За последние два десятилетия компьютерные сети росли стремительными темпами. В широком диапазоне условий такие сети стали важнейшим инструментом решения стоящих перед ними задач. Организации создают сети большего масштаба, чем когда-либо прежде, и подключение к глобальному Интернету стало необходимым.
Наряду с этой тенденцией произошел взрыв использования компьютерных сетей в качестве средства незаконного доступа к компьютерным системам. Интернет известен как очень мощная платформа, которая меняет способ общения и осуществления деловых операций в современных технологиях. В настоящее время она затрагивает все аспекты нашей жизни наряду с появлением новых угроз безопасности, готовых идти по пути разрушений.
По данным Всемирной статистики Интернета, по состоянию на 30 июня 2012 года Интернетом пользуются более 2,4 миллиарда пользователей, и поэтому их количество, несомненно, будет продолжать расти. Таким образом, появление информационных ценных бумаг произвело революцию в нашей жизни, в частности, благодаря имеющейся информации, которая позволяет легко получить доступ к данным и манипулировать ими.
Уровень передаваемой информации становится все более важным, особенно с учетом того, что взаимодействия, которые раньше осуществлялись только в автономном режиме, такие как банковские и коммерческие обмены, в настоящее время осуществляются в режиме онлайн в форме интернет-банкинга и электронных коммерческих обменов, и ущерб от таких нападений будет возрастать.
По мере появления все большего объема личной информации в Интернете, важно остерегаться рисков, связанных с легкостью доступа к нашим личным данным. Социальные сети и профили в Интернете способствуют этому: предоставляют потенциальным нарушителям множество конфиденциальной информации. Insafe сообщает, что более четверти детей в Европе имеют сетевые профили, которые могут быть раскрыты онлайн, и только с более чем 900 миллионами людей в Facebook опасность широко распространена.
Концепция аутентификации.
"Идентификация", "аутентификация" и "авторизация" - это три взаимосвязанных понятия, которые составляют основу системы безопасности. Идентификация - это передача идентификационных данных ИГ. До аутентификации заявитель, как правило, предоставляет ИБ идентификационные данные (например, логин или адрес электронной почты), и монитор подтверждает эти данные аутентификацией (например, с помощью пароля).
Подтверждением подлинности является подтверждение пользователем того, что он действительно соответствует предоставленной им личности. Затем монитор выдает идентификационную информацию о личности пользователя. И, наконец, авторизация - это предоставленные пользователю привилегии. Системы аутентификации дают ответы на оба вопроса: (1) кто такой пользователь и (2) действительно ли он/она представляет себя тем, кем он/она является?
Таким образом, аутентификация представляет собой один из наиболее перспективных способов укрепления доверия и безопасности в коммерческих приложениях. Она также означает собственность, обеспечивающую идентичность вышеупомянутых субъектов. Кроме того, авторизация - это процесс предоставления физическим лицам доступа к объектам системы на основании их личности. Системы авторизации дают ответы на следующие три вопроса:
- уполномочен ли пользователь U получать доступ к ресурсу R?;
- уполномочен ли пользователь U выполнять операцию O?;
- уполномочен ли пользователь U выполнять операцию O на ресурсе R?
Часто возникает путаница между понятиями "идентификация", "удостоверение подлинности" и "авторизация". Эти слова/термины совсем не имеют одинакового значения. Каждое из этих понятий требует определенной степени допуска.
С учетом вышесказанного нам необходимо установить связь между пользователем и мониторинговым органом. Эта ссылка обозначается как канал. Канал - это средство связи между пользователем и мониторинговым органом. Оно может рассматриваться либо как конфиденциальное, аутентичное, безопасное, либо как небезопасное.
Конфиденциальный канал устойчив к перехвату, аутентичный канал устойчив к фальсификации, защищенный канал устойчив и к тому, и другому, а небезопасный канал не защищен. Цель удостоверения подлинности заключается в установлении личности, однако сфера применения методов удостоверения подлинности очень широка и может варьироваться во многих отношениях. Ниже приведен список некоторых распространенных методов аутентификации:
- ID (IDentification)/пароль: для открытия сессии на компьютере или аутентификации в Интернете;
- PIN (Personal Identification Number) код: для разблокировки смарт-карты;
- RFID карта: для доступа в здание;
- отпечаток пальца: для разблокировки двери;
- система распознавания лиц с веб-камерой: для открытия сессии в Интернете;
- USB токен;
- одноразовый пароль...;
- токен.
Каждый из методов аутентификации имеет свое специфическое применение и присущие ему недостатки. Токены могут быть украдены, системы распознавания лиц могут быть сломаны, представив фотографию настоящего пользователя...
Речь идет о надежности метода удостоверения подлинности. Следовательно, цель удостоверения подлинности заключается в проверке личности субъекта с заданным уровнем доверия. Если метод аутентификации не может быть полностью надежным, предусмотренная проверка подлинности также невозможна. Даже хороший метод аутентификации не будет безопасен, если реализация позволяет использовать бэкдоры.
Основные шаги для аутентификации.
Общие основные шаги для аутентификации следующие:
- Первый шаг: пользователь не аутентифицирован.
- Шаг подключения: заявитель требует от ИБ использования функции, требующей аутентификации. Служба безопасности просит монитор подтвердить подлинность заявителя.
- Шаг аутентификации: истец аутентифицируется и открывается сессия. ИС предоставляет пользователю необходимые функции.
- Шаг отключения: пользователь отключается или отключается от монитора, и состояние возвращается к начальному шагу. Этот шаг может быть инициирован по тайм-ауту или по инициативе пользователя.
ИС может потребовать различные уровни аутентификации, например, уровень для администраторов и уровень для пользователей. В такой системе уровень аутентификации дифференцируется по шкале: уровень 0 для неаутентифицированного пользователя с наименьшими правами в системе; уровень N для администратора с полными правами; и один или несколько уровней между 0 и N. Здесь для перехода ИС на более высокий уровень доверия к заявителю может потребоваться аутентификация. Предоставляемая безопасность метода аутентификации зависит от удобства использования и приемлемости. Если удобство использования плохое, пользователи быстро найдут способы обойти шаги аутентификации для удобства использования. Это неизбежно приведет к выходу системы из строя, поэтому ее следует рассматривать как критику.
Процесс аутентификации может быть основан на комбинации одного или нескольких факторов аутентификации. Четыре (общепризнанных) фактора для аутентификации людей таковы:
- Что-то, что известно пользователю: пароль, парольная фраза, PIN-код, девичья фамилия матери...
- Что-то, что принадлежит пользователю: USB-токен, телефон, смарт-карта, программный маркер, маркер навигатора, cookie-файл...
- Что-то, что характеризует пользователя: отпечатки пальцев, фрагмент ДНК, голосовой узор, геометрия руки...
- Что-то, что может сделать пользователь: подпись, жест...
Но теперь, возможно, мы могли бы включить "пятый" фактор аутентификации: "Где-то, где находится пользователь: текущее местоположение/позиция, текущая информация о времени... ”