Аутентификация в Интернете

Поделись знанием:
Перейти к: навигация, поиск

Аутентификация — проверка подлинности предъявленного пользователем идентификатора. Аутентификация требуется при доступе к таким интернет-сервисам как:

Положительным результатом аутентификации (кроме установления доверительных отношений и выработки сессионного ключа) является авторизация пользователя, то есть предоставление ему прав доступа к ресурсам, определенным для выполнения его задач.

В зависимости от важности ресурса, для доступа к нему могут применяться разные методы аутентификации:

Тип ресурса Tехнология аутентификации
Требуется аутентификация для доступа к информационным системам, содержащим информацию, разглашение которой не несет существенных последствий. Минимальным требованием для аутентификации является использование многоразовых паролей.
Доступ к информации, при несанкционированной модификации, раскрытии или уничтожении которой имеет место значительный ущерб. Требует использования одноразовых паролей, а доступ ко всем остальным видам ресурсов требует использования строгой аутентификации.
Доступ к информационным системам конфиденциальной информации. Требует использования взаимной строгой аутентификации.




Классификация методов аутентификации

В зависимости от степени доверительных отношений, структуры, особенностей сети и удаленности объекта проверка может быть односторонней или взаимной. Также различают однофакторную и строгую (криптографическую) аутентификации. Из однофакторных систем, наиболее распространенными на данный момент являются парольные системы аутентификации. У пользователя есть идентификатор и пароль, то есть секретная информация, известная только пользователю (и, возможно, системе), которая используется для прохождения аутентификации. В зависимости от реализации системы, пароль может быть одноразовым или многоразовым. Рассмотрим основные методы аутентификации по принципу нарастающей сложности.

Базовая аутентификация

При использовании данного вида аутентификации имя пользователя и пароль включаются в состав веб-запроса (HTTP POST или HTTP GET). Любой перехвативший пакет, легко узнает секретную информацию. Даже если контент с ограниченным доступом не слишком важен, этот метод лучше не использовать, так как пользователь может применять один и тот же пароль на нескольких веб-сайтах. Опросы Sophos показывают, что 41 % в 2006 г. и 33 % в 2009 г. пользователей применяют для всей своей деятельности в Интернете всего один пароль, будь то сайт банка или районный форум[1][2]. Также из недостатков парольной аутентификации следует отметить невысокий уровень безопасности — пароль можно подсмотреть, угадать, подобрать, сообщить посторонним лицам и т.д

Дайджест-аутентификация

Дайджест-аутентификация — аутентификация, при которой пароль пользователя передается в хешированном виде. Казалось бы, что по уровню конфиденциальности паролей этот тип мало чем отличается от предыдущего, так как атакующему все равно, действительно ли это настоящий пароль или только хеш от него: перехватив сообщение, он все равно получает доступ к конечной точке. Но это не совсем так — пароль хэшируется всегда с добавлением произвольной строки символов, которая генерируется на каждое соединение заново. Таким образом при каждом соединении генерируется новый хэш пароля и перехват его ничего не даст. Для более подробного описания алгоритма работы обратитесь к www.faqs.org/rfcs/rfc2617.html - RFC2617 — HTTP Authentication: Basic and Digest Access Authentication. Дайджест-аутентификация поддерживается всеми популярными серверами и браузерами.

HTTPS

Протокол HTTPS позволяет шифровать все данные, передаваемые между браузером и сервером, а не только имена пользователей и пароли. Протокол HTTPS (основанный на системе безопасности SSL) следует использовать в случае, если пользователи должны вводить важные личные данные — адрес, номер кредитной карты или банковские сведения. Однако использование данного протокола значительно замедляет скорость доступа.

Аутентификация по предъявлению цифрового сертификата

Механизмы аутентификации с применением цифровых сертификатов, как правило, используют протокол с запросом и ответом. Сервер аутентификации отправляет пользователю последовательность символов, так называемый запрос. В качестве ответа выступает запрос сервера аутентификации, подписанный с помощью закрытого ключа пользователя. Аутентификация с открытым ключом используется как защищенный механизм аутентификации в таких протоколах как SSL, а также может использоваться как один из методов аутентификации в рамках протоколов Kerberos и RADIUS.

Аутентификация по Cookies

Множество различных сайтов используют в качестве средства аутентификации cookies, к ним относятся чаты, форумы, игры. Если cookie удастся похитить, то, подделав его, можно аутентифицироваться в качестве другого пользователя. В случае, когда вводимые данные плохо фильтруются или не фильтруются вовсе, похитить cookies становится не очень сложным предприятием[3]. Чтобы как-то улучшить ситуацию используется защита по IP-адресу, то есть cookies сессии связываются с IP-адресом, с которого изначально пользователь авторизовывался в системе. Однако IP-адрес можно подделать используя IP-спуфинг, поэтому надеяться на защиту по IP-адресу тоже нельзя. На данный момент большинство браузеров[4] используют куки с флагом HTTPonly[5], который запрещает доступ к cookies различным скриптам.

Децентрализованная аутентификация

Одним из главных минусов таких систем является то, что взлом дает доступ сразу ко многим сервисам.

OpenID

Открытая децентрализованная система аутентификации пользователей. OpenID позволяет пользователю иметь один логин-пароль для различных веб-сайтов. Безопасность обеспечивается подписыванием сообщений. Передача ключа для цифровой подписи основана на использовании алгоритма Диффи — Хеллмана, также возможна передача данных по HTTPS. Возможные уязвимости OpenID:

  • подвержен фишинговым атакам. Например, мошеннический сайт может перенаправить пользователя на поддельный сайт OpenID провайдера, который попросит пользователя ввести его секретные логин и пароль.
  • уязвим перед атакой человек посередине

Аутентификация по OpenID сейчас активно используется и предоставляется такими гигантами, как BBC[6], Google[7], IBM, Microsoft[8] MySpace, PayPal, VeriSign, Yandex и Yahoo![9][10][11]

OpenAuth[12]

Используется для аутентификации AOL пользователей на веб-сайтах. Позволяет им пользоваться сервисами AOL, а также любыми другими надстроенными над ними. Позволяет проходить аутентификацию на сайтах, не относящихся к AOL, при этом не создавая нового пользователя на каждом сайте. Протокол функционирует похожим на OpenID образом[13]. Также приняты дополнительные меры безопасности:

  • данные сессии (в том числе информация о пользователе) хранятся не в cookies.
  • cookies аутентификации шифруются алгоритмом 'PBEWithSHAAnd3-KeyTripleDES-CBC'
  • доступ к cookies аутентификации ограничен определенным доменом, так что другие сайты не имеют к ним доступа (в том числе сайты AOL)

OAuth

OAuth позволяет пользователю разрешить одному интернет-сервису получить доступ к данным пользователя на другом интернет-сервисе[14]. Протокол используется в таких системах, как Twitter[15], Google[16] (Google также поддерживает гибридный протокол, объединяющий в себе OpenID и OAuth)

Отслеживание аутентификации самим пользователем

Во многом безопасность пользователей в Интернете зависит от поведения самих пользователей. Так например, Google показывает с какого IP адреса включены пользовательские сессии, логирует авторизацию, также позволяет осуществить следующие настройки:

  • передача данных только по HTTPS.
  • Google может детектировать, что злоумышленник использует ваш аккаунт (друзья считают ваши письма спамом, последняя активность происходила в нехарактерное для вас время, некоторые сообщения исчезли …)[17]
  • отслеживание списка третьих сторон, имеющих доступ к используемым пользователем продуктам Google

Зачастую пользователю сообщается с какого IP адреса он последний раз проходил аутентификацию.

Многофакторная аутентификация

Основная статья: Многофакторная аутентификация

Для повышения безопасности на практике используют несколько факторов аутентификации сразу. Однако, при этом важно понимать, что не всякая комбинация нескольких методов является многофакторной аутентификацией. Используются факторы различной природы:

  • Свойство, которым обладает субъект. Например, биометрия, природные уникальные отличия: лицо, отпечатки пальцев, радужная оболочка глаз, капиллярные узоры, последовательность ДНК.
  • Знание — информация, которую знает субъект. Например, пароль, пин-код.
  • Владение — вещь, которой обладает субъект. Например, электронная или магнитная карта, флеш-память.

В основе одного из самых надёжных на сегодняшний день методов многофакторной аутентификации лежит применение персональных аппаратных устройств — токенов. По сути, токен — это смарт-карта или USB-ключ. Токены позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию.

Использование классических «многоразовых» паролей является серьёзной уязвимостью при работе с чужих компьютеров, например в интернет-кафе. Это подтолкнуло ведущих производителей рынка аутентификации к созданию аппаратных генераторов одноразовых паролей. Такие устройства генерируют очередной пароль либо по расписанию (например, каждые 30 секунд), либо по запросу (при нажатии на кнопку). Каждый такой пароль можно использовать только один раз. Проверку правильности введённого значения на стороне сервера проверяет специальный сервер аутентификации, вычисляющий текущее значение одноразового пароля программно. Для сохранения принципа двухфакторности аутентификации помимо сгенерированного устройством значения пользователь вводит постоянный пароль.

Напишите отзыв о статье "Аутентификация в Интернете"

Примечания

  1. www.sophos.com/pressoffice/news/articles/2006/04/passpoll06.html Согласно данным опроса Sophos, бизнес-данные могут находиться в опасности из-за паролей, выбираемых сотрудниками
  2. www.sophos.com/en-us/press-office/press-releases/2009/03/password-security.aspx А вы используете один пароль на всех сайтах?
  3. www.softwaretestinglab.co.uk/web-security/how-to-steal-cookies-using-xss/ How to Steal Cookies Using XSS
  4. [www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HTTPOnly Browsers Supporting HTTPOnly]. OWASP. Проверено 4 января 2009.
  5. Microsoft, [msdn.microsoft.com/en-us/library/ms533046.aspx Mitigating Cross-site Scripting With HTTP-only Cookies]
  6. [openid.net/2008/04/22/british-broadcasting-corp-bbc-joins-openid-foundation/ BBC Joins OpenID Foundation 2008-04-22]
  7. [www.techcrunch.com/2008/01/18/google-offers-openid-logins-via-blogger/ Google Offers OpenID Logins Via Blogger 2008-01-18]
  8. [blog.washingtonpost.com/securityfix/2007/02/microsoft_to_support_openid.html Microsoft to Support OpenID 2007-02-06]
  9. [openid.net/get/ How do I get an OpenID?]
  10. [www-03.ibm.com/press/us/en/pressrelease/23461.wss Technology Leaders Join OpenID Foundation to Promote Open Identity Management on the Web]
  11. [radar.oreilly.com/archives/2008/02/openid-foundation-google-ibm-m.html OpenID Foundation — Google, IBM, Microsoft, VeriSign and Yahoo]
  12. [dev.aol.com/api/openauth The AOL Open Authentication]
  13. www.gregsmind.com/preso/presentations/OpenAuthMashup5.ppt
  14. [softwareas.com/oauth-openid-youre-barking-up-the-wrong-tree-if-you-think-theyre-the-same-thing OAuth-OpenID: You’re Barking Up the Wrong Tree if you Think They’re the Same Thing]
  15. [apiwiki.twitter.com/OAuth-FAQ Twitter API Wiki / OAuth FAQ]
  16. [code.google.com/apis/accounts/docs/OAuth.html OAuth for Web Applications — Authentication and Authorization for Google APIs — Google Code]
  17. [www.google.com/support/accounts/bin/answer.py?hl=en&answer=140921 Detecting suspicious activity on your account]

Отрывок, характеризующий Аутентификация в Интернете

Наполеон опять взял табакерку, молча прошелся несколько раз по комнате и вдруг неожиданно подошел к Балашеву и с легкой улыбкой так уверенно, быстро, просто, как будто он делал какое нибудь не только важное, но и приятное для Балашева дело, поднял руку к лицу сорокалетнего русского генерала и, взяв его за ухо, слегка дернул, улыбнувшись одними губами.
– Avoir l'oreille tiree par l'Empereur [Быть выдранным за ухо императором] считалось величайшей честью и милостью при французском дворе.
– Eh bien, vous ne dites rien, admirateur et courtisan de l'Empereur Alexandre? [Ну у, что ж вы ничего не говорите, обожатель и придворный императора Александра?] – сказал он, как будто смешно было быть в его присутствии чьим нибудь courtisan и admirateur [придворным и обожателем], кроме его, Наполеона.
– Готовы ли лошади для генерала? – прибавил он, слегка наклоняя голову в ответ на поклон Балашева.
– Дайте ему моих, ему далеко ехать…
Письмо, привезенное Балашевым, было последнее письмо Наполеона к Александру. Все подробности разговора были переданы русскому императору, и война началась.


После своего свидания в Москве с Пьером князь Андреи уехал в Петербург по делам, как он сказал своим родным, но, в сущности, для того, чтобы встретить там князя Анатоля Курагина, которого он считал необходимым встретить. Курагина, о котором он осведомился, приехав в Петербург, уже там не было. Пьер дал знать своему шурину, что князь Андрей едет за ним. Анатоль Курагин тотчас получил назначение от военного министра и уехал в Молдавскую армию. В это же время в Петербурге князь Андрей встретил Кутузова, своего прежнего, всегда расположенного к нему, генерала, и Кутузов предложил ему ехать с ним вместе в Молдавскую армию, куда старый генерал назначался главнокомандующим. Князь Андрей, получив назначение состоять при штабе главной квартиры, уехал в Турцию.
Князь Андрей считал неудобным писать к Курагину и вызывать его. Не подав нового повода к дуэли, князь Андрей считал вызов с своей стороны компрометирующим графиню Ростову, и потому он искал личной встречи с Курагиным, в которой он намерен был найти новый повод к дуэли. Но в Турецкой армии ему также не удалось встретить Курагина, который вскоре после приезда князя Андрея в Турецкую армию вернулся в Россию. В новой стране и в новых условиях жизни князю Андрею стало жить легче. После измены своей невесты, которая тем сильнее поразила его, чем старательнее он скрывал ото всех произведенное на него действие, для него были тяжелы те условия жизни, в которых он был счастлив, и еще тяжелее были свобода и независимость, которыми он так дорожил прежде. Он не только не думал тех прежних мыслей, которые в первый раз пришли ему, глядя на небо на Аустерлицком поле, которые он любил развивать с Пьером и которые наполняли его уединение в Богучарове, а потом в Швейцарии и Риме; но он даже боялся вспоминать об этих мыслях, раскрывавших бесконечные и светлые горизонты. Его интересовали теперь только самые ближайшие, не связанные с прежними, практические интересы, за которые он ухватывался с тем большей жадностью, чем закрытое были от него прежние. Как будто тот бесконечный удаляющийся свод неба, стоявший прежде над ним, вдруг превратился в низкий, определенный, давивший его свод, в котором все было ясно, но ничего не было вечного и таинственного.
Из представлявшихся ему деятельностей военная служба была самая простая и знакомая ему. Состоя в должности дежурного генерала при штабе Кутузова, он упорно и усердно занимался делами, удивляя Кутузова своей охотой к работе и аккуратностью. Не найдя Курагина в Турции, князь Андрей не считал необходимым скакать за ним опять в Россию; но при всем том он знал, что, сколько бы ни прошло времени, он не мог, встретив Курагина, несмотря на все презрение, которое он имел к нему, несмотря на все доказательства, которые он делал себе, что ему не стоит унижаться до столкновения с ним, он знал, что, встретив его, он не мог не вызвать его, как не мог голодный человек не броситься на пищу. И это сознание того, что оскорбление еще не вымещено, что злоба не излита, а лежит на сердце, отравляло то искусственное спокойствие, которое в виде озабоченно хлопотливой и несколько честолюбивой и тщеславной деятельности устроил себе князь Андрей в Турции.
В 12 м году, когда до Букарешта (где два месяца жил Кутузов, проводя дни и ночи у своей валашки) дошла весть о войне с Наполеоном, князь Андрей попросил у Кутузова перевода в Западную армию. Кутузов, которому уже надоел Болконский своей деятельностью, служившей ему упреком в праздности, Кутузов весьма охотно отпустил его и дал ему поручение к Барклаю де Толли.
Прежде чем ехать в армию, находившуюся в мае в Дрисском лагере, князь Андрей заехал в Лысые Горы, которые были на самой его дороге, находясь в трех верстах от Смоленского большака. Последние три года и жизни князя Андрея было так много переворотов, так много он передумал, перечувствовал, перевидел (он объехал и запад и восток), что его странно и неожиданно поразило при въезде в Лысые Горы все точно то же, до малейших подробностей, – точно то же течение жизни. Он, как в заколдованный, заснувший замок, въехал в аллею и в каменные ворота лысогорского дома. Та же степенность, та же чистота, та же тишина были в этом доме, те же мебели, те же стены, те же звуки, тот же запах и те же робкие лица, только несколько постаревшие. Княжна Марья была все та же робкая, некрасивая, стареющаяся девушка, в страхе и вечных нравственных страданиях, без пользы и радости проживающая лучшие годы своей жизни. Bourienne была та же радостно пользующаяся каждой минутой своей жизни и исполненная самых для себя радостных надежд, довольная собой, кокетливая девушка. Она только стала увереннее, как показалось князю Андрею. Привезенный им из Швейцарии воспитатель Десаль был одет в сюртук русского покроя, коверкая язык, говорил по русски со слугами, но был все тот же ограниченно умный, образованный, добродетельный и педантический воспитатель. Старый князь переменился физически только тем, что с боку рта у него стал заметен недостаток одного зуба; нравственно он был все такой же, как и прежде, только с еще большим озлоблением и недоверием к действительности того, что происходило в мире. Один только Николушка вырос, переменился, разрумянился, оброс курчавыми темными волосами и, сам не зная того, смеясь и веселясь, поднимал верхнюю губку хорошенького ротика точно так же, как ее поднимала покойница маленькая княгиня. Он один не слушался закона неизменности в этом заколдованном, спящем замке. Но хотя по внешности все оставалось по старому, внутренние отношения всех этих лиц изменились, с тех пор как князь Андрей не видал их. Члены семейства были разделены на два лагеря, чуждые и враждебные между собой, которые сходились теперь только при нем, – для него изменяя свой обычный образ жизни. К одному принадлежали старый князь, m lle Bourienne и архитектор, к другому – княжна Марья, Десаль, Николушка и все няньки и мамки.
Во время его пребывания в Лысых Горах все домашние обедали вместе, но всем было неловко, и князь Андрей чувствовал, что он гость, для которого делают исключение, что он стесняет всех своим присутствием. Во время обеда первого дня князь Андрей, невольно чувствуя это, был молчалив, и старый князь, заметив неестественность его состояния, тоже угрюмо замолчал и сейчас после обеда ушел к себе. Когда ввечеру князь Андрей пришел к нему и, стараясь расшевелить его, стал рассказывать ему о кампании молодого графа Каменского, старый князь неожиданно начал с ним разговор о княжне Марье, осуждая ее за ее суеверие, за ее нелюбовь к m lle Bourienne, которая, по его словам, была одна истинно предана ему.
Старый князь говорил, что ежели он болен, то только от княжны Марьи; что она нарочно мучает и раздражает его; что она баловством и глупыми речами портит маленького князя Николая. Старый князь знал очень хорошо, что он мучает свою дочь, что жизнь ее очень тяжела, но знал тоже, что он не может не мучить ее и что она заслуживает этого. «Почему же князь Андрей, который видит это, мне ничего не говорит про сестру? – думал старый князь. – Что же он думает, что я злодей или старый дурак, без причины отдалился от дочери и приблизил к себе француженку? Он не понимает, и потому надо объяснить ему, надо, чтоб он выслушал», – думал старый князь. И он стал объяснять причины, по которым он не мог переносить бестолкового характера дочери.
– Ежели вы спрашиваете меня, – сказал князь Андрей, не глядя на отца (он в первый раз в жизни осуждал своего отца), – я не хотел говорить; но ежели вы меня спрашиваете, то я скажу вам откровенно свое мнение насчет всего этого. Ежели есть недоразумения и разлад между вами и Машей, то я никак не могу винить ее – я знаю, как она вас любит и уважает. Ежели уж вы спрашиваете меня, – продолжал князь Андрей, раздражаясь, потому что он всегда был готов на раздражение в последнее время, – то я одно могу сказать: ежели есть недоразумения, то причиной их ничтожная женщина, которая бы не должна была быть подругой сестры.
Старик сначала остановившимися глазами смотрел на сына и ненатурально открыл улыбкой новый недостаток зуба, к которому князь Андрей не мог привыкнуть.
– Какая же подруга, голубчик? А? Уж переговорил! А?
– Батюшка, я не хотел быть судьей, – сказал князь Андрей желчным и жестким тоном, – но вы вызвали меня, и я сказал и всегда скажу, что княжна Марья ни виновата, а виноваты… виновата эта француженка…
– А присудил!.. присудил!.. – сказал старик тихим голосом и, как показалось князю Андрею, с смущением, но потом вдруг он вскочил и закричал: – Вон, вон! Чтоб духу твоего тут не было!..

Князь Андрей хотел тотчас же уехать, но княжна Марья упросила остаться еще день. В этот день князь Андрей не виделся с отцом, который не выходил и никого не пускал к себе, кроме m lle Bourienne и Тихона, и спрашивал несколько раз о том, уехал ли его сын. На другой день, перед отъездом, князь Андрей пошел на половину сына. Здоровый, по матери кудрявый мальчик сел ему на колени. Князь Андрей начал сказывать ему сказку о Синей Бороде, но, не досказав, задумался. Он думал не об этом хорошеньком мальчике сыне в то время, как он его держал на коленях, а думал о себе. Он с ужасом искал и не находил в себе ни раскаяния в том, что он раздражил отца, ни сожаления о том, что он (в ссоре в первый раз в жизни) уезжает от него. Главнее всего ему было то, что он искал и не находил той прежней нежности к сыну, которую он надеялся возбудить в себе, приласкав мальчика и посадив его к себе на колени.
– Ну, рассказывай же, – говорил сын. Князь Андрей, не отвечая ему, снял его с колон и пошел из комнаты.


Источник — «http://wiki-org.ru/wiki/index.php?title=Аутентификация_в_Интернете&oldid=75522780»