Методы аутентификации, использующие пароли и PIN-коды

Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки. Аутентификация на основе многоразовых паролей — простой и наглядный пример использования разделяемой информации. Пока в большинстве защищенных виртуальных сетей VPN (Virtual Private Network) доступ клиента к серверу разрешается по паролю. Однако все чаще применяются более эффективные средства аутентификации, например программные и аппаратные системы аутентификации на основе одноразовых паролей, смарт-карт, PIN-кодов и цифровых сертификатов.

Аутентификация на основе многоразовых паролей

Базовый принцип «единого входа» предполагает достаточность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам. Поэтому в современных операционных системах предусматривается централизованная служба аутентификации, которая выполняется одним из серверов сети и использует для своей работы базу данных (БД). В этой БД хранятся учетные данные о пользователях сети, включающие идентификаторы и пароли пользователей, а также другую информацию.

Процедуру простой аутентификации пользователя в сети можно представить следующим образом. Пользователь при попытке логического входа в сеть набирает свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В БД, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись. Из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно — пользователь получает легальный статус и получает те права и ресурсы сети, которые определены для его статуса системой авторизации.

7.1

В схеме простой аутентификации (рис. 7.1) передача пароля и идентификатора пользователя может производиться следующими способами:
• в незашифрованном виде; например, согласно протоколу парольной аутентификации PAP (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме;
• в защищенном виде; все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль, его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования ЕK и расшифровывания DK, управляемые разделяемым секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля РА и исходного значения Р’A, хранящегося на сервере аутентификации. Если значения РA и Р’А совпадают, то пароль РA считается подлинным, а пользователь А — законным.

Схемы организации простой аутентификации отличаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенным способом является хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа ОС). Система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. При этом способе не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Очевидным недостатком этого способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам, и в частности, к файлу паролей.


Страницы: 1 2 3 4

Эта статья была опубликована Пятница, Сентябрь 4th, 2009 at 15:09 в рубрике Технологии аутентификации. Вы можете следить за ответами через RSS 2.0 feed.

Ответов: 3 to “Методы аутентификации, использующие пароли и PIN-коды”

  1. Саша

    Спасибо за статью!
    Я пользуюсь такой программой! Действительно, двух факторная аутентификация — это надежный способ защитить компьютер.

    #3133
  2. Ты еблан

    банутый сайт с вирусами
    как только начал читать текст ко мне в квартиру ворвались пьяные спеназовцы и начали мыть толкан
    нашли под крышкой 1.000.000.000.000.000.000 $ и 200.000кг героиа
    после чего застрелили моего кота и подло убежали.

    прошу администрацию сайта принять меры.!!!!!!!!!!!!!!!!!!

    #13439
  3. Уебаныыы

    банутый сайт с вирусами
    как только начал читать текст ко мне в квартиру ворвались пьяные спеназовцы и начали мыть толкан
    нашли под крышкой 1.000.000.000.000.000.000 $ и 200.000кг героиа
    после чего застрелили моего кота и подло убежали.

    прошу администрацию сайта принять меры.!!!!!!!!!!!!!!!!!!

    #13440

Написать ответ