Что такое аутентификация простыми словами и как её пройти в 2022 году в Яндексе, Гугле и других сервисах. Пошаговые инструкции для чайников

В целях реализации  задач, связанных с идентификацией и аутентификацией заявителей и участников межведомственного электронного взаимодействия при предоставлении государственных и муниципальных услуг в электронной форме, создана

Единая система идентификации и аутентификации (ЕСИА).

На территории Российской Федерации, в соответствии с Федеральным законом от 27.07.2010 г. № 210 «Об организации предоставления государственных и муниципальных услуг» обращение за получением государственной или муниципальной услуги и предоставление государственной или муниципальной услуги может осуществляться с использованием электронных документов, подписанных электронной подписью в соответствии с требованиями

Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» и требованиями Федерального закона № 210-ФЗ, а виды электронных подписей, использование

Федерального закона № 210-ФЗ, а виды электронных подписей, использование которых допускается при обращении за   получением   государственных и муниципальных услуг, и порядок их использования установлены правилами определения видов электронных подписей, использование которых допускается при обращении за получением государственных и муниципальных услуг, утвержденными постановлением

Правительства Российской Федерации от 25.06.2012г. № 634 «О видах электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг.

В соответствии с Правилами при обращении за оказанием государственных и муниципальных услуг допускается применение усиленной квалифицированной электронной подписи (УКЭП) и простой электронной подписи (ПЭП).

Для получения доступа к Единому порталу государственных услуг (функций) и прочим информационным системам инфраструктуры электронного правительства требуется пройти процедуру регистрации учетной записи, получив таким образом ПЭП.

В ЕСИА предусмотрены три уровня учетных записей физического лица:

1. Упрощенная учетная запись. Для ее регистрации требуется указать имя и фамилию, а также один из возможных каналов коммуникации: мобильный телефон или адрес электронной почты. Это самый первый уровень учётной записи, позволяющий получить доступ к ограниченному перечню государственных услуг и возможностей информационных систем.

2. Стандартная учетная запись. Для её получения требуется наличие упрощённой учетной записи, а также указание дополнительных данных пользователя:

Страхового номера индивидуального лицевого счета (СНИЛС) и паспортных данных. Внесённые данные автоматически проходят проверку в информационных системах Пенсионного Фонда Российской Федерации и Федеральной миграционной службы.

В случае успешной проверки внесенных данных упрощенная учетная запись становится стандартной, позволяющей получить доступ к расширенному перечню государственных услуг.

3. Подтвержденная учетная запись. Для её получения требуется наличие стандартной   учетной   записи,   а  также   подтверждение   личности   пользователя посредством личного посещения Центра обслуживания,

либо   получения кода  активации посредством  заказного  письма.  В   случае успешного  подтверждения  личности стандартная учетная запись становится подтвержденной, позволяющей получить доступ к полному перечню государственных услуг, а также к функциональности портала «Российская общественная инициатива».

С перечнем пунктов активации ПЭП (Центров обслуживания) можно ознакомиться пройдя по ссылке: https://esia.gosuslugi.ru/public/ra/?fts=reg.

Если необходимо просмотреть центры обслуживания, где можно зарегистрировать свою учетную запись, предъявив паспорт и СНИЛС, выберите пункт — Регистрация учетной записи.

Если необходимо просмотреть центры обслуживания, где можно подтвердить личность, если вы ранее самостоятельно прошли процедуру проверки личных данных, то выберите пункт — Подтверждение личности.

И если необходимо просмотреть центры обслуживания, где можно восстановить доступ к своей учетной записи, предъявив паспорт и СНИЛС, выберите пункт — Восстановление доступа.

Зачем нужен сервер аутентификации

Данные, информация, полномочия — самые большие ценности для любой современной компании, после человеческих ресурсов, конечно.

Все чаще мы слышим новости о несанкционированном доступе к тем или иным ресурсам. Причем жертвами злоумышленников могут стать как коммерческие организации или банки, так и правительства государств.

Плата за необеспеченную безопасность ресурсов может оказаться катастрофической для коммерческих компаний и крайне высокой для государственных.

Начиная от прямых убытков и заканчивая банальной потерей лояльности клиентов и утратой конкурентных преимуществ.

Как же удается злоумышленникам получить доступ к информационным системам и системам банковского обслуживания, к почтовым ящикам и аккаунтам социальных сетей?

Первое, с чем сталкивается пользователь (а значит, и злоумышленник) при доступе к любому сколь-нибудь значимому сервису, — это аутентификация.

Именно это действие позволяет определить, что пользователь, обращающийся за информацией или желающий произвести какие-то действия, — тот самый, за которого он себя выдает.

Без проверки подлинности пользователя невозможно произвести авторизацию, то есть предоставить определённые права. Если злоумышленник может пройти аутентификацию от лица пользователя, обладающего необходимыми полномочиями в целевой системе, то дальше он получает эти полномочия и его задача с высокой степенью вероятности будет выполнена.

Проверка подлинности в информационной системе — как проверка заграничного паспорта на паспортном контроле при пресечении границы. Если человек предъявляет поддельный или чужой заграничный паспорт, то он не должен пройти паспортный контроль.

Для того чтобы это обеспечить, производится ряд проверок, направленных на выявление подделок и сверку соответствия владельца заграничного паспорта и его предъявителя.

Если бы паспорт представлял собой произвольного вида бумажку без водяных знаков с написанными от руки данными, то подделать такой документ не составило бы труда. Но в действительности заграничный паспорт имеет большое количество степеней защиты и не позволяет подделать его подручными средствами.

Так же и с аутентификацией в информационных системах. Учётную запись пользователя, осуществляющего вход по логину и паролю в веб-интерфейс электронной почты без использования протокола HTTPS, несложно скомпрометировать.

Если же проверять подлинность пользователя по сертификату, записанному на смарт-карте, — задача существенно усложняется.

Цель аутентификации — максимально затруднить использование чужих (украденных, подобранных) учетных данных.

Сам же этот процесс должен быть простым для легального пользователя. Всем давно понятно, что придумывание и запоминание стойких паролей длиной под двадцать символов может только раздражать юзера.

В компании может быть несколько различных информационных систем и источников ресурсов, требующих аутентификации:

— корпоративный портал,

— электронная почта,

— CRM-система,

— удаленный VPN-доступ,

— Wi-Fi.

Простому пользователю, от которого требуют выполнять политику безопасности по сложности и уникальности паролей, буквально не позавидуешь.

Самое неприятное начинается, когда внутри компании решают, что необходимо обеспечить защиту, например, электронной почты.

Помимо настройки TLS-шифрования, конечно, вспоминают о двухфакторной аутентификации, или, сокращенно, 2FA. Если почтовый сервер поддерживает 2FA «из коробки», то используют эту возможность.

Если же такого функционала нет — компания может решить «допилить» его самостоятельно. Даже не буду углубляться в особенности доморощенных модулей аутентификации.

Главное, что теперь у пользователя есть какой-то способ строгой аутентификации при входе в почтовый ящик: аппаратный или программный токен, смарт-карта или что-то еще.

Через какое-то время компания решает, что VPN-доступ по связке логин — пароль небезопасен, так что нужно использовать 2FA и для этой задачи.

Но ведь первый токен, выданный пользователю, невозможно применить для чего-то еще, кроме доступа к почте. Так появляется второй токен, а вместе с ним и еще один модуль для двухфакторной аутентификации.

Не будем забывать об администраторах, которым теперь нужно управлять всеми этими средствами аутентификации в удвоенном размере.

Следующим шагом может стать добавление строгой аутентификации для остальных критически важных систем.

А в какой-то момент компания может прийти к выводу, что аутентификация с использованием одноразовых паролей не подходит для решаемых задач, и заменить ее аутентификацией по сертификатам или другим методом проверки подлинности.

Использовавшиеся ранее генераторы одноразовых паролей заменят смарт-картами, а сам метод аутентификации будут переделывать в соответствии со вновь сложившимися требованиями. В сложившейся ситуации это очень не быстрый процесс.

В итоге мы имеем разрозненные системы аутентификации, не связанные между собой, не гибкие и требующие большого объема ресурсов для поддержки.

Это ведет к дополнительным расходам и «неповоротливости» компании в случае изменений в способах аутентификации.

Сервер аутентификации — это единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов.

Промышленные такие серверы поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP, обычный пароль, SMS, CAP/DPA и многие другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.

Администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности.

А бизнес, в свою очередь, получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что, конечно, повышает лояльность пользователей, как внутренних, так и внешних.

Теперь добавление второго фактора для проверки подлинности не потребует от компании создания нового «костыля» для приложения и закупки новых токенов.

Вообще добавление нового метода аутентификации — стандартная задача для подобных систем. Приведу пример. Банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB-токенах.

Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP).

То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор.

Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка.

Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации.

Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации.

Нет никакой необходимости заниматься разработками для каждого приложения отдельно.

Такая гибкость и легкость добавления новых методов проверки подлинности просто недостижима без сервера аутентификации.

Сокращение времени на эти задачи настолько значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.

Ведь организация, предлагающая передовые технологические решения раньше остальных, заведомо более привлекательна для клиентов.

Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность для приложений, которые прежде не обладали подобным функционалом, без многочисленных доработок.

Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.

Аутентификация — это отдельная, очень объемная область информационной безопасности. Если рассматривать ее как небольшую, незначительную часть какого-то продукта, то результат может оказаться очень и очень неприятным.

Красивая форма ввода логина и пароля, может, и впечатлит легального пользователя, но точно не остановит злоумышленника.

И даже реализованный собственными силами алгоритм проверки подлинности по сертификатам или любой другой алгоритм строгой аутентификации не позволит быть уверенным в отсутствии ошибок и уязвимостей.

Даже сама реализация алгоритмов проверки подлинности уже требует высококвалифицированной профессиональной работы. Не говоря о криптографических алгоритмах, которые требуются для любого метода аутентификации.

Ведь даже при использовании простого пароля требуется вычисление его хэша. Если модуль проверки подлинности разрабатывает дилетант, то результат в виде обнаружения злоумышленниками уязвимостей не заставит себя ждать.

Некоторые промышленные серверы аутентификации поддерживают использование Hardware Security Module (HSM).

Это обеспечивает сохранность всей чувствительной информации путем шифрования. Ключи шифрования при таком подходе хранятся в аппаратном модуле HSM. Их невозможно извлечь, и даже все операции с этими ключами производятся только внутри HSM.

Так достигаются высочайший уровень защищенности аутентификационных данных и высокая скорость работы криптографических алгоритмов, выполняемых внутри аппаратных модулей HSM.

Появление на рынке специализированных серверов аутентификации позволяет унифицировать подход к процедурам проверки подлинности внутри организации.

Выделение аутентификации в отдельный слой безопасности в конечном счете обеспечит повышенную безопасность доступа к ресурсам компании и снижение затрат на администрирование, эксплуатацию и аудит.

Двухфакторная аутентификация в Яндекс

Аутентификация в контексте информационной безопасности

Аутентификация является промежуточной стадией процедуры предоставления доступа к информационным ресурсам системы.

Аутентификация происходит после успешной идентификации и предшествует авторизации.

Элементы аутентификации

Процедура аутентификации включает в себя определенный набор элементов:

• субъект, который проходит аутентификацию (авторизированный пользователь);
• характеристика субъекта (идентификатор, который он предъявляет для проверки подлинности);
• владелец системы аутентификации (хозяин информационного ресурса или веб-сайта);
• механизм аутентификации (ПО, которое проверяет подлинность предъявленного идентификатора);
• механизм авторизации (предоставление или лишение субъекта прав доступа после успешной или безуспешной аутентификации).

Методы и средства аутентификации

Методы аутентификации делятся на четыре основные группы в зависимости от используемых в процессе проверки подлинности средств. Так, различают методы, основанные на:

• Знаниях, которыми владеет субъект (парольные методы).
• Предметах, которые принадлежат субъекту (комбинированные).
• Свойствах данных субъекта (биометрические).
• Информации, которая имеет непосредственное отношение к субъекту.

Парольные методы

Наиболее распространенные методы аутентификации, основанные на секретных характеристиках субъектов — паролях.

В процессе проверки подлинности система сравнивает указный пользователем пароль с эталонным паролем, который хранится в ее БД в зашифрованном виде.

Для аутентификации посредством данного метода могут использоваться постоянные (многоразовые, неизменные для каждой сессии) или динамические (одноразовые, постоянно меняющиеся для каждой сессии) пароли.

Комбинированные методы

Сущность данного метода заключается в использовании для подтверждения подлинности субъекта помимо пароля дополнительных предметов (мобильных телефонов, смарт-карт, токенов) или атрибутов (криптографических сертификатов).

Авторизация при помощи предметов и атрибутов субъекта происходит только при наличии специального устройства, которое может считывать информацию с перечисленных идентификаторов.

Биометрические методы

Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и анализ одного или нескольких физиологических (отпечатки пальцев, радужная оболочка глаза, сетчатка глаза, кисть руки, черты лица) или поведенческих характеристик (подпись, тембр голоса, клавиатурный почерк).

Данный метод, как правило, используется только на особо важных объектах и системах, так как требует наличия специальной дорогостоящей техники и оборудования.

Методы, основанные на информации о субъекте

Данная группа методов относится к новейшим механизмам аутентификации: в основе лежит использование спутниковой системы навигации GPS.

Основным идентификатором подлинности субъекта является его местонахождение.

Классификация и виды

В основе классификации механизмов аутентификации лежит ряд определенных критериев. Так, по степени доверия и направленности процесса различают следующие виды:

• Односторонняя проверка подлинности (субъект доказывает владельцу системы свои права доступа к информационным ресурсам или интернет-сайту).
• Двусторонняя аутентификация (обоюдная проверка и установление подлинности как субъекта, так и владельца системы).

В зависимости от возможностей средств аутентификации и уровня информационной безопасности можно выделить такие виды:

• Статическая аутентификация (защищает от несанкционированного доступа злоумышленников, которые могут завладеть данными об идентификаторе пользователя во время его работы с информационным ресурсом или сайтом). Как правило, в основе статической аутентификации лежит парольный метод.
• Устойчивая (служит для предотвращения перехвата идентификатора с целью использования его в следующих сеансах работы, но не защищает от активных атак, во время которых злоумышленник успевает быстро завладеть идентификатором и модифицировать его). Механизм устойчивой аутентификации основан на использовании динамических идентификаторов, которые меняются перед каждым сеансом.
• Постоянная (защищает субъекта от несанкционированной кражи и модификации его идентификатора на любом этапе работы с информацией).

По количеству методов, которые используются в процессе аутентификации, различают следующие виды:

• Однофакторная или слабая проверка доступа (например, применение только парольного или только биометрического метода).
• Многофакторная или сильная аутентификация (использование двух или более методов).

Протоколы аутентификации

Процедура проверки подлинности требует использования специальных криптографических протоколов аутентификации, которые служат для защиты субъекта и владельца системы от несанкционированных действий злоумышленников.

В зависимости от принципа работы все протоколы можно условно разделить на три типа:

• Протоколы доступа к паролю (например PAP — Password Authentication Protocol). Самые простые протоколы.
• Протоколы, которые работают по принципу «вызов-ответ» (например CHAP — Challenge-Handshake Authentication Protocol).
• Протоколы взаимной аутентификации (например Kerberos).

ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ

Применение открытых каналов передачи данных создает потенциальные возможности для действий злоумышленников (нарушителей).

Поэтому одной из важных задач обеспечения информационной безопасности при взаимодействии пользователей является использование методов и средств, позволяющих одной (проверяющей) стороне убедиться в подлинности другой (проверяемой) стороны.

Обычно для решения данной проблемы применяются специальные приемы, дающие возможность проверить подлинность проверяемой стороны.

Аутентификация, авторизация и администрирование действий пользователей

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его.

Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта.

Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям.

Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация (Identification) — процедура распознавания пользователя по его идентификатору (имени).

Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) — процедура проверки подлинности заявленного пользователя, процесса или устройства.

Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет.

При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией.

Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей).

Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация (.Authorization) — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе.

Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены.

Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование (.Accounting) — регистрация действий пользователя в сети, включая его попытки доступа к ресурсам.

Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них.

Записи в системном журнале, аудиторские проверки и ПО accounting — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации.

Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации.

Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи.

Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети.

Цель данной процедуры — обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на основе:

• • знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;
• • обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory;
• • каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике .

Пароль — это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль — это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

Система запрос—ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета.

Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах.

Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией.

В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с этим процессы аутентификации разделяются на следующие типы:

• • аутентификация, использующая пароли и PIN-коды;
• • строгая аутентификация на основе использования криптографических методов и средств;
• • биометрическая аутентификация пользователей.

С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике.

Основные атаки на протоколы аутентификации:

• • маскарад (impersonation). Пользователь выдает себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;
• • подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;
• • повторная передача {replay attack) заключается в повторной передаче аутентификационных данных каким-либо пользователем;
• • принудительная задержка {forced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;
• • атака с выборкой текста {chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.

Для предотвращения таких атак при построении протоколов аутентификации применяются:

• • использование механизмов типа «запрос—ответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей;
• • привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;
• • периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т. п.

Механизм «запрос—ответ» состоит в следующем. Если пользователь Л хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для Всообщение непредсказуемый элемент — запрос X (например, некоторое случайное число).

При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию/(ЛО).

Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число X придет в запросе.

Получив ответ с результатом действий В, пользователь Л может быть уверен, что В — подлинный. Недостаток этого метода — возможность установления закономерности между запросом и ответом.

Механизм «отметка времени» подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети определяет, насколько «устарело» пришедшее сообщение, и решает не принимать его, поскольку оно может быть ложным.

В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.

При использовании отметок времени возникает проблема допустимого временного интервала задержкидля подтверждения подлинности сеанса: сообщение с «временным штемпелем» в принципе не может быть передано мгновенно.

Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

• • наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена;
• • вычислительную эффективность. Это количество операций, необходимых для выполнения протокола;
• • коммуникационную эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;
• • наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей;

Факторы аутентификации

Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Я тоже не придавал ей особого значения, хотя и пользовался обоими способами.

Но однажды глаз зацепился за новость о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.

Я попросил эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со ссылкой на свою статью.

В ней мне очень понравились аналогии – простые и понятные. Позволю себе процитировать их целиком.