Идентификация, аутентификация и авторизация – в чем разница?

Мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в разнообразных системах. И все же многие путают значение этих слов и часто употребляют термин «идентификация» или «авторизация», хотя на самом деле речь идет об аутентификации. Ничего страшного в этом нет, часто обе стороны диалога понимают, что в действительности имеется в виду. Но всегда лучше знать и понимать слова, которые употребляем.

Определения

Что же значат все эти термины, и чем соответствующие процессы отличаются друг от друга?

• Идентификация – процедура, в результате выполнения которой для субъекта выявляется его уникальный признак, однозначно определяющий его в информационной системе.
• Аутентификация – процедура проверки подлинности, например, проверка подлинности пользователя путем сравнения введенного им пароля с паролем, сохраненным в базе данных.
• Авторизация – предоставление определенному лицу прав на выполнение определенных действий.

Примеры

Пользователь хочет войти в свой аккаунт Google (Google подходит лучше всего, потому что там процедура входа явным образом разбита на несколько простейших этапов). Вот что при этом происходит:

• Сачала система запрашивает логин, пользователь его указывает, система распознает его как существующий — это идентификация.
• После этого Google просит ввести пароль, пользователь его вводит, и система соглашается, что пользователь действительно настоящий, ведь пароль совпал, — это аутентификация.
• Возможно, Google дополнительно спросит еще и одноразовый код из SMS или приложения. Если пользователь и его правильно введет, то система окончательно согласится с тем, что он настоящий владелец аккаунта, — это двухфакторная аутентификация.
• После этого система предоставит пользователю право читать письма в его почтовом ящике и все остальное — это
  авторизация.

Аутентификация без предварительной идентификации лишена смысла – пока система не поймет, подлинность чего же надо проверять, совершенно бессмысленно начинать проверку. Для начала надо представиться.

Идентификация без аутентификации не работает. Потому что мало ли кто ввел существующий в системе логин! Системе обязательно надо удостовериться, что этот кто-то знает еще и пароль. Но пароль могли подсмотреть или подобрать, поэтому лучше подстраховаться и спросить что-то дополнительное, известное только данному пользователю: например, одноразовый код для подтверждения входа.

А вот авторизация без идентификации и аутентификации очень даже возможна. Например, в Google Документах можно публиковать документы так, чтобы они были доступны всем. В этом случае вы как владелец файла увидите сверху надпись, гласящую, что его читает неопознанный субъект. Несмотря на это, система его все же авторизовала – то есть выдала право прочитать этот документ.

Но если вы открыли этот документ для чтения только определенным пользователям, то им в таком случае сперва пришлось бы идентифицироваться (ввести свой логин), потом аутентифицироваться (ввести пароль и одноразовый код) и только потом получить право на чтение документа – авторизоваться.

Если же речь идет о содержимом вашего почтового ящика, то Google никогда и ни за что не авторизует неопознанного субъекта на чтение вашей переписки.

Что еще важно знать

Аутентификация – пожалуй, самый важный из этих процессов с точки зрения безопасности вашего аккаунта. Если вы ленитесь и используете для аутентификации только простенький пароль, то какой-нибудь злоумышленник может ваш аккаунт угнать. Поэтому:

• Придумывайте для всех аккаунтов надежные и уникальные пароли.
• Если испытываете трудности с их запоминанием — вам всегда придет на помощь менеджер паролей
  . Он же поможет их сгенерировать.
• Обязательно включайте двухфакторную аутентификацию (одноразовые коды в SMS или приложении) во всех сервисах, которые это позволяют.

По материалам сайтов kaspersky.ru, support.google.com

Идентификация, аутентификация, авторизация — Protectimus Solutions

Опубликовано Olga Geo Ноя 17, 2015 |

Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Между тем, в таком деле как защита данных они играют важнейшую роль и заслуживают того, чтобы узнать о них побольше.

Для начала воспользуемся простым примером из повседневной жизни, который поможет в общих чертах понять, чем авторизация отличается от аутентификации и идентификации.

Когда новый сотрудник впервые приходит на службу, он представляется охраннику на входе и говорит, что теперь будет здесь работать — менеджером, допустим. Таким образом он  идентифицирует себя — сообщает, кто он такой.

Охрана обычно не верит на слово и требует предоставить доказательства того, что он действительно новый менеджер и имеет право входа в служебное помещение. Предъявление пропуска с фотографией и сличение его с имеющимся у охранника списком сотрудников решает проблему. Cлужащий подтвердил свою подлинность — прошел аутентификацию.

Наконец-то открывается заветная дверь, и охранник допускает сотрудника к определенной двери. Допуск получен — состоялась авторизация.

В виртуальном мире все практически так же, как в реальном. Только имена “персонажей” меняются. Сотрудник охраны — это сервер, контролирующий вход на сайт. А пришедший на работу менеджер — пользователь, который хочет попасть в свой аккаунт.

Следует добавить, что процедура будет повторяться каждый день — даже тогда, когда все охранники будут знать менеджера и в лицо, и по имени. Просто у охраны такая работа. У сервера тоже.

Все три понятия — этапы одного и того же процесса, который управляет доcтупом пользователей к их аккаунтам.

Чтобы выполнить какие-либо действия на сайте, клиент должен “представиться” системе. Идентификация пользователя — предъявление им оснований для входа на сайт или сервис. Обычно в роли идентификаторов выступают логин или адрес электронной почты, указанный при регистрации. Если сервер находит в своей базе данные, совпадающие с указанными, то происходит идентификация клиента.

Логин — это, конечно, прекрасно. Но где гарантия, что ввел его именно тот человек, который зарегистрирован на сайте? Чтобы окончательно убедиться в подлинности пользователя, система обычно проводит аутентификацию.

Чаще всего сегодня используется двухфакторная аутентификация, где в качестве первого фактора выступает обычный многоразовый пароль. А вот второй фактор может быть разным, в зависимости от того, какие способы аутентификации применяются в данном случае:

• одноразовый пароль или PIN-код;
• магнитные карты, смарт-карты, сертификаты с цифровой подписью;
• биометрические параметры: голос, сетчатка глаза, отпечатки пальцев.

Несмотря на бурное развитие биометрических способов аутентификации, все же следует признать, что они не очень надежны при удаленном использовании. Не всегда можно гарантировать корректность работы устройств и приложений, осуществляющих сканирование сетчатки глаз или отпечатков пальцев. Нельзя на 100% быть уверенным в том, что  в ходе проверки не используется слепок руки или фотография истинного владельца. Пока этот способ может считаться достоверным только при возможности непосредственного контроля процедуры прохождения аутентификации. Например, при входе сотрудников на предприятие биометрические методы вполне работоспособны.

В условиях же удаленности проверяющего от проверяемого, как это происходит в интернете, гораздо лучше работает метод двухфакторной аутентификации при помощи  одноразовых паролей. Средства аутентификации бывают самыми разными и всегда можно выбрать наиболее удобное в каждом случае. Это может быть авторизация по СМС, генерация одноразовых паролей посредством аппаратных токенов или с помощью специального приложения на смартфон — выбор за пользователем.

Two factor authentication может быть как односторонней — когда только пользователь доказывает системе свою истинность, так и двусторонней — сервер и клиент взаимно подтверждают свою подлинность по системе “запрос-ответ”. Такой тип 2FA используется в токене Protectimus Ultra и позволяет, среди прочего, устранить риск попадания на фишинговые сайты.

Последний этап входа клиента в аккаунт называется авторизацией. В зависимости от того, успешны ли были идентификация и аутентификация, сервер или допускает, или не допускает пользователя к выполнению определенных действий на сайте.

Между терминами “авторизация” и “аутентификация” разница довольно значительна. Часто можно услышать или прочитать в интернете выражение “двухфакторная авторизация”, но оно, строго говоря, не является корректным. Ведь авторизация пользователя — это предоставление ему полномочий в какой-либо системе, окончательный ответ на вопрос: “Можно ли допустить этого человека к той или иной информации или функциям?”. И в силу своей однозначности авторизация никак не может быть двухфакторной.

Однако, чтобы не вносить лишней путаницы, на этом различии обычно не делается акцент, а оба понятия употребляются как синонимы.

Четкое понимание того, что такое идентификация, аутентификация и авторизация позволит верно использовать функции, которые они обозначают. А от этого безопасность всего интернета и отдельных его пользователей только выиграет.

Summary

Article Name

Идентификация, аутентификация, авторизация — в чем разница?

Description

Идентификация, аутентификация, авторизация — с этими тремя понятиями сталкивался каждый, но различают их далеко не все. Давайте разберемся что есть что.

Author

Olga Geo

Publisher Name

Protectimus.com

Publisher Logo

You have Successfully Subscribed!

Аутентификация, идентификация и авторизация | Народное программирование

Довольно важной задачей при разработке веб-сайтов и веб-приложений есть ограничение доступа к некоторым разделам сайта, например к панели администратора. В теории это достаточно сложный процесс, с трема составляющими — аутентификация, идентификация и авторизация (англ. authentication, identification, authorization).

 

Система аутентификации/авторизации в представлении разработчиков Symfony framework

 

Сразу после введения учетных данных (это может быть пара логин/пароль, одноразовый пароль, access token, md5-шифр, сертификат и многое другое) начинается процедура

аутентификации (authentication). Она заключается в проверке подлинности. Например, сопоставить имя/пароль пользователя с учетной записью в базе данных, проверка контрольной суммы файла и т.д.

В общем случае, для процедуры аутентификации нужно либо что-то знать (например, пароль), либо иметь устройство аутентификации (например, ваш смартфон во многих современных электронных банковских системах), либо какие-то уникальных биометрические данные — отпечатки пальцев, рельеф лица, голос, радужная оболочка глаза и т.д.

Если процедура аутентификации прошла успешно, следующим шагам является идентификация. Задача идентификации — получить идентификатор пользователя в системе. Это может быть его id, уникальный логин, почта и т.д. Это что-то, с чем манипулирует веб-сайт.

И, наконец-то, после всего этого происходит

авторизация. Суть авторизации в наделению пользователя некоторыми правами. Например, права администратора, пользователя, анонима (неавторизированного пользователя).

Зачастую, в php скриптах нет четкого разделения между первым и вторым этапом, или даже тремя. В простейшем случае эти действия можно сделать одной выборкой из БД.

Но написанное здесь важно для понимания системы защиты в более сложных продуктах и фреймворках в частности.

Таким образом, мы теперь знаем, что такое аутентификация, идентификация и авторизация в контексте сайтостроительства.

Никто (почти) не знает, что такое авторизация / Блог компании Avanpost / Хабр

За время работы архитектором в проектах внедрения IdM я проанализировал десятки реализаций механизмов авторизации как во внутренних решениях компаний, так и в коммерческих продуктах, и могу утверждать, что практически везде при наличии относительно сложных требований они сделаны не правильно или, как минимум, не оптимально. Причиной, на мой взгляд, является низкое внимание и заказчика и разработчиков к данному аспекту на начальных этапах и недостаточная оценка влияния требований. Это косвенно подтверждает повсеместное неправильное использование термина: когда я вижу словосочетание «двухфакторная авторизация», у меня начинаются боли чуть ниже спины. Ради интереса мы проанализировали первые 100 статей на Хабре в выдаче по запросу «авторизация», результат получился неутешительный, боли было много:

В более чем 80% случаев термин употребляется неверно, вместо него следовало бы использовать слово «аутентификация». Далее я попытаюсь объяснить что это такое, и почему крайне важно уделить особое внимание этой теме.

Что же это такое?

Процитируем Википедию:

С точки зрения любой информационной системы это процесс принятия решения о предоставлении доступа субъекту на выполнение операции на основании каких-либо знаний о субъекте. К этому моменту субъект, как правило, уже должен быть

идентифицирован

 (мы должны знать, кто он) и

аутентифицирован

 (подтверждена его идентичность).

Реализация авторизации при разработке корпоративной информационной системы или продукта, ориентированного на корпоративный сектор — очень сложная и ответственная задача, которой часто уделяется недостаточное внимание на этапе проектирования и первичном этапе разработки, что в будущем ведет к «костыльной» реализации.

Проблематика

Давайте разберемся, какие требования к авторизации встречаются, и почему их крайне важно учитывать изначально при проектировании системы, а не откладывать на будущее. Источников требований к авторизации в корпоративной информационной системе, как правило, два — это бизнес и информационная безопасность. В общем случае бизнес хочет хранить секреты в тайне и предоставлять полномочия пользователям в соответствии с их функцией в бизнес-процессе, а безопасность хочет обеспечить минимальную достаточность полномочий каждому пользователю и аудировать доступ.

Возьмем для примера гипотетическую систему согласования договоров крупной компании, типовой кровавый энтерпрайз. Практически наверняка возникнут следующие требования к авторизации от бизнеса:

1. Пользователь, не имеющий отношения к конкретному договору, не должен его видеть в системе
2. Автор договора должен видеть его на всех этапах.
3. Создавать договор имеет право пользователь с грейдом не ниже 10.
4. Визирующий должен видеть договор, начиная с поступления к нему на этап и далее.
5. Руководители подразделений должны видеть договоры своих подразделений вверх по иерархии.
6. Автор договора и руководитель подразделения имеют право отозвать договор на любом этапе согласования.
7. Руководство и секретариат головного офиса должны видеть документы всех филиалов.
8. Пользователь, создавший договор, не должен иметь права его завизировать.

От безопасности мы могли бы получить следующие требования

:

1. Знать, кто имеет доступ к конкретному договору.
2. Знать, кто имел доступ к конкретному договору в заданный момент времени.
3. Лишать пользователя доступа к ранее доступным документам при изменении его должностных обязанностей.

Думаю, разработчикам уже стало страшно :). Дополнительную боль доставляет высокая изменчивость этих требований. Кстати, по статистике одного большого франча 1С – дополнительные требования по авторизации — одна из самых частых задач по кастомизации типовых конфигураций.

Итак, обозначим, почему эти требования проблемные:

• Они не стабильны. Вероятность их изменения, даже в краткосрочной перспективе, стремится к 1.
• Они сквозные. Их реализация влияет на все слои, от дизайна БД до UI.
• Они лежат в плоскости предметной области. Это ведет к сильной связности механизма авторизации со слоем бизнес-логики. 
• Они влияют на производительность. 

Пути решения

Решить данную задачу нам помогают разработанные модели управления доступом:

MAC — мандатная модель управления доступом. Доступ субъекта к объекту определяется его уровнем доступа: уровень доступа субъекта должен быть не ниже уровня секретности объекта.

DAC — прямое управление доступом. Доступ субъекта к объекту определяется наличием субъекта в списке доступа (ACL) объекта.

RBAC — ролевая модель управления доступом. Доступ субъекта к объекту определяется наличием у субъекта роли, содержащей полномочия, соответствующие запрашиваемому доступу.

АВАС — атрибутивная модель управления доступом. Доступ субъекта к объекту определяется динамически на основании анализа политик учитывающих значения атрибутов субъекта, объекта и окружения. Сюда же относятся PBAC, RAdAC, CBAC, с некоторыми нюансами (шикарный обзор от CUSTIS).

Их крайне рекомендуется использовать в первозданном виде, не изобретая велосипед. Достаточно часто в сложных информационных системах используется комбинация моделей. Например, популярна комбинация ACL + RBAC, когда роль включается в список доступа. Однако, правильное применение готовых моделей — тоже не простая задача. Не всем удается правильно выбрать модель, отделить ее от бизнес-логики и достичь приемлемой производительности механизма авторизации.

Для реализации озвученных выше в разделе «Проблематика» требований, на первый взгляд, я бы выбрал комбинацию PBAC + ACL. Требования могли бы быть реализованы следующим образом:

Перечисленные требования ИБ без всяких проблем реализуются с использованием ACL, однако бизнес-требования 5 и 7 мы реализуем с помощью PBAC. Так что для реализации требований ИБ 1 и 2 придется добавить к ним журнал или аналогичный механизм, поскольку при всей своей красоте динамические правила плохо аудируются:

Итого

Авторизация — незаслуженно обойденная вниманием тема, как в публикациях, так и непосредственно в процессе разработки. Двухфакторную аутентификацию по СМС к сайту прикрутит и ребенок. Правильно реализовать авторизацию в корпоративной системе, не наделав костылей — сложнейшая задача, о которую ломают копья сеньоры и архитекторы, а множество популярных коммерческих продуктов (к примеру, Atlassian Jira) стоят на костылях благодаря сложности требований. 

Мы планируем серию статей, посвященных моделям авторизации и предмету в целом. Будем рады вопросам и предложениям по темам для рассмотрения.

Аутентификация и идентификация как метод защиты информации Текст научной статьи по специальности «Философия, этика, религиоведение»

УДК 004

Технические науки

Акушуев Рамазан Тахирович, студент 3 курса по направлению «Информармационная безопансость», Донской государственный технический

университет Россия, г. Ростов-на-Дону

АУТЕНТИФИКАЦИЯ И ИДЕНТИФИКАЦИЯ КАК МЕТОД ЗАЩИТЫ

ИНФОРМАЦИИ

Аннотация: В данной работе рассматриваются вопросы, касающиеся особенностей аутентификации и идентификации, их смысл и применение, а так же о фальсификации личности и проверки личности.

Ключевые слова: информационная безопасность, аутентификаци, идентификация, методы защиты информации.

Annotation: This paper discusses issues related to the features of authentication and identification, their meaning and application, as well as the falsification of identity and identity verification.

Keywords: information security, authentication, identification, methods of information protection.

При разработке мер безопасности, будь то в масштабе конкретного механизма или всей инфраструктуры, идентификация и аутентификация, скорее всего, будут ключевыми понятиями. Идентификация-это утверждение о том, что такое кто-то или что-то, и аутентификация устанавливает, является ли это утверждение истинным. Мы можем видеть, что такие процессы происходят ежедневно самыми разнообразными способами.

Один очень распространенный пример идентификации и аутентификации транзакции можно найти в использовании платежных карт, которые требуют личного идентификационного номера. Когда проводим магнитной полосой по карте, мы утверждаем, что мы-человек, указанный на карте. На этом этапе мы дали идентификацию, но не более того. Когда нам предлагают ввести PIN-код, связанный с картой, мы завершаем аутентификацию части транзакции [1].

Некоторые из методов идентификации и аутентификации, которые используем в повседневной жизни, особенно хрупки и в значительной степени зависят от честности и усердия тех, кто участвует в сделке. Многие такие обмены, включающие предъявление удостоверений личности, такие как покупка предметов, ограниченных теми, кто старше определенного возраста, основаны на теории, что предъявляемая идентификационная карта является подлинной и точной. Мы также полагаемся на то, что лицо или система, выполняющие аутентификацию, компетентны и способны не только выполнять акт аутентификации, но и точно обнаруживать ложные или мошеннические действия.

Можно использовать различные методы идентификации и аутентификации, от простого использования имен пользователей и паролей до специальных аппаратных маркеров, которые служат для установления нашей личности несколькими способами.

Идентификация

Идентификация, — это просто утверждение того, кто мы есть. Это может включать в себя то, кем мы утверждаем себя как личность, важно отметить, что процесс идентификации не предполагает какой-либо проверки или подтверждения личности, которую мы утверждаем. Эта часть процесса называется аутентификацией и представляет собой отдельную транзакцию.

Можно идентифицировать себя по нашим полным именам, сокращенным версиям наших имен, изображениям самих себя, прозвищам, номерам счетов, именам пользователей, удостоверениям личности, отпечаткам пальцев, образцам ДНК и огромному разнообразию других методов. К сожалению, за

некоторыми исключениями, такие методы идентификации не являются уникальными, и даже некоторые из предположительно уникальных методов идентификации, такие как отпечаток пальца, могут быть продублированы или подделаны во многих случаях.

То, кем мы себя называем, во многих случаях может быть элементом информации, подлежащим изменению. Например, наши имена могут меняться, как в случае женщин, которые меняют свою фамилию после вступления в брак, людей, которые по закону меняют свое имя на совершенно другое имя. Кроме того, мы вообще можем очень легко менять логические формы идентификации, как в случае с номерами счетов, именами пользователей и т. п. Даже физические характеристики, такие как рост, вес, цвет кожи и цвет глаз, могут быть изменены. Один из наиболее важных факторов, который необходимо осознать, когда мы работаем с идентификацией, заключается в том, что недействительное утверждение об идентичности само по себе не является достоверной информацией.

Проверка личности

Верификация личности — это шаг за пределы идентификации, но это все еще шаг до аутентификации. Когда просят предъявить водительские права, карточку социального страхования, свидетельство о рождении или другую подобную форму удостоверения личности, это обычно делается с целью проверки личности, а не аутентификации. Это грубый эквивалент того, что кто-то утверждает личность [2].

Так же можно проверить форму идентификации — паспорт—по базе данных, содержащей дополнительную копию информации, которую она содержит, и сопоставить фотографию и физические характеристики с лицом.

Верификация личности используется не только в наших личных взаимодействиях, но и в компьютерных системах. Во многих случаях, например, когда отправлют электронное письмо, предоставленная идентификация считается истинной, без каких-либо дополнительных шагов.

Такие пробелы в безопасности способствуют огромному количеству спам-трафика, который видим.

Фальсификация идентификации

Методы идентификации подвержены изменениям. Как таковые, они также подвержены фальсификации. В то время как многие водительские удостоверения теперь имеют голограммы или штрих — коды, которые делают их более трудными для подделки. Постоянная борьба между мерами безопасности и преступниками происходит и в виртуальном мире. На несколько более зловещей ноте, такие фальсифицированные средства идентификации также используются преступниками и террористами для различных задач гнусного характера. Некоторые первичные средства идентификации, такие как свидетельства о рождении, также предоставляют возможность получить дополнительные формы идентификации, такие как карточки социального страхования или водительские права, тем самым усиливая ложную идентификацию.

Кража личных данных, основанная на фальсифицированной информации, является сегодня серьезной проблемой. Этот тип атаки, к сожалению, распространен и прост в исполнении. При минимальном объеме информации-обычно достаточно имени, адреса и номера социального страхования—можно выдать себя за кого — то в достаточной степени, чтобы во многих случаях действовать как этот человек. Жертвы кражи личных данных могут обнаружить, что кредитные линии, кредитные карты, автокредиты, ипотечные кредиты на жилье и другие операции были совершены с использованием их украденных личных данных.

Такие преступления облегчаются из-за отсутствия требований к аутентификации для многих видов деятельности, в которых мы участвуем. В большинстве случаев единственной проверкой, которая имеет место, является проверка личности. Этот процесс в лучшем случае представляет собой небольшое препятствие, и его можно легко обойти, используя фальсифицированные формы идентификации. Чтобы исправить эту ситуацию,

стоит завершить процесс идентификации и идентификации людей, вовлеченных в эти транзакции, чтобы, по крайней мере, более убедительно доказать, что действительно взаимодействуем с теми людьми [3].

Вполне возможно отправить электронное письмо с адреса, который отличается от фактического адреса отправки, и эта тактика используется спамерами и атаками на основе социальной инженерии на регулярной основе. Видим те же проблемы во многих других системах и протоколах, которые используются ежедневно и являются частью функциональности интернета.

Аутентификация

Аутентификация-это, в смысле информационной безопасности, набор методов, которые используется для установления истинности утверждения об идентичности. Важно отметить, что аутентификация лишь устанавливает, правильно ли было заявлено утверждение об идентичности. Аутентификация не предполагает и не подразумевает ничего о том, что аутентифицируемая сторона может делать; это отдельная задача, известная как авторизация. Факторы

С точки зрения аутентификации существует несколько методов, которые можно использовать, причем каждый из них называется фактором. В рамках каждого фактора существует ряд возможных методов. Чем больше факторов используется, тем более позитивными будут результаты. Различные факторы-это то, что вы знаете (пароль), то, что вы есть (сканирование радужной оболочки глаза), что-то, что вы делаете (распознавание походки), и место, где вы находитесь (в определенном терминале).

То, что вы знаете, является очень распространенным фактором аутентификации. Это могут быть пароли, пин-коды, парольные фразы или почти любая информация, которую человек может запомнить. Чаще всего именнно эти данные и используются для входа в учетные записи на компьютерах. Это несколько слабый фактор, потому что если информация, от которой зависит фактор, будет раскрыта, это может свести на нет уникальность нашего метода аутентификации [4].

Библиографический список:

1. Советов Б.Я., Информационные технологии Высшая школа, 2009г.

2. Мельников В.П. Информационная безопасность и защита информации. 3-е изд. Академия. 2008г.

3. Грушо А.А., Применко Э.А., Тимонина Е.Е. Анализ и синтез криптоалгоритмов. Курс лекций. 2000г.

4. Варлатая, С.К., Аппаратно-программные средства и методы защиты информации. 2007г.

Аутентификация и идентификация | CataMobile

Рассмотрим процедуры аутентификации и идентификации, которые выполняются при каждом установлении связи. О первой из них мы уже упоминали ранее.

Аутентификация — процедура подтверждения подлинности (действительности, законности, наличия прав на пользование услугами сотовой связи) абонента системы подвижной связи. Необходимость введения этой процедуры вызвана неизбежным соблазном получения несанкционированного доступа к услугам сотовой связи, приводящим к многочисленным и разнообразным проявлениям особого рода мошенничества — фрода в сотовой связи, о котором мы расскажем подробнее позже. Слово аутентификация (английское authentication) происходит от греческого authentikos — подлинный, исходящий из первоисточника. В русском языке довольно часто используется родственный юридический термин — аутентичные тексты, например тексты договора на нескольких языках, имеющие равную силу.

Идентификация — процедура отождествления подвижной станции (абонентского радиотелефонного аппарата), т.е. процедура установления принадлежности к одной из групп, обладающих определенными свойствами или признаками. Эта процедура используется для выявления утерянных, украденных или неисправных аппаратов. Слово идентификация (английское identification) происходит от средневекового латинского identificare — отождествлять.

Первоначально, в аналоговых системах сотовой связи первого поколения, процедура аутентификации имела простейший вид: подвижная станция передавала свой уникальный идентификатор (электронный серийный номер — Electronic Serial Number, ESN), и если таковой отыскивался среди зарегистрированных в домашнем регистре, то процедура аутентификации считалась успешно выполненной. Столь примитивная аутентификация оставляла большие возможности для фрода, поэтому со временем и в аналоговых системах, и тем более в системах сотовой связи второго поколения с использованием дополнительных возможностей цифровых методов передачи информации процедура аутентификации была значительно усовершенствована.

Идея процедуры аутентификации в цифровой системе сотовой связи заключается в шифровании некоторых паролей-идентификаторов с использованием квазислучайных чисел, периодически передаваемых на подвижную станцию с центра коммутации, и индивидуального для каждой подвижной станции алгоритма шифрования. Такое шифрование, с использованием одних и тех же исходных данных и алгоритмов, производится как на подвижной станции, так и в центре коммутации (или в центре аутентификации), и аутентификация считается закончившейся успешно, если оба результата совпадают.

В стандарте GSM процедура аутентификации связана с использованием модуля идентификации абонента (Subscriber Identity Module — SIM), называемого также SIM-картой (SIM-card) или смарт-картой (smart-card), о котором мы расскажем чуть подробнее, поскольку до сих пор такого повода нам не предоставлялось. Модуль SIM — это съемный модуль, напоминающий по внешнему виду пластиковую кредитную карточку и вставляемый в соответствующее гнездо абонентского аппарата. Модуль вручается абоненту одновременно с аппаратом и в принципе позволяет вести разговор с любого аппарата того же стандарта, в том числе с таксофонного. Модуль содержит персональный идентификационный номер абонента (Personal Identification Number — PIN), международный идентификатор абонента подвижной связи (International Mobile Subscriber Identity — IMSI), индивидуальный ключ аутентификации абонента Ki, индивидуальный алгоритм аутентификации абонента A3, алгоритм вычисления ключа шифрования А8. Для аутентификации используется зашифрованный отклик (signed response) S, являющийся результатом применения алгоритма A3 к ключу Ki и квазислучайному числу R, получаемому подвижной станцией от центра аутентификации через центр коммутации. Алгоритм А8 используется для вычисления ключа шифрования сообщений. Уникальный идентификатор IMSI для текущей работы заменяется временным идентификатором TMSI (Temporary Mobile Subscriber Identity — временный идентификатор абонента подвижной связи), присваиваемым аппарату при его первой регистрации в конкретном регионе, определяемом идентификатором LAI (Location Area Identity — идентификтор области местоположения), и сбрасываемым при выходе аппарата за пределы этого региона. Идентификатор PIN — код, известный только абоненту, который должен служить защитой от несанкционированного использования SIM-карты, например при ее утере. После трех неудачных попыток набора PIN-кода SIM-карта блокируется, и блокировка может быть снята либо набором дополнительного кода — персонального кода разблокировки (Personal unblocking key — PUK), либо по команде с центра коммутации.

Рис.2.16. Схема процедуры аутентификации (стандарт GSM): R — случайное число; A3 — алгоритм аутентификации; А8 — алгоритм вычисления ключа шифрования; Ki — ключ аутентификации, Кс — ключ шифрования; S — зашифрованный отклик (Signed Response — SRES)

Процедура аутентификации стандарта GSM схематически показана на рис. 2.16. Пунктиром отмечены элементы, не относящиеся непосредственно к процедуре аутентификации, но используемые для вычисления ключа шифрования Кс. Вычисление производится каждый раз при проведении аутентификации.

Процедура идентификации заключается в сравнении идентификатора абонентского аппарата с номерами, содержащимися в соответствующих «черных списках» регистра аппаратуры, с целью изъятия из обращения украденных и технически неисправных аппаратов. Идентификатор аппарата делается таким, чтобы его изменение или подделка были трудными и экономически невыгодными. В принципе может быть целесообразен и оперативный обмен информацией между регистрами аппаратуры — межоператорский и международный, в интересах объединения усилий операторов в борьбе с фродом в сотовой связи.

Чем отличается идентификация, авторизация и аутентификация?

За несколько лет нашей работы мы не раз замечали, что многие клиенты не совсем различают понятия идентификации, аутентификации и авторизации. Раскроем суть данных определений и обозначим различия между ними.

Wi-Fi Идентификация

Согласно требованиям законодательства (постановление Правительства №758 от 31 июля 2014 г.), «в случае заключения срочного договора об оказании разовых услуг по передаче данных в пунктах коллективного доступа оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования».

Таким образом, идентификация – это единое определение, которое подразумевает предоставление услуг, позволяющих идентифицировать гостей заведения по каким-либо данным каждый раз, когда посетители подключается к общественной сети.

Wi-Fi Аутентификация

В свою очередь аутентификация – этап, на котором гость подтверждает информацию о себе (с помощью паспортных данных либо по номеру телефона). Повторная аутентификация (перезаказ смс с паролем либо звонка с целью подтверждения клиентского номера) происходит не чаще раза в 90 дней (при условии, что клиент на авторизационной странице введет другой телефонный номер). Это положение подкреплено законодательством, пункт 26.1 Постановления Правительства РФ от 23 января 2006 г. N 32 «Об утверждении Правил оказания услуг связи по передаче данных».

В договоре с абонентом — юридическим лицом либо индивидуальным предпринимателем, помимо данных, указанных в пункте 26 настоящих Правил, предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.

Wi-Fi Авторизация

После прохождения первичной аутентификации система запоминает связку номер телефона + mac-адрес устройства, и начинается пользовательская сессия. По умолчанию время авторизации 16 часов (при использовании в роли хотспот-контроллера оборудования Mikrotik этот параметр можно уменьшить либо увеличить, максимальное значение – 24 часа). Это время, на которое пользователь может уйти из сети, вернуться и без повторной авторизации снова выйти в интернет.

Пример 1. Время сессии – 12 часов. Гость 4 часа использовал интернет в отеле. После этого он отключился от гостевого wi-fi и ушел гулять. Вечером, спустя 11 часов после отключения, посетитель вернулся в отель, подключился к той же сети и продолжил пользоваться интернетом без повторной авторизации.

Пример 2. Время сессии – 20 часов. Посетитель кафе использовал гостевой wi-fi 5 минут, после чего покинул заведение. Спустя ровно сутки клиент снова подключился к wi-fi кафе – в таком случае потребуется повторная авторизация.

При повторной авторизации на авторизационной странице у клиента уже будет введен номер телефона. Достаточно нажать «войти», и система пустит клиента в сеть. Каждая новая сессия — это отдельная авторизация.

Чем отличаются идентификация, аутентификация и авторизация

Это случается с каждым из нас каждый день. Мы постоянно идентифицируемся, аутентифицируемся и авторизуемся в различных системах. И все же многие люди путают значения этих слов, часто используя термины идентификация или авторизация , когда на самом деле они говорят о аутентификации .

В этом нет ничего страшного, если это просто повседневный разговор, и обе стороны понимают, о чем они говорят.Однако всегда лучше знать значение слов, которые вы используете, и рано или поздно вы столкнетесь с чудаком, который сведет вас с ума разъяснениями, будь то авторизация или аутентификация, меньше или меньше, что или это, и скоро.

Итак, что означают термины идентификация , аутентификация и авторизация , и чем эти процессы отличаются друг от друга? Сначала мы проконсультируемся с Википедией:

.

• « Идентификация — это акт идентификации личности или вещи.”
• « Аутентификация — это акт подтверждения […] личности пользователя компьютерной системы» (например, путем сравнения введенного пароля с паролем, хранящимся в базе данных).
• « Авторизация — это функция определения прав доступа / привилегий к ресурсам».

Вы можете понять, почему люди, не знакомые с концепциями, могут их перепутать.

Использование енотов для объяснения идентификации, аутентификации и авторизации

Теперь для большей простоты воспользуемся примером.Допустим, пользователь хочет войти в свою учетную запись Google. Google хорошо работает в качестве примера, потому что его процесс входа в систему аккуратно разбит на несколько основных шагов. Вот как это выглядит:

• Сначала система запрашивает логин. Пользователь вводит один, и система распознает его как настоящий логин. Это идентификационный номер .
• Затем Google запрашивает пароль. Пользователь предоставляет его, и если введенный пароль совпадает с сохраненным паролем, тогда система соглашается, что пользователь действительно кажется настоящим.Это аутентификация .
• В большинстве случаев Google также запрашивает одноразовый код подтверждения из текстового сообщения или приложения для проверки подлинности. Если пользователь введет и это правильно, система наконец согласится с тем, что он или она является настоящим владельцем учетной записи. Это двухфакторная аутентификация .
• Наконец, система дает пользователю право читать сообщения в своем почтовом ящике и тому подобное. Это авторизация .

Аутентификация без предварительной идентификации не имеет смысла; Было бы бессмысленно начинать проверку до того, как система узнает, чью подлинность проверять.Сначала нужно представиться.

Точно так же идентификация без аутентификации была бы глупой. Кто угодно мог ввести любой логин, который существовал в базе данных — системе потребуется пароль. Но кто-то может украдкой взглянуть на пароль или просто угадать его. Лучше запросить дополнительные доказательства, которые может иметь только реальный пользователь, например одноразовый проверочный код.

Напротив, авторизация без идентификации, не говоря уже об аутентификации, вполне возможна.Например, вы можете предоставить общий доступ к своему документу на Google Диске, чтобы он был доступен всем. В этом случае вы можете увидеть уведомление о том, что ваш документ просматривает анонимный енот. Несмотря на то, что енот анонимен, система все же авторизовала его, то есть предоставила ему право просматривать документ.

Однако, если бы вы дали право чтения только определенным пользователям, енот должен был бы быть идентифицирован (предоставив свой логин), а затем аутентифицирован (предоставив пароль и одноразовый код подтверждения), чтобы получить право на прочитать документ (авторизация).

Когда дело доходит до чтения содержимого вашего почтового ящика, Google никогда не разрешит анонимному еноту читать ваши сообщения. Енот должен будет представиться как вы, с вашим логином и паролем, после чего он перестанет быть анонимным енотом. ; Google идентифицировал бы его как вас.

Итак, теперь вы знаете, чем идентификация отличается от аутентификации и авторизации. Еще один важный момент: аутентификация, возможно, является ключевым процессом с точки зрения безопасности вашей учетной записи.Если вы используете ненадежный пароль для аутентификации, енот может захватить вашу учетную запись. Следовательно:

Сравнение идентификации с аутентификацией и проверкой

Нарушения данных, соблюдение нормативных требований и кража личных данных все более затрудняют установление доверия в Интернете для организаций и частных лиц. Однако по тем же причинам это важнее, чем когда-либо.

От базовой идентификации клиента или пользователя до повторяющегося процесса аутентификации, гарантирующего, что человек, входящий в систему или использующий ваши онлайн-сервисы, является тем человеком, которым вы себя представляете, никогда не было более острой необходимости сделать это правильно.Идентификация, проверка и аутентификация — все они играют роль в вашей способности защищать свои онлайн-каналы от мошенничества, поддерживать соответствие KYC / AML и другим правилам, связанным с идентификацией, и обеспечивать положительное качество обслуживания клиентов.

В этом блоге мы разъясним разницу между идентификацией, проверкой и аутентификацией и объясним, что каждая из них означает в контексте сетевой идентичности и кибербезопасности.

Что такое идентификация?

Идентификация — это просто процесс утверждения, что кто-то является конкретным человеком.Они могут идентифицировать себя по телефону как «Роберт», высветить библиотечную карточку с именем на ней или получить адрес электронной почты с их именем перед символом @.

В контексте онлайн-транзакций пользователи «идентифицируют» себя, например, путем предоставления имени, адреса электронной почты или номера телефона в веб-форме. Или, когда они покупают новую пару обуви в Интернете, вводя номер кредитной карты и адрес для выставления счета. Если используется только процесс идентификации, если у человека есть информация о держателе карты, связанная с кредитной картой или другой формой идентификации, они в значительной степени принимаются как есть.

Компания, использующая только идентификацию, по сути, признает, что у них нет причин сомневаться в том, что человек является тем, кем они себя называют, несмотря на то, что они не проверили независимую информацию как достоверную. Это все равно что спросить: «Кто ты?» и принимая ответ за чистую монету. Для транзакций с низкими ставками, таких как попадание на спортивное мероприятие или просмотр книги, может быть достаточно того, чтобы кто-то объявил свою личность без фактической проверки.

Однако для большинства онлайн-транзакций одной лишь идентификации недостаточно.Это как иметь имя пользователя без пароля.

Итак, как мы узнаем, что человек, который взаимодействует с нами за компьютером, является тем, кем они себя называют? Вот тут-то и появляется проверка.

Что такое проверка?

Проверка не просто спрашивает: «Кто ты?» Он делает следующий шаг и спрашивает: «Вы действительно тот, кем себя называете?» и обеспечивает высокую степень уверенности в правильности ответа.

Установление надежной связи между тем, кем кто-то себя выдает, и тем, кем они являются на самом деле, требует, чтобы процесс проверки личности был встроен в процесс регистрации или открытия счета.

Этот процесс проверки обычно начинается с проверки удостоверения личности государственного образца. Можем ли мы подтвердить подлинность и достоверность документации с помощью экспертов по документам, передовых технологий, автоматического извлечения данных и машинного обучения? Есть ли признаки вмешательства?

Подтверждение чьей-либо личности с высокой степенью достоверности требует усилий. В то время как поставщики услуг хотят обеспечить «беспроблемный» процесс адаптации, некоторые могут «срезать углы» и требовать низкого барьера для входа.Например, типичные учетные записи в социальных сетях просят новых пользователей указать только имя, адрес электронной почты, имя пользователя и пароль. Номер телефона может быть использован в качестве идентификатора для хорошей меры.

Узнайте, что Gartner говорит об обнаружении мошенничества и аутентификации

Справочник по рынку для подтверждения и подтверждения личности

Если у компании есть более строгие стандарты, они могут полагаться на традиционные методы проверки личности, например, с помощью поиска в кредитных бюро или проверки на основе знаний.Проблема в том, что из-за преобладания частной информации, доступной в темной сети, этот тип информации стал менее надежным. Эти организации рискуют получить такую ​​информацию, что на самом деле не знают, имеют ли они дело с реальным человеком или мошенником.

Подайте заявку на открытие банковского счета в Интернете, и от вас могут потребоваться номер социального страхования, удостоверение личности с фотографией или паспорт, а также подтверждение вашего текущего адреса. Ставки, связанные с банковским счетом, намного выше, чем ставки с учетной записью TikTok, поэтому требования к проверке более строгие.Фактически, только в финансовом секторе существует множество нормативных актов, запрещающих мошенникам открывать фальшивые банковские счета, отмывать деньги и выполнять другие неблаговидные виды преступной деятельности. Мандаты соответствия, связанные с этими правилами, не удовлетворяются традиционными методами проверки, поэтому компании начинают переходить к объединению идентификационной информации клиента с одним из их биометрических маркеров в момент регистрации.

Gartner называет это подтверждением и подтверждением личности, то есть процессом взятия чего-то, что подтверждает чью-то личность (например,g., паспорт) и связывает его с одной из своих биометрических данных (например, сканирование лица, сканирование радужной оболочки глаза, отпечаток пальца). Только объединив эти две вещи, вы можете быть уверены, что знаете, с кем имеете дело в будущем.

Эта проверка личности начинается с этапа получения.

Будущее подтверждения личности

• Идентификация : Я утверждаю, что я кто-то.
• Подтверждение: Вы подтверждаете, что я являюсь этим человеком, проверяя мои официальные документы, удостоверяющие личность.Вы связываете мой действующий идентификатор с одной из моих биометрических данных.
• Аутентификация: Я получаю доступ к вашей платформе, и вы сравниваете мою текущую действующую личность с моими биометрическими данными, которые у вас уже есть в файле.

Что такое аутентификация?

Проверка обычно выполняется только один раз, но после проверки личность человека должна аутентифицироваться каждый раз, когда он обращается к системе или ресурсу с помощью метода контроля доступа.

Например, если вы действительно кого-то знаете, вы можете «аутентифицировать» его, просто взглянув на него.Однако, поскольку подавляющее большинство транзакций происходит в Интернете или с людьми, которых мы не знаем, организации создают системы, позволяющие восстановить, что человек является тем, кем они себя называют, а не самозванцем.

Пользователя просят повторно подтвердить, что это то же лицо, которое зарегистрировалось для службы. В сервисах с низкими ставками аутентификация может быть такой же простой, как предоставление пользователю пароля, связанного с конкретным именем пользователя, или ввод других конкретных учетных данных для входа.

При традиционной цифровой аутентификации лицо имеет в своем распоряжении определенные части информации или средства аутентификации, один или несколько из которых уже зарегистрированы у поставщика услуг в начальной точке регистрации или проверки личности. Базовая версия этого, с которой вы, вероятно, сталкивались, — это двухфакторная аутентификация для учетной записи электронной почты.

Существует три типа аутентификаторов, на которые полагается большинство систем:

• Что-то, что знает заказчик (например,г., контрольный вопрос, пароль)
• Что-то, что есть у клиента (например, удостоверение личности, криптографический ключ, водительские права)
• Что-то, что является клиентом (например, распознавание лиц, биометрические данные)

Надежность систем аутентификации во многом определяется количеством и качеством включенных факторов — чем выше уровень и больше факторов используется, тем надежнее система аутентификации. Например, каждый раз, когда вы входите в учетную запись социальной сети, вам нужно только указать имя пользователя и пароль (т.э., кое-что знаешь). Однако, когда вы останавливаетесь в местном банке, вас просят предъявить удостоверение личности (то есть то, что у вас есть).

К сожалению, поскольку утечки данных сделали большую часть этих личных данных доступными, первые два типа аутентификации — то, что вы знаете или имеете — больше не могут считаться действительными.

Наиболее безопасные системы требуют подтверждения или с помощью методов многофакторной аутентификации. В этих сценариях поставщик услуг уже проверил вашу заявленную личность при регистрации и соединил ее с биометрическими данными; теперь они сравнивают эти данные с доказательствами, которые вы предоставляете в данный момент, например, сканированием руки (если на месте) или селфи с высоким разрешением (если удаленно).

Основное различие между идентификацией и аутентификацией

Повторюсь, идентификация — это, по сути, процесс утверждения личности. В Интернете это будет означать идентификацию того, что пользователь существует, без подтверждения того, что он действительно является этим человеком.

Проверка устанавливает надежную связь между тем, кем кто-то себя выдает, и тем, кем они являются на самом деле.

Проверка обычно выполняется только один раз, но после проверки личность человека должна аутентифицироваться каждый раз, когда он обращается к системе или ресурсу.

Аутентификация запускает процесс или процессы, позволяющие пользователю доказать, что он все еще является этим человеком.

Verification Vs. Аутентификация: меняющаяся парадигма

Кража личных данных, взломы и социальное мошенничество широко распространены, поэтому проверка личности и аутентификация имеют первостепенное значение для обеспечения подлинности цифровых удостоверений в государственном и частном секторах.

Gartner прогнозирует, что в ближайшие пару лет 50 процентов рынка переместятся в сторону привязки документов, удостоверяющих личность, и биометрических данных в рамках как адаптации, так и аутентификации.

Здесь, в Jumio, мы находимся в авангарде этого движения. Мы работаем с некоторыми из крупнейших предприятий, помогая им выполнять их нормативные требования, защищая идентификационные данные своих клиентов и защищая их бизнес-транзакции.

Мы будем рады рассказать вам больше о том, как мы можем помочь вашему бизнесу сделать то же самое. Свяжитесь с нами в любое время.

Как аутентификация и идентификация работают вместе для создания цифрового доверия

Словарное определение доверия, согласно Merriam-Webster, — это «гарантированная уверенность в… правде кого-то или чего-то.«В современном цифровом мире понятие доверия может оказаться непростым. Чтобы вести бизнес в Интернете, будь то банк, розничный продавец, страховщик, авиакомпания или что-либо еще, вы должны иметь определенную степень доверия к своему пользователю — верить в то, что они такие, какими они себя называют, а не мошенник или злонамеренный бот, пытающийся украсть деньги или данные. Но завоевать доверие онлайн или мобильного пользователя может быть труднее и сложнее, чем кажется. Это требует как идентификации, так и аутентификации.

Правда о личности

Мы можем думать о «чьей-то правде» как об их личности.Первый шаг к пониманию личности цифрового пользователя известен просто как идентификация. Это просто возможность однозначно идентифицировать пользователя. Это процесс, с помощью которого пользователь заявляет о себе. Пользователь может идентифицировать себя по своему полному имени или номеру учетной записи, либо заявление об идентичности может быть таким же простым, как имя пользователя. Во многих случаях, например, при открытии новой учетной записи, эта личность должна быть изначально предоставлена ​​или подтверждена.

Идентификация — это не проверка подлинности

Однако одной идентификации

недостаточно для установления доверия к любому цифровому взаимодействию.То, что ты сказал мне, что тебя зовут Сэм, не означает, что я должен тебе верить. Конечно, я не должен давать вам доступ к сбережениям Сэма исключительно на основании этого взаимодействия. Доверие — это надежная зависимость от заявленной личности. Гарантированная уверенность приходит в форме аутентификации. Аутентификация обычно определяется как способность доказать, что пользователь действительно является тем, кем он себя называет.

Есть много способов аутентифицировать пользователя. Наиболее часто используемая форма — это, вероятно, пароль. Мы часто рассматриваем пароль как «что-то, что вы знаете.То есть часть информации, о которой будет знать только истинный владелец личности. К сожалению, в современном мире такое бывает редко.

Когда пользователь открывает новую учетную запись в сети, он, вероятно, повторно использует уже имеющийся у него пароль. Это понятно почему: в любой момент пользователю может потребоваться вспомнить пароль для любой из примерно 90 учетных записей. Это может привести к утомлению пароля, и клиенты могут придумывать обходные пути и специальные решения, чтобы упростить задачу. Но это также может принести в жертву безопасность.

Стратегии аутентификации на сегодняшний день

Здесь вступают в игру другие типы аутентификации. Такие стратегии, как многофакторная аутентификация (MFA), аутентификация без пароля и адаптивная аутентификация, добавляют уровни анализа к процессу аутентификации, что значительно затрудняет его обход. Для многофакторной аутентификации требуются дополнительные факторы, подтверждающие идентификацию пользователя. Помимо того, что они знают, например пароля, пользователю также необходимо подтвердить то, что у него есть, например устройство, и то, чем он является, например биометрические данные.

Аутентификация без пароля, с другой стороны, полностью исключает «кое-что, что вы знаете». Вместо этого он использует контекстные данные для цифровой системы доверия, чтобы помочь вам принять решение о том, насколько доверять пользователю. Эти контекстные данные могут представлять собой информацию о пользователе, устройстве, активности пользователя, поведении и сетевой среде. Чем больше слоев информации может быть добавлено к этому анализу, тем больше можно будет установить цифровое доверие, не беспокоясь о проверке подлинности на основе пароля.

Обнаружение мошенничества: обратная сторона аутентификации

Аутентификация без пароля задействует обратную сторону аутентификации: обнаружение мошенничества. Помимо оценки личности, чтобы доказать, что пользователь является тем, кем они себя называют, организациям также следует учитывать вероятность того, что пользователь не является тем, кем они себя называют. Обнаружение мошенничества, например аутентификация, должно быть многоуровневым. Часть контекстного анализа пользователя или устройства должна включать поиск отрицательных идентификаторов — является ли пользователь человеком или ботом, является ли устройство рутированным или взломанным, установлено ли у пользователя вредоносное ПО и т. Д.Понимание риска, связанного с цифровым пользователем или взаимодействием, влияет на уровень доверия к этой личности.

Идентификация, аутентификация и цифровое доверие

В конце концов, современным организациям требуется стратегия, которая включает идентификацию и аутентификацию, чтобы создать основу для цифрового доверия. Лучшее знание пользователя, включая полный контекст его поведения и взаимодействия, позволяет предприятиям улучшить качество обслуживания клиентов, не жертвуя безопасностью.

Разница между аутентификацией и идентификацией для доступа к системам |

Биометрия как метод аутентификации

Хотя пароли использовались в качестве метода аутентификации на протяжении сотен лет, их известность и общность также являются их недостатком. По сравнению с другими методами аутентификации их легко украсть или взломать, что делает их непригодными в качестве отдельного фактора аутентификации. Хотя использование проверки подлинности на основе знаний в форме вопросов безопасности может помочь дополнить пароли, ответы на эти вопросы, а также сами пароли обычно просачиваются при утечке данных.

Вот почему Национальный институт стандартов и технологий (NIST) уже много лет рекомендует использовать как минимум два фактора аутентификации из-за повышенной безопасности. Первоначально это было сделано с помощью двухфакторной аутентификации на основе SMS, которую многие финансовые учреждения используют до сих пор.

Обратной стороной двухфакторной аутентификации на основе SMS или MFA на основе кода является то, что использование этих методов является громоздким и потенциально может быть обойдено. Замена SIM-карты — особенно известный и очевидный метод обхода, но творческие хакеры не ограничиваются физическими телефонами и SIM-картами.

Двухфакторную аутентификацию на основе SMS настолько легко обойти, что вскоре после рекомендации двухфакторной аутентификации NIST снова вышел и сказал, подождите, а не такую ​​двухфакторную аутентификацию.

Вместо этого использование биометрии в качестве фактора аутентификации экспоненциально увеличивает сложность попыток получить мошеннический доступ к учетной записи или системе. Хотя теоретически возможно подделать определенные биометрические данные, подмена нескольких биометрических данных одновременно практически невозможна. По этой причине Q5id использует биометрию как метод как для подтверждения личности (подтверждения того, что данный человек действительно существует и соответствует тому, кто заявляет, что является этим человеком), так и для аутентификации.

Сканирование ладони, произнесенная фраза или быстрое изображение лица могут со временем полностью заменить пароли. В течение некоторого времени Microsoft подталкивала компании к переходу на среду без пароля, но фактическое внедрение и управление часто были препятствием для организаций.

Среды, полностью лишенные пароля, могут появиться в будущем, но упрощенная биометрическая проверка личности (и аутентификация) без пароля — это реальность. Q5id позволяет организациям подключаться и подтверждать личность своих клиентов или сотрудников, которые затем могут использовать простые биометрические данные для аутентификации.Не нужно ни имени пользователя, ни пароля: только вы, проверено.

Если вы хотите узнать, как это может быть реализовано в вашем бизнесе, вы можете назначить время для обзора своего варианта использования, отправив нам электронное письмо по адресу [email protected].

Руководство по идентификации и аутентификации в доверенных системах

Руководство по пониманию идентификации и аутентификации в доверенных системах

---

 NCSC-TG-017
                                                       Библиотека No.5-235 479
                                                                  Версия 1

                                   ПРЕДИСЛОВИЕ
Руководство по идентификации и аутентификации в доверенных системах
предоставляет набор передовых практик, связанных с идентификацией и аутентификацией (I&A).
Мы написали это руководство, чтобы помочь сообществу поставщиков и экспертов по оценке:
соответствовать требованиям I&A, а также уровню детализации, необходимому для
Я & А на всех классах, как описано в Надежных компьютерных системах Министерства обороны.
Критерии оценки.В целях обеспечения руководства мы даем рекомендации в
это техническое руководство, не являющееся требованиями Критериев.

Руководство I & A - последнее из серии технических руководств, опубликованных Национальной
Национальный центр компьютерной безопасности. Эти публикации предоставляют информацию для доверенных лиц.
Требования к критериям оценки компьютерных систем для поставщика компьютерной безопасности
и технический оценщик. Цель программы технических рекомендаций - обсудить
детально проработать каждую особенность критериев и предоставить правильную интерпретацию с
конкретное руководство.Национальный центр компьютерной безопасности разработал агрессивную программу по
изучать и внедрять технологии компьютерной безопасности. Наша цель - поощрять
широкая доступность проверенных компьютерных продуктов для использования любой организацией
желая лучшей защиты своих важных данных. Один из способов сделать это -
Программа оценки доверенных продуктов. Эта программа фокусируется на функциях безопасности
серийно выпускаемых и поддерживаемых компьютерных систем.Мы оцениваем про-
возможности обнаружения в соответствии с установленными критериями, представленными в Trusted Comput-
er Критерии оценки системы. Эта программа и открытый и кооперативный бизнес
отношения с компьютерной и телекоммуникационной отраслями, приведут к
выполнение требований безопасности информационных систем нашей страны. Мы решаем
решить задачу выявления надежных компьютерных продуктов, подходящих для использования в профессиональных
отказ от деликатной информации.Я приглашаю ваши предложения по пересмотру этого технического руководства. Мы рассмотрим это
документ по мере необходимости.






Патрик Р. ГАЛЛАХЕР-МЛАДШИЙ. 1 сентября 1991 г.
Директор
Национальный центр компьютерной безопасности
 

                                БЛАГОДАРНОСТИ

    Национальный центр компьютерной безопасности пользуется особым признанием и
благодарность Джеймсу Андерсону и лейтенантуCoI. Рэйфорд Вон (США) как
соавторы этого документа. Лейтенант Патриция Р. Тот (USN) получила признание за разработку
этого руководства, и капитан Джеймс А. Муйзенберг (USAF) признан за его
редактирование и публикация.

    Мы хотим поблагодарить многих членов сообщества компьютерной безопасности, которые
с энтузиазмом посвятили свое время и технический опыт изучению этого руководства
и предоставление ценных комментариев и предложений.


































                                      ii
 

                               ОГЛАВЛЕНИЕ

                                   ПРЕДИСЛОВИЕ.................................................
БЛАГОДАРНОСТИ 11
1.0 ВВЕДЕНИЕ 1
     1.1 Предпосылки 1
     1.2 Цель 1
     1.3 Объем 1
     1.4 Цель управления 2

2.0 ОБЗОР ПРИНЦИПОВ 3
     2.1 Цель I&A 3
     2.2 Процесс I&A 4
     2.3 Аспекты эффективной аутентификации 5
     2.4 Безопасность аутентификационных данных 9

3.0 СОБЛЮДЕНИЕ ТРЕБОВАНИЙ TCSEG 11
     3.1 C1 Требования 11
          3.1.1 Требования к I&A 11
          3.1.2 Другие связанные требования 11
          3.1.3 Комментарии 11
     3.2 Требования C2 12
          3.2.1 Требования к I&A 12
          3.2.2 Другие связанные требования 12
          3.2.3 Комментарии 13
     3.3 81 Требования 14
          3.3.1 Требования к I&A 14
          3.3.2 Другие связанные требования 14
          3.3.3 Комментарии 15
     3.4 82 Требования 15
          3.4.1 Требования к I&A 15
          3.4.2 Другие связанные требования 16
          3.4.3 Комментарии 16
     3.5 83 (и A1) Требования 16
          3.5.1 Требования к I&A 16
          3.5.2 Другие связанные требования 17
          3.5.3 Комментарии 17


                                      iii
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





4.0 ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ 19
     4.1 Что-то, что знает пользователь (метод типа 1) 19
     4.2 Что-то, что есть у пользователя (метод типа 2) 20
     4.3 Что-то, чем является пользователь (метод типа 3) 21
     4.4 Комментарии 21

ГЛОССАРИЙ 25
БИБЛИОГРАФИЯ 29





























                                      iv
 

1.0 ВВЕДЕНИЕ

1.1 ИСТОРИЯ ВОПРОСА
    Основная цель Национального центра компьютерной безопасности (NCSC) состоит в том, чтобы
мужество повсеместной доступности надежных компьютерных систем. В подтверждение этого
цель NCSC создал метрику, DoD Trusted Computer System Evaluation Cri-
teria (TCSEC) [3], по которым можно оценивать компьютерные системы.

    TCSEC был первоначально опубликован 15 августа 1983 года как CSC-STD-001-83. В
В декабре 1985 г. Министерство обороны приняло его с некоторыми изменениями в качестве
Стандарт Министерства обороны США, DoD 5200.28-СТД. Директива Министерства обороны США 5200.28, Securi-
ty Требования к автоматическим информационным системам (A 155) [11], требует TCSEC
использоваться во всем Министерстве обороны. TCSEC - это стандарт, используемый
для оценки эффективности мер безопасности, встроенных в DoD AlS.

    TCSEC разделен на четыре отдела: D, C, B и A. Эти подразделения
упорядочены в иерархическом порядке, с высшим разделом (A), зарезервированным для
системы, обеспечивающие наилучший доступный уровень уверенности и безопасности.Внутри подразделений
C и B - это подразделения, известные как классы, которые также упорядочены в иерархическом порядке.
способ представления различных уровней безопасности в этих подразделениях.

1.2 ЦЕЛЬ
    Этот документ предоставляет поставщикам руководство по разработке и внедрению
эффективные механизмы идентификации и аутентификации (l & A) в своих системах. Это
также написан, чтобы помочь поставщикам и оценщикам понять требования I&A. Экзамен-
Содержащиеся в этом документе не являются единственным способом идентификации или аутентификации.
тикация.Рекомендации не являются дополнительными требованиями к TCSEC.
Единственной мерой соответствия TCSEC является сам TCSEC.

1.3 ОБЪЕМ
    Компьютерная безопасность основана на понятии контроля доступа между
Пользователи AlS и данные в AlS. Концепция контролируемого доступа основана на
установление идентифицирующей информации для пользователей AlS, чтобы эта информация могла
использоваться для определения того, имеет ли пользователь надлежащий допуск или удостоверение личности, чтобы принять
получить доступ к заданному объекту данных.Таким образом, требования I&A являются центральными для
 
 ИДЕНТИФИКАЦИЯ И РУКОВОДСТВО ПО Аутентификации





идентификация системы и аутентификация пользователей, и, следовательно, обеспечение соблюдения
Политики обязательного контроля доступа (MAC) и дискреционного контроля доступа (DAC).
I&A также предоставляет механизму аудита информацию, необходимую для связи
отношения с конкретными пользователями.

1.4 ЦЕЛЬ КОНТРОЛЯ
    Идентификация является частью цели контроля подотчетности.Подотчетность
цель управления гласит:

"Системы, которые используются для обработки или обработки секретной или другой конфиденциальной информации.
обязательство должно гарантировать индивидуальную подотчетность всякий раз, когда обязательное или дискреционное
активирована обычная политика безопасности. Кроме того, для обеспечения подотчетности возможность
должен существовать для авторизованного и компетентного агента для доступа и оценки учетной записи -
информацию о возможностях безопасным способом, в разумные сроки и без
из неоправданной трудности."[3, с. 76]

    Основное требование идентификации гласит:

«Отдельные субъекты должны быть идентифицированы. Каждый доступ к информации должен быть медиа-
редактируется в зависимости от того, кто имеет доступ к информации и к каким классам информации они
уполномочены иметь дело с. Эта идентификационная и авторизационная информация должна быть
надежно поддерживаются компьютерной системой и связаны с каждым активным
элемент, который выполняет в системе какое-либо действие, связанное с безопасностью."[3, стр. 4]




















                                       2
 

2.0 ОБЗОР ПРИНЦИПОВ
    Требования к идентификации и аутентификации встречаются во всех
оценочные классы. Они напрямую связаны в том смысле, что «идентификация» - это утверждение
кто пользователь (всемирно известный), тогда как «аутентификация» является доказательством идентификации.
Аутентификация - это процесс подтверждения заявленной личности.Процедура l & A-
Характеристики системы имеют решающее значение для правильной работы всех других доверенных вычислений.
базовые (TCIS) функции безопасности.

2.1 ЦЕЛЬ ИиП
    Эффективность процедур I&A напрямую влияет на возможности других УТС.
механизмы для выполнения своей функции. Например, сила механизма аудита.
и уверенность в правильности аудита зависит от механизма контроля и аудита.
низм. Если L&A успешно обойти, то все проверенные действия станут ненадежными.
возможно, потому что неверный идентификатор может быть связан с проверяемыми действиями.В этом
В смысле, требование l&A является основой для других функциональных требований TClB.
(Рисунок 1).

    TCB, используя структуры данных, относящиеся к безопасности, контролирует доступ к системе, де-
прекращает авторизованный доступ к объектам в системе и связывает проверяемые
действия * с конкретными людьми в зависимости от их личности.

    При контроле доступа к системе TCIS действует как первая линия защиты.
Как только TCIS идентифицирует пользователя как уникальную сущность или члена группы, она затем
точно определяет, какие права доступа могут быть назначены пользователю повторно.
Spect к данным, защищаемым системой.Если система имеет рейтинг С1, сгруппируйте



                AUDIT DAC MAC;


                       ИДЕНТИФИКАЦИЯ И АУТЕНТИФИКАЦИЯ
                                    #Рисунок 1


   Аудит механизмов & A начинается с C2.



                                       3
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





членство обеспечивает достаточную степень детализации для выполнения требований L&A.В
Системы с рейтингом C2 или выше, принудительное исполнение должно осуществляться на уровне отдельного пользователя.
Системы на уровнях B и A применяют политику обязательного контроля доступа и используют
механизм l&A для установления авторизованного уровня или уровней безопасности, на которых
пользователь будет работать во время данного сеанса.

    Личность пользователя определяет, какие функции или привилегии он может выполнять.
безопасность в системе. В некоторых системах (например, системах транзакций) функциональный доступ
может быть преобладающим выражением политики безопасности.Распространенный случай функционального
доступ во многих системах - это контроль доступа к офису безопасности системы.
функции cer, основанные на его личности.

    Назначение устройства также может определять функции или привилегии пользователя.
может тренироваться по системе. Например, те же физические механизмы, защищающие
системное оборудование обычно защищает устройство, обычно называемое "контролем оператора".
sole. "Пользователь этого устройства обычно подвергается более строгому физическому контролю и
административные процедуры, чем другие пользователи системы.В некоторых случаях ac-
доступ к устройству подразумевает физический доступ к данным (всем носителям), которые
УТС отвечает за защиту. В системах с рейтингом B1 и ниже требования l и A
может быть расслаблено для пользователя пульта оператора, если устройство защищено
те же механизмы физической безопасности, защищающие саму систему.

    Функции аудита в доверенных системах являются обязанностью УТС. Безусловно, аккуратно
идентификация рейтинга отдельного пользователя необходима для правильной атрибуции действий
принимаются системой от имени человека.Опять же, сила l&A
механизм напрямую влияет на надежность и уверенность в правильности аудиторских функций.

2.2 ПРОЦЕСС L&A
    Процесс идентификации и аутентификации (обычно называемый «Iogin») начинается с
пользователь, устанавливающий связь с TCB. (В B2 и выше TCB это
выполняется путем вызова доверенного пути, который, как гарантируется, является незыблемым

----------------------------

   * Дискреционный контроль доступа, применяемый на уровне C и выше, зависит от эффективных и
надежный я и А.** См. Интерпретации ct -cl-02-83 и ci -cl-04-86 в NCSC DockMaster Eva __Announcements
Форум. B2 и выше требуют, чтобы оператор входил в систему, но вход оператора в систему не является обязательным в B1 и ниже.


                                       4
 

                                                         ОБЗОР ПРИНЦИПОВ



канал связи между пользователем и TCIS).
Используя TCIS, пользователь идентифицирует себя (т.е., претензии - личность). Либо как часть
передача, требующая идентичности, или в ответ на запрос от TCIS,
пользователь предоставляет один или несколько элементов аутентификации в качестве подтверждения личности.

    TCIS, используя заявленные элементы идентификации и аутентификации в качестве параметров,
проверяет предоставленную информацию по базе данных аутентификации. Если информация-
От пользователя выполняется процесс проверки TClB, TCIS завершает вход в систему
установив сеанс пользователя и связав личность пользователя и разрешение доступа
троллить информацию с этим сеансом.В системах C1-C2 эта информация управления доступом
может быть просто записью личности пользователя для сравнения с информацией управления доступом.
связь с файлами. В системах 191-Al TClIS также связывает определенный
уровень безопасности (в допустимом диапазоне для пользователя) с сеансом пользователя для использования в
принятие решений об обязательном управлении доступом.

    На уровне C2 и выше TCB может регистрировать (проверять) успех или неудачу
новый логин. Если вход прошел успешно, TCB выполняет все необходимые действия, чтобы
установить сеанс пользователя.2.3 АСПЕКТЫ ЭФФЕКТИВНОЙ АУТЕНТИФИКАЦИИ

    Личность пользователей проверяется одним из трех общих методов: что-то
они знают (тип 1), что-то, что у них есть (тип 2), или то, чем они являются (тип 3).
Хотя требованиям TCSEC может соответствовать ОДИН из этих различных
методы, системы, использующие два или более методов, могут привести к большей безопасности системы.
Системы, использующие только один метод аутентификации, могут быть более уязвимы для заражения.
обещание аутентификатора, поэтому предпочтительны несколько методов.Примеры механизмов типа 1 включают пароли, парольные фразы, PIN-коды (Per-
личные идентификационные номера), а также данные о себе или членах семьи. Тип 2
механизмы включают реальные и электронные ключи, генераторы запросов resport.se и
карточки или бейджи с магнитной полосой. В последнюю категорию, тип 3, входят отпечатки пальцев, не подлежащие повторному использованию.
паттерны, паттерны ДНК и геометрия рук.

    Чтобы быть эффективными, механизмы аутентификации должны быть уникальными и надежными.
идентифицировать человека.«Аутентификация по знанию» (тип 1) и «аутентификация по
механизмы собственности »(тип 2) имеют ограниченную эффективность только потому, что
общается с человеком одержимостью. Человек обладает знаниями или какими-то

                                       5
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





     Тип 1 = аутентификация посредством знаний (то, что они знают)
     Тип 2 = Аутентификация по собственности (что-то, что у них есть)
     Тип 3 = аутентификация по признаку (что-то такое)
                                   фигура 2

идентифицирующий объект, но поскольку пользователь физически не привязан к аутентификации
информации, аутентификационная информация может быть утеряна, украдена или иным образом передана.
обещал.Что отличает первые два типа, так это то, насколько эффективно каждый из них может быть защищен;
у каждого есть свои преимущества и недостатки. Основная слабость типа 1 - двойная
катион. Мало того, что обычно очень легко узнать что-то, что знает кто-то другой, но и
возможно, информацию удастся угадать, даже не имея к ней доступа. Нет
специальные инструменты, навыки или оборудование требуются для дублирования "аутентификации по знанию"
край ". Часто можно сломать его простой атакой методом перебора с использованием автозапуска.
совмещенные техники.Самым важным преимуществом этого типа аутентификации является следующее:
пользователь может взять его куда угодно и изменить при возникновении компромисса. An-
Другим преимуществом является его простота, поскольку такую ​​информацию легко представить.
ед. в УТС без спецтехники. Любые данные аутентификации в конечном итоге должны быть
закодированы в той или иной форме в базе данных аутентификации TCB, и в этом смысле
копия информации должна храниться в TCB, чтобы ее можно было использовать при аутентификации.Поскольку символьная строка обычно может представлять тип 1, ее легко сохранить для дальнейшего использования.
использование УТС.

    Хотя тип 1 легко скопировать, если он действительно уникальный, например чушь
слово или число, его может быть легче охранять, чем физический объект. Это потому что
элемент знания, хотя его легко скопировать, всегда полностью находится во владении
человек, которого он идентифицирует. В отличие от ключа, карты или другого физического устройства "аутентификация
по знанию "нельзя украсть, временно оставив сидеть на столе, не может произойти-
счетчик выпадает из кармана, и его часто нельзя насильно украсть, если только человек не украдет
он может проверить его правильность.Тем не менее, простота дублирования делает тип 1 всегда
несовершенная форма аутентификации и, следовательно, требует добросовестной защиты, чтобы повторно
главный эффективный.



                                       6
 

                                                         ОБЗОР ПРИНЦИПОВ



    Для сравнения: «аутентификация по владению» имеет большую силу в трудностях.
культ дублирования. Тип 1, по сути, является примером типа 2. Поэтому, когда мы говорим о
тип 2 мы будем, по соглашению, иметь в виду физический объект, а не элемент знания.
край.Хотя такие предметы требуют больше усилий для защиты от кражи, их можно сделать
с использованием специального оборудования или процедур, которые обычно недоступны. Следовательно, dupli-
их размещение обходится дороже, чем ценность всего, что может быть получено путем фальсификации
их. Это препятствует их дублированию, хотя и не обязательно предотвращает их дублирование.
соединение решительным злоумышленником.

    Третий тип аутентификации, "аутентификация по характеристикам", очень
сильнее первых двух.В конце концов, цель аутентификации - проверить, кто вы
есть, и тип 3 очень тесно с этим связан.

    Основным препятствием для этого типа аутентификации является сложность затрат на строительство.
эффективные периферийные устройства, которые могут получить достаточно полный образец характеристики
чтобы полностью отличить одного человека от другого. Стоимость также является фактором определения
тип 2. Но в типе 3 сам элемент аутентификации может быть разработан для упрощения идентификации.
фиксация УТС.Обычные компьютерные периферийные устройства обычно не могут быть легко подключены.
код «аутентификация по признаку». Хотя может быть легко построить устройства, которые
подтвердить чьи-то отличительные особенности, такие как вес или длина пальца, дополнительные
Более подробная информация, позволяющая полностью отличить одного человека от другого, может служить основанием для
tially увеличить стоимость.

    К счастью, достаточно уникальная идентификация не требует каждой детали.
о человеке. Таким образом, специальные методы, такие как снятие отпечатков пальцев или сканирование сетчатки глаза
может использоваться отдельно, что снижает затраты по сравнению с полным исследованием всех
физические атрибуты человека.Даже эти методы требуют больших затрат, чем простые
использование пароля, которое не требует вообще никакого дополнительного оборудования, и они не
гарантированно будет безошибочным. Например, однояйцевые близнецы не будут различимы.
считывателями ДНК, и могут быть не различимы другими спецификациями тестов физического
характеристики. В воображаемом случае полностью идентичных близнецов эти два человека
могут отличаться исключительно по признакам категории "аутентификация посредством знания".
кровавый.Мало того, что различные типы методов аутентификации имеют стоимость и осуществимость -
компромиссы, но адекватная уверенность в аутентификации может потребовать нескольких методов
од. (Каждый из них подвержен ошибкам на самом теоретическом уровне.) Можно было бы


                                       7
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





ожидать большей уверенности от комбинации механизмов типа 1 и типа 2, чем
либо используется отдельно.Аналогичным образом, тип 3 может обеспечить большую уверенность, чем комбинация.
ция типов 1 и 2 вместе. Возможные варианты подхода показаны на рисунке 3,
где тип 12 представляет использование механизмов типа 1 и типа 2.

    Прямые сравнения силовых отношений невозможны, если никто не знает
точный механизм реализации; однако можно предположить, что некоторые такие
дружеские отношения вероятны. Кто-то может возразить, что тип 2 сильнее, чем члены типа олово
гарантия, и тип 123, вероятно, сильнее, чем тип 12.Необычные механизмы
может предложить необходимую уверенность на более низких уровнях, тогда как более высокие уровни могут потребовать
комбинации для достижения адекватной уверенности.






                      Возможные подходы аутентификации



                    Тип I Тип 12 Тип 2


                            Тип 13 Тип 23



                                    Тип 3


                   Тип 1 = аутентификация по знаниям
                   Тип 2 = аутентификация по владению
                  Тип 3 = аутентификация по признаку
                                   фигура 3



                                       8
 

                                                         ОБЗОР ПРИНЦИПОВ



2.4 БЕЗОПАСНОСТЬ АУТЕНТИФИКАЦИОННЫХ ДАННЫХ

    Данные идентификации и аутентификации (как и большинство передач) уязвимы для
перехват (например, подслушивание, спуфинг) злоумышленником, находящимся между
пользователь и УТС. Как следствие, связь между пользователем и трастом -
компьютер требует защиты, соизмеримой с конфиденциальностью данных,
системные процессы. Согласно государственным постановлениям, системы, используемые для обработки классификационных
данные должны соответствовать строгим стандартам физической безопасности, которые включают защиту
подключение терминала к TCB.(Эта защита может включать в себя установку
компьютер и его терминалы в физически безопасном месте, защищая кабельные каналы от
между терминалами и компьютером или с использованием криптографии для защиты транзакции.
Для несекретных систем может потребоваться аналогичная защита. Кроме того, 192 и
системы с более высоким рейтингом должны иметь надежные пути.

    Сети предоставляют злоумышленникам множество возможностей для перехвата данных L&A.
Одноразовые пароли могут помочь защититься от такой возможности.Данные аутентификации пользователя должны храниться, защищаться и поддерживаться
УТС. Он должен быть доступен только сотруднику службы безопасности системы (550). Тем не мение,
даже 550 следует запретить видеть фактическую текстовую версию данных
(например, пароли, используемые пользователями.) Чтобы убедиться, что только 550 может входить в
открывать и управлять базой данных l&A, уникальным и, возможно, расширенным специальным
550 процедура идентификации и аутентификации должна быть встроена в TCB.В
УТС следует использовать эту процедуру для проверки идентичности 550 (и, возможно,
устройство), когда этот человек ведет базу данных l&A.

    Помимо перехвата, действия оператора или несанкционированный физический доступ
может поставить под угрозу I&A данные. Это может быть сделано путем неправильного обращения с автономными версиями
данные в таких формах, как файлы резервных копий системы, дампы системы, вызванные сбоями, или списки
ings. Чтобы защитить данные I&A от такого рода несанкционированного раскрытия, данные могут быть
хранится в зашифрованном виде.Несколько так называемых односторонних преобразований (необратимых
functions) аутентификационных данных, которые могут выполнять эту функцию (см. Purdy [10]).
Однако, если кто-то использует односторонние преобразования, важно, чтобы оно было истинным не-
обратимое преобразование. Пример того, как произвольное одностороннее преобразование
был сломан, см. статью Дауни [4].





                                       9
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    База данных аутентификации нуждается в защите от общего доступа, независимо от того,
база данных зашифрована или нет.Даже в зашифрованном виде база данных может быть
объект к "атаке по каталогу". (Такая атака была очень успешной в ноябре
Бер 1988 ИНТЕРНЕТ-атака программой сетевого червя. [5]) Атака по каталогу
осуществляется путем шифрования словаря вероятных данных аутентификации (например, пароль
слова). Затем злоумышленник сопоставляет шифрованные тексты базы данных аутентификации.
с зашифрованным текстом словаря для обнаружения законных аутентификаторов. Если данные-
база хранит как идентификацию пользователя, так и аутентификацию в зашифрованном виде,
злоумышленник должен найти идентификатор пользователя И аутентификатор (например,g., пароль) в
КОМБИНАЦИЯ. Однако необходимость защиты механизма трансформации повторно
сеть.


































                                      10
 

3.0 СОБЛЮДЕНИЕ ТРЕБОВАНИЙ TCSEC
    В этой главе описаны требования TCSEC к I&A и их взаимодействие.
ции с соответствующими требованиями TCSEC.3.1 С1 ТРЕБОВАНИЯ

3.1.1 Требования к I&A

«2.1.2.1 Идентификация и аутентификация
TCB должен требовать, чтобы пользователи идентифицировали себя с ним перед началом выполнения
любые другие действия, посредничество которых ожидается от УТС. Кроме того, УТС должно
использовать защищенный механизм (например, пароли) для аутентификации личности пользователя.
TCB должен защищать данные аутентификации таким образом, чтобы к ним не мог получить доступ любой не-
авторизованный пользователь ".

3.1.2 Другие связанные требования

«2.1.1.1 Дискреционный контроль доступа
    Механизм правоприменения (например, личный / групповой / общественный контроль, контроль доступа
списки) должны позволять пользователям определять и контролировать совместное использование этих объектов с помощью именованных
diviauals или определенные группы или и то, и другое ".

3.1.3 Комментарии

    Соответствующее требование дискреционного контроля доступа (DAC), позволяющее пользователям
совместное использование управления определенными группами означает, что достаточно идентифицировать пользователей как память.
бер группы.Индивидуальная идентификация НЕ требуется для C1. Таким образом, допустимо
иметь коллективную идентификацию, такую ​​как "Покупка", аутентифицированную паролем,
троллинг доступ к файлу закупок. TCSEC не требует дополнительной информации.
А без индивидуального учета аудит невозможен или не требуется.

    Что такое достаточная аутентификация? Это сложный вопрос, поскольку он взаимодействует
критически с тем, как используется доверенная система, в сочетании с гарантиями и
особенности дизайна, связанные с рейтингами.(См. Руководство по применению Depart-
Критерии оценки доверенных компьютерных систем в конкретной среде
[7].) Требование C1 определяет только использование защищенного механизма.




                                      11
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





и дает, например, пароли. Как обсуждалось в другом месте данного руководства,
пароли могут быть эффективным механизмом аутентификации, если их применять добросовестно.3.2 ТРЕБОВАНИЯ C2

3.2.1 Требования к I&A

«2.2.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, посредничество которых ожидается от УТС. Кроме того, УТС должно
использовать защищенный механизм (например, пароли) для аутентификации личности пользователя.
TCB должен защищать данные аутентификации таким образом, чтобы к ним не мог получить доступ любой не-
авторизованный пользователь. УТС должно иметь возможность обеспечить индивидуальную ответственность путем
предоставление возможности однозначно идентифицировать каждого отдельного пользователя системы ADI.TCB также должен обеспечивать возможность связывания этого идентификатора со всеми автоматическими устройствами.
соответствующие действия, предпринятые этим лицом ".

3.2.2 Другие связанные требования

«2.2.1.1 Дискреционный контроль доступа
    Механизм правоприменения. . . позволяет пользователям определять и контролировать совместное использование
ing оф. . . объекты по. . . определенные группы лиц. . . . Эти доступ к
тролли должны иметь возможность включать или исключать доступ к детализации
Один пользователь..

«2.2.2.2 Аудит
... УТС должно иметь возможность записывать следующие типы событий: использование идентификатора
механизмы фиксации и аутентификации, ... действия, предпринятые оператором компьютера
торов и системных администраторов и / или сотрудников службы безопасности системы. . . . Для каждого
зарегистрированное событие, в протоколе аудита должны быть указаны: дата и время события,
пользователь, тип события и успех или неудача мероприятия. Для идентификации /
события аутентификации источник запроса (например,g., ID терминала) должны быть включены
в протоколе аудита. . . . Системный администратор ADP должен иметь возможность выбирать:
проводить аудит ... одного или нескольких пользователей на основе индивидуальной идентичности ".







                                      12
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ 7CSC




3.2.3 Комментарии

    Начиная с уровня C2, идентифицируются отдельные пользователи. Контроль доступа повторно
требование требует использования индивидуальной идентичности для принятия решений о доступе.lf групповой
доступен контроль доступа, членство в группе основано на личности
человек, а не пользователь, предоставляющий имя группы с помощью аутентификатора. Это
важное различие. С идентификатором группы, коллективным именем и общей аутентификацией.
катор действителен. С индивидуальными идентификаторами, уникальный индивидуальный идентификатор, проверенный через
уникальная аутентификация, используется для определения членства в группе, с группой
затем идентификация используется для доступа к данным.В этой последней реализации система
может проверять действия человека, обеспечивая тем самым индивидуальную подотчетность.

    Требование аудита - ужесточение требования к индивидуальной идентичности.
Это означает, что системный администратор может проверять действия любого одного или нескольких нас-
эры, основанные на индивидуальной идентичности. L&A должны различать операторов, системных администраторов.
tors, и офицеры безопасности системы от обычных пользователей для записи безопасности
связанные события как действия, инициированные лицами, выполняющими эти роли.Поскольку в-
лица, выполняющие эти роли, также могут быть обычными пользователями системы, это необходимо
essary, чтобы различать людей, когда они действуют как обычные пользователи.

    Например, в одной (сетевой) системе с множеством лиц, выполняющих рекламные
задачи министра или сотрудника службы безопасности, система установила идентификатор, связанный
с выполняемой ролью (например, системный администратор (SA)). В расширенном журнале-
включен, произошла двухэтапная идентификация и аутентификация; сначала как SA, а затем как
человек, выполняющий эту роль.Если человек не был признан одним из
тех, кто авторизовал функции SA, вход в систему завершился, и система провела аудит
мероприятие.

    Записи аудита действий, предпринятых SA, включали индивидуальные
личность. Последующая проверка записей аудита позволила собрать все действия
SA в упорядоченном по времени порядке. В рамках функции SA система определила
лица, выполняющие роль SA. Поскольку это было очень большое международное время-
система совместного использования, два или более человека могут выполнять функции SA совершенно независимо.
однозначно друг друга.Система записывала все их действия под идентификатором SA,
и в каждой записи были личности лиц, фактически выполняющих
функция.




                                      13
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    Наконец, соответствующее требование аудита требует идентификации происхождения документов и документов.
События. Приведенный пример взят из терминала, но в некоторых системах это может быть
хранимая пакетная процедура (PROC в некоторых системах), активируемая оператором -оператором из
пульт оператора.В этом случае запись аудита должна содержать как оператор
идентификатор консоли и указание на то, что оператор выполнил задание для некоторого человека, указанного в
пакетная процедура. Источник соединения часто присоединяется к идентификатору пользователя.
ty, чтобы убедиться, что местоположение терминала одобрено для обработки секретных материалов на
авторизованный уровень пользователя.

3.3 ТРЕБОВАНИЯ B1

3.3.1 Требования к I&A

«3.1.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, посредничество которых ожидается от УТС.Кроме того, УТС должно
поддерживать данные аутентификации, которые включают информацию для проверки личности
отдельных пользователей (например, пароли), а также информацию для определения
допуск и авторизация отдельных пользователей. Эти данные будут использоваться
TCB для аутентификации личности пользователя и обеспечения уровня безопасности и
полномочия субъектов, внешних по отношению к УТС, которые могут быть созданы для действий
от имени отдельного пользователя преобладают разрешения и авторизация
этого пользователя.TCB должен защищать данные аутентификации, чтобы к ним нельзя было получить доступ.
sed любым неавторизованным пользователем. УТС должно иметь возможность принудительно применять индивидуальную учетную запись:
способность, предоставляя возможность однозначно идентифицировать каждую отдельную систему ADP
Пользователь. TCB также должен обеспечивать возможность связывания этого идентификатора со всеми автоматическими устройствами.
соответствующие действия, предпринятые этим лицом ".

3.3.2 Другие связанные требования

«3.1.1.4 Обязательный контроль доступа

... Идентификационные и аутентификационные данные должны использоваться УТС для аутентификации.
установить личность пользователя и убедиться, что уровень безопасности и авторизация
субъектов, внешних по отношению к УТС, которые могут быть созданы, чтобы действовать от имени ин-
у отдельного пользователя преобладает допуск и авторизация этого пользователя."





                                      14
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ TCSEC




3.3.3 Комментарии

    B1 - это первый уровень рейтинга, на котором управление доступом и перемещением данных на основе
уровни чувствительности субъектов и объектов. Для непривилегированного пользователя
& Данные используются для определения текущего уровня авторизации пользователя, который TCB
сравнивается со своей пользовательской базой данных, содержащей диапазоны авторизации для каждого пользователя.Если
информация для входа в систему верна и его уровень действителен, TCB позволяет ему в системе.
Затем TCB модерирует доступ к файлам в зависимости от текущего уровня пользователя и
метка файла или объекта, к которому пытается добраться пользователь. Поскольку уровень чувствительности
представлен разрешением и категорией доступа, а также разрешениями на доступ к объекту.
Сознание определяется чувствительностью, связанной с обоими объектами (за пределами
УТС) и объекта, авторизация субъекта становится компонентом авто-
требование к трактовке.Значение термина «авторизация» в этом разделе включает функциональные
роли, назначенные отдельным лицам. Авторизации, связанные с ролями пользователей (например, SA,
550, оператор) определяют режимы доступа, которые могут или не могут контролироваться
политика обработки меток (или MAC), в зависимости от конкретной системы. Можно
иметь систему, в которой пользователь, действующий как авторизованный 550, может добавлять новых пользователей, де-
lete пользователей, или изменить их данные аутентификации, чтобы увеличить или уменьшить их
расширенный доступ, и все это без какой-либо метки конфиденциальности, связанной с записями или
550-е акции.Такие действия, конечно, подлежат проверке. Лучший подход
использует механизмы MAC для обеспечения дополнительной поддержки для наименее привилегированных административных
легенда. Здесь пользователь, как 550, по-прежнему должен входить в систему на любом уровне
необходимо делать свою работу.

3.4 ТРЕБОВАНИЯ B2

3.4.1 Требования к I&A

«3.2.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, посредничество которых ожидается от УТС.Кроме того, УТС должно
поддерживать данные аутентификации, которые включают информацию для проверки личности индивидов.
визуальные пользователи (например, пароли) в качестве информации для определения допуска
и авторизация отдельных пользователей. Эти данные должны использоваться УТС для аутентификации:
указать личность пользователя и убедиться, что уровень безопасности и авторизация



                                      15
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





субъекты, внешние по отношению к УТС, которые могут быть созданы, чтобы действовать от имени отдельного лица.
пользователем преобладают допуск и авторизация этого пользователя.УТС должно
защищать данные аутентификации, чтобы к ним не мог получить доступ неавторизованный пользователь.
УТС должно иметь возможность обеспечить индивидуальную подотчетность, предоставив возможность
для уникальной идентификации каждого отдельного пользователя системы ADP. УТС также предоставляет
возможность связать эту личность со всеми проверяемыми действиями, предпринимаемыми этим лицом.
ual. "

«3.2.2.1.1 Надежный путь

TCB должен поддерживать доверенный канал связи между собой и []
пользователь для первоначального входа в систему и аутентификации.Связь по этому пути должна быть
инициирован исключительно пользователем ".

3.4.2 Другие связанные требования

«3.2.3.1.4 Trusted Facility Management

УТС должно поддерживать отдельные функции оператора и администратора ».

3.4.3 Комментарии

    Требование доверенного пути - главное дополнение на этом уровне. Уровень B2
это первый уровень рейтинга, обеспечивающий достаточную архитектурную поддержку доверенных путей в
операционная система. Это требование гарантирует, что на уровне B2 и выше индивид
визуальный вход пользователя в систему - это безупречная связь с TCB, а не какая-то
программа маскируется под УТС.В противном случае пользователь может быть подделан на раскрытие информации.
передать свои данные аутентификации в прикладную программу.

    Требование поддержки отдельных функций оператора и администратора может
возложить дополнительную нагрузку на функцию l & A, чтобы различать лиц, действующих в
эти роли. С этой целью (функциональные) авторизации, связанные с аутентификацией.
данные о катионах из требования B1 могут быть эффективно использованы.

3.5 ТРЕБОВАНИЯ B3 (И A1)

3.5.1 l & A Требования

«3.3.2.1 Идентификация и аутентификация
TCB должен требовать от пользователей идентифицировать себя перед началом выполнения
любые другие действия, посредничество которых ожидается от УТС. Кроме того, УТС должно


                                      16
 

                                                  СООТВЕТСТВИЕ ТРЕБОВАНИЯМ TCSEC



поддерживать данные аутентификации, которые включают информацию для проверки личности индивидов.
виртуальные пользователи (например,g., пароли), а также информацию для определения зазора
и авторизация отдельных пользователей. Эти данные должны использоваться УТС для аутентификации:
указать личность пользователя и убедиться, что уровень безопасности и авторизация
субъекты, внешние по отношению к УТС, которые могут быть созданы, чтобы действовать от имени отдельного лица.
пользователем преобладают допуск и авторизация этого пользователя. УТС должно
защищать данные аутентификации, чтобы к ним не мог получить доступ неавторизованный пользователь.УТС должно иметь возможность обеспечить индивидуальную подотчетность, предоставив возможность
для уникальной идентификации каждого отдельного пользователя системы ADP. УТС также предоставляет
возможность связать эту личность со всеми проверяемыми действиями, предпринимаемыми этим лицом.
ual. "

«3.3.2.1.1 Надежный путь
TCB должен поддерживать доверенный канал связи между собой и пользователями для
используйте, когда требуется положительное соединение TCB-to-user (например, вход в систему, изменение
уровень безопасности предмета).Связь через этот доверенный путь должна быть активирована ex-
исключительно пользователем или TCB и должны быть логически изолированы и безошибочно
отличим от других путей ".

3.5.2 Другие связанные требования

«3.3.1.1 Дискреционный контроль доступа
TCB должен определять и контролировать доступ между именованными пользователями и именованными объектами.
(например, файлы и программы). . . . Эти средства управления доступом должны быть способны определять:
для каждого именованного объекта список именованных лиц и список групп
названные лица с их соответствующими режимами доступа к этому объекту.Шерсть-
Кроме того, для каждого такого именованного объекта должна быть возможность указать список
поименованные лица и список групп поименованных лиц, в отношении которых нет доступа
доступ к объекту должен быть предоставлен .... "

3.5.3 Комментарии

    Использование доверенного пути обобщается на случай, когда [когда-либо] положительный TCB-to-user
требуется соединение "не только для входа в систему. В 193 системах другие TCB-to-user общаются.
связи могут продолжаться, отсюда и требование логически изолировать и различать
уберите НАДЕЖНЫЙ путь от всех других путей.Обратите внимание, что TCB может запускать
доверенный путь при необходимости.



                                      17
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    Различие между надежным путем в B3 и надежным путем в B2 зависит от
нужно ли TCB знать о предыдущем контексте. В случае B2 единственный
требование для доверенного пути есть у Иогина. В случае B3 доверенный путь может быть повторно
требуется, чтобы пользователь изменил уровни безопасности или инициировал другой процесс на другом уровне.
уровень безопасности ниже того, на котором он сейчас находится.Пример TCB, запускающего
доверенный путь может сообщать пользователю, что его уровень безопасности был изменен по запросу -
изд.

    Основное влияние этого требования - установление доверенного пути.
между пользователем (то есть физическим лицом) и УТС, а не субъектом процесса или какими-либо другими
эр пользователь-суррогаты. Для человека, подключающегося к TCB, так же важно быть как-
удостовериться в идентичности TCB, как для TCB, чтобы быть уверенным в идентичности
человек.Ранее работа в области компьютерной безопасности предполагала повторную аутентификацию в качестве
гарантийный механизм для случаев такого рода. Если в системе есть такая возможность-
Обычно время между (повторными) аутентификациями должно быть параметром конфигурации.

    Соответствующее требование дискреционного контроля доступа состоит из двух компонентов;
во-первых, каждый именованный объект (уже управляемый элементами управления обязательным доступом) должен
также находиться под контролем Дискреционного доступа. Во-вторых, списки названных лиц или
группы, авторизованные или специально запрещенные в доступе, должны поддерживаться для каждого названного
объект.18
 

4.0 ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ

    Существует множество возможных методов реализации `для идентификации и
аутентификация людей. Задача разработчика TCB заключается в том, как интегрировать
выбранный метод в остальной конструкции УТС таким образом, чтобы выбранная технология-
nique нельзя обойти или проникнуть внутрь.Самый частый метод выявления
люди по-прежнему являются заявленной идентичностью, подтвержденной паролем. Разумный
обсуждение вопросов проведено Хоффманом [8], хотя и не полностью
Spect ко всем проблемам. Следующее обсуждение служит хорошим экзаменом.
ples или только общие рекомендации. Есть много других приемлемых методов l&A.

4.1 ЧТО-ТО ЗНАЕТ ПОЛЬЗОВАТЕЛЯ (МЕТОД ТИПА 1)

    Этот метод почти полностью ориентирован на пароли.В прошлом восемь символов
пароли были более или менее стандартом в большинстве систем, предоставляющих пользователю
идентификации и аутентификации, хотя не существует определенного стандарта для
длина слова. Руководство Министерства обороны по управлению паролями [2] rec-
заменяет не менее шести символов. В двух приложениях к этому руководству обсуждается
параметры, влияющие на выбор длины пароля.

    В руководстве также настоятельно рекомендуется автоматизировать создание паролей.А
Описание генератора произносимых паролей можно найти в статье Гассера.
по [6].

    Как указывалось выше, для низших классов достаточно простых паролей.
По мере продвижения в рейтинге система паролей или парольных фраз должна быть:
приходят более сложные. В старших классах схема паролей должна быть
некоторые варианты схем одноразовых паролей или комбинация методов,
как показано на рисунке 3.

    В схеме одноразового пароля система предоставляет пользователю начальную
пароль для подтверждения заявленной личности.Во время первоначального Иогона пользователь
получает новый пароль для следующего входа в систему. В самой ранней концепции этого приложения
кстати, никого не беспокоило прослушивание телефонных линий, перехватывающих проход пользователей.
словами, поскольку все линии находились в пределах защищенных проводных путей. Единственное беспокойство было за
кто-то маскируется под другого пользователя, не будучи обнаруженным, или для пользователей, написавших:
сбрасывая свои пароли, чтобы они их не забыли.



                                      19
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





    В современных приложениях, особенно с персональными компьютерами, используемыми в качестве терминалов,
TCB может зашифровать следующий пароль для пользователя; Пользователь получит свой
следующий пароль, расшифруйте его (личным, уникальным) ключом дешифрования и сохраните для своего
следующая сессия.Другие предложения включают хранение личных данных о человеке, например о вашем
девичья фамилия бабушки, возраст твоего отца, когда он был женат, средний
имя вашей третьей сестры и т. д. Этот метод не соответствует требованиям TCSEC.
по целому ряду причин. Сложно управлять любым разумным количеством
пользователей, и, даже если случайным образом рандомизировать задачу, общее количество доступных
swers слишком мал. Личная информация, относящаяся к физическому лицу, обычно доступна.
доступный из открытых источников и не защищенный.4.2 ЧТО-ТО ЕСТЬ У ПОЛЬЗОВАТЕЛЯ (МЕТОД ТИПА 2)

    Этот тип содержит несколько артефактных подходов к обеспечению позитивной идентичности
пользователей. Схемы охватывают широкий диапазон, от считывателей магнитных полос до различных
формы ключей зажигания (некоторые с криптографическими подсистемами, другие просто альтернативные
формы считывателя магнитных полос). Интересная форма выражения «что-то есть», что
объединяет артефакт со схемой пароля, типизируется одноразовым паролем
(вызов и ответ) устройство.Устройство представляет собой блок размером с калькулятор, который при нажатии
правильно пользователем с личным идентификационным номером (PIN), генерирует правильный
одноразовый ответ на запрос пароля, выданный хостом сервера.

    Одно только владение устройством не позволяет получить правильную реакцию на
случайный вызов. Чтобы использовать артефакт, необходимо знать ПИН-код. Есть
нет известного способа прочитать PIN-коды, установленные в этом конкретном продукте, поэтому потеря устройства
может быть скорее неудобством, чем серьезным нарушением безопасности, если сообщить:
Эд немедленно.Хотя вполне возможно, что такие устройства могут быть украдены у законного пользователя,
Нарушение прав может быть управляемым, если пользователь не сообщит об убытках немедленно -
Либо или по неосторожности записывает ПИН-код. Кроме того, если усилить механизм
при стандартном парольном подходе для формирования метода типа 12 можно получить много
большая уверенность.





                                      20
 

                                               ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ



    Существует тенденция требовать полной безопасности для простых устройств (запирать их в
сейфы или ограничения, где их можно носить).Во многих случаях все, что нужно, - это
возможность обнаружения утери или взлома устройства.

4.3 ПОЛЬЗОВАТЕЛЬ (МЕТОД ТИПА 3)

    Эта категория аутентификации включает в себя все биометрические схемы, такие как
считыватели отпечатков пальцев, считыватели отпечатков на губах, сканеры сетчатки глаза, анализаторы ДНК и динамические
подписи читателей. Некоторые утверждают, что эти устройства обладают значительной разрешающей способностью,
практически исключая ложное принятие, сохраняя при этом ложные отказы по причине -
способный уровень.Однако статистический характер принятия или отклонения в некоторой степени ограничен.
вещь для рассмотрения. Мы отмечали ранее, что аутентификацию можно удвоить.
механизмы для систем с более высоким рейтингом, поэтому аутентификация основана на двух независимых
элементы вмятины, например считыватель отпечатков пальцев и пароль (метод типа 13).
Такая схема фактически исключила бы ложное принятие процедуры l&A. В
двойная схема аутентификации, система не должна принимать ни один из
элементы, если другой элемент также не правильный.Продавцам биометрических устройств труднее, чем тем, кто
палатку с простыми паролями, так как изменить биометрический
измеряемый параметр. Однако можно скопировать биометрическую па-
rameter таким образом, чтобы получить доступ к системе, как если бы она была фактическим пользователем.
Если злоумышленник встает между измерительным прибором и УТС, отсутствует
защищенный путь, он может скопировать чтение для воспроизведения позже.Как это может быть
возможно независимо от используемого метода аутентификации, это предполагает либо мак-
одноразовый элемент аутентификации или защита пути между аутентификациями.
вход катиона (измерение) и TCB против перехвата.

4.4 КОММЕНТАРИИ

    Требования к идентификации и аутентификации сильно подчеркнуты в
направление аутентификации. Один заявляет личность, затем должен доказать это оператору.
система ing. «Теоретически» возможно использовать самоидентифицирующуюся аутентификацию (или
можно назвать самоутентифицирующей идентификацией).Примерами таких может быть

---------------
 
  * Мартин в своей книге сообщил о ложном приеме распознавателя голоса на уровне 1% и геометрии руки.
считыватель от 0,5 до 0,05%, в зависимости от допусков измерения. У распознавателя голоса был ложный
отклонение 1%, в то время как считыватель геометрии руки был «очень низким». [9]


                                      21 год
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





сканер отпечатков пальцев или анализ ДНК клеток, соскобленных с кожи.Конечно это
всегда (и, вероятно, ошибочно) предполагал, что можно сохранить целостность своей
кожа или отпечатки пальцев. Тем не менее, возможно, удастся скопировать отпечатки пальцев на латексную пленку.
пальцем (или пальцами), и получить участок кожи может быть не так сложно, как
могу представить. Даже для самоидентифицируемой аутентификации защита аутентификации
катионный механизм является ключом к его успешному применению.

    Как указано выше, если применяется в ситуациях, требующих применения более низкого рейтинга
классы, такие методы, которые сочетают идентификацию и аутентификацию, вполне могут
быть достаточным.В ситуациях, когда требуются более высокие классы, методы могут быть
в сочетании с другим универсальным аутентификатором. Фактически это создает второй доступ
барьер для систем, используемых в ситуациях повышенного риска.

    На сегодняшний день вопрос о том, сколько аутентификации будет достаточным, должным образом не решен.
и является предметом обсуждения между аккредитатором сайта или специалистом по сертификации сайта
и продавец. Может потребоваться несколько механизмов аутентификации для любого
заявленная идентичность для систем более высокого уровня.Как бы эффективно ни было такое требование
может быть, это было бы довольно дорого для множества систем, НЕ на специальных
опасности, но которые используют системы с рейтингом B2 или выше в квазисистеме высокой среды
из-за условий обработки этикеток. (Квазисистемная высокая среда
Это те, где всем пользователям даются все допуски и категории в пределах
организации, но данные должны быть правильно помечены, чтобы контролировать, где они
экспортировано.)
один встроенный в УТС.Основная рекомендация - использовать другой базовый механизм.
низм. Если встроенный аутентификатор основан на аутентификации по характеристикам,
& Подсистема может быть либо аутентификацией по владению (тип 2), либо аутентификацией.
ция по знаниям (тип 1). Расхожее мнение гласит, что системы паролей можно
достаточно хорошо, но могут потребоваться более эффективные средства аутентификации.

    В общем, можно было бы ожидать, что в системах с более низким рейтингом будут использоваться более простые механизмы.
системы, чем системы с более высоким рейтингом.В C1, простые механизмы типа 1 или любой из
простейшие схемы артефактов (например, комбинации замков или ключи от запертых дверей для
терминальные помещения для пользователей, известных системе только как определенные группы)
может быть достаточно, в зависимости от сайта, на котором используется система.

    В C2 любая из произвольно произносимых систем паролей или любая из аналогичных
объектный артефакт (например, таблица ответов на запрос) или биометрические системы (например,


                                      22
 

                                               ВОЗМОЖНЫЕ МЕТОДЫ РЕАЛИЗАЦИИ



измерение геометрии руки, межглазного расстояния или других мер Бертильона)
кажутся подходящими.В B1 парольные фразы, произвольно произносимые пароли длиной не менее 8 символов,
схемы запрос-ответ, одноразовые пароли, расширенные артефакты (например, термин
nal Iogon «ключи» или карты с магнитной полосой) или биометрические системы (например, отпечатки пальцев,
изображения сетчатки глаза или голосовые изображения).

    Для более высоких уровней (B2, 03 и Al) аутентификация может быть основана как минимум на
два из трех общих способов подтверждения личности. Карточка с магнитной полосой и
пароль, PIN-код, используемый для запуска устройства запроса-ответа, или биометрического устройства
и пароль могут использоваться в комбинации для увеличения «рабочего фактора» at-
соблазн подорвать или диагностировать параметры аутентификации.Хотя это специально не рассматривается в TCSEC, процесс оценки должен
рассмотрите силу механизма l&A по отношению к классу оценки. В
гарантия, связанная с выбранным механизмом, должна соответствовать оценке:
съел класс.

    Кроме того, прочность механизма L&A также должна основываться на
среда, в которой будет использоваться система, и риск потери данных в системе
Тем. Помните, возможно, что система C2, работающая на высоком уровне системы, с очень
конфиденциальные данные нуждаются в высоконадежном механизме l & A, как и в системе Al
бы.Интересно отметить, что системы паролей редко дают сбой.
их функции в защищаемых системах. Большая часть сбоев паролей происходит из-за неправильных
выполнение, обмен паролями с иным неуполномоченным лицом, или
меньшее обращение с паролями (по крайней мере, столь же серьезное, как и такое же неосторожное обращение с
безопасные комбинации). Некоторые агентства относятся к небрежному обращению с паролями с помощью
такая же степень серьезности, как оставлять сейфы незапертыми и без присмотра.Для нескольких
В системах tilevel, обрабатывающих секретные данные, пароль классифицируется на самом высоком уровне.
el информации авторизовал пользователя, которому она принадлежит.

    Правильно управлять схемой паролей можно с помощью частой смены пароля.
слова и произносимый генератор случайных паролей, используемый для устранения некоторых
более простые атаки на угадывание. Это правда, что люди могут неправильно использовать систему, не обращаясь
свои пароли должным образом (например, написав их на своих терминалах, намеренно


                                      23
 

РУКОВОДСТВО ПО ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ





раздавать их или позволять наблюдать за ними при использовании).Тем не менее
меньше, низкая стоимость и высокая степень эффективности делают пароли аутентификационными.
ционный метод выбора для большинства систем.

    Если пользователям разрешено выбирать свои собственные определенные аутентификаторы, их поведение
достаточно стереотипный, чтобы позволить диагностировать и восстановить выбранный подлинный
тион. Это особенно верно в отношении систем, позволяющих пользователям выбирать свои собственные пароли.
Как следствие, техника системного администратора, выполняющая (начальную)
Использование аутентификатора - лучшая практика безопасности, чем кажется на первый взгляд.24
 

                                   ГЛОССАРИЙ

ОБЕСПЕЧЕНИЕ
      Мера уверенности в том, что функции безопасности и архитектура
      автоматизированная информационная система точно посредничает и обеспечивает безопасность
      политика.АУДИТ ТРЕЙЛ
      Хронологическая запись действий системы, достаточная для того, чтобы
      реконструкция, просмотр и исследование последовательности сред
      и действия, связанные или ведущие к операции, процедуре или событию
      в сделке от ее начала до конечных результатов.

ПОДТВЕРЖДЕНИЕ
      Подтвердите заявленную личность как законную и принадлежащую истцу.

РАЗРЕШЕНИЕ
      Право человека на доступ или использование объекта.КРИПТОГРАФИЯ
      Принципы, средства и методы обеспечения непонятной информации,
      и для восстановления зашифрованной информации в понятной форме.

ДИСКРЕЦИОННЫЙ КОНТРОЛЬ ДОСТУПА (DAC)
      Средство ограничения доступа к объектам на основе личности субъектов
      и / или группы, к которым они принадлежат. Элементы управления являются дискреционными в
      ощущение, что субъект с определенным разрешением доступа способен передавать
      это разрешение (возможно, косвенное) на любой другой предмет.ПРИВИЛЕГИЯ ДИСКРЕЦИОННОГО ДОСТУПА
      Доступ к объектам предоставляется на основе личности субъекта и / или
      группы, к которым они принадлежат.

ДОМИНИРОВАТЬ
      Уровень безопасности S доминирует над уровнем безопасности S2, если иерархическая классификация
      S больше или равно S2, а неиерархические категории
      S, включают все таковые из S2 как подмножество.



                                      25
 

ИДЕНТИФИКАЦИЯ И АУТЕНТИЧНОСТЬ РУКОВОДСТВО



ЛИЧНОСТЬ
      Уникальное имя или номер, присвоенный человеку, использующему систему.НАИМЕНЕЕ ПРИВИЛЕГИИ
      Принцип, требующий, чтобы каждому субъекту были предоставлены самые строгие ограничения.
      набор привилегий, необходимых для выполнения авторизованных задач. В
      применение этого принципа ограничивает ущерб, который может возникнуть в результате аварии,
      ошибка или несанкционированное использование.

ОБЯЗАТЕЛЬНЫЙ КОНТРОЛЬ ДОСТУПА (MAC)
      Средство ограничения доступа к объектам на основе чувствительности (как
      представлен меткой) информации, содержащейся в объектах и
      формальное разрешение (т.д., разрешение) субъектов на доступ к информации таких
      чувствительность.

ОБЪЕКТ
      Пассивный объект, который содержит или получает информацию. Доступ к объекту
      потенциально подразумевает доступ к содержащейся в нем информации. Примеры объектов
      это: записи, блоки, страницы, сегменты, файлы, каталоги, деревья каталогов,
      программы, биты, байты, слова, поля, процессоры, видеодисплеи, клавиатуры,
      часы, принтеры и сетевые узлы.

ЭТИКЕТКА ЧУВСТВИТЕЛЬНОСТИ
      Часть информации, которая представляет уровень безопасности объекта и который
      описывает чувствительность (например,g., классификация) данных в объекте. В
      TCB использует метки конфиденциальности в качестве основы для обязательного контроля доступа
      решения.

СПУФИНГ
      Попытка получить доступ к системе, выдав себя за авторизованного пользователя.
      Синоним выдачи себя за другое лицо, маскировки или имитации.

ТЕМА
      Активная сущность, как правило, в форме человека, процесса или устройства, которое
      заставляет информацию перемещаться между объектами или изменяет состояние системы.Технически пара процесс / домен.





                                      26 год
 

                                                                   ГЛОССАРИЙ



НАДЕЖНАЯ ВЫЧИСЛИТЕЛЬНАЯ БАЗА (TCB)
      Совокупность механизмов защиты внутри компьютерной системы, включая
      аппаратное обеспечение, микропрограммное обеспечение и программное обеспечение, сочетание которых `отвечает за
      обеспечение соблюдения политики безопасности. Он создает базовую среду защиты и
      предоставляет дополнительные пользовательские услуги, необходимые для доверенной компьютерной системы.В
      способность TCB правильно применять политику безопасности зависит исключительно от
      механизмы внутри TCB и от правильного ввода со стороны администратора системы
      персонал параметров (например, допуск пользователя), связанных с безопасностью
      политика.

НАДЕЖНЫЙ ПУТЬ
      Механизм, с помощью которого человек на терминале может напрямую общаться с
      Надежная вычислительная база. Этот механизм может быть активирован только
      человека или базы доверенных вычислений и не может быть инициирован ненадежным
      программное обеспечение.ПРОВЕРЯТЬ
   Доказать истину путем представления доказательств или свидетельских показаний; обосновать.


























                                      27
 

Идентификация против аутентификации против авторизации: самая большая дилемма | Саранки Магентирараджа

[Источник: https://i.pinimg.com/564x/0c/9b/de/0c9bde42bc52832b7bdf756a8ee57960.jpg]

В нашей повседневной жизни подтверждение своей личности и выполнение действий в соответствии с предоставленными привилегиями — очень частые обстоятельства, с которыми все мы сталкиваемся. Например, это может быть сценарий, в котором мы предоставляем удостоверение личности при входе в наш университет для входа в помещения. Кроме того, можете ли вы вспомнить дни, когда, даже если у вас есть студенческое удостоверение личности и разрешение на въезд на территорию университета, вам никогда не разрешали парковать свой автомобиль на стоянке для персонала? Если вы можете соотнести себя с вышеупомянутым примером, то весь этот пост в блоге станет для вас куском пирога… 🍰

[Источник: https: // i.pinimg.com/originals/99/8b/c0/998bc08f426d260a8686affdebbce4a5.gif]

Индустрия программного обеспечения быстро растет и адаптирует многочисленные технологии для удовлетворения различных потребностей пользователей. Один из таких важных аспектов — безопасность. Вкратце, код , позволяющий правильному пользователю с нужными привилегиями получать доступ к нужным ресурсам, учитывая конфиденциальность пользователей и предохраняя систему от риска, известен как безопасность в мире ИТ или программного обеспечения (информационных технологий).

При обсуждении безопасности программного обеспечения мы не можем избежать некоторых основных терминологий.Это:

1. Идентификация
2. Аутентификация
3. Авторизация

Идентификация

Как подразумевает термин «Идентичность» — это часть информации, которая доказывает, кто вы. В общем контексте это может быть номер вашего национального удостоверения личности, номер паспорта, отпечаток пальца и т. Д. Делая шаг вперед, если мы собираемся обсуждать личность в контексте безопасного программного обеспечения или ИТ, мы обычно ссылаемся на цифровую идентификацию , которая может представлять собой единый массив информации или совокупность различных факторов, объединенных вместе, чтобы обеспечить уникальное значение для идентификации человека / организации / правительства или любого типа объекта.

Примеры

Имя пользователя и пароль, биометрические идентификаторы, такие как отпечатки пальцев, модели лица и голос, могут быть указаны в качестве примеров цифровой идентичности отдельного пользователя или могут быть объединены вместе для создания уникального идентификатора.

IP-адрес, доменные имена являются примерами цифровой идентичности организации или правительства.

Кража личных данных

[Источник: https://s3.amazonaws.com/lowres.cartoonstock.com/law-order-identity_theft-identity_thief-id_card-stolen_identity-crime-bwhn774_low.jpg]

Цифровая идентификация также подвержена рискам конфиденциальности и безопасности, таким как кража личных данных. Кража личных данных — это мошенничество, при котором самозванец пытается присвоить чужую личность и выдать себя за него. Подделка межсайтовых запросов (CSRF) — хорошо известный пример кражи личных данных (это также может быть примером кражи данных). Такие механизмы, как шаблон Double Submit Cookie , Шаблон токена синхронизатора , являются хорошо известными механизмами предотвращения для преодоления атак CSRF.

У нас есть объект / элемент для уникального описания сущности, известной как личность. Но как это подтверждает правильность сущности? Куда это нас приведет? Термин «идентичность» приводит нас к процессу Аутентификация , который использует идентичность, чтобы доказать, проверяется ли сущность как правильная. Давайте углубимся в аутентификацию.

Аутентификация — это процесс подтверждения / подтверждения того, что объект является тем, за что он претендует. Например, процесс обеспечения доступа предполагаемого пользователя к системе путем проверки учетных данных пользователя.В следующем обсуждении мы сконцентрируемся на сценариях для пользователей и систем, чтобы объяснить концепции менее сложным образом.

[Источник: https://communicrossings.com/files/security/img/try-again-400.jpg]

В системе, защищенной паролем и именем пользователя, ожидается, что пользователь предоставит действительные учетные данные для входа в систему . Это не только для защиты системы от неизвестных сторонних атак, но и для сохранения конфиденциальности пользователей, что может даже привести к юридическим проблемам.

Уровни аутентификации

Факторы идентификации или аутентификации могут быть любыми из следующих.

1. Знание : — что-то, что знает пользователь

Например: имя пользователя, пароль, пин-код

2. Владение : — то, что пользователь имеет / имеет

Например: дебетовая карта, QR-карты

3. Присутствие : — некоторые физические характеристики пользователя

Например: факторы биометрической аутентификации, такие как отпечаток пальца, радужная оболочка глаза

В зависимости от количества идентификационных данных или факторов аутентификации, которые пользователь предоставляет для процесса аутентификации, его можно отнести к категории следующие уровни.

1. Однофакторная аутентификация
2. Двухфакторная аутентификация
3. Многофакторная аутентификация

Однофакторная аутентификация — Использует один фактор аутентификации для аутентификации пользователя

Например: вход в Gmail с использованием имени пользователя и пароля

Двухфакторная аутентификация — Использует любой из двух факторов для аутентификации пользователей при входе в систему

Например: Вход в свою учетную запись Facebook с использованием пароля и кода, отправленного вам через SMS

Многофакторная аутентификация — Используется в минимум 2 или все 3 типа факторов аутентификации, позволяющих пользователю войти в систему

E.g: Ввод пароля, секретного кода, отправляемого через SMS, и предоставление отпечатка пальца для входа в систему.

[Источник: мультфильм Фила Джонсона для Массачусетского технологического института]

Двухфакторная аутентификация или многофакторная аутентификация обеспечивает дополнительный уровень безопасности для системы. OpenID и OpenID Connect (OIDC) — это два хорошо известных протокола аутентификации, которые используют токены для продолжения процесса аутентификации. У нас будет отдельное обсуждение этой темы в другом сообщении блога.

Давайте пересмотрим шаги, которые мы сделали на данный момент.Изначально у нас был фактор аутентификации. Итак, в качестве следующего шага, используя этот фактор аутентификации, мы аутентифицировались, чтобы войти в систему. Что дальше? Затем мы должны знать, какие задачи мы можем выполнять в системе. Итак, давайте посмотрим на процесс Авторизация .

Авторизация — это механизм безопасности для проверки привилегий или полномочий, которыми обладает пользователь для выполнения определенных задач в системе. Вкратце, что вы можете делать в системе.После аутентификации пользователя в качестве подходящего кандидата для системы процесс авторизации определяет полномочия, которые пользователь может иметь в системе. В зависимости от уровней / ролей доступа пользователей эти привилегии определяются для каждого пользователя.

[Источник: https://lowres.cartooncollections.com/visits-visitors-authorization-authorised_personnel_only-privacy-social-issues-CC22550_low.jpg]

Например, возьмем систему управления больницей, в которой администратор и врач являются единственными пользователи этой системы.Представьте, что произойдет, если администратор получит разрешение изменить рецепты пациентов. Это был бы конец всему!

Чтобы убедиться, что нужный человек получает правильный доступ в системе, мы используем механизмы авторизации. Один из самых известных и широко используемых механизмов авторизации — это OAuth 2.0.

OAuth 2.0: краткое введение

OAuth — это структура, позволяющая сторонним приложениям получать доступ к защищенным данным от имени пользователя.Проще говоря, «Фреймворк для делегированной авторизации» .

OAuth 2.0 предоставляет конечным пользователям 2 основных сервиса, а также сторонние приложения. Это следующие службы:

• Federated Identity — Позволяет пользователям входить в приложение с другой существующей учетной записью, которой владеет пользователь. (Конечные пользователи)
• Делегированные полномочия — Разрешить другой службе контролируемый доступ к ресурсам другой службы от имени пользователя. (сторонние приложения)

Подробные сведения о OAuth 2.0 и связанных типах грантов см. В моем блоге на OAuth 2.0.

В начале поста мы обсудили три основных терминологии, которые мы будем использовать во всем посте. Это Identity, , Authentication, и Authorization. Мы также проанализировали некоторые примеры из реальной жизни, чтобы легче понять эти странные термины. Затем мы проанализировали каждый из этих терминов и механизмы, используемые для реализации этих концепций.Кроме того, я прикрепил свои предыдущие блоги, чтобы дать вам дальнейшие объяснения по CSRF-атакам , Synchronizer token pattern , Double submit cookie pattern and OAuth 2.0 . Я надеюсь, что этот пост помог вам, ребята, получить базовое понимание темы и получить практический опыт опробования этих концепций… !!! Удачного обучения, ребята… !!!

[Источник: https://i.pinimg.com/originals/14/fc/03/14fc030a45875ea3021063e18d433ea5.png]

Проверка подлинности идентификации: в чем различия?

Термины «идентификация», «проверка» и «аутентификация» часто используются как синонимы.Однако на самом деле это три разных подхода, которые играют решающую роль в защите ваших систем и ресурсов от кражи личных данных и утечки данных. В этом посте мы рассмотрим эти термины и поймем их роль в проверке личности.

Несомненно, цифровая трансформация принесла бизнесу множество преимуществ. Он помогает частным лицам и компаниям улучшить свою деятельность, управление ресурсами, охват клиентов, качество обслуживания клиентов и многое другое.Однако мы не можем игнорировать тот факт, что с развитием технологий проблемы кибербезопасности также увеличились. Следовательно, предприятиям становится все сложнее установить доверительные отношения в Интернете.

К счастью, такие проблемы кибербезопасности, как мошенничество с идентификационными данными и утечки данных, можно предотвратить и в значительной степени свести к минимуму путем обеспечения строгой идентификации, проверки и аутентификации внутри организации. Вместе эти три фактора могут сыграть важную роль в защите ваших систем и ресурсов от мошенничества с идентификационными данными.

Давайте выясним, что правильно означают эти термины и как они могут помочь вам в проверке личности и предотвращении кражи личных данных.

Обнаружение и предотвращение мошенничества от лидеров рынка. Запланируйте бесплатную демонстрацию здесь.

Различия между идентификацией, проверкой и аутентификацией

Идентификация — это просто просьба к клиентам или пользователям предъявить документы, удостоверяющие личность, чтобы подтвердить, кто они. Напротив, процесс проверки включает в себя проверку того, связаны ли данные личности с конкретным лицом, например, сопоставление даты рождения человека с именем человека.

Аутентификация

Identity, с другой стороны, выводит проверку на новый уровень и имеет исключительно важное значение при работе с онлайн-транзакциями. В этом процессе пользователю или клиенту задают вопросы динамической аутентификации, основанной на знаниях (KBA), на которые нелегко ответить.

Нужны дополнительные разъяснения? Давайте подробно рассмотрим каждый термин ниже.

Что такое идентификация?

Идентификация — это процесс, при котором кто-то утверждает, что является определенным лицом, показывая документ, в котором есть его / ее фотография и личная информация.Водительские права — отличный пример идентификации.

Однако, когда дело доходит до онлайн-транзакций, потребители идентифицируют себя, вводя свое имя, контактный номер или адрес электронной почты в веб-форму. Если пользователи покупают что-то в Интернете, они должны предоставить данные своей кредитной карты и платежный адрес.

Если вы занимаетесь бизнесом, в котором, по вашему мнению, не нужно сомневаться в своих потребителях или пользователях, вам может подойти только процесс идентификации. Для транзакций, которые связаны с небольшими суммами, может быть достаточно, чтобы кто-то объявил свою личность без подтверждения.Но, как было сказано выше, растет число случаев мошенничества с использованием личных данных; желательно не полагаться только на идентификацию. Это будет похоже на имя пользователя без пароля.

В эпоху кражи личных данных вы не можете быть уверены, что человек, с которым вы общаетесь, является тем человеком, за которого они себя выдают. Следовательно, проверка — важный шаг.
Давайте узнаем, что такое проверка личности.

Подтвердите личность клиентов в течение 15 секунд.Запланируйте бесплатную демонстрацию проверки личности здесь.

Что такое проверка?

Согласно журналу данных сети Consumer Sentinel FTC, кража личных данных, мошенничество с мошенничеством и мошенничество со сборщиками долгов были наиболее распространенными категориями жалоб на мошенничество в 2019 году. Более 167000 человек сообщили, что их личная информация использовалась для открытия мошеннических кредитных карт. учетные записи. Это просто показывает, что предприятиям необходимо выйти за рамки процесса идентификации в текущем сценарии.

Давайте выясним, что включает в себя процесс проверки?
Идентификация спрашивает: «Кто вы?» но проверка продвигает его еще дальше и спрашивает: «Ты действительно тот, кем себя называешь? Процесс проверки необходим для установления надежной связи между человеком, который утверждает, что он кем-то, и тем, кому требуется проверка личности.

Обычно процесс проверки начинается с проверки документов, удостоверяющих личность, выданных государством. Для подтверждения действительности документа, удостоверяющего личность, используются специалисты-люди, автоматизация извлечения данных и технологии машинного обучения.

Подтверждение чьей-либо личности в такой высокой степени требует больших усилий и знания технологий. Поэтому все больше и больше компаний ищут профессиональные услуги по проверке личности.

Поскольку в настоящее время личная информация человека легко доступна в сети, проверка на основе знаний стала менее надежной. Организации, которые по-прежнему полагаются на традиционные методы проверки личности, рискуют оказаться потерянными из-за мошеннических действий киберпреступников.

Хотя проверка личности необходима для всех видов бизнеса, вы должны проверять личность своих клиентов и клиентов, если вы занимаетесь финансовыми услугами, онлайн-рынком, путешествиями, страхованием и недвижимостью.

Убедитесь, что ваши клиенты настоящие. Запланируйте бесплатную демонстрацию здесь.

Что такое аутентификация?

Проверка личности проводится только один раз. После проверки личность человека должна проверяться каждый раз, когда он пытается получить доступ к вашим ресурсам и системе.В процессе аутентификации пользователей просят еще раз подтвердить, являются ли они теми же людьми, которые зарегистрировались.

В компаниях с низким уровнем риска аутентификация личности может быть такой же простой, как запрос пароля для определенного имени пользователя вместе с секретным вопросом. Большинство систем аутентификации зависят от трех типов аутентификаторов, включая:

• Что-то, заказчик, знает, например, пароль или секретный вопрос.
• Что-то, что есть у клиента, например, криптографический ключ или идентификационный значок.
• Что-то, заказчик, это, например, биометрические данные и распознавание лиц.

К сожалению, первые две формы аутентификации не считаются достаточно безопасными в сегодняшнем сценарии, поскольку личная информация людей доступна на сайтах социальных сетей, форумах и других источниках в Интернете. Кибер-злоумышленники могут использовать эти данные для доступа к вашей системе.

Таким образом, чтобы быть уверенным, что вы даете разрешение нужному человеку, вы должны искать расширенную проверку личности в режиме реального времени.

Изменения в подходах к проверке личности и аутентификации

Поскольку киберпреступники меняют свои стратегии атак, также необходимы изменения в подходах к проверке личности и аутентификации. Чтобы усилить защиту от кражи личных данных, вы должны объединить документацию, удостоверяющую личность, и технологию биометрического распознавания.

Если вы ищете передовые решения для проверки личности для своего бизнеса, вы можете положиться на iDenfy. Мы поможем вам упростить и упростить процесс распознавания личности.