Nhận dạng và xác thực: các khái niệm cơ bản

2024 Tác giả: Howard Calhoun | [email protected]. Sửa đổi lần cuối: 2023-12-17 10:44

Nhận dạng và xác thực là cơ sở của các công cụ bảo mật phần mềm và phần cứng hiện đại, vì bất kỳ dịch vụ nào khác chủ yếu được thiết kế để phục vụ các thực thể này. Những khái niệm này đại diện cho một loại tuyến phòng thủ đầu tiên đảm bảo an ninh cho không gian thông tin của tổ chức.

Đây là gì?

Nhận dạng và xác thực có các chức năng khác nhau. Cách thứ nhất cho chủ thể (người dùng hoặc quy trình thay mặt họ) cơ hội để cung cấp tên riêng của họ. Với sự trợ giúp của xác thực, bên thứ hai cuối cùng cũng bị thuyết phục rằng đối tượng thực sự là người mà anh ta tuyên bố. Nhận dạng và xác thực thường được thay thế bằng các cụm từ "thông báo tên" và "xác thực" làm từ đồng nghĩa.

Bản thân chúng được chia thành nhiều loại. Tiếp theo, chúng ta sẽ xem xét nhận dạng và xác thực là gì và chúng là gì.

Xác thực

Khái niệm này cung cấp cho hai loại: một phía, khi khách hàngtrước tiên phải chứng minh tính xác thực của nó với máy chủ và hai chiều, tức là khi xác nhận lẫn nhau đang được tiến hành. Một ví dụ tiêu chuẩn về cách thực hiện xác thực và nhận dạng người dùng tiêu chuẩn là quy trình đăng nhập vào một hệ thống cụ thể. Do đó, các loại khác nhau có thể được sử dụng trong các đối tượng khác nhau.

Trong môi trường mạng nơi mà việc xác thực và nhận dạng người dùng được thực hiện ở các phía phân tán về mặt địa lý, dịch vụ được đề cập khác nhau ở hai khía cạnh chính:

• hoạt động như một trình xác thực;
• chính xác việc trao đổi dữ liệu xác thực và nhận dạng đã được tổ chức như thế nào và nó được bảo vệ như thế nào.

Để chứng minh danh tính của mình, đối tượng phải xuất trình một trong các thực thể sau:

• thông tin nhất định mà anh ấy biết (số cá nhân, mật khẩu, khóa mật mã đặc biệt, v.v.);
• thứ nhất định mà anh ấy sở hữu (thẻ cá nhân hoặc một số thiết bị khác có mục đích tương tự);
• một thứ nhất định là một yếu tố của chính nó (dấu vân tay, giọng nói và các phương tiện sinh trắc học khác để nhận dạng và xác thực người dùng).

Tính năng hệ thống

Trong môi trường mạng mở, các bên không có lộ trình tin cậy, có nghĩa là về tổng thể, thông tin mà chủ thể truyền đi cuối cùng có thể không khớp với thông tin đã nhận và sử dụngkhi xác thực. Nó được yêu cầu để đảm bảo an ninh của lắng nghe tích cực và thụ động của mạng, nghĩa là, bảo vệ khỏi việc sửa chữa, đánh chặn hoặc phát lại các dữ liệu khác nhau. Tùy chọn truyền mật khẩu ở dạng văn bản rõ ràng là không thỏa đáng, và theo cách tương tự, mã hóa mật khẩu không thể lưu lại ngày, vì chúng không cung cấp khả năng bảo vệ chống sao chép. Đó là lý do tại sao ngày nay các giao thức xác thực phức tạp hơn được sử dụng.

Việc xác định đáng tin cậy rất khó không chỉ vì các mối đe dọa trực tuyến khác nhau, mà còn vì nhiều lý do khác. Trước hết, hầu hết mọi thực thể xác thực đều có thể bị đánh cắp, giả mạo hoặc suy diễn. Cũng có một sự mâu thuẫn nhất định giữa một mặt là độ tin cậy của hệ thống được sử dụng và mặt khác là sự thuận tiện của người quản trị hoặc người dùng hệ thống. Do đó, vì lý do bảo mật, yêu cầu người dùng nhập lại thông tin xác thực của mình với tần suất nhất định (vì một số người khác có thể đã ngồi vào vị trí của họ), và điều này không chỉ gây thêm rắc rối mà còn làm tăng đáng kể khả năng ai đó có thể do thám để nhập thông tin. Trong số những thứ khác, độ tin cậy của thiết bị bảo vệ ảnh hưởng đáng kể đến giá thành của nó.

Hệ thống xác thực và nhận dạng hiện đại hỗ trợ khái niệm đăng nhập một lần vào mạng, chủ yếu cho phép bạn đáp ứng các yêu cầu về sự thuận tiện của người dùng. Nếu một mạng công ty tiêu chuẩn có nhiều dịch vụ thông tin,cung cấp khả năng xử lý độc lập, khi đó việc giới thiệu dữ liệu cá nhân lặp đi lặp lại sẽ trở nên quá khó khăn. Hiện tại, vẫn chưa thể nói rằng việc sử dụng đăng nhập một lần được coi là bình thường, vì các giải pháp thống trị vẫn chưa hình thành.

Vì vậy, nhiều người đang cố gắng tìm ra sự thỏa hiệp giữa khả năng chi trả, sự thuận tiện và độ tin cậy của các phương tiện cung cấp nhận dạng / xác thực. Việc ủy quyền cho người dùng trong trường hợp này được thực hiện theo các quy tắc riêng.

Cần đặc biệt chú ý đến thực tế là dịch vụ được sử dụng có thể được chọn làm đối tượng của một cuộc tấn công về tính khả dụng. Nếu hệ thống được định cấu hình theo cách mà sau một số lần thử không thành công nhất định, khả năng xâm nhập bị chặn, thì trong trường hợp này, những kẻ tấn công có thể dừng công việc của người dùng hợp pháp chỉ bằng một vài lần nhấn phím.

Xác thực mật khẩu

Ưu điểm chính của hệ thống như vậy là nó cực kỳ đơn giản và quen thuộc với hầu hết mọi người. Mật khẩu đã được sử dụng bởi các hệ điều hành và các dịch vụ khác trong một thời gian dài, và khi được sử dụng đúng cách, chúng cung cấp một mức độ bảo mật khá chấp nhận được đối với hầu hết các tổ chức. Nhưng mặt khác, xét về tổng thể các đặc điểm, các hệ thống như vậy đại diện cho phương tiện yếu nhất để nhận dạng / xác thực có thể được thực hiện. Việc ủy quyền trong trường hợp này trở nên khá đơn giản, vì mật khẩu phảiđáng nhớ, nhưng đồng thời các kết hợp đơn giản không khó đoán, đặc biệt nếu một người biết sở thích của một người dùng cụ thể.

Đôi khi, về nguyên tắc, mật khẩu không được giữ bí mật, vì chúng có các giá trị khá chuẩn được chỉ định trong một số tài liệu nhất định và không phải lúc nào sau khi cài đặt hệ thống, chúng cũng bị thay đổi.

Khi nhập mật khẩu, bạn có thể thấy, và trong một số trường hợp, người ta thậm chí còn sử dụng các thiết bị quang học chuyên dụng.

Người dùng, đối tượng chính của nhận dạng và xác thực, thường có thể chia sẻ mật khẩu với đồng nghiệp để họ thay đổi quyền sở hữu trong một thời gian nhất định. Về lý thuyết, trong những tình huống như vậy, tốt nhất là sử dụng các điều khiển truy cập đặc biệt, nhưng trong thực tế, điều này không được sử dụng bởi bất kỳ ai. Và nếu hai người biết mật khẩu, điều đó sẽ làm tăng đáng kể khả năng những người khác cuối cùng sẽ tìm ra mật khẩu.

Làm thế nào để khắc phục điều này?

Có một số phương tiện giúp bảo mật nhận dạng và xác thực. Thành phần xử lý thông tin có thể tự bảo mật như sau:

• Việc áp đặt các hạn chế kỹ thuật khác nhau. Thông thường, các quy tắc được đặt cho độ dài của mật khẩu, cũng như nội dung của các ký tự nhất định trong đó.
• Quản lý sự hết hạn của mật khẩu, tức là cần phải thay đổi chúng định kỳ.
• Hạn chế quyền truy cập vào tệp mật khẩu chính.
• Bằng cách giới hạn tổng số lần thử không thành công khi đăng nhập. Nhờ vàoTrong trường hợp này, những kẻ tấn công chỉ nên thực hiện các hành động trước khi thực hiện nhận dạng và xác thực, vì không thể sử dụng phương pháp brute-force.
• Đào tạo trước người dùng.
• Sử dụng phần mềm tạo mật khẩu chuyên dụng cho phép bạn tạo các kết hợp đủ thú vị và đáng nhớ.

Tất cả các biện pháp này đều có thể được sử dụng trong mọi trường hợp, ngay cả khi các phương tiện xác thực khác được sử dụng cùng với mật khẩu.

Mật khẩu sử dụng một lần

Các tùy chọn được thảo luận ở trên có thể sử dụng lại và nếu sự kết hợp bị lộ, kẻ tấn công sẽ có cơ hội thực hiện các thao tác nhất định thay mặt cho người dùng. Đó là lý do tại sao mật khẩu dùng một lần được sử dụng như một phương tiện mạnh mẽ hơn, chống lại khả năng nghe mạng thụ động, nhờ đó hệ thống xác thực và nhận dạng trở nên an toàn hơn nhiều, mặc dù không thuận tiện bằng.

Hiện tại, một trong những phần mềm tạo mật khẩu dùng một lần phổ biến nhất là hệ thống có tên S / KEY, do Bellcore phát hành. Khái niệm cơ bản của hệ thống này là có một chức năng F nhất định mà cả người dùng và máy chủ xác thực đều biết. Sau đây là khóa bí mật K, chỉ một người dùng nhất định mới biết.

Trong quá trình quản lý ban đầu của người dùng, chức năng này được sử dụng để khóamột số lần nhất định, sau đó kết quả được lưu trên máy chủ. Trong tương lai, quy trình xác thực sẽ như thế này:

1. Một số đến hệ thống người dùng từ máy chủ, nhỏ hơn 1 lần so với số lần hàm được sử dụng cho khóa.
2. Người dùng sử dụng hàm đối với khóa bí mật có sẵn theo số lần đã được đặt trong đoạn đầu tiên, sau đó kết quả được gửi trực tiếp qua mạng tới máy chủ xác thực.
3. Máy chủ sử dụng chức năng này cho giá trị nhận được, sau đó kết quả được so sánh với giá trị đã lưu trước đó. Nếu kết quả khớp, thì người dùng được xác thực và máy chủ lưu giá trị mới, sau đó giảm bộ đếm đi một.

Trên thực tế, việc thực hiện công nghệ này có cấu trúc phức tạp hơn một chút, nhưng hiện tại nó không quá quan trọng. Vì chức năng này không thể thay đổi được, ngay cả khi mật khẩu bị chặn hoặc truy cập trái phép vào máy chủ xác thực, nó không cung cấp khả năng lấy được khóa bí mật và theo bất kỳ cách nào, bạn có thể dự đoán cụ thể mật khẩu dùng một lần tiếp theo sẽ như thế nào.

Ở Nga, một cổng thông tin nhà nước đặc biệt được sử dụng như một dịch vụ thống nhất - "Hệ thống Nhận dạng / Xác thực Hợp nhất" ("ESIA").

Một cách tiếp cận khác đối với hệ thống xác thực mạnh là tạo mật khẩu mới trong khoảng thời gian ngắn, mật khẩu này cũng được thực hiện thông quasử dụng các chương trình chuyên biệt hoặc các thẻ thông minh khác nhau. Trong trường hợp này, máy chủ xác thực phải chấp nhận thuật toán tạo mật khẩu thích hợp, cũng như một số tham số nhất định được liên kết với nó và ngoài ra, cũng phải đồng bộ hóa đồng hồ máy chủ và máy khách.

Kerberos

Máy chủ xác thực Kerberos xuất hiện lần đầu tiên vào giữa những năm 90 của thế kỷ trước, nhưng kể từ đó nó đã nhận được một số lượng lớn các thay đổi cơ bản. Hiện tại, các thành phần riêng lẻ của hệ thống này có mặt trong hầu hết các hệ điều hành hiện đại.

Mục đích chính của dịch vụ này là giải quyết vấn đề sau: có một mạng nhất định không được bảo vệ và các đối tượng khác nhau tập trung ở các nút của nó dưới dạng người dùng, cũng như hệ thống phần mềm máy chủ và máy khách. Mỗi đối tượng như vậy có một khóa bí mật riêng, và để đối tượng C có cơ hội chứng minh tính xác thực của chính mình với đối tượng S, nếu không có nó đơn giản là anh ta sẽ không phục vụ anh ta, anh ta không chỉ cần nêu tên mình, mà còn để chứng tỏ rằng anh ta biết một khóa bí mật nào đó. Đồng thời, C không có cơ hội đơn giản gửi khóa bí mật của mình cho S, vì trước hết, mạng đang mở, và điều này, S không biết, và về nguyên tắc, nên không biết nó. Trong tình huống như vậy, một kỹ thuật ít đơn giản hơn được sử dụng để chứng minh kiến thức về thông tin này.

Nhận dạng / xác thực điện tử thông qua hệ thống Kerberos cung cấp cho nósử dụng như một bên thứ ba đáng tin cậy có thông tin về khóa bí mật của các đối tượng được phục vụ và nếu cần, hỗ trợ họ tiến hành xác thực theo từng cặp.

Vì vậy, trước tiên, khách hàng sẽ gửi một yêu cầu đến hệ thống, trong đó có thông tin cần thiết về anh ta, cũng như về dịch vụ được yêu cầu. Sau đó, Kerberos cung cấp cho anh ta một loại vé được mã hóa bằng khóa bí mật của máy chủ, cũng như bản sao của một số dữ liệu từ đó, được mã hóa bằng khóa của máy khách. Trong trường hợp trùng khớp, có nghĩa là khách hàng đã giải mã thông tin dành cho anh ta, tức là anh ta có thể chứng minh rằng anh ta thực sự biết khóa bí mật. Điều này cho thấy rằng khách hàng chính xác là người mà anh ta tuyên bố là.

Ở đây cần đặc biệt chú ý đến thực tế là việc chuyển các khóa bí mật không được thực hiện qua mạng và chúng chỉ được sử dụng để mã hóa.

Xác thực sinh trắc học

Sinh trắc học liên quan đến sự kết hợp của các phương tiện tự động để xác định / xác thực mọi người dựa trên các đặc điểm hành vi hoặc sinh lý của họ. Các phương tiện xác thực và nhận dạng vật lý bao gồm xác minh võng mạc và giác mạc của mắt, dấu vân tay, hình dạng khuôn mặt và bàn tay cũng như các thông tin cá nhân khác. Đặc điểm hành vi bao gồm phong cách làm việc với bàn phím và tính năng động của chữ ký. Kết hợpphương pháp là phân tích các đặc điểm khác nhau của giọng nói của một người, cũng như nhận dạng giọng nói của người đó.

Hệ thống nhận dạng / xác thực và mã hóa như vậy được sử dụng rộng rãi ở nhiều nước trên thế giới, nhưng trong một thời gian dài, chúng cực kỳ đắt đỏ và khó sử dụng. Gần đây, nhu cầu về các sản phẩm sinh trắc học đã tăng lên đáng kể do sự phát triển của thương mại điện tử, theo quan điểm của người dùng, việc trình bày bản thân sẽ thuận tiện hơn nhiều so với việc ghi nhớ một số thông tin. Theo đó, nhu cầu tạo ra cung, do đó, các sản phẩm tương đối rẻ tiền bắt đầu xuất hiện trên thị trường, chủ yếu tập trung vào nhận dạng dấu vân tay.

Trong đại đa số các trường hợp, sinh trắc học được sử dụng kết hợp với các trình xác thực khác như thẻ thông minh. Thông thường, xác thực sinh trắc học chỉ là tuyến phòng thủ đầu tiên và hoạt động như một phương tiện kích hoạt thẻ thông minh bao gồm các bí mật mật mã khác nhau. Khi sử dụng công nghệ này, mẫu sinh trắc học được lưu trữ trên cùng một thẻ.

Hoạt động trong lĩnh vực sinh trắc học khá cao. Một tập đoàn thích hợp đã tồn tại và công việc cũng đang được tiến hành khá tích cực nhằm tiêu chuẩn hóa các khía cạnh khác nhau của công nghệ. Ngày nay, bạn có thể thấy rất nhiều bài báo quảng cáo trong đó công nghệ sinh trắc học được trình bày như một phương tiện lý tưởng để tăng cường bảo mật và đồng thời có thể tiếp cận được với công chúng.quần chúng.

ESIA

Hệ thống Nhận dạng và Xác thực ("ESIA") là một dịch vụ đặc biệt được tạo ra để đảm bảo thực hiện các nhiệm vụ khác nhau liên quan đến việc xác minh danh tính của người nộp đơn và những người tham gia tương tác giữa các bộ phận trong trường hợp cung cấp bất kỳ dịch vụ thành phố hoặc tiểu bang nào ở dạng điện tử.

Để có quyền truy cập vào "Cổng thông tin chung của các cơ quan Chính phủ", cũng như bất kỳ hệ thống thông tin nào khác thuộc cơ sở hạ tầng của chính phủ điện tử hiện tại, trước tiên bạn cần đăng ký một tài khoản và do đó, nhận PES.

Mức

Cổng của hệ thống xác thực và nhận dạng thống nhất cung cấp ba cấp tài khoản chính cho các cá nhân:

• Đơn giản hóa. Để đăng ký, bạn chỉ cần cho biết họ và tên của mình, cũng như một số kênh liên lạc cụ thể dưới dạng địa chỉ email hoặc điện thoại di động. Đây là cấp độ chính, qua đó một người chỉ có quyền truy cập vào một danh sách hạn chế các dịch vụ công cộng khác nhau, cũng như khả năng của các hệ thống thông tin hiện có.
• Chuẩn. Để có được nó, trước tiên bạn cần cấp một tài khoản đơn giản, và sau đó cũng cung cấp thêm dữ liệu, bao gồm thông tin từ hộ chiếu và số tài khoản cá nhân của cá nhân bảo hiểm. Thông tin cụ thể được kiểm tra tự động thông qua hệ thống thông tinQuỹ hưu trí, cũng như Dịch vụ Di trú Liên bang, và nếu việc kiểm tra thành công, tài khoản sẽ được chuyển sang mức tiêu chuẩn, mở ra danh sách các dịch vụ công cộng mở rộng cho người dùng.
• Đã xác nhận. Để có được cấp tài khoản này, hệ thống xác thực và nhận dạng thống nhất yêu cầu người dùng phải có tài khoản chuẩn, cũng như xác minh danh tính, được thực hiện thông qua việc cá nhân đến chi nhánh dịch vụ được ủy quyền hoặc bằng cách lấy mã kích hoạt qua thư bảo đảm. Trong trường hợp xác minh danh tính thành công, tài khoản sẽ chuyển sang cấp mới và người dùng sẽ có quyền truy cập vào danh sách đầy đủ các dịch vụ cần thiết của chính phủ.

Mặc dù thực tế là các thủ tục có vẻ khá phức tạp nhưng trên thực tế, bạn có thể làm quen với danh sách đầy đủ các dữ liệu cần thiết trực tiếp trên trang web chính thức, vì vậy bạn có thể đăng ký đầy đủ trong vòng vài ngày.