exam03 4 - stankin/design-part-1 GitHub Wiki

Понятия аутентификации и авторизации. Современные способы и алгоритмы реализации.

Реферат к лекции 3. Стадии, документы, виды обеспечения автоматизированных систем..

1. АУТЕНТИФИКАЦИЯ

Аутентифика́ция — средство защиты, устанавливающее подлинность лица, получающего доступ к автоматизированной системе, путем сопоставления сообщенного им идентификатора и предъявленного подтверждающего фактора.1(https://www.banki.ru/wikibank/autentifikatsiya/)

Простыми словами, аутентификация относится к процессу проверки того, что пользователь является тем, кем он себя заявляет. Подобная проверка может быть как односторонней, так и взаимной — все зависит от способа защиты и политики безопасности сервиса. 2(https://www.unisender.com/ru/support/about/glossary/chto-takoe-email-autentifikaciya/)

«ГОСТ Р 58833-2020 ЗАЩИТА ИНФОРМАЦИИ. ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ. ОБЩИЕ ПОЛОЖЕНИЯ.»3(http://docs.cntd.ru/document/1200172576) приводит следующие определения аутентификации

Аутентификация: действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
Простая аутентификация: Аутентификация с применением метода однофакторной односторонней аутентификации и соответствующих данному методу протоколов аутентификации.
Однофакторная аутентификация: Аутентификация, при выполнении которой используется один фактор аутентификации.
Многофакторная аутентификация: Аутентификация, при выполнении которой используется не менее двух различных факторов аутентификации.

Также согласно «ГОСТ Р 52633-2006 ЗАЩИТА ИНФОРМАЦИИ. ТЕХНИКА ЗАЩИТЫ ИНФОРМАЦИИ. ТРЕБОВАНИЯ К СРЕДСТВАМ ВЫСОКОНАДЕЖНОЙ БИОМЕТРИЧЕСКОЙ АУТЕНТИФИКАЦИИ.»4(http://docs.cntd.ru/document/1200048922)

Биометрическая аутентификация: Аутентификация пользователя, осуществляемая путем предъявления им своего биометрического образа.

Все способы аутентификации можно расположить по возрастанию их сложности 2(https://www.unisender.com/ru/support/about/glossary/chto-takoe-email-autentifikaciya/):

Базовая аутентификация.

Наиболее широко используется базовая аутентификация. Поскольку вся информация представляется и передается в открытом виде, данный метод аутентификации прост для обеспечения несложных программных взаимодействий. Но в этом случае пароли будут раскрыты достаточно быстро, так как логин пользователя и его пароль входят в состав веб-запроса.

Компоненты веб-сервера и FTP-сервера поддерживают базовую аутентификацию. Она работает в IIS следующим образом. Пользователь вводит имя и пароль для аутентификации. Браузер выполняет 64-разрядное кодирование пароля и передает его на сервер. IIS проверяет правильность имени пользователя и пароля и предоставляет доступ к ресурсам.

Дайджест-аутентификация.

Вид аутентификации, который подразумевает передачу пользовательских паролей в хэшированном состоянии. К каждому паролю добавляется произвольная строка, состоящая из символов (хэш), которая генерируется отдельно на каждый новый веб-запрос. Постоянное обновление хэша не дает злоумышленнику возможности расшифровать пакет данных — каждое новое подключение образует другое значение пароля.

HTTPS

Этот протокол дает возможность шифрования не только логина и пароля пользователя, но и всех остальных данных, передаваемых между интернет-клиентом и сервером. Используется для ввода личной информации: адреса, контактных данных, реквизитов кредитной карточки,банковских данных. У протокола есть один существенный недостаток — он значительно замедляет скорость соединения.

Аутентификация с предъявлением цифрового сертификата

Такой способ подразумевает использование протоколов с запросом и соответствующим ответом на него. Страница аутентификации направляет к пользователю определенный набор символов («адрес»). Ответом является запрос сервера, который подписан при помощи персонального ключа.

Аутентификация с использованием Cookies

Cookie — небольшой массив данных, который отправляется интернет-сервером и хранится на ПК пользователя. Браузер при каждой попытке подключения к данному ресурсу посылает Cookies как одну из составных частей HTTP-запроса. Как средство аутентификации Cookie используются для систем безопасности чатов, форумов и различных интернет-игр. Cookies обладают низкой степенью защиты — если сессия плохо фильтруется, то похитить их не составляет труда. Поэтому применяется дополнительная привязка по IP-адресу, с которого пользователь вошел в систему.

Децентрализованная аутентификация

Выделяют несколько основных протоколов, работающих по принципу децентрализованной аутентификации:

OpenID. Протокол позволяет завести один пароль для нескольких интернет-ресурсов. Безопасность осуществляется за счет цифровой подписи сообщений на основе алгоритма Диффи-Хеллмана.
OpenAuth. Работает по похожему алгоритму с OpenID. Позволяет использовать сервисы AOL и любые другие, надстроенные поверх них.
OAuth. Дает возможность одному веб-ресурсу получить доступ к пользовательским данным на другом веб-ресурсе.

2. АВТОРИЗАЦИЯ

Как только система сможет установить, что пользователь является тем, кем он себя заявляет (аутентификация), настает время авторизации.

Авторизация – это предоставление определенному лицу или группе лиц прав на выполнение определенных действий; процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.5(https://ru.wikipedia.org/wiki/%D0%90%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F)

Авторизацию не следует путать с аутентификацией. Авторизация производит контроль доступа к различным ресурсам системы в процессе работы легальных пользователей непосредственно после успешного прохождения ими аутентификации.

Существует множество порталов авторизации (например, «hotspot», «captive portal»), которые предоставляют свои услуги владельцам публичных сетей. Каждый из сервисов предоставляет определенный набор способов настройки идентификации пользователей Wi-Fi сети и различные дополнительные услуги. Например, установку ограничений на скорость соединения или на доступ с определенных устройств.

Р 50.1.056-2005 Техническая защита информации. Основные термины и определения 6(http://docs.cntd.ru/document/1200044768)

Санкционирование доступа; авторизация: Предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ

ФЗ-63 «Об электронной подписи» от 06.04.2011 7(http://www.consultant.ru/document/cons_doc_LAW_112701/)

Простая электронная подпись (ПЭП) – это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Ключ ЭП – уникальная последовательность символов, предназначенная для создания электронной подписи. Применительно к ПЭП роль ключа ЭП исполняют коды, пароли и прочие средства либо их сочетание. Ключ ЭП может формироваться как на стороне пользователя, так и на стороне информационной системы (ИС).

Виды авторизации 8(https://help.mgts.ru/home/internet/wifi/)

Авторизация по SMS.

На странице авторизации пользователь указывает свой номер телефона. На него высылается сообщение с кодом, который надо будет ввести в появившейся строке. Легкость авторизации делает этот вид достаточно привлекательным и привычным для пользователей, однако СМС являются платными для собственника системы.

Авторизация по звонку (Caller-ID).

Данный вид авторизации организован несколько сложнее, чем предыдущий способ. Алгоритм идентификации может быть одним из трех: а) При попытке подключения к системе пользователь вводит свой номер телефона, получает звонок и узнает специальный одноразовый код, необходимый для получения доступа к сети. б) При попытке подключения к сети Wi-Fi пользователь вводит свой номер телефона и получает звонок. Но в данном случае кодом служат последние несколько цифр определившегося номера телефона. в) При попытке подключения к сети Wi-Fi пользователю может быть предложено самому совершить звонок на указанный номер (без соединения и тарификации). Звонок сбрасывается и открывается доступ в интернет.

Авторизация по ваучерам.

Не требует затрат на отправку СМС-сообщений. Позволит пользователям получить доступ по уникальным логину и паролю. Их автоматически генерирует система при создании ваучера. Иностранные клиенты смогут подключиться к беспроводной сети, не используя мобильную связь в роуминге.

Авторизация через социальные сети.

При попытке подключения пользователю может быть предложен данный вид авторизации. Пользователь вводит логин, пароль и открывает доступ к своей странице. Такой способ удобен бизнесу: владелец точки доступа получает важные данные о своих посетителях, которые можно использовать при проведении маркетинговых мероприятий.

Авторизация посредством ESIA9(https://ru.wikipedia.org/wiki/%D0%95%D0%B4%D0%B8%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%B8%D0%B4%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8_%D0%B8_%D0%B0%D1%83%D1%82%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D0%B8) (Единой системой идентификации и авторизации).

ЕСИА – это система, за функционирование которой отвечает Минкомсвязь России. Регистрируясь в этой системе, человек получает пароль, который по сути является ключом доступа ко всем государственным сайтам и ресурсам, предоставляющим услуги федерального и муниципального масштаба.

Как информационная система работает с ESIA Технически процесс выглядит так:

Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
Информационная система направляет в ЕСИА запрос на аутентификацию.
ЕСИА проверяет, есть ли у пользователя открытая сессия, т.е. авторизовался ли он уже ранее. Если такой сессии нет, ЕСИА направляет пользователя на веб-страницу, чтобы он ввёл свой логин и пароль.
После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
На основании этой информации система открывает пользователю доступ.