пятая лаба (Проверка подлинности)

Посмотреть архив целиком

Проверка подлинности

Материал из Википедии — свободной энциклопедии

Аутентифика́ция (англ. Authentication) или подтверждение подлинности — процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае — с помощью имени и пароля.

Данную процедуру следует отличать от идентификации (опознавания субъекта информационного взаимодействия) и авторизации (проверки прав доступа к ресурсам системы).

Базы учетных записей

Один из способов аутентификации в компьютерной системе состоит во вводе вашего пользовательского идентификатора, в просторечии называемого «логином» (англ. login — регистрационное имя пользователя) и пароля — некой конфиденциальной информации, знание которой обеспечивает владение определенным ресурсом. Получив введенный пользователем логин и пароль, компьютер сравнивает их со значением, которое хранится в специальной базе данных и, в случае совпадения, пропускает пользователя в систему.

На компьютерах с ОС семейства UNIX, базой является файл /etc/master.passwd (в дистрибутивах Linux обычно файл /etc/shadow, доступный для чтения только root), в котором пароли пользователей хранятся в виде хеш функций от открытих паролей, кроме этого в этом же файле хранится информация о правах пользователя. Изначально в Unix - системах пароль хранился в файле /etc/passwd, доступном для чтения всем пользователям, что было не безопасно.

На компьютерах с операционной системой Windows NT/2000/XP/2003 (не входящих в домен Windows) такая база данных называется SAM (Security Account Manager — Диспетчер защиты учётных записей). База SAM хранит учётные записи пользователей, включающие в себя все данные, необходимые системе защиты для функционирования.

В доменах Windows Server 2000/2003 такой базой является Active Directory.

Однако, более надежным способом хранения аутентификационных данных, признано использование специальных аппаратных средств (компонентов).

При необходимости обеспечения работы сотрудников на разных компьютерах (с поддержкой системы безопасности) используют аппаратно-программные системы, позволяющие хранить аутентификационные данные и криптографические ключи на сервере организации. Пользователи свободно могут работать на любом компьютере (рабочей станции), имея доступ к своим аутентификационным данным и криптографическим ключам.

Способы аутентификации

Стоит отметить, что текстовый ввод логина и пароля вовсе не является единственным методом аутентификации. Ныне все большую популярность набирает аутентификация с помощью электронных сертификатов, пластиковых карт и биометрических устройств, например, сканеров радужной оболочки глаза или отпечатков пальцев или ладони.

В последнее время все чаще применяется, так называемая, расширенная или многофакторная аутентификация. Она построена на использовании нескольких компонент, таких как: информация, которую пользователь знает (пароль), использовании физических компонентов (например, идентификационные брелоки или смарт-карты), и технологии идентификации личности (биометрические данные).

Протоколы аутентификации

Также не следует забывать, что процедуру аутентификации применяют компьютеры при общении друг с другом, используя при этом весьма сложные криптографические протоколы, обеспечивающие защиту линии связи от прослушивания или подмены одного из участников взаимодействия. А поскольку, как правило, аутентификация необходима обоим объектам, устанавливающим сетевое взаимодействие, то аутентификация должна быть взаимной. Иначе, к примеру, покупая товар в не аутентифицированном Интернет-магазине, вы рискуете потерять свои деньги.

В частности, в операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспечер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы. Другими словами, протокол идеально подходит для применения в Интернет и аналогичных сетях.

Идентификация (лат. identifico — отождествлять):

  • Идентификация в компьютерной безопасности — процесс сообщения субъектом своего имени или номера, с целью отличить данный субъект от других субъектов. Например, одна из типичных систем идентификации — штрихкод.

  • Под идентификацией также иногда понимается аутентификация — процесс подтверждения подлинности пользователя, см. также [1]



[1]: Алексей Махоткин

То, что я собираюсь рассказать, довольно тривиально, но, как
оказалось, иногда некорректно
понимается некоторыми.


Я буду говорить об именах пользователей, паролях, о том, для чего они
нужны, и о соседних вещах.

Есть три с половиной базовые концепции, относящихся к компьютерной
безопасности: идентификация, аутентификация, авторизация и аудит. Эти
концепции надо тщательно различать между собой.




Идентификация -- это попросту имя пользователя, идентификатор,
под которым этот пользователь известен системе. Сам по себе
идентификатор ничего не говорит о том, правильный ли он или нет.
Например, почти во всех операционных системах есть тот или иной root,
Administrator, и т. п., и само по себе имя практически никак
использовать нельзя -- к нему прилагается некоторый механизм
аутентификации).

F.A.Q.: почему нельзя использовать "пароль" в качестве имени
пользователя и наоборот?
[sic!] (На самом деле этот вопрос
означает: "нельзя ли как-то избавиться от одного из двух
компонентов?")

Ответ: ни того, ни другого сделать нельзя, потому что 1) для аудита
и для авторизации (см. ниже) нужно то или иное имя пользователя; 2)
использовать пароли в качестве имени пользователя нельзя потому,
что пароли а) могут вообще отсутствовать (см. ниже); б) иногда
меняются; в) вообще-то, секретны, и показывать их потенциальным
"аудиторам" нельзя.


Аутентификация -- это метод выяснения того, что предъявленное
имя действительно принадлежит тому человеку, который предъявляет это
имя. Самым распространенным (но далеко не единственным!) способом
аутентификации является парольная аутентификация. Именно из-за этой
распространенности может создаться впечатление, что от пароля можно
либо отказаться, либо использовать его не по назначению.

На самом деле, есть огромное количество других способов аутентификации
пользователя: например, по радужной оболочке глаза, или по отпечаткам
пальцев, или с помощью калькулятора паролей, или с помощью смарт-карт,
или с помощью симметричной криптографии.

То есть фактически, использование пары "имя пользователя/пароль" --
это просто самое быстрое и дешевое для реализации решение.


Авторизация -- это решение о предоставлении пользователю
доступа к тому или иному ресурсу (или к самой системе).

Авторизация при принятии решения о предоставлении доступа пользуется
только и исключительно идентификатором пользователя. Механизмы
авторизации предполагают (и правильно делают), что они работают в
зоне, защищенной тем или иным механизмом аутентификации.

Есть два слегка разных проявления авторизации: авторизация "на вход в
систему" и авторизация "на совершение действий".

Авторизация на вход в систему проявляется в тот момент, когда
пользователя не пускают в систему, потому что он набрал неправильный
пароль. Вообще, ошибка аутентификации -- это не единственная причина
того, что авторизация на вход в систему может провалиться: например, в
это время суток в системе проводятся плановые работы и поэтому доступ
пользователей к ней запрещен. Авторизация на вход в систему
рассматривается отдельно потому, что именно в точке входа в систему
она тесно взаимодействует с аутентификацией, из-за чего эти две вещи
часто смешивают.

Авторизация на совершение действий срабатывает, например, тогда, когда
пользователю не дают прочитать файл, потому что у него нет прав на
чтение этого файла (несмотря на то, что пароль-то он знает). То есть,
успешная аутентификация не гарантирует какой бы то ни было
авторизации.



Аудит -- это запись журнала использования того или иного имени.
Обычно используется два основных вида записей: записи об
аутентификации (например, "пользователь vasya вошел в систему" или
"неверный пароль пользователя petya) и записи об авторизации
("пользователь vasya прочитал файл" и "пользователь petya попытался
прочитать файл, который читать ему нельзя"). Здесь важно то, что мы
должны уметь а) как-то написать вот эти слова типа "petya" и "vasya",
чтобы показать их потом "аудиторам" б) при этом не раскрыть секретной
информации.

Соответственно, становится очевидно, что имя пользователя так или
иначе должно существовать (потому что изображение радужки глаза очень
сложно использовать для рассуждений о том, скажем, кто именно работал
в системе в тот или иной момент).

Авторизация

Материал из Википедии — свободной энциклопедии

Авториза́ция — процесс, а также результат процесса проверки необходимых параметров и предоставление определённых полномочий лицу или группе лиц (прав доступа) на выполнение некоторых действий вразличных системах с ограниченным доступом.


Виды авторизации

  • В информационных технологиях посредством авторизации устанавливаются и реализуются права доступа к ресурсам и системам обработки данных.

  • В финансовой сфере авторизация проводится при использовании банковских платежных, кредитных и иных карт.

  • Новым веением в системах безопасности стала биометрическая авторизация, которая основана на биологических особенностях авторизирующегося субьекта.

Логин

Материал из Википедии — свободной энциклопедии

Перейти к: навигация, поиск

Ло́ги́н (login, log in, log on, signin, sign in) — процедура аутентификации пользователя в компьютерной системе, как правило путем указания имени учётной записи и пароля.

Ошибочно, под логином может подразумеваться непосредственно имя учётной записи пользователя. Подобного употребления термина «логин» следует избегать.

Ударение принято ставить на второй слог слова, а точнее на букву "и". (По-английски ударение на первом слоге?[1])

Никнейм

Материал из Википедии — свободной энциклопедии

Никне́йм (никнэ́йм, ник; англ. nickname — первоначально 'кличка', 'прозвище'); также сетевое имяпсевдоним, используемый пользователем в Интернете, обычно в местах общения (в чате, форуме, блоге). Чаще всего слово является производным от собственного имени или фамилии (напр. мищЪ - Мищенко, asash - Саша), имени мифических персонажей или героев (напр. archangel).

Вместе с аватаром обычно составляет цельный виртуальный образ.


Случайные файлы

Файл
50833.doc
46651.rtf
182614.rtf
104363.rtf
27731-1.rtf




Чтобы не видеть здесь видео-рекламу достаточно стать зарегистрированным пользователем.
Чтобы не видеть никакую рекламу на сайте, нужно стать VIP-пользователем.
Это можно сделать совершенно бесплатно. Читайте подробности тут.