Идентификация и аутентификация
К категории технологических методов защиты от несанкционированного доступа от носятся идентификация и аутентификация.
Под безопасностью (стойкостью) системы идентификации и аутентификации будем понимать гарантированность того, что злоумышленник не способен пройти аутентификацию от имени другого пользователя. В этом смысле, чем выше стойкость системы аутентификации, тем сложнее злоумышленнику решить указанную задачу. Система идентификации и аутентификации является одним из ключевых элементов инфраструктуры защиты от несанкционированного доступа любой информационной системы. Различают три группы методов аутентификации, основанных на наличии у пользователей:
индивидуального объекта заданного типа;
индивидуальных биометрических характеристик;
знаний некоторой известной только пользователю и проверяющей стороне информации.
К первой группе относятся методы аутентификации, предполагающие использование удостоверений, пропуска, магнитных карт и других носимых устройства, которые широко применяются для контроля доступа в помещения, а также входят в состав программно-аппаратных комплексов защиты от несанкционированного доступа к средствам вычислительной техники.
Во вторую группу входят методы аутентификации, основанные на применении оборудования для измерения и сравнения с эталоном заданных индивидуальных характеристик пользователя: тембра голоса, отпечатков пальцев, структуры радужной оболочки глаза и др. Такие средства позволяют с высокой точностью аутентифицировать обладателя конкретного биометрического признака, причем «подделать» биометрические параметры практически невозможно.
Последнюю группу составляют методы аутентификации, при которых используются пароли. По экономическим причинам они включаются в качестве базовых средств защиты во многие программно-аппаратные комплексы защиты информации. Все современные операционные системы и многие приложения имеют встроенные механизмы парольной защиты.
Если в процедуре аутентификации участвуют только две стороны, устанавливающие подлинность друг друга, такая процедура называется непосредственной аутентификацией. Если же в процессе аутентификации участвуют не только эти стороны, но и другие, вспомогательные, говорят об аутентификации с участием доверенной стороны. Третью сторону называют сервером аутентификации или арбитром.
Выбирая тот или иной протокол аутентификации, необходимо определить, какая именно аутентификация требуется - односторонняя или взаимная, нужно ли использовать доверенное третье лицо и если да, то какая из сторон - претендент или верификатор - будет с ним взаимодействовать. Протоколы бездиалоговой аутентификации часто осуществляют еще и контроль целостности данных.