Схема аутентификации пользователей с использованием логинов и паролей

Введение

Проблема достоверности идентификации личности в современных условиях волнует многих авторов, так как количество участников электронного взаимодействия в современном мире неуклонно растет. Аутентификация является основой для построения доверительных отношений между сторонами при их взаимодействии по открытым каналам связи, в связи с чем значимой становится роль аутентификации участников.

Аутентификация — это процесс определения того, является ли кто-то (или что-то) тем, за кого он или она притворяется. В контексте ИТ-процессов это означает, что учетные данные, предоставленные лицом, запрашивающим доступ к ресурсу, сравниваются с данными, хранящимися в ресурсе. Если информация совпадает, пользователю предоставляется доступ. Как правило, процессы аутентификации связаны со следующими задачами: обеспечить авторизованный доступ, установить доверительные отношения при удаленном доступе, установить (идентифицировать) личность владельца электронной подписи и т.п.

1. Прототипы аутентификации по паролю

1.1 Голосовые пароли

Речевые пароли нашли свое применение в связи с отсутствием каких-либо дополнительных средств установления принадлежности определенного лица к определенной группе лиц. Например, в средневековой испанской армии были случаи, когда с наступлением темноты нервные солдаты случайно убивали одного из своих, приняв его за врага. Военачальники вскоре придумали средство для решения этой проблемы: каждый день они выбирали слово, которое в виде секретного сигнала служило бы тому, чтобы солдаты одной группы могли узнавать друг друга.

Эта система сыграла незаменимую роль в годы Гражданской войны и Великой Отечественной войны, о чем свидетельствуют многочисленные исторические документы. Пароль и отзыв устанавливались в том числе и для ведения телеграфных переговоров по линии военных сообщений.

Пароли и обзоры часто используются в агентурной разведке. Это заранее определенные фразы, по которым можно узнать разведчика или агента. Здесь словесный пароль является доказательством того, что разведчику (агенту) противостоял именно тот человек, с которым другой мог встречаться и работать.

Пароль и ответ на него могут быть реальными. При этом встречающие могут иметь при себе заранее определенные и известные только им предметы, например, гребни, монеты, банкноты, которые могут быть одинаковыми или, наоборот, разными. При этом реальный пароль может быть самостоятельным или дополнять словесный пароль.

1.2 Замки

Замок — это механическое, электрическое или электронное устройство, ограничивающее возможность несанкционированного использования чего-либо.

Идея замков и ключей к ним возникла с появлением частной собственности, когда люди стали задумываться о том, как защитить ее от посягательств извне.

Наличие общего ключа делало замки менее надежными, так как снижало степень защищенности. Специальные кодовые замки, открываемые набором букв или цифр на вращающихся дисках, появились в Европе в 17 веке. Использование кода блокировки было прототипом для введения современного пароля, и выбор кода был затруднен. Так, интерес представляет кодовый замок Eureka, запатентованный в США в 1862 году, в котором из-за большого количества различных букв и цифр количество возможных комбинаций на замке составляло 1 073 741 824.

Проводя аналогию между кодом блокировки и компьютерным паролем, первый имеет преимущества и недостатки, аналогичные современному паролю. К достоинствам можно отнести отсутствие ключа, который можно потерять и который злоумышленник может скопировать в отсутствие владельца; возможность быстрой смены кода. Недостатки следующие: код можно забыть, но его запись увеличивает вероятность того, что код узнает посторонний; код можно подсмотреть при входе; часто в качестве кодов используются даты рождения, адреса, известные номера, что упрощает подбор кода.

Разновидностью кодового замка является электронный замок. Электронный замок — это высокотехнологичное устройство, управляемое микропроцессором и используемое для запирания дверей. При наличии электронного замка решение о доступе лиц в помещение принимается на основании сигналов различных датчиков: считывателей магнитных карт, штрих-кодов, датчиков памяти контактов, биометрических датчиков, номеронабирателей, комбинаторных флуоресцентных молекулярных датчиков, дистанционное управление и т. д. В будущем электронные замки могли бы составить конкуренцию молекулярным замкам, у которых есть датчик, реагирующий не на набор электрических сигналов от клавиатуры или считывателя, а на набор химических веществ.

2. Аутентификация по паролю

Появление компьютеров привело к необходимости защиты хранимой в них информации, а также создания механизмов контроля доступа к ней, основным компонентом которых стала аутентификация пользователя, одним из которых является пароль. Фернандо Корбато, профессор Массачусетского технологического института, считается изобретателем компьютерных паролей. Использование паролей требовалось, говоря современным языком, для разграничения доступа нескольких пользователей к файлам одного компьютера. Установка пароля для каждого отдельного пользователя в качестве блокировки казалась очень простым решением. Поскольку ранее не было задокументировано использование системы безопасности при использовании компьютера, именно Корбато считается первым, кто поставил такую ​​систему на компьютер. С появлением персональных компьютеров в 1980-х гг. пароль стал неотъемлемой частью деловой жизни, а со временем и повседневной жизни. Следует отметить, что это же время считается самым ранним, когда была зафиксирована кража пароля. Эти ранние пароли были простыми и их было легко сохранить, поскольку сложных хакерских сетей и программ для взлома паролей еще не существовало. Аутентификация по паролю в настоящее время является наиболее распространенным методом защиты информации. Аутентификация может проходить с использованием одноразовых и многоразовых паролей. Многоразовый пароль задается пользователем, и система сохраняет его в базе данных. Он одинаков для каждой сессии. К ним относятся PIN-коды, слова, цифры, графические ключи. Одноразовые пароли - разные для каждой сессии. Это может быть СМС с кодом.

2.1 Аутентификация с многоразовым паролем

Одним из способов аутентификации в компьютерной системе является ввод вашего идентификатора пользователя, в просторечии называемого «логином» (англ. login — имя пользователя, учетная запись), и пароля — некой конфиденциальной информации. Надежная (эталонная) пара логин-пароль хранится в специальной базе данных (рис. 1.). Простая аутентификация имеет следующий общий алгоритм:

1. Субъект запрашивает доступ к системе и вводит личный идентификатор и пароль.
2. Введенные уникальные данные отправляются на сервер аутентификации, где они сравниваются с эталонными данными.
3. Если данные совпадают с эталонными, аутентификация считается успешной, при наличии расхождений субъект переходит на 1-й шаг Введенный субъектом пароль может передаваться по сети двумя способами: • Незашифровано, открыто, на основе протокола аутентификации по паролю (PAP). • Использование шифрования SSL или TLS. В этом случае уникальные данные, введенные субъектом, безопасно передаются по сети.

2.2 Аутентификация с одноразовым паролем

Получив однажды многоразовый пароль субъекта, злоумышленник получает постоянный доступ к скомпрометированной конфиденциальной информации. Эта проблема решается использованием одноразовых паролей (OTP - One Time Password). Суть этого метода в том, что пароль действителен только для одного входа, при каждом последующем запросе доступа требуется новый пароль. Механизм аутентификации по одноразовым паролям может быть реализован как аппаратно (рис. 2.), так и программно. Технологии использования одноразовых паролей можно разделить на: • Использование общего для субъекта и системы генератора псевдослучайных чисел • Использование временных меток в сочетании с универсальной системой времени. • Использование базы случайных паролей, общих для субъекта и для системы В первом методе используется генератор псевдослучайных чисел с одинаковым значением для субъекта и для системы. Сгенерированный субъектом пароль может передаваться в систему при последовательном использовании односторонней функции или при каждом новом запросе на основе уникальной информации из предыдущего запроса. Второй метод использует временные метки. Примером такой технологии является SecurID. Он основан на использовании аппаратных ключей и синхронизации времени. Аутентификация основана на генерации случайных чисел через определенные промежутки времени. Уникальный секретный ключ хранится только в базе системы и в аппаратном устройстве субъекта. Когда субъект запрашивает доступ к системе, ему предлагается ввести помимо ПИН-кода от своей учетной записи случайно сгенерированное число, отображаемое в этот момент на аппаратном устройстве. Система сопоставляет введенный PIN-код и секретный ключ субъекта из своей базы данных и генерирует случайное число на основе параметров секретного ключа из базы данных и текущего времени. Далее проверяется идентичность сгенерированного номера и номера, введенного субъектом. Также проверяется время генерации номера на сервере и на аппаратном устройстве пользователя. Третий способ основан на единой базе паролей субъекта и системы и высокоточной синхронизации между ними. При этом каждый пароль из набора можно использовать только один раз. Благодаря этому, даже если злоумышленник перехватит используемый субъектом пароль, он уже не будет действительным. По сравнению с многоразовыми паролями одноразовые пароли обеспечивают более высокую степень безопасности.

3. Безопасность системы

Использование многоразовых паролей имеет ряд существенных недостатков. Во-первых, сам мастер-пароль или его хешированное изображение хранится на сервере аутентификации. Часто пароль хранится без криптографических преобразований, в системных файлах. Получив к ним доступ, злоумышленник может легко добраться до конфиденциальной информации. Во-вторых, субъект вынужден помнить (или записывать) свой многоразовый пароль. Злоумышленник может получить его, просто применив навыки социальной инженерии, без каких-либо технических средств. В-третьих, безопасность системы сильно снижается в случае, когда субъект сам выбирает себе пароль. Часто им оказывается какое-то слово или сочетание слов, присутствующих в словаре. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел ключ имеет хорошие статистические свойства. Пароль, которым является, например, слово из словаря, может быть сокращен до псевдослучайного числа длиной 16 бит, что в 16 раз короче ключа ГОСТ. При наличии достаточного количества времени злоумышленник может взломать пароль с помощью простой атаки грубой силы. Решением этой проблемы является использование случайных паролей или ограничение времени действия пароля субъекта, по истечении которого пароль необходимо сменить.

3.1 Односторонние функции

С точки зрения наилучшей безопасности при хранении и передаче паролей следует использовать односторонние функции. Обычно для этих целей используются криптографически стойкие хеш-функции. В этом случае сервер хранит только образ пароля пользователя, который он ввел ранее. Получив пароль и сделав его хеш-преобразование, система сравнивает результат с хранящимся в ней эталонным изображением. Если они идентичны, пароли одинаковы. Для злоумышленника, получившего доступ к изображению, вычислить сам пароль практически невозможно, так как нет возможности «расшифровать» пароль. Найти его первоначальный вид на изображении можно только путем перебора.

3.2 Многофакторная аутентификация

Многофакторная аутентификация — это метод, при котором пользователю необходимо подтвердить двумя разными факторами, что он является владельцем учетной записи или что он входит в систему, чтобы получить доступ к учетной записи или подтвердить транзакцию со средствами. Среди видов многофакторной аутентификации наиболее распространена двухфакторная аутентификация (2FA — 2-factor authentication) — метод, при котором пользователь должен предоставить два разных типа аутентификационных данных, чтобы получить доступ, например, что-то, известное только пользователя (пароль) и что-то присущее только пользователю (отпечаток пальца). Доступ к ресурсам через ввод логина и пароля является однофакторной аутентификацией, так как для входа используется только один тип аутентификационных данных – пароль, известный пользователю.

3.3 Однофакторная двухфакторная аутентификация

В связи с тем, что смартфоны стали неотъемлемой частью нашей жизни, они стали одним из способов подтверждения личности пользователя. Это токены для доступа к различным ресурсам. При этом одноразовый пароль генерируется либо с помощью специального приложения, либо приходит по смс — это самый простой способ для пользователя Аутентификация проходит так:

1. Пользователь вводит логин и пароль, указанные при регистрации. Если эта пара верна, система отправляет одноразовый пароль с ограниченным сроком действия.
2. Пользователь вводит одноразовый пароль и, если он совпадает с тем, что прислала система, пользователь получает доступ к своему счету, средствам или подтверждает денежный перевод. Даже если злоумышленник получит логин и пароль от учетной записи (с помощью вредоносных программ, кражи блокнота с паролями, методов социальной инженерии и фишинга), после ввода этих данных система отправит одноразовый код с ограниченным сроком действия на связанный мобильный телефон пользователя. Без одноразового кода мошенник не сможет украсть деньги.

Вывод

Прослеживая историю появления замков и ключей к ним, а затем с появлением компьютеров - паролей, можно наблюдать, как людей всегда интересовала в первую очередь сохранность вещей, а с приходом информационного века и информации. Этот интерес привел к тому, что средства, позволяющие ограничить доступ к объекту сохранения, постоянно изменяются и усложняются. И всякий раз изобретатели, исследователи, ученые искали пути усовершенствования средств идентификации и аутентификации, что и происходит по сей день.