Варіанти аутентифікації, комп'ютерна документація від а до я - захист інформації
варіанти аутентифікації
Час прощатися з паролями?
Ними користуються практично всі. У багатьох користувачів їх цілі колекції. Вони керують доступом до нашого найціннішому ресурсу - інформації, і все ж ми не приділяємо належної уваги їх зберігання. Ми з легкістю повідомляємо їх іншим людям, пишемо на клаптиках паперу і рідко даємо собі працю вибирати їх відповідно до необхідних вимог. Що я маю на увазі? Паролі, зрозуміло! Точніше кажучи, набір облікових даних, що складається з імені користувача і пароля.
Базові принципи аутентифікації
Системи на основі ключів
Пристрої для зчитування біометричних даних
Принцип роботи пристроїв для зчитування біометричних даних простий. Прилад зчитує біометричні дані, проводить необхідні виміри і зводить їх результати до унікального значенням (це хеш). Наприклад, пристрій зчитування відбитків пальців може розрахувати відношення між гребінцем і западиною папілярного візерунка на пальці і перетворити його в значення хеш-функції. Втім, тут слід мати на увазі одну обставину. Щодо дешеві пристрої для зчитування біометричних даних можуть частіше робити помилки типу I і II, ніж більш дорогі пристрої. Помилка типу I - це помилка виключення (скажімо, відбиток пальця користувача або інші його біометричні дані помилково визнаються недійсними). Помилка типу II, більш небезпечна, - це помилкове розпізнавання (ситуація, коли відбиток пальця або інші біометричні дані іншої людини помилково визнаються даними користувача). Внаслідок недостатньої надійності біометричної технології виробники багатьох пристроїв зчитування біометричних даних, включаючи розробника продукту Fingerpring Reader компанію Microsoft, не рекомендують застосовувати ці пристрої для управління доступом до корпоративних мереж або важливою фінансової інформації. Засіб для зчитування біометричних даних за своєю природою Однофакторні пристрій ідентифікації; воно базується на тому, що біометричні дані кожної людини унікальні. Деякі системи біометричної аутентифікації вимагають введення користувачем персонального ідентифікаційного номера з метою скорочення числа помилок типу II.
Якщо ви вирішите скористатися пристроями зчитування біометричних даних, вам потрібно буде поряд з ними встановити програмні засоби, що використовуються для аутентифікації користувачів. Щоб мати можливість працювати з пристроями зчитування біометричних даних, необхідно записати біометричну інформацію про осіб, ідентичність яких буде встановлюватися за допомогою зчитувачів. Часто кожен біометричний параметр зчитується неодноразово, а іноді скануванню піддається кілька ділянок тіла (наприклад, вказівні пальці лівої і правої руки). Потім ці записані біометричні дані асоціюються з обліковим записом користувача. Щоразу після пред'явлення біометричних даних пристрій зчитує їх і зіставляє результуюче унікальне значення зі значеннями, асоційованими з обліковими записами користувачів. Таким чином виявляється користувач, який представив свої біометричні дані.
За великим рахунком призначення пристроїв зчитування біометричних даних полягає в тому, щоб звести до мінімуму обсяг облікових даних, які повинні тримати в пам'яті користувачі, а не в тому, щоб взагалі усунути необхідність у використанні облікових даних. Наприклад, коли користувач реєструється на Web-сайті, система біометричної аутентифікації записує використовувані при цьому облікові дані, а також дію, яка передає облікові дані на Web-сайт (скажімо, натискання на кнопку реєстрації). Коли користувач знову відвідує цей Web-сайт, він просто пред'являє зчитувального пристрою свою біометричну інформацію, а зчитувач витягує облікові дані з захищеного сховища, заповнює Web-форму і імітує дію, необхідне для передачі облікових даних на Web-сайт і для реєстрації користувача.
Об'єднані системи аутентифікації, рішення SSO та засоби InfoCard
дилема пароля
Управління доступом до мереж і Web-сайтів - це проблема, з якою доводиться мати справу кожному ІТ-професіоналу. Методи аутентифікації, які передбачають використання імен користувачів і паролів, мають безліч недоліків, і тому багато компаній відходять від практики їх використання. Я представив вам ряд широко поширених і простих у застосуванні альтернатив іменами користувачів і паролів. В одній з наступних статей я зупинюся на деталях розгортання і використання описаних вище технологій і рішень.
Джон Хоуі ([email protected]) - директор організації World Wide Services and IT Technical Community for Security at Microsoft. Має багаторічний досвід роботи в сфері захисту інформації та є володарем сертифікатів CISA, CISM і CISSP
КОЛИ без пароля НЕ ОБІЙТИСЯ
Незважаючи на наявність на ринку альтернативних засобів аутентифікації, може трапитися так, що без імен користувачів і паролів обійтися буде неможливо. Ось кілька рекомендацій для таких випадків.