта — отличительная черта
- хозяин системы аутентификации, несущий ответственность и контролирующий её работу
- сам механизм аутентификации, то есть принцип работы системы
- механизм управления доступом, предоставляющий определённые права доступа субъекту
Элемент аутентификации | Пещера 40 разбойников | Регистрация в системе | Банкомат |
---|---|---|---|
Субъект | Человек, знающий пароль | Авторизованный пользователь | Держатель банковской карты |
Характеристика | Пароль «Сим-Сим, откройся!» | Тайный пароль | Банковская карта и персональный идентификатор |
Хозяин системы | 40 разбойников | Предприятие, которому принадлежит система | Банк |
Механизм аутентификации | Волшебное устройство, реагирующее на слова | Программное обеспечение, проверяющее пароль | Программное обеспечение, проверяющее карту и персональный идентификатор |
Механизм управления доступом | Механизм, отодвигающий камень от входа в пещеру | Процесс регистрации, управления доступом | Разрешение на выполнение банковских действий |
Факторы аутентификации
Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют 3 фактора аутентификации:
- Нечто, что нам известно, например, какая-либо секретная информация. Это тайные сведения, которыми должен обладать только авторизованный субъект. Секретом может быть некая фраза или пароль, например в виде устного сообщения, текстового представления, комбинации для замка или личного идентификационного номера (PIN). Парольный механизм может быть довольно легко воплощён и имеет низкую стоимость. Но имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым.
- Нечто, чем мы обладаем, например, какой-либо уникальный физический объект. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы более высокая.
- Нечто, что является неотъемлемой частью нас самих — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.
Способы аутентификации
Аутентификация при помощи электронной подписи
Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» (с изменениями) предусматривает следующие виды электронной подписи:
- Простая электронная подпись — электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
- Неквалифицированная электронная подпись — электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
- Квалифицированная электронная подпись — электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Аутентификация по паролям
- Аутентификация по многоразовым паролям
- Аутентификация по одноразовым паролям
Аутентификация по многоразовым паролям
Форма ввода связки логин-пароля
Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя, учётка) и пароля — неких конфиденциальных сведений. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.
Простая аутентификация имеет следующий общий алгоритм:
- Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль.
- Введённые неповторимые данные поступают на сервер аутентификации, где сравниваются с эталонными.
- При совпадении данных с эталонными аутентификация признаётся успешной, при различии — субъект перемещается к 1-му шагу
Введённый субъектом пароль может передаваться в сети двумя способами:
- Незашифрованно, в открытом виде, на основе протокола парольной аутентификации (Password Authentication Protocol, PAP)
- С использованием шифрования SSL или TLS. В этом случае неповторимые данные, введённые субъектом, передаются по сети защищённо.
Защищённость
С точки зрения наилучшей защищённости при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хэш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.
Использование многоразовых паролей имеет ряд существенных недостатков. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальных сведений. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую им оказывается какое-то слово или сочетание слов, присутствующие в словаре. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.
Базы учетных записей
На компьютерах с ОС семейства UNIX базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого, в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было небезопасно.
На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в каталоге %windir%\system32\config\.
В доменах Windows Server 2000/2003 такой базой является Active Directory.
Однако более надёжным способом хранения аутентификационных данных признано использование особых аппаратных средств (компонентов).
При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.
Аутентификация по одноразовым паролям
Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанным конфиденциальным сведениям. Эта проблема решается применением одноразовых паролей (OTP — One Time Password). Суть этого метода — пароль действителен только для одного входа в систему, при каждом следующем запросе доступа — требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.
Технологии использования одноразовых паролей можно разделить на:
- Использование генератора псевдослучайных чисел, единого для субъекта и системы
- Использование временных меток вместе с системой единого времени
- Использование базы случайных паролей, единой для субъекта и для системы
В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.
Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID. Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемое в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.
Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.
По сравнению с использованием многоразовых паролей одноразовые пароли предоставляют более высокую степень защиты.
Аутентификация с помощью SMS
Актуальность обеспечения безопасности мобильных средств коммуникации, например, ip-phone, стимулирует новые разработки в этой области. Среди них можно назвать аутентификацию с помощью SMS-сообщений.
Процедура такой аутентификации включает в себя следующие шаги:
- Ввод имени пользователя и пароля
- Сразу после этого PhoneFactor (служба безопасности) присылает одноразовый аутентификационный ключ в виде текстового SMS-сообщения.
- Полученный ключ используется для аутентификации
Привлекательность данного метода заключается в том, что ключ получается не по тому каналу, по которому производится аутентификация (out-of-band), что практически исключает атаку типа «человек посередине». Дополнительный уровень безопасности может дать требование ввода PIN-кода мобильного средства.
Данный метод получил широкое распространение в банковских операциях через интернет.
Биометрическая аутентификация
Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % идентификацию, решая проблемы утраты паролей и личных идентификаторов.
Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК.
Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.
Наиболее используемые биометрические атрибуты и соответствующие системы
- Отпечатки пальцев. Такие сканеры имеют небольшой размер, универсальны, относительно недороги. Биологическая повторяемость отпечатка пальца составляет 10−5 %. В настоящее время пропагандируются правоохранительными органами из-за крупных ассигнований в электронные архивы отпечатков пальцев.
- Геометрия руки. Соответствующие устройства используются, когда из-за грязи или травм трудно применять сканеры пальцев. Биологическая повторяемость геометрии руки около 2 %.
- Радужная оболочка глаза. Данные устройства обладают наивысшей точностью. Теоретическая вероятность совпадения двух радужных оболочек составляет 1 из 1078.
- Термический образ лица. Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.
- Распознавание по лицу. Системы на основе данного подхода позволяют идентифицировать персону в определенных условиях с погрешностью не более 3 %. В зависимости от метода позволяют идентифицировать человека на расстояниях от полуметра до нескольких десятков метров. Данный метод удобен тем, что он позволяет реализацию штатными средствами (веб-камера и т. п.). Более сложные методы требуют более изощренных устройств. Некоторые (не все) методы обладают недостатком подмены: можно провести идентификацию подменив лицо реального человека на его фотографию.
- Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 — 5 %. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу — возбужден, болен, говорит правду, не в себе и т. д.
- Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.
- Подпись. Для контроля рукописной подписи используются дигитайзеры
В то же время биометрическая аутентификация имеет ряд недостатков:
- Биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. За время пути может много чего произойти.
- База шаблонов может быть изменена злоумышленником.
- Следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в «полевых» условиях, когда, например, к устройству сканирования могут поднести муляж и т. п.
- Некоторые биометрические данные человека меняются (как в результате старения, так и травм, ожогов, порезов, болезни, ампутации и т. д.), так что база шаблонов нуждается в постоянном сопровождении, а это создает определенные проблемы и для пользователей, и для администраторов.
- Если у Вас крадут биометрические данные или их компрометируют, то это, как правило, на всю жизнь. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Палец, глаз или голос сменить нельзя, по крайней мере быстро.
- Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в секрете.
Аутентификация через географическое местоположение
- Аутентификация посредством GPS
- Аутентификация, основанная на местоположении выхода в интернет
Аутентификация посредством GPS
Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System).
Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата.
Сложность взлома системы состоит в том, что аппаратура передает оцифрованный сигнал спутника, не производя никаких вычислений. Все вычисления о местоположении производят на сервере аутентификации.
Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет её использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.
Аутентификация, основанная на местоположении выхода в интернет
Данный механизм основан на использовании информации о местоположении серверов, точек доступа беспроводной связи, через которые осуществляется подключение к сети интернет.
Относительная простота взлома состоит в том, что информацию о местоположении можно изменить, используя так называемые прокси-серверы или системы анонимного доступа.
Многофакторная аутентификация
В последнее время всё чаще применяется так называемая расширенная, или многофакторная, аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищённость системы.
В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).
Также, к примеру, в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.
Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.
Можно привести сравнительную таблицу:
Уровень риска | Требования к системе | Технология аутентификации | Примеры применения |
---|---|---|---|
Низкий | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий | Рекомендуется минимальное требование — использование многоразовых паролей | Регистрация на портале в сети Интернет |
Средний | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб | Рекомендуется минимальное требование — использование одноразовых паролей | Произведение субъектом банковских операций |
Высокий | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб | Рекомендуется минимальное требование — использование многофакторной аутентификации | Проведение крупных межбанковских операций руководящим аппаратом |
Протоколы аутентификации
Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.
Таким образом, можно выделить несколько семейств аутентификации:
Аутентификация пользователя на PC:
- Шифрованное имя (login)
- Password Authentication Protocol, PAP (связка логин-пароль)
- Карта доступа (USB с сертификатом, SSO)
- Биометрия (голос, отпечаток пальца/ладони/радужки глаза)
Аутентификация в сети —
В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.
Аутентификация в Интернете
Аутентификация требуется при доступе к таким сервисам как:
Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, то есть предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.
См. также
Литература
- Ричард Э. Смит. Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: Вильямс, 2002. — С. 432. — ISBN 0-201-61599-1.
- под. редакцией А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. = Authentication. Theory and practice of ensuring access to information resources.. — М.: Горячая линия – Телеком, 2009. — С. 552. — ISBN 978-5-9912-0110-0.
- Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
- Linn J. Common Authentication Technology Overview,.
- Bellovin S. and M. Merritt. Limitations of the Kerberos Authentication System.
- Kaufman, C. Distributed Authentication Security Service (DASS).
- Anderson, B.,. TACACS User Identification Telnet Option. — December 1984.
- Tardo J. and K. Alagappan. SPX: Global Authentication Using Public Key Certificates. — М.California, 1991. — С. pp.232-244.
- А.А. Гладких, В.Е. Дементьев. Базовые принципы информационной безопасности вычислительных сетей.. — Ульяновск: УлГТУ, 2009. — С. 156.
Ссылки
Что значит аутентификация?
Стандартным примером аутентификации можно назвать вход пользователя в операционную систему Windows по паролю, когда после ввода пароля компьютер сравнивает данные, введённые с клавиатуры, с информацией, которая хранится в памяти машины. В случае если данные совпадают, процедура завершается успешно и пользователь получает разрешение на вход в компьютер.
Таким образом, аутентификация — процедура, в ходе которой пользователь должен предъявить системе секретную информацию, известную только ему одному.
Отметим, что механизм стандартной аутентификации на компьютере по паролю — достаточно несовершенен. К примеру, под легального пользователя может замаскироваться любой другой человек, который тем или иным образом узнал пароль владельца ПК. Именно поэтому вход в операционную систему Windows при помощи пароля не гарантирует надёжной защиты информации, хранящейся на вашем компьютере или ноутбуке.
Чтобы минимизировать подобные риски специалисты стали применять дополнительные виды информации, которые требуется предъявить при входе в систему. Такая информация может носить различный характер и называется факторами аутентификации.
Три фактора аутентификации
- Знание чего либо — пароль, парольная фраза, ПИН-код
- Обладание чем либо — физический USB-токен, смарт-карта, ключ iButton
- Биометрические характеристики — голос, рисунок сетчатки глаза, отпечаток пальца
Аутентификацию, которая использует только один из вышеназванных факторов, называют однофакторной. Аутентификацию, в процессе которой применяется несколько факторов, называют многофакторной.
Пример однофакторной аутентификации мы уже привели выше — это вход в компьютер с помощью пароля, а традиционным примером многофакторной аутентификации можно назвать использование банковской карточки для получения денежных средств в банкомате (двухфакторная аутентификация). В этом случае для того, чтобы снять деньги со своего банковского счёта, системе нужно предъявить не только банковскую карту, но и ввести правильный ПИН-код. Только после этого банкомат выдаст запрошенную денежную сумму.
Ещё один пример двухфакторной аутентификации — применение смарт-карты или электронного ключа JaCarta или eToken в комбинации с паролем для входа в компьютер по USB-токену или смарт-карте. В этом случае для загрузки компьютера требуется не только предъявить физический носитель (eToken или JaCarta), но и ввести его пароль, задействовав, таким образом, два фактора аутентификации.
Трёхфакторная аутентификация, в свою очередь, использует все три фактора, описанные выше. Очень часто её называют «аутентификацией типа 123». В настоящий момент трёхфакторная аутентификация является одним из самых надёжных инструментов защиты информации, хранящейся на компьютерах и ноутбуках.
Источник: Эримекс, Новосибирск — защита данных, информации и программ
Идентификация, аутентификация, авторизация — в чем разница?
Перед серией уроков по информационной безопасности нам нужно разобраться с базовыми определениями.
Сегодня мы узнаем, что такое идентификация, аутентификация, авторизация и в чем разница между этими понятиями
Что такое идентификация?
Сначала давайте прочитаем определение:
Идентификация — это процедура распознавания субъекта по его идентификатору (проще говоря, это определение имени, логина или номера).
Идентификация выполняется при попытке войти в какую-либо систему (например, в операционную систему или в сервис электронной почты).
Сложно? Давайте перейдём к примерам, заодно разберемся, что такое идентификатор.
Пример идентификатора в социальной сети ВКонтакте
Когда нам звонят с неизвестного номера, что мы делаем? Правильно, спрашиваем “Кто это”, т.е. узнаём имя. Имя в данном случае и есть идентификатор, а ответ вашего собеседника — это будет идентификация.
Идентификатором может быть:
- номер телефона
- номер паспорта
- номер страницы в социальной сети и т.д.
Подробнее об идентификаторах и ID рекомендую прочитать здесь.
Что такое аутентификация?
После идентификации производится аутентификация:
Аутентификация – это процедура проверки подлинности (пользователя проверяют с помощью пароля, письмо проверяют по электронной подписи и т.д.)
Чтобы определить чью-то подлинность, можно воспользоваться тремя факторами:
- Пароль – то, что мы знаем (слово, PIN-код, код для замка, графический ключ)
- Устройство – то, что мы имеем (пластиковая карта, ключ от замка, USB-ключ)
- Биометрика – то, что является частью нас (отпечаток пальца, портрет, сетчатка глаза)
Отпечаток пальца может быть использован в качестве пароля при аутентификации
Получается, что каждый раз, когда вы вставляете ключ в замок, вводите пароль или прикладываете палец к сенсору отпечатков пальцев, вы проходите аутентификацию.
Ну как, понятно, что такое аутентификация? Если остались вопросы, можно задать их в комментариях, но перед этим разберемся еще с одним термином.
Что такое авторизация?
Когда определили ID, проверили подлинность, уже можно предоставить и доступ, то есть, выполнить авторизацию.
Авторизация – это предоставление доступа к какому-либо ресурсу (например, к электронной почте).
Разберемся на примерах, что же это за загадочная авторизация:
- Открытие двери после проворачивания ключа в замке
- Доступ к электронной почте после ввода пароля
- Разблокировка смартфона после сканирования отпечатка пальца
- Выдача средств в банке после проверки паспорта и данных о вашем счете
Дверь открылась? Вы авторизованы!
Взаимосвязь идентификации, аутентификации и авторизации
Наверное, вы уже догадались, что все три процедуры взаимосвязаны:
- Сначала определяют имя (логин или номер) – идентификация
- Затем проверяют пароль (ключ или отпечаток пальца) – аутентификация
- И в конце предоставляют доступ – авторизация
Инфографика: 1 — Идентификация; 2 — Аутентификация; 3 — Авторизация
Проблемы безопасности при авторизации
Помните, как в сказке «Красная Шапочка» бабушка разрешает внучке войти в дом? Сначала бабушка спрашивает, кто за дверью, затем говорит Красной Шапочке, как открыть дверь. Волку же оказалось достаточным узнать имя внучки и расположение дома, чтобы пробраться в дом.
Какой вывод можно сделать из этой истории?
Каждый этап авторизации должен быть тщательно продуман, а идентификатор, пароль и сам принцип авторизации нужно держать в секрете.
Заключение
Итак, сегодня вы узнали, что такое идентификация, аутентификация и авторизация.
Теперь мы можем двигаться дальше: учиться создавать сложные пароли, знакомиться с правилами безопасности в Интернете, настраивать свой компьютер с учетом требований безопасности.
А в заключение, занимательная задачка для проверки знаний: посчитайте, сколько раз проходят идентификацию, аутентификацию и авторизацию персонажи замечательного мультфильма «Петя и Красная Шапочка» (ответы в комментариях).
P.S. Самые внимательные могут посчитать, сколько раз нарушены рассмотренные в данном уроке процедуры.
Автор: Сергей Бондаренко http://it-uroki.ru/
Копирование запрещено, но можно делиться ссылками:
Поделитесь с друзьями:
Понравились IT-уроки?
Все средства идут на покрытие текущих расходов (оплата за сервер, домен, техническое обслуживание)
и подготовку новых обучающих материалов (покупка необходимого ПО и оборудования).
Много интересного в соц.сетях:
Аутентификация — Википедия
Аутентифика́ция (англ. authentication < греч. αὐθεντικός [authentikos] «реальный, подлинный» < αὐτός [authos] «сам; он самый») — процедура проверки подлинности, например:
В русском языке термин применяется, в основном, в области информационных технологий.
Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических способов.
Аутентификацию не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору).
История
С древних времён перед людьми стояла довольно сложная задача — убедиться в достоверности важных сообщений. Придумывались речевые пароли, сложные печати. Появление методов аутентификации с применением механических устройств сильно упрощало задачу, например, обычный замок и ключ были придуманы очень давно. Пример системы аутентификации можно увидеть в старинной сказке «Приключения Али́-Бабы́ и сорока разбойников». В этой сказке говорится о сокровищах, спрятанных в пещере. Пещера была загорожена камнем. Отодвинуть его можно было только с помощью уникального речевого пароля: «Сим-Сим, откройся!».
В настоящее время в связи с обширным развитием сетевых технологий автоматическая аутентификация используется повсеместно.
Стандарты
Документы, определяющие стандарты аутентификации
ГОСТ Р ИСО/МЭК 9594-8-98 — Основы аутентификации
Настоящий стандарт:
- определяет формат информации аутентификации, хранимой справочником;
- описывает способ получения из справочника информации аутентификации;
- устанавливает предпосылки о способах формирования и размещения в справочнике информации аутентификации;
- определяет три способа, с помощью которых прикладные программы могут использовать такую информацию аутентификации для выполнения аутентификации, и описывает, каким образом с помощью аутентификации могут быть обеспечены другие услуги защиты.
В настоящем стандарте изложены два вида аутентификации: простая, использующая пароль как проверку заявленной идентичности, и строгая, использующая удостоверения личности, созданные с использованием криптографических методов
FIPS 113 — COMPUTER DATA AUTHENTICATION
Настоящий стандарт устанавливает Data Authentication Algorithm(DAA), который может быть использован для обнаружения несанкционированных изменений данных, как преднамеренных, так и случайных, стандарт основан на алгоритме, указанном в Data Encryption Standard(DES) Federal Information Processing Standards Publication(FIPS PUB) 46, и совместим как с Department of the Treasury’s Electronic Funds and Security Transfer Policy and the American National Standards Institute(ANSI) так и с Standard for Financial Institution Message Authentication.
Данный стандарт используется для контроля над целостностью передаваемой информации средствами криптографической аутентификации.
Элементы системы аутентификации
В любой системе аутентификации обычно можно выделить несколько элементов:
- субъект, который будет проходить процедуру
- характеристика субъекта — отличительная черта
- хозяин системы аутентификации, несущий ответственность и контролирующий её работу
- сам механизм аутентификации, то есть принцип работы системы
- механизм управления доступом, предоставляющий определённые права доступа субъекту
Элемент аутентификации | Пещера 40 разбойников | Регистрация в системе | Банкомат |
---|---|---|---|
Субъект | Человек, знающий пароль | Авторизованный пользователь | Держатель банковской карты |
Характеристика | Пароль «Сим-Сим, откройся!» | Тайный пароль | Банковская карта и персональный идентификатор |
Хозяин системы | 40 разбойников | Предприятие, которому принадлежит система | Банк |
Механизм аутентификации | Волшебное устройство, реагирующее на слова | Программное обеспечение, проверяющее пароль | Программное обеспечение, проверяющее карту и персональный идентификатор |
Механизм управления доступом | Механизм, отодвигающий камень от входа в пещеру | Процесс регистрации, управления доступом | Разрешение на выполнение банковских действий |
Факторы аутентификации
Ещё до появления компьютеров использовались различные отличительные черты субъекта, его характеристики. Сейчас использование той или иной характеристики в системе зависит от требуемой надёжности, защищённости и стоимости внедрения. Выделяют 3 фактора аутентификации:
- Нечто, что нам известно, например, какая-либо секретная информация. Это тайные сведения, которыми должен обладать только авторизованный субъект. Секретом может быть некая фраза или пароль, например в виде устного сообщения, текстового представления, комбинации для замка или личного идентификационного номера (PIN). Парольный механизм может быть довольно легко воплощён и имеет низкую стоимость. Но имеет существенные недостатки: сохранить пароль в тайне зачастую бывает сложно, злоумышленники постоянно придумывают новые способы кражи, взлома и подбора пароля (см. бандитский криптоанализ, метод грубой силы). Это делает парольный механизм слабозащищённым.
- Нечто, чем мы обладаем, например, какой-либо уникальный физический объект. Здесь важно обстоятельство обладания субъектом каким-то неповторимым предметом. Это может быть личная печать, ключ от замка, для компьютера это файл данных, содержащих характеристику. Характеристика часто встраивается в особое устройство аутентификации, например, пластиковая карта, смарт-карта. Для злоумышленника заполучить такое устройство становится более сложно, чем взломать пароль, а субъект может сразу же сообщить в случае кражи устройства. Это делает данный метод более защищённым, чем парольный механизм, однако стоимость такой системы более высокая.
- Нечто, что является неотъемлемой частью нас самих — биометрика. Характеристикой является физическая особенность субъекта. Это может быть портрет, отпечаток пальца или ладони, голос или особенность глаза. С точки зрения субъекта, данный способ является наиболее простым: не надо ни запоминать пароль, ни переносить с собой устройство аутентификации. Однако биометрическая система должна обладать высокой чувствительностью, чтобы подтверждать авторизованного пользователя, но отвергать злоумышленника со схожими биометрическими параметрами. Также стоимость такой системы довольно велика. Но, несмотря на свои недостатки, биометрика остается довольно перспективным фактором.
Способы аутентификации
Аутентификация при помощи электронной подписи
Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» (с изменениями) предусматривает следующие виды электронной подписи:
- Простая электронная подпись — электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
- Неквалифицированная электронная подпись — электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
- Квалифицированная электронная подпись — электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Аутентификация по паролям
- Аутентификация по многоразовым паролям
- Аутентификация по одноразовым паролям
Аутентификация по многоразовым паролям
Форма ввода связки логин-пароля
Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя, учётка) и пароля — неких конфиденциальных сведений. Достоверная (эталонная) пара логин-пароль хранится в специальной базе данных.
Простая аутентификация имеет следующий общий алгоритм:
- Субъект запрашивает доступ в систему и вводит личный идентификатор и пароль.
- Введённые неповторимые данные поступают на сервер аутентификации, где сравниваются с эталонными.
- При совпадении данных с эталонными аутентификация признаётся успешной, при различии — субъект перемещается к 1-му шагу
Введённый субъектом пароль может передаваться в сети двумя способами:
- Незашифрованно, в открытом виде, на основе протокола парольной аутентификации (Password Authentication Protocol, PAP)
- С использованием шифрования SSL или TLS. В этом случае неповторимые данные, введённые субъектом, передаются по сети защищённо.
Защищённость
С точки зрения наилучшей защищённости при хранении и передаче паролей следует использовать однонаправленные функции. Обычно для этих целей используются криптографически стойкие хэш-функции. В этом случае на сервере хранится только образ пароля. Получив пароль и проделав его хэш-преобразование, система сравнивает полученный результат с эталонным образом, хранящимся в ней. При их идентичности пароли совпадают. Для злоумышленника, получившего доступ к образу, вычислить сам пароль практически невозможно.
Использование многоразовых паролей имеет ряд существенных недостатков. Во-первых, сам эталонный пароль или его хэшированный образ хранятся на сервере аутентификации. Зачастую хранение пароля производится без криптографических преобразований, в системных файлах. Получив доступ к ним, злоумышленник легко доберётся до конфиденциальных сведений. Во-вторых, субъект вынужден запоминать (или записывать) свой многоразовый пароль. Злоумышленник может заполучить его, просто применив навыки социальной инженерии, без всяких технических средств. Кроме того, сильно снижается защищенность системы в случае, когда субъект сам выбирает себе пароль. Зачастую им оказывается какое-то слово или сочетание слов, присутствующие в словаре. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. При достаточном количестве времени злоумышленник может взломать пароль простым перебором. Решением этой проблемы является использование случайных паролей или ограниченность по времени действия пароля субъекта, по истечении которого пароль необходимо поменять.
Базы учетных записей
На компьютерах с ОС семейства UNIX базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш-функций от открытых паролей, кроме этого, в этом же файле хранится информация о правах пользователя. Изначально в Unix-системах пароль (в зашифрованном виде) хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было небезопасно.
На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования. Находится в каталоге %windir%\system32\config\.
В доменах Windows Server 2000/2003 такой базой является Active Directory.
Однако более надёжным способом хранения аутентификационных данных признано использование особых аппаратных средств (компонентов).
При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.
Аутентификация по одноразовым паролям
Заполучив однажды многоразовый пароль субъекта, злоумышленник имеет постоянный доступ к взломанным конфиденциальным сведениям. Эта проблема решается применением одноразовых паролей (OTP — One Time Password). Суть этого метода — пароль действителен только для одного входа в систему, при каждом следующем запросе доступа — требуется новый пароль. Реализован механизм аутентификации по одноразовым паролям может быть как аппаратно, так и программно.
Технологии использования одноразовых паролей можно разделить на:
- Использование генератора псевдослучайных чисел, единого для субъекта и системы
- Использование временных меток вместе с системой единого времени
- Использование базы случайных паролей, единой для субъекта и для системы
В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться системе при последовательном использовании односторонней функции или при каждом новом запросе, основываясь на уникальной информации из предыдущего запроса.
Во втором методе используются временные метки. В качестве примера такой технологии можно привести SecurID. Она основана на использовании аппаратных ключей и синхронизации по времени. Аутентификация основана на генерации случайных чисел через определенные временные интервалы. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ в систему, ему предлагается ввести PIN-код, а также случайно генерируемое число, отображаемое в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы и генерирует случайное число, основываясь на параметрах секретного ключа из базы и текущего времени. Далее проверяется идентичность сгенерированного числа и числа, введённого субъектом.
Третий метод основан на единой базе паролей для субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора может быть использован только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, то он уже будет недействителен.
По сравнению с использованием многоразовых паролей одноразовые пароли предоставляют более высокую степень защиты.
Аутентификация с помощью SMS
Актуальность обеспечения безопасности мобильных средств коммуникации, например, ip-phone, стимулирует новые разработки в этой области. Среди них можно назвать аутентификацию с помощью SMS-сообщений.
Процедура такой аутентификации включает в себя следующие шаги:
- Ввод имени пользователя и пароля
- Сразу после этого PhoneFactor (служба безопасности) присылает одноразовый аутентификационный ключ в виде текстового SMS-сообщения.
- Полученный ключ используется для аутентификации
Привлекательность данного метода заключается в том, что ключ получается не по тому каналу, по которому производится аутентификация (out-of-band), что практически исключает атаку типа «человек посередине». Дополнительный уровень безопасности может дать требование ввода PIN-кода мобильного средства.
Данный метод получил широкое распространение в банковских операциях через интернет.
Биометрическая аутентификация
Методы аутентификации, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % идентификацию, решая проблемы утраты паролей и личных идентификаторов.
Примерами внедрения указанных методов являются системы идентификации пользователя по рисунку радужной оболочки глаза, отпечаткам ладони, формам ушей, инфракрасной картине капиллярных сосудов, по почерку, по запаху, по тембру голоса и даже по ДНК.
Новым направлением является использование биометрических характеристик в интеллектуальных расчетных карточках, жетонах-пропусках и элементах сотовой связи. Например, при расчете в магазине предъявитель карточки кладет палец на сканер в подтверждение, что карточка действительно его.
Наиболее используемые биометрические атрибуты и соответствующие системы
- Отпечатки пальцев. Такие сканеры имеют небольшой размер, универсальны, относительно недороги. Биологическая повторяемость отпечатка пальца составляет 10−5 %. В настоящее время пропагандируются правоохранительными органами из-за крупных ассигнований в электронные архивы отпечатков пальцев.
- Геометрия руки. Соответствующие устройства используются, когда из-за грязи или травм трудно применять сканеры пальцев. Биологическая повторяемость геометрии руки около 2 %.
- Радужная оболочка глаза. Данные устройства обладают наивысшей точностью. Теоретическая вероятность совпадения двух радужных оболочек составляет 1 из 1078.
- Термический образ лица. Системы позволяют идентифицировать человека на расстоянии до десятков метров. В комбинации с поиском данных по базе данных такие системы используются для опознания авторизованных сотрудников и отсеивания посторонних. Однако при изменении освещенности сканеры лица имеют относительно высокий процент ошибок.
- Распознавание по лицу. Системы на основе данного подхода позволяют идентифицировать персону в определенных условиях с погрешностью не более 3 %. В зависимости от метода позволяют идентифицировать человека на расстояниях от полуметра до нескольких десятков метров. Данный метод удобен тем, что он позволяет реализацию штатными средствами (веб-камера и т. п.). Более сложные методы требуют более изощренных устройств. Некоторые (не все) методы обладают недостатком подмены: можно провести идентификацию подменив лицо реального человека на его фотографию.
- Голос. Проверка голоса удобна для использования в телекоммуникационных приложениях. Необходимые для этого 16-разрядная звуковая плата и конденсаторный микрофон стоят менее 25 $. Вероятность ошибки составляет 2 — 5 %. Данная технология подходит для верификации по голосу по телефонным каналам связи, она более надежна по сравнению с частотным набором личного номера. Сейчас развиваются направления идентификации личности и его состояния по голосу — возбужден, болен, говорит правду, не в себе и т. д.
- Ввод с клавиатуры. Здесь при вводе, например, пароля отслеживаются скорость и интервалы между нажатиями.
- Подпись. Для контроля рукописной подписи используются дигитайзеры
В то же время биометрическая аутентификация имеет ряд недостатков:
- Биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. За время пути может много чего произойти.
- База шаблонов может быть изменена злоумышленником.
- Следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в «полевых» условиях, когда, например, к устройству сканирования могут поднести муляж и т. п.
- Некоторые биометрические данные человека меняются (как в результате старения, так и травм, ожогов, порезов, болезни, ампутации и т. д.), так что база шаблонов нуждается в постоянном сопровождении, а это создает определенные проблемы и для пользователей, и для администраторов.
- Если у Вас крадут биометрические данные или их компрометируют, то это, как правило, на всю жизнь. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Палец, глаз или голос сменить нельзя, по крайней мере быстро.
- Биометрические характеристики являются уникальными идентификаторами, но их нельзя сохранить в секрете.
Аутентификация через географическое местоположение
- Аутентификация посредством GPS
- Аутентификация, основанная на местоположении выхода в интернет
Аутентификация посредством GPS
Новейшим направлением аутентификации является доказательство подлинности удаленного пользователя по его местонахождению. Данный защитный механизм основан на использовании системы космической навигации, типа GPS (Global Positioning System).
Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надежность аутентификации определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что сводит на нет возможность их перехвата.
Сложность взлома системы состоит в том, что аппаратура передает оцифрованный сигнал спутника, не производя никаких вычислений. Все вычисления о местоположении производят на сервере аутентификации.
Аппаратура GPS проста и надежна в использовании и сравнительно недорога. Это позволяет её использовать в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.
Аутентификация, основанная на местоположении выхода в интернет
Данный механизм основан на использовании информации о местоположении серверов, точек доступа беспроводной связи, через которые осуществляется подключение к сети интернет.
Относительная простота взлома состоит в том, что информацию о местоположении можно изменить, используя так называемые прокси-серверы или системы анонимного доступа.
Многофакторная аутентификация
В последнее время всё чаще применяется так называемая расширенная, или многофакторная, аутентификация. Она построена на совместном использовании нескольких факторов аутентификации. Это значительно повышает защищённость системы.
В качестве примера можно привести использование SIM-карт в мобильных телефонах. Субъект вставляет аппаратно свою карту (устройство аутентификации) в телефон и при включении вводит свой PIN-код (пароль).
Также, к примеру, в некоторых современных ноутбуках присутствует сканер отпечатка пальца. Таким образом, при входе в систему субъект должен пройти эту процедуру (биометрика), а потом ввести пароль.
Выбирая для системы тот или иной фактор или способ аутентификации, необходимо, прежде всего, отталкиваться от требуемой степени защищенности, стоимости построения системы, обеспечения мобильности субъекта.
Можно привести сравнительную таблицу:
Уровень риска | Требования к системе | Технология аутентификации | Примеры применения |
---|---|---|---|
Низкий | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений не будут иметь значительных последствий | Рекомендуется минимальное требование — использование многоразовых паролей | Регистрация на портале в сети Интернет |
Средний | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят небольшой ущерб | Рекомендуется минимальное требование — использование одноразовых паролей | Произведение субъектом банковских операций |
Высокий | Требуется осуществить аутентификацию для доступа к системе, причём кража, взлом, разглашение конфиденциальных сведений причинят значительный ущерб | Рекомендуется минимальное требование — использование многофакторной аутентификации | Проведение крупных межбанковских операций руководящим аппаратом |
Протоколы аутентификации
Процедура аутентификации используется при обмене информацией между компьютерами, при этом используются весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация может быть и взаимной.
Таким образом, можно выделить несколько семейств аутентификации:
Аутентификация пользователя на PC:
- Шифрованное имя (login)
- Password Authentication Protocol, PAP (связка логин-пароль)
- Карта доступа (USB с сертификатом, SSO)
- Биометрия (голос, отпечаток пальца/ладони/радужки глаза)
Аутентификация в сети —
В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.
Аутентификация в Интернете
Аутентификация требуется при доступе к таким сервисам как:
Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, то есть предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.
См. также
Литература
- Ричард Э. Смит. Аутентификация: от паролей до открытых ключей = Authentication: From Passwords to Public Keys First Edition. — М.: Вильямс, 2002. — С. 432. — ISBN 0-201-61599-1.
- под. редакцией А.А. Шелупанова, С.Л. Груздева, Ю.С. Нахаева. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. = Authentication. Theory and practice of ensuring access to information resources.. — М.: Горячая линия – Телеком, 2009. — С. 552. — ISBN 978-5-9912-0110-0.
- Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
- Linn J. Common Authentication Technology Overview,.
- Bellovin S. and M. Merritt. Limitations of the Kerberos Authentication System.
- Kaufman, C. Distributed Authentication Security Service (DASS).
- Anderson, B.,. TACACS User Identification Telnet Option. — December 1984.
- Tardo J. and K. Alagappan. SPX: Global Authentication Using Public Key Certificates. — М.California, 1991. — С. pp.232-244.
- А.А. Гладких, В.Е. Дементьев. Базовые принципы информационной безопасности вычислительных сетей.. — Ульяновск: УлГТУ, 2009. — С. 156.
Ссылки
Типы аутентификации
Что такое аутентификация
Аутентификация — это процесс, при котором система идентифицирует законных пользователей от неавторизованных пользователей. Это процесс, в котором пользователь идентифицирует себя в системе. Насколько эффективен процесс аутентификации, определяется используемыми протоколами и механизмами аутентификации. Windows Server 2003 предоставляет несколько различных типов проверки подлинности, которые можно использовать для проверки удостоверений пользователей сети, в том числе:
Протокол аутентификации Kerberos
Протокол аутентификации NT LAN Manager (NTLM)
Уровень защищенных сокетов / транспортный уровень безопасности (SSL / TLS)
Дайджест-аутентификация
Смарт-карты
Виртуальная частная сеть (VPN) и службы удаленного доступа (RAS)
Протокол проверки подлинности Kerberos версии 5 является типом проверки подлинности по умолчанию для среды Windows Server 2003.Kerberos версии 5 использует стратегию «тикета» для аутентификации допустимых сетевых пользователей и обеспечивает взаимную аутентификацию между пользователями и ресурсами. Windows Server 2003 поддерживает протокол проверки подлинности NTLM для обеспечения совместимости с более ранними операционными системами (ОС), такими как совместимость с Windows NT 4. Уровень защищенных сокетов / транспортный уровень безопасности (SSL / TLS) и дайджест-проверка подлинности обычно используются для веб-приложений. SSL / TLS основан на сертификатах открытого ключа X.509 и обеспечивает взаимную аутентификацию между клиентом и сервером.
Ниже описаны некоторые функции проверки подлинности, представленные в Windows Server 2003:
Windows Server 2003 включает поддержку смарт-карт, а также поддержку нескольких различных механизмов многофакторной проверки подлинности . Windows Server 2003 может также поддерживать ряд протоколов аутентификации, таких как NTLM, NTLMv2 и Kerberos версии 5.
В Windows Server 2003 Active Directory служба каталогов Active Directory хранит учетные данные безопасности, такие как пароли пользователей, которые используются для процесса аутентификации.Служба каталогов Active Directory может хранить учетные данные безопасности для каждого протокола проверки подлинности. Служба также позволяет пользователям входить в систему на компьютерах в среде Active Directory, содержащей несколько доменов и лесов.
Пользователь может войти в систему на любом компьютере через одну учетную запись домена. Это называется единым входом. Пользователю в основном необходимо войти в учетную запись домена только один раз и с одним паролем. Информация о безопасности входа пользователя хранится в Active Directory.Каждый раз, когда пользователь пытается получить доступ к ресурсу в домене, выполняется сетевая аутентификация.
В оставшейся части этой статьи основное внимание уделяется различным типам аутентификации, которые вы можете реализовать для реализации стратегии аутентификации в вашей среде.
Протокол аутентификации Kerberos
Наиболее распространенным типом протокола проверки подлинности, используемым в домене Windows Server 2003 Active Directory, является протокол проверки подлинности Kerberos версии 5.Протокол проверки подлинности Kerberos предоставляет следующие функции проверки подлинности:
Проверяет идентификацию пользователей сети
Проверяет, действительна ли сетевая служба, к которой пользователь пытается получить доступ. Эта функция безопасности предотвращает доступ пользователей к любым поддельным сетевым службам, которые могли быть созданы неавторизованными пользователями сети. Эти поддельные службы обычно создаются для того, чтобы обманом заставить пользователей сети раскрыть свои учетные данные.
Терминология, используемая для описания процесса, с помощью которого проверяются как идентичность пользователей, так и идентичность служб, к которым осуществляется доступ. — это взаимная аутентификация. Название протокола аутентификации Kerberos происходит из греческой мифологии (трехголовый пес). Это происходит из-за следующих трех компонентов протокола:
Клиент, запрашивающий аутентификацию или услугу
Сервер, на котором находится служба, запрашиваемая клиентом.
Компьютер, которому доверяют и клиент, и сервер. Обычно это контроллер домена Windws Server 2003, на котором запущена служба центра распространения ключей.
Тип аутентификации Kerberos не передает пароли в процессе аутентификации. Вместо этого он использует билеты. Билет — это специально отформатированные пакеты данных, которые позволяют клиенту получить доступ к ресурсу. Билет содержит личность пользователя в зашифрованном формате данных.При расшифровке данные или информация проверяют личность клиента. Поскольку тип проверки подлинности Kerberos использует билеты, он обеспечивает большую безопасность процесса проверки подлинности.
Тип проверки подлинности Kerberos зависит от центра распространения ключей (KDC) для выдачи билетов. Каждый сетевой клиент использует DNS для поиска ближайшего доступного KDC для получения билета Kerberos. Билет обычно остается активным около 8 или 10 часов. Центр распространения ключей (KDC) — это служба, работающая как компонент Active Directory.Фактически, каждый контроллер домена в домене Windows Server 2003 работает как центр распространения ключей (KDC). Это Центр распространения ключей (KDC), который управляет базой данных с информацией об учетных записях безопасности для каждого участника безопасности в домене. Субъектами безопасности, составляющими основу архитектуры безопасности Active Directory, являются учетные записи пользователей, группы безопасности и учетные записи компьютеров. Администраторы доменов назначают участникам безопасности разрешения на доступ к сетевым ресурсам и выполнение определенных действий с этими ресурсами.KDC содержит криптографический ключ, известный только конкретному участнику безопасности, и KDC. Этот криптографический ключ, также называемый долгосрочным ключом , формируется из пароля входа в систему пользователя и используется, когда KDC и участник безопасности взаимодействуют. Поскольку каждый контроллер домена в доменах Windows Server 2003 работает как KDC, для домена включена отказоустойчивость. Когда один контроллер домена недоступен, любой другой контроллер домена в домене может выдавать билеты.
Проверка подлинности Kerberos может использоваться клиентами и серверами под управлением следующих операционных систем (ОС):
Windows 2000
Windows XP Professional
Windows Server 2003
Компьютеры Windows 2000, Windows XP Professional и Windows Server 2003, которые являются членами домена Windows 2000 или Windows Server 2003, используют протокол Kerberos для сетевой аутентификации для ресурсов домена.Это конфигурация по умолчанию для этих доменов. Когда клиент нижнего уровня пытается получить доступ к защищенному ресурсу Kerberos, используется проверка подлинности NTLM; а не аутентификация Kerberos.
Как работает процесс аутентификации Kerberos
Шаги, описанные ниже, описывают процесс аутентификации Kerberos.
Пользователь предоставляет свое имя пользователя и пароль. Компьютер передает эти данные в KDC.
KDC создает сеансовый ключ и билет для выдачи билетов (TGT).TGT — это билет, который позволяет клиенту получать временные билеты от службы предоставления билетов для каждой аутентификации, и он включает в себя следующее:
TGT шифруется KDC с помощью его главного ключа.
Затем клиентский компьютер получает эту информацию от KDC. На этом этапе клиентский компьютер хранит ключ сеанса и TGT и аутентифицируется в домене. Ключ сеанса и TGT хранятся в энергозависимой памяти, поскольку они обеспечивают лучшую безопасность, чем хранение информации на жестком диске.
Клиент Kerberos передает свой TGT и временную метку, зашифрованную его сеансовым ключом, в KDC, когда ему необходимо получить доступ к ресурсам, размещенным на сервере, который является членом того же домена. KDC использует свой главный ключ для расшифровки TGT и сеансовый ключ для расшифровки отметки времени. Поскольку пользователь — единственный человек, который может использовать сеансовый ключ, KDC может проверить, что запрос на доступ к ресурсам исходит от конкретного пользователя.
На этом этапе KDC генерирует билет для клиента и билет для сервера, на котором размещены ресурсы, к которым клиент хочет получить доступ.Каждый билет имеет новый ключ, которым сервер и клиент будут совместно использовать друг друга, и содержит следующую информацию:
Имя пользователя
Получатель запроса пользователя
Отметка времени, указывающая время создания заявки.
Срок действия билета
Главный ключ сервера используется KDC для шифрования билета сервера.Билет сервера хранится в билете клиента. Сеансовый ключ, которым KDC делится с конкретным пользователем, затем используется для шифрования всего набора информации. Затем он передается пользователю.
Пользователь расшифровывает полученный билет с помощью сеансового ключа. Пользователь шифрует метку времени с помощью нового ключа, а затем передает эту информацию и билет сервера, на котором размещены ресурсы, к которым он хочет получить доступ. Затем сервер использует главный ключ сервера для расшифровки билета сервера.Затем новый ключ используется для расшифровки метки времени.
Протокол аутентификации NT LAN Manager (NTLM)
Протокол проверки подлинности NT LAN Manager (NTLM) является основным типом проверки подлинности, используемым для включения сетевой проверки подлинности для версий Windows, предшествующих Windows 2000, например, для Windows NT 4. Протокол проверки подлинности в основном используется для проверки подлинности между машинами под управлением Windows NT. и машины Windows Server 2003.
Тип проверки подлинности NTLM обычно используется в сценариях, перечисленных ниже:
Рабочими станциями и автономными серверами, входящими в рабочие группы.
На компьютерах Windows 2000 или Windows XP Professional, обращающихся к основному контроллеру домена Windows NT 4.0 или резервному контроллеру домена.
Пользователями домена Windows NT 4.0, когда существуют доверительные отношения с доменом или лесом Active Directory Windows 2000 или Windows Server 2003.
Клиентами рабочих станций Windows NT 4.0, которые хотят пройти аутентификацию на контроллере домена Windows NT 4.0, Windows 2000 или Windows Server 2003.
Windows Server 2003 поддерживает следующие формы методов проверки подлинности типа запрос-ответ:
LAN Manager (LM): Протокол аутентификации LM используется для обеспечения обратной совместимости с более ранними ОС, такими как Windows 95, Windows 98, Windows NT 4.0 SP 3, и ранее Ос. LM-аутентификация считается самым слабым протоколом аутентификации, поскольку ее легче всего взломать. LM-аутентификацию не следует использовать в средах Windows Server 2003.
NTLM версия 1: NTLM версии 1 более безопасна, чем проверка подлинности LM, поскольку в ней используется 56-разрядное шифрование, а учетные данные пользователя хранятся в формате NT Hash. Этот формат более безопасен, чем уровень шифрования, используемый при аутентификации LM.
NTLM версии 2: NTLM версии 2 использует 128-битное шифрование и, следовательно, предлагает самый высокий уровень шифрования.
Аутентификация NTLM работает путем шифрования информации для входа пользователя. Это делается путем применения хеш-кода к паролю пользователя. Хеш — это математическая функция. База данных учетных записей безопасности содержит значение хэша, который создается, когда пароль шифруется NTLM. Пароль пользователя по сети не передается. Что происходит, так это то, что клиент применяет хеш-код к паролю пользователя до фактической отправки информации контроллеру домена.Значение хэша также зашифровано.
Как работает процесс аутентификации NTLM
Клиент и сервер согласовывают используемый протокол аутентификации.
Клиент передает имя пользователя и имя домена контроллеру домена.
На этом этапе контроллер домена создает одноразовый номер. Это 16-байтовая случайная символьная строка.
Одноразовый номер шифруется клиентом с использованием хеш-значения пароля пользователя.Клиент пересылает это контроллеру домена.
Затем контроллер домена получает хэш пароля пользователя из базы данных учетных записей безопасности для шифрования одноразового номера.
Затем это значение сравнивается с хеш-значением, отправленным клиентом.
Аутентификация происходит, когда два значения идентичны.
Secure Sockets Layer / Transport Layer Security (SSL / TLS)
Secure Socket Layer (SSL) — это протокол безопасности Windows Server 2003, в котором используется технология открытого ключа для обеспечения безопасного канала для приложений, взаимодействующих через незащищенную сеть, такую как Интернет.SSL обычно используется веб-браузерами и веб-серверами для безопасных каналов связи.
Протокол Secure Socket Layer (SSL) функционирует на сетевом уровне модели OSI, обеспечивая шифрование для следующих протоколов:
Протокол SSL предоставляет следующие функции:
Аутентификация сервера позволяет пользователю проверить, является ли веб-сервер, к которому он / она обращается, фактически тем сервером, которым он изображен.
Аутентификация клиента позволяет серверу проверять личность пользователя.
Зашифрованные соединения обеспечивают конфиденциальность данных, поскольку информация, передаваемая между сервером и клиентом, зашифрована и дешифрована.
Прежде чем клиент и сервер смогут участвовать в защищенном Интернет-соединении, клиент и сервер должны выполнить квитирование безопасности . Подтверждение безопасности — это процесс, который аутентифицирует каждый объект, участвующий в обмене данными, а также устанавливает уровень безопасности, используемый для обмена данными.
Следующие события происходят, когда клиент и сервер участвуют в подтверждении безопасности:
Клиент отправляет серверу запрос на подключение по безопасному каналу.
Сервер отправляет клиенту свой сертификат открытого ключа. Сервер также может запросить сертификат клиента для взаимной аутентификации.
Затем клиент проверяет подлинность сертификата сервера. На этом этапе клиент отправляет свой сертификат серверу, если сервер запросил его на шаге 2.Сервер переходит к проверке сертификата клиента.
Клиент создает ключ сеанса и шифрует ключ сеанса открытым ключом сервера.
Теперь у сервера и клиента есть защищенный канал для связи, поскольку информация, передаваемая между ними, зашифровывается и дешифруется с помощью сеансового ключа.
Протокол безопасности транспортного уровня (TLS), который в настоящее время разрабатывается Инженерной группой Интернета (IETF), заменит протокол SSL в качестве нового протокола для защиты Интернет-трафика.
Дайджест-аутентификация
Дайджест-проверка подлинности обычно используется для проверки подлинности веб-приложений, работающих с Internet Information Services (IIS). Дайджест-аутентификация использует протокол дайджест-доступа в процессе аутентификации. Протокол доступа к дайджесту использует механизм «запрос-ответ» для приложений, использующих протоколы HTTP или простой аутентификации уровня безопасности (SASL). После аутентификации клиента сеансовый ключ клиента находится на веб-сервере.Когда дайджест-аутентификация передает информацию о пользователе по сети, это делается с использованием зашифрованного хэша. Это предотвращает неавторизованные пользователи, которые могут пытаться получить доступ к сетевым ресурсам, от перехвата учетных данных пользователя. Все последующие запросы аутентификации, отправленные одним и тем же клиентом, обрабатываются с использованием этого сеансового ключа. Благодаря этой функции дайджест-проверки подлинности клиенту не нужно проходить проверку подлинности с помощью контроллера домена каждый раз, когда он отправляет запрос проверки подлинности.
Перед использованием дайджест-аутентификации на серверах IIS необходимо выполнить несколько условий. Они перечислены ниже.
Любой клиент, который хочет получить доступ к защищенному ресурсу с дайджест-аутентификацией, должен использовать Internet Explorer 5 или более поздней версии.
Сервер IIS должен работать под управлением Windows 2000 или выше.
Домен, членом которого является сервер IIS, должен включать контроллер домена под управлением Windows Server 2003 или Windows 2000.
Сервер IIS и пользователь, который хочет войти на сервер IIS, должны принадлежать к одному домену. Однако к ним можно присоединиться через трасты.
Каждый пользователь, который должен пройти проверку подлинности, должен иметь законную учетную запись в Active Directory на конкретном контроллере домена.
Пароли пользователей должны храниться в обратимо зашифрованном формате в Active Directory. Вы можете использовать консоль «Active Directory — пользователи и компьютеры» для доступа к вкладке «Учетная запись» диалогового окна «Свойства» пользователя, чтобы включить обратимое шифрование.
Веб-сайты, которые используют аутентификацию паспорта используют центральный сервер паспорта для аутентификации пользователей. Аутентификация по паспорту работает с Microsoft Internet Explorer, Netscape Navigator и даже с некоторыми системами и браузерами Unix. Это связано с тем, что аутентификация паспорта не является проприетарной. В шифровании паспорта используются следующие веб-технологии:
SSL шифрование
Шифрование с симметричным ключом
HTTP перенаправляет
Файлы cookie
Некоторые функции аутентификации паспорта перечислены ниже:
Все веб-страницы, которые используются для управления операциями входа и выхода, расположены в центральном репозитории.
Эти веб-страницы используют шифрование SSL для передачи информации об именах пользователей и паролях учетных записей пользователей.
Веб-сайт не получает фактический паспорт пользователя. Вместо этого он получает файл cookie, который включает зашифрованные временные метки, которые были сгенерированы при первоначальном входе пользователя в систему.
- Веб-сайты
, использующие аутентификацию по паспорту, используют зашифрованные файлы cookie, чтобы пользователи могли получить доступ к нескольким сайтам, при этом от пользователя не требуется повторно отправлять свои учетные данные для входа.Фактические файлы cookie используют надежное шифрование.
Центральный сервер Passport использует шифрование, когда он отправляет учетные данные для входа и любую другую информацию пользователя на веб-сайт, на котором включена аутентификация по паспорту.
Смарт-карты
Windows Server 2003 поддерживает проверку подлинности смарт-карт. Смарт-карты можно использовать для защиты следующих предметов:
Смарт-карта — это устройство, размером с кредитную карту. Смарт-карты зависят от инфраструктуры открытых ключей (PKI) Windows Server 2003.Смарт-карта используется вместе с идентификационным номером (PIN), чтобы включить аутентификацию и единый вход на предприятии. Смарт-карта фактически хранит закрытый ключ пользователя, сертификат открытого ключа и информацию для входа в систему. Пользователь вставляет смарт-карту в устройство чтения смарт-карт, подключенное к компьютеру. Затем пользователь вводит ПИН-код, когда запрашивается информация.
Смарт-карты
обычно используются для интерактивного входа пользователей в систему, чтобы обеспечить дополнительную безопасность и шифрование учетных данных для входа.Считыватели смарт-карт могут быть установлены на серверах, поэтому вы можете потребовать от администраторов использовать проверку подлинности смарт-карт при использовании учетной записи администратора. Вы также можете потребовать входа в систему удаленного доступа для использования проверки подлинности смарт-карты. Это помогает предотвратить использование неавторизованными пользователями соединений VPN или удаленного доступа для атаки на вашу сеть. С помощью смарт-карт вы также можете зашифровать конфиденциальные файлы и другую конфиденциальную информацию пользователя.
Стоимость, связанная с внедрением и администрированием стратегии аутентификации смарт-карт, определяется следующими элементами:
Число и расположение пользователей, которые должны быть зарегистрированы в вашей стратегии проверки подлинности смарт-карты.
Метод, который организация собирается использовать для выпуска смарт-карт пользователям.
Процедуры, которые будут реализованы для работы с пользователями, которые потеряли свои смарт-карты.
В дополнение к вышесказанному, с аутентификацией смарт-карты, каждый компьютер должен иметь устройство чтения смарт-карт, и один компьютер должен быть настроен как станция регистрации смарт-карт. Рекомендуется использовать только устройства чтения смарт-карт, совместимые с персональным компьютером / смарт-картой (PC / SC).Пользователь, ответственный за станцию регистрации смарт-карт, должен иметь сертификат агента регистрации. Владелец этого сертификата может выпускать смарт-карты для пользователей.
Служба проверки подлинности в Интернете (IAS)
Служба аутентификации в Интернете (IAS) функционирует как сервер службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) и может использоваться для управления процессом входа пользователей в систему, предоставляя следующие ключевые функции:
Управление аутентификацией пользователей: IAS можно использовать для коммутируемого доступа и доступа через VPN, а также для беспроводного доступа.
Служба IAS предоставляет протокол RADIUS, который она использует для передачи запросов аутентификации и авторизации в соответствующий домен Active Directory.
Проверка доступа пользователя к сетевым ресурсам
Отслеживание активности пользователей
Служба проверки подлинности в Интернете (IAS) поддерживается в следующих выпусках Windows Server 2003:
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition
Windows Server 2003 Datacenter Edition
Протоколы аутентификации по умолчанию, поддерживаемые IAS:
Протокол точка-точка (PPP): Следующие протоколы PPP поддерживаются IAS:
Хотя EAP-TLS считается самым надежным методом проверки подлинности служб удаленного доступа, его можно использовать только тогда, когда клиенты работают под управлением Windows 2000, Windows XP или Windows Server 2003.EAP-TLS использует аутентификацию на основе сертификата открытого ключа для аутентификации беспроводных соединений.
Extensible Authentication Protocol (EAP): Следующие протоколы EAP поддерживаются IAS:
Протокол аутентификации паролей (PAP): Windows Server 2003 поддерживает PAP для обратной совместимости. При использовании PAP информация о пользователе (имя пользователя и пароль) передается в виде открытого текста.
Challenge Handshake Authentication Protocol (CHAP): CHAP шифрует имя и пароль пользователя с помощью шифрования MD5.Требование CHAP состоит в том, что информация о пароле пользователя должна храниться с использованием обратимого шифрования в Active Directory.
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP): MS-CHAP обеспечивает лучшую безопасность, чем протокол CHAP. Пароли пользователей не обязательно должны храниться с использованием обратимого шифрования.
Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAP версии 2): MS-CHAP версии 2 включает возможность защиты взаимной аутентификации.Взаимная аутентификация происходит, когда сервер и клиент проверяют идентичность друг друга. MS-CHAP версии 2 использует отдельные ключи шифрования для отправки и получения информации безопасности.
После того, как IAS аутентифицировал пользователя, он может использовать несколько методов авторизации для проверки того, что аутентифицированному пользователю разрешен доступ к сетевым ресурсам, доступ к которым он запрашивает. Сюда входят:
Автоматическая идентификация номера / идентификация вызывающей линии (ANI / CLI): При использовании ANI / CLI авторизация определяется номером, с которого звонит пользователь.
Служба идентификации набранного номера (DNIS): Авторизация определяется путем проверки телефонного номера, который использует вызывающий абонент.
Политики удаленного доступа: Политики удаленного доступа могут использоваться для разрешения или запрещения попыток подключения к сети на основе таких условий, как сведения о членстве в группе, время суток, время недели, используемый номер доступа и другие условия. Вы также можете использовать политики удаленного доступа, чтобы контролировать время, в течение которого клиент удаленного доступа может быть подключен к сети.Вы можете указать уровень шифрования, который клиент удаленного доступа должен использовать для доступа к сетевым ресурсам.
Гостевая авторизация: Гостевая авторизация позволяет пользователям выполнять ограниченные задачи без необходимости предоставления учетных данных (имя пользователя и пароль).
Беспроводные клиенты могут использовать сертификаты, смарт-карты и имя пользователя или пароль для аутентификации на сервере IAS. Прежде чем беспроводной клиент сможет подключиться к вашей корпоративной сети, вам необходимо определить следующее:
Создайте политику удаленного доступа для беспроводных пользователей, которая разрешает этим пользователям доступ к корпоративной сети.Политика удаленного доступа должна включать:
Способ доступа
Информация о пользователях и группах
Метод аутентификации
Метод шифрования политики
Соответствующие разрешения
Все беспроводные AP должны быть добавлены на сервер IAS в качестве клиентов RADIUS. Это гарантирует, что информация для входа в систему может быть отправлена в IAS.
События, которые происходят, когда беспроводные клиенты запрашивают доступ к сети, описаны ниже.
Беспроводная точка доступа запрашивает информацию аутентификации от беспроводного клиента.
Затем беспроводной клиент передает эту информацию беспроводной точке доступа. Беспроводная точка доступа пересылает информацию в IAS.
Когда информация, которую получает IAS, является действительной, она передает зашифрованный ключ аутентификации беспроводной точке доступа.
Затем беспроводная точка доступа использует зашифрованный ключ аутентификации для создания сеанса с беспроводным клиентом.
Как установить службу интернет-авторизации (IAS) на контроллере домена
Щелкните Пуск, Программы, Панель управления, а затем дважды щелкните Установка и удаление программ.
Выберите «Добавить / удалить компоненты Windows».
Запускает мастер компонентов Windows.
Щелкните Сетевые службы.Щелкните Подробности.
Когда откроется диалоговое окно «Сетевые службы», установите флажок «Служба проверки подлинности в Интернете».
Щелкните ОК.
Чтобы начать фактическую установку IAS, щелкните Далее.
При появлении запроса вставьте компакт-диск Windows Server 2003 в дисковод для компакт-дисков.
После завершения установки IAS нажмите «Готово», а затем нажмите «Закрыть».
Чтобы зарегистрировать сервер IAS в Active Directory, чтобы он мог получать информацию о пользователях из доменов Active Directory, щелкните Пуск, Программы, Администрирование, а затем Служба проверки подлинности в Интернете.
Щелкните правой кнопкой мыши Службу проверки подлинности в Интернете и выберите в контекстном меню пункт «Зарегистрировать сервер в Active Directory».
Щелкните ОК.
Как создать политику удаленного доступа
Нажмите Пуск, Программы, Администрирование, а затем Служба проверки подлинности в Интернете.
Щелкните правой кнопкой мыши «Политики удаленного доступа», а затем выберите «Новая политика удаленного доступа» в контекстном меню.
Это действие запускает мастер новой политики удаленного доступа.Нажмите Далее на экране приветствия мастера.
Щелкните Использовать мастер, чтобы настроить типичную политику для общего сценария, и введите имя для новой политики удаленного доступа в поле Имя политики. Нажмите «Далее.
Когда появится экран метода доступа, выберите метод доступа по телефонной линии. Другие варианты метода доступа включают:
Щелкните Далее.
Выберите «Группа», а затем выберите группу, которой вы хотите предоставить разрешение на удаленный доступ.Нажмите «Далее.
Когда появится экран «Методы аутентификации», выберите один из следующих методов аутентификации для новой политики удаленного доступа.
Расширяемый протокол аутентификации (EAP)
Microsoft Challenge Handshake Authentication Protocol версии 2 (MS-CHAPv2)
Протокол аутентификации Microsoft Challenge Handshake (MS-CHAP)
Нажмите Далее
Укажите уровень шифрования, который пользователи должны использовать для подключения к серверу IAS.Нажмите «Далее.
Нажмите Готово.
Если вы хотите установить какие-либо дополнительные условия удаленного доступа, щелкните правой кнопкой мыши конкретную политику удаленного доступа и выберите «Свойства» в контекстном меню.
.
методов и функций аутентификации — Azure Active Directory
Перейти к основному содержанию
Содержание
Выйти из режима фокусировки
Закладка
Обратная связь
редактировать
Поделиться
Twitter
LinkedIn
Facebook
Эл. адрес
Оглавление
- 3 минуты на чтение
-
securityDefinitions
были переименованы вsecuritySchemes
и перемещены в компоненты -
тип: базовый
был заменен на тип: http
и схема: базовый
. - Новый тип
: http
является зонтичным типом для всех схем безопасности HTTP, включая базовую, несущую и другие, а ключевое словоscheme
указывает тип схемы. - Ключи API теперь можно отправлять
в: cookie
. - Добавлена поддержка OpenID Connect Discovery (тип
: openIdConnect
). - Схемы безопасности OAuth 2 теперь могут определять несколько
потоков
. - Потоки OAuth 2 были переименованы в соответствии со спецификацией OAuth 2:
accessCode
теперьauthorizationCode
, а приложениеclientCredentials
.
900 22.
Аутентификация
OAS 3 Эта страница относится к OpenAPI 3 — последней версии спецификации OpenAPI. Если вы используете OpenAPI 2 (fka Swagger), посетите страницы OpenAPI 2.
Аутентификация и авторизация
OpenAPI использует термин схема безопасности для схем аутентификации и авторизации. OpenAPI 3.0 позволяет описывать защищенные API с помощью следующих схем безопасности:
Перейдите по ссылкам выше, чтобы получить руководства по определенным типам безопасности, или продолжайте читать, чтобы узнать, как описывать безопасность в целом.
Изменения по сравнению с OpenAPI 2.0
Если вы раньше использовали OpenAPI 2.0, вот сводка изменений, которые помогут вам начать работу с OpenAPI 3.0:
Описание безопасности
Безопасность описывается с использованием ключевых слов securitySchemes
и security
.Вы используете securitySchemes
для определения всех схем безопасности, поддерживаемых вашим API, затем используйте security
для применения определенных схем ко всему API или отдельным операциям.
Шаг 1. Определение схем безопасности
Все схемы безопасности, используемые API, должны быть определены в глобальном разделе компонентов / securitySchemes
. Этот раздел содержит список именованных схем безопасности, каждая из которых может быть типа
:
Другие необходимые свойства для схем безопасности зависят от типа
.В следующем примере показано, как определяются различные схемы безопасности. Имена BasicAuth , BearerAuth и другие — это произвольные имена, которые будут использоваться для ссылки на эти определения из других мест в спецификации.
компонентов:
securitySchemes:
BasicAuth:
тип: http
схема: базовая
BearerAuth:
тип: http
схема: предъявитель
ApiKeyAuth:
тип: apiKey
в: заголовок
имя: X-API-Key
OpenID:
тип: openIdConnect
openIdConnectUrl: https: // пример.com /. хорошо известный / openid-configuration
OAuth3:
тип: oauth3
потоки:
Код авторизации:
authorizationUrl: https://example.com/oauth/authorize
tokenUrl: https://example.com/oauth/token
объемы:
читать: Предоставляет доступ для чтения
write: Предоставляет доступ на запись
admin: Предоставляет доступ к административным операциям
Шаг 2. Применение защиты
После того, как вы определили схемы безопасности в разделе securitySchemes
, вы можете применить их ко всему API или отдельным операциям, добавив раздел security
на корневой уровень или уровень операции, соответственно.При использовании на корневом уровне, безопасность
применяет указанные схемы безопасности глобально ко всем операциям API, если они не переопределены на уровне операции. В следующем примере вызовы API могут быть аутентифицированы с помощью ключа API или OAuth 2. Имена ApiKeyAuth и OAuth3 относятся к схемам, ранее определенным в securitySchemes
.
безопасность:
- ApiKeyAuth: []
- OAuth3:
- читать
- записывать
# Синтаксис:
# - название схемы:
# - сфера 1
# - объем 2
Для каждой схемы вы указываете список областей безопасности, необходимых для вызовов API (см. Ниже).Области используются только для OAuth 2 и OpenID Connect Discovery; другие схемы безопасности используют вместо этого пустой массив []
. Глобальная безопасность
может быть переопределена в отдельных операциях для использования другого типа аутентификации, различных областей OAuth / OpenID или отсутствия аутентификации вообще:
путей:
/ billing_info:
получить:
Сводка: получает платежную информацию аккаунта
безопасность:
- OAuth3: [admin] # Использовать OAuth с другой областью действия
ответы:
'200':
описание: ОК
'401':
описание: не аутентифицирован
'403':
описание: токен доступа не имеет требуемой области
/пинг:
получить:
Сводка: Проверяет, работает ли сервер
security: [] # Нет безопасности
ответы:
'200':
описание: Сервер запущен и работает
дефолт:
описание: Что-то не так
Области применения
OAuth 2 и OpenID Connect используют области для управления разрешениями для различных пользовательских ресурсов.Например, области для зоомагазина могут включать read_pets
, write_pets
, read_orders
, write_orders
, admin
. При применении безопасности
записи, соответствующие OAuth 2 и OpenID Connect, должны указывать список областей, необходимых для конкретной операции (если на уровне операции используется безопасность ,
) или все вызовы API (если используется безопасность
на корневом уровне).
безопасность:
- OAuth3:
- scope1
- scope2
- OpenId:
- scopeA
- scopeB
- BasicAuth: []
- В случае OAuth 2 области, используемые в
security
, должны быть предварительно определены вsecuritySchemes
. - В случае обнаружения OpenID Connect возможные области перечислены в конечной точке обнаружения, указанной в
openIdConnectUrl
. - Другие схемы (Basic, Bearer, API-ключи и другие) не используют области, поэтому их записи
security
вместо этого указывают пустой массив[]
.
Для разных операций обычно требуются разные области действия, например чтение, запись и администратор. В этом случае вам следует применить безопасности с ограниченными областями действия к определенным операциям вместо того, чтобы делать это глобально.
# Вместо этого:
# безопасность:
# - OAuth3:
# - читать
# - записывать
# Сделай это:
пути:
/ пользователи:
получить:
сводка: получить список пользователей
безопасность:
- OAuth3: [читать] # <------
...
после:
Сводка: Добавить пользователя
безопасность:
- OAuth3: [запись] # <------
...
Использование нескольких типов аутентификации
Некоторые REST API поддерживают несколько типов аутентификации.Раздел security
позволяет комбинировать требования безопасности, используя логическое ИЛИ и И для достижения желаемого результата. Безопасность
использует следующую логику:
Безопасность : # A OR B
- А
- В
безопасность: # A И B
- А
B
безопасность: # (A AND B) OR (C AND D)
- А
B
- С
D
То есть безопасность
- это массив хэш-карт, где каждая хэш-карта содержит одну или несколько именованных схем безопасности.Элементы в хэш-карте объединяются с помощью логического И, а элементы массива объединяются с помощью логического ИЛИ. Схемы безопасности, объединенные с помощью ИЛИ, являются альтернативными - в данном контексте можно использовать любую. Схемы безопасности, объединенные посредством AND, должны использоваться одновременно в одном запросе. Здесь мы можем использовать либо обычную аутентификацию, либо ключ API:
безопасность:
- basicAuth: []
- apiKey: []
Здесь API требует, чтобы пара ключей API была включена в запросы:
безопасность:
- apiKey1: []
apiKey2: []
Здесь мы можем использовать либо OAuth 2, либо пару ключей API:
безопасность:
- oauth3: [scope1, scope2]
- apiKey1: []
apiKey2: []
Номер ссылки
Объект схемы безопасности
Объект требований безопасности
Не нашли то, что искали? Спросите у сообщества
Нашли ошибку? Сообщите нам
.
Двухфакторная аутентификация для Apple ID
Двухфакторная аутентификация - это дополнительный уровень безопасности для вашего Apple ID, который гарантирует, что вы единственный человек, который может получить доступ к вашей учетной записи, даже если кто-то знает ваш пароль.
Как это работает
При двухфакторной аутентификации только вы можете получить доступ к своей учетной записи на доверенном устройстве или в Интернете.Если вы хотите войти в систему на новом устройстве в первый раз, вам потребуется предоставить две части информации - ваш пароль и шестизначный проверочный код, который автоматически отображается на ваших доверенных устройствах или отправляется на ваш номер телефона. Вводя код, вы подтверждаете, что доверяете новому устройству. Например, если у вас есть iPhone, и вы впервые входите в свою учетную запись на недавно приобретенном Mac, вам будет предложено ввести пароль и код подтверждения, который автоматически отображается на вашем iPhone.
Поскольку одного вашего пароля уже недостаточно для доступа к вашей учетной записи, двухфакторная аутентификация значительно повышает безопасность вашего Apple ID и всей личной информации, которую вы храните в Apple.
После входа в систему вам больше не будет предлагаться ввести проверочный код на этом устройстве, если вы полностью не выйдете из системы, не сотрете данные с устройства или вам не потребуется изменить пароль по соображениям безопасности. Когда вы входите в систему в Интернете, вы можете доверять своему браузеру, чтобы вам не нужно было вводить код подтверждения при следующем входе с этого компьютера.
Надежные устройства
Доверенное устройство - это iPhone, iPad или iPod touch с iOS 9 и новее или Mac с OS X El Capitan и новее, на котором вы уже вошли в систему с помощью двухфакторной аутентификации. Мы знаем, что это ваше устройство, которое можно использовать для подтверждения вашей личности, отображая проверочный код от Apple, когда вы входите в систему на другом устройстве или в другом браузере. Apple Watch с watchOS 6 или более поздней версии могут получать коды подтверждения при входе в систему со своим Apple ID, но не могут выступать в качестве доверенного устройства для сброса пароля.
Надежные номера телефонов
Доверенный номер телефона - это номер, который можно использовать для получения проверочных кодов с помощью текстового сообщения или автоматического телефонного звонка. Вы должны подтвердить хотя бы один доверенный номер телефона, чтобы зарегистрироваться для двухфакторной аутентификации.
Вам также следует подумать о подтверждении дополнительного номера телефона, к которому вы можете получить доступ, например домашнего телефона или номера, используемого членом семьи или близким другом.Вы можете использовать этот номер, если вы временно не можете получить доступ к своему основному номеру или собственным устройствам.
Настройте двухфакторную аутентификацию для своего Apple ID
Включите двухфакторную аутентификацию на вашем iPhone, iPad или iPod touch
Включите двухфакторную аутентификацию в настройках
Если вы используете iOS 10.3 или новее:
- Откройте «Настройки»> [ваше имя]> «Пароль и безопасность».
- Нажмите «Включить двухфакторную аутентификацию».
- Нажмите «Продолжить».
Если вы используете iOS 10.2 или более раннюю версию:
- Перейдите в «Настройки»> «iCloud».
- Нажмите свой Apple ID> Пароль и безопасность.
- Нажмите «Включить двухфакторную аутентификацию».
- Нажмите «Продолжить».
Вас могут попросить ответить на контрольные вопросы Apple ID.
Введите и подтвердите свой доверенный номер телефона
Введите номер телефона, на который вы хотите получать коды подтверждения при входе в систему.Вы можете выбрать получение кодов с помощью текстового сообщения или автоматического телефонного звонка.
Когда вы нажимаете «Далее», Apple отправляет проверочный код на указанный вами номер телефона.
Введите проверочный код, чтобы подтвердить свой номер телефона и включить двухфакторную аутентификацию.
Включите двухфакторную аутентификацию на вашем Mac
Если вы используете macOS Catalina:
- Выберите меню «Apple» System> «Системные настройки», затем щелкните «Apple ID».
- Щелкните «Пароль и безопасность» под своим именем.
- Щелкните Включить двухфакторную аутентификацию.
Если вы используете macOS Mojave или более раннюю версию:
- Выберите меню «Apple» System> «Системные настройки», затем щелкните iCloud и выберите «Сведения об учетной записи».
- Щелкните Безопасность.
- Щелкните Включить двухфакторную аутентификацию.
Некоторые идентификаторы Apple ID, созданные в iOS 10.3 или macOS 10.12.4 и более поздних версиях, по умолчанию защищены двухфакторной аутентификацией.В этом случае вы видите, что двухфакторная аутентификация уже включена.
Создайте Apple ID с двухфакторной аутентификацией в Интернете
Если у вас нет iPhone, iPad, iPod touch или Mac, вы можете создать новый Apple ID с двухфакторной аутентификацией в Интернете.
Узнайте, как создать Apple ID в Интернете.
Если у вас есть Apple ID, не защищенный двухфакторной аутентификацией, некоторые веб-сайты Apple могут попросить вас обновить вашу учетную запись.
Что нужно помнить при использовании двухфакторной аутентификации
Двухфакторная аутентификация значительно повышает безопасность вашего Apple ID. После того, как вы включите его, для входа в вашу учетную запись потребуется как ваш пароль, так и доступ к вашим доверенным устройствам или доверенному номеру телефона. Чтобы обеспечить максимальную безопасность своей учетной записи и гарантировать, что вы никогда не потеряете доступ, есть несколько простых рекомендаций, которым вы должны следовать:
- Запомните свой пароль Apple ID.
- Используйте код доступа на всех своих устройствах.
- Своевременно обновляйте доверенные номера телефонов.
- Обеспечьте физическую безопасность доверенных устройств.
Управляйте своим счетом
Вы можете управлять своими доверенными телефонными номерами, доверенными устройствами и другой информацией учетной записи на странице учетной записи Apple ID.
Своевременно обновляйте доверенные номера телефонов
Для использования двухфакторной аутентификации у вас должен быть хотя бы один надежный номер телефона в файле, по которому вы можете получать коды подтверждения. Рассмотрите возможность подтверждения дополнительного доверенного номера телефона, кроме вашего собственного. Если ваш iPhone является вашим единственным доверенным устройством и он отсутствует или поврежден, вы не сможете получать коды подтверждения, необходимые для доступа к вашей учетной записи.
Вы можете обновить доверенные номера телефонов, выполнив следующие действия:
- Перейдите на страницу своей учетной записи Apple ID.
- Войдите, используя свой Apple ID.
- Перейдите в раздел «Безопасность» и нажмите «Изменить».
Если вы хотите добавить номер телефона, нажмите «Добавить надежный номер телефона» и введите номер телефона. Выберите подтверждение номера с помощью текстового сообщения или автоматического телефонного звонка и нажмите «Продолжить». Чтобы удалить доверенный номер телефона, щелкните рядом с номером телефона, который нужно удалить.
Просмотр доверенных устройств и управление ими
Вы можете просматривать список доверенных устройств и управлять им в iOS, macOS, а также в разделе «Устройства» на странице учетной записи Apple ID.
В iOS:
- Откройте «Настройки»> [ваше имя].
- Выберите устройство из списка.
В macOS Catalina:
- Выберите меню Apple > Системные настройки.
- Выберите Apple ID.
- Выберите устройство на боковой панели.
В macOS Mojave или более ранней версии:
- Выберите меню Apple > Системные настройки.
- Выберите iCloud, затем щелкните Сведения об учетной записи.
- Щелкните вкладку «Устройства».
- Выберите устройство из списка.
В сети:
- Перейдите на страницу своей учетной записи Apple ID.
- Войдите, используя свой Apple ID.
- Перейти в раздел «Устройства».
В списке устройств показаны устройства, на которые вы в настоящее время вошли с помощью своего Apple ID.Выберите устройство, чтобы просмотреть информацию об устройстве, такую как модель и серийный номер. Ниже вы можете увидеть другую полезную информацию, в том числе о том, является ли устройство доверенным и может ли оно использоваться для получения кодов подтверждения Apple ID.
Вы также можете удалить доверенное устройство, выбрав «Удалить из учетной записи» в списке устройств. Удаление доверенного устройства гарантирует, что оно больше не может отображать коды подтверждения и что доступ к iCloud и другим службам Apple на устройстве будет заблокирован до тех пор, пока вы снова не войдете в систему с двухфакторной аутентификацией.Если вам нужно найти или стереть данные с устройства, прежде чем удалять его из списка доверенных устройств, вы можете использовать «Найти iPhone».
Создание паролей для приложений
При двухфакторной аутентификации вам понадобится пароль для конкретного приложения, чтобы войти в свою учетную запись с помощью сторонних приложений или служб, таких как электронная почта, контакты или приложения календаря, не предоставленные Apple. Выполните следующие действия, чтобы сгенерировать пароль для конкретного приложения:
- Войдите на страницу своей учетной записи Apple ID.
- Нажмите «Создать пароль» под «Паролями для конкретных приложений».
- Следуйте инструкциям на экране.
После создания пароля для конкретного приложения введите или вставьте его в поле пароля приложения, как обычно.
Часто задаваемые вопросы
Нужна помощь? Вы можете найти ответ на свой вопрос ниже.
Что делать, если я забыл свой пароль?
Вы можете сбросить или изменить свой пароль с доверенного устройства или браузера, выполнив следующие действия.
На вашем iPhone, iPad или iPod touch
- Откройте «Настройки»> [ваше имя]. Если вы используете iOS 10.2 или более раннюю версию, перейдите в «Настройки»> «iCloud»> коснитесь своего Apple ID.
- Нажмите «Пароль и безопасность»> «Изменить пароль».
- Введите новый пароль.
На вашем Mac
Если вы используете macOS Catalina:
- Выберите меню «Apple» System> «Системные настройки», затем щелкните «Apple ID».
- Щелкните «Пароль и безопасность», затем щелкните «Изменить пароль».
Если вы используете macOS Mojave или более раннюю версию:
- Выберите меню «Apple» System> «Системные настройки», затем щелкните iCloud.
- Выберите сведения об учетной записи. Если вас попросят ввести пароль Apple ID, нажмите «Забыли Apple ID или пароль» и следуйте инструкциям на экране. Вы можете пропустить шаги, указанные ниже.
- Щелкните Безопасность> Сброс пароля. Прежде чем вы сможете сбросить пароль Apple ID, введите пароль, который использовался для разблокировки вашего Mac.
В сети
Если у вас нет доступа к iPhone, iPad, iPod touch или Mac, вы можете сбросить или изменить свой пароль в iforgot.apple.com.
Что делать, если я не могу получить доступ к доверенному устройству или не получил проверочный код?
Если вы входите в систему и у вас нет под рукой доверенного устройства, которое может отображать коды подтверждения, вы можете получить код, отправленный на доверенный номер телефона с помощью текстового сообщения или автоматического телефонного звонка. Щелкните Не получил код на экране входа и выберите отправку кода на доверенный номер телефона.Вы также можете получить код прямо из настроек на доверенном устройстве. Узнайте, как получить код подтверждения.
Если вы используете iOS 11.3 или новее на своем iPhone, возможно, вам не потребуется вводить проверочный код. В некоторых случаях ваш доверенный номер телефона может быть автоматически проверен в фоновом режиме на вашем iPhone. Осталось сделать одним делом меньше, и ваш аккаунт по-прежнему защищен двухфакторной аутентификацией.
Если я не могу войти в систему, как мне восстановить доступ к своей учетной записи?
Если вы не можете войти в систему, получить доступ к доверенному устройству, сбросить пароль или получить коды подтверждения, вы можете запросить восстановление аккаунта, чтобы восстановить доступ к нему.Восстановление учетной записи - это автоматический процесс, предназначенный для того, чтобы вы как можно быстрее вернулись в свою учетную запись, не допуская при этом доступа всем, кто может выдавать себя за вас. Это может занять несколько дней - или больше - в зависимости от того, какую конкретную информацию об учетной записи вы можете предоставить для подтверждения своей личности.
Мне все еще нужно помнить какие-либо вопросы безопасности?
Нет. При двухфакторной аутентификации вам не нужно запоминать какие-либо вопросы безопасности.Мы подтверждаем вашу личность исключительно с помощью вашего пароля и проверочных кодов, отправленных на ваши доверенные устройства и номера телефонов. Когда вы подаете заявку на двухфакторную аутентификацию, мы храним ваши старые контрольные вопросы в файле в течение двух недель на случай, если вам потребуется вернуть для своей учетной записи прежние настройки безопасности. После этого они удаляются.
Может ли служба поддержки Apple помочь мне восстановить доступ к моей учетной записи?
Служба поддержки
Apple может ответить на ваши вопросы о процессе восстановления учетной записи, но не может подтвердить вашу личность или каким-либо образом ускорить процесс.
Каковы системные требования для двухфакторной аутентификации?
Для оптимальной работы убедитесь, что вы соответствуете этим системным требованиям на всех устройствах, которые вы используете с Apple ID:
- iPhone, iPad или iPod touch с iOS 9 и новее
- Mac с OS X El Capitan и iTunes 12.3 и новее
- Apple Watch с watchOS 2 и новее
- Apple TV HD с tvOS
- ПК с Windows с iCloud для Windows 5 и iTunes 12.3.3 и выше
Могут ли идентификаторы Apple ID, созданные для детей, использовать двухфакторную аутентификацию?
Что делать, если я не узнаю местоположение, указанное в моем уведомлении о входе?
Когда вы входите в систему на новом устройстве, вы получите уведомление на других доверенных устройствах, которое включает карту, показывающую приблизительное местоположение нового устройства.Это приблизительное местоположение, основанное на IP-адресе, который устройство использует в настоящее время, а не на его точном местоположении. Показанное местоположение может отражать сеть, к которой вы подключены, а не ваше физическое местоположение.
Если вы знаете, что пытаетесь войти в систему, но не узнаете указанное местоположение, вы все равно можете нажать «Разрешить» и продолжить вход. Однако, если вы когда-нибудь увидите уведомление о том, что ваш Apple ID используется для входа на новом устройстве и не вы входите в систему, нажмите Не разрешать, чтобы заблокировать попытку входа.
Что делать, если я использую двухфакторную аутентификацию на устройстве с более старым программным обеспечением?
Если вы используете двухфакторную аутентификацию с устройствами, работающими под управлением более старых версий ОС, например Apple TV (2-го или 3-го поколения), вас могут попросить добавить шестизначный проверочный код в конце пароля при входе в систему. Получите свой код подтверждения с доверенного устройства под управлением iOS 9 и новее или OS X El Capitan и новее, либо отправьте его на свой доверенный номер телефона.Затем введите свой пароль, а затем шестизначный проверочный код прямо в поле пароля.
Могу ли я отключить двухфакторную аутентификацию после того, как я ее включил?
Если вы уже используете двухфакторную аутентификацию, вы больше не можете ее отключить. Некоторые функции последних версий iOS и macOS требуют этого дополнительного уровня безопасности, который предназначен для защиты вашей информации. Если вы недавно обновили свою учетную запись, вы можете отказаться от нее в течение двух недель после регистрации.Просто откройте письмо с подтверждением регистрации и щелкните ссылку, чтобы вернуться к предыдущим настройкам безопасности. Имейте в виду, что это снижает безопасность вашей учетной записи и означает, что вы не можете использовать функции, требующие более высокой безопасности.
Отличается ли эта функция от старой двухэтапной проверки Apple?
Да. Двухфакторная аутентификация встроена непосредственно в iOS, macOS, tvOS, watchOS и веб-сайты Apple.Он использует различные методы для доверия устройствам и доставки проверочных кодов, а также предлагает более удобный пользовательский интерфейс. Двухфакторная аутентификация необходима для использования некоторых функций, требующих повышенной безопасности.
Если вы уже используете двухэтапную аутентификацию и хотите перейти на двухфакторную аутентификацию, узнайте, как перейти на двухфакторную аутентификацию. Если ваша учетная запись не подходит для двухфакторной аутентификации, вы все равно можете использовать двухэтапную аутентификацию для защиты своей информации.
Информация о продуктах, произведенных не Apple, или о независимых веб-сайтах, не контролируемых и не проверенных Apple, предоставляется без рекомендаций или одобрения.Apple не несет ответственности за выбор, работу или использование сторонних веб-сайтов или продуктов. Apple не делает никаких заявлений относительно точности или надежности сторонних веб-сайтов. Свяжитесь с продавцом для получения дополнительной информации.
Дата публикации:
.