Что такое аутентификация простыми словами и как её пройти в Яндексе, Гугле и других сервисах. Пошаговые инструкции для чайников

СОДЕРЖАНИЕ СТАТЬИ:

Доброго времени суток, уважаемые читатели проекта 50baksov.ru!

Сегодня мы поговорим про прохождение аутентификации в самых различных областях, для быстрого поиска нужной вам темы используйте содержание статьи.

Как пройти аутентификацию в Laravel

Аутентификация — это процесс сопоставления введенных логина и пароля с данными зарегистрированных пользователей сайта и определение, является ли пользователь сайта одним из них (тогда следует логин пользователя) или нет (тогда пользователь получает сообщение об ошибке).

Не путать с авторизацией — процессом проверки прав на выполнение какого-либо действия. Это разные вещи, но для каждой из них Laravel предоставляет удобные инструменты.

Аутентификация в Laravel делается очень просто. Фактически, почти всё уже готово к использованию «из коробки».

Настройки аутентификации находятся в файле config/auth.php, который содержит несколько хорошо документированных опций — посмотрите в это файл и многим из вас все сразу станет понятно.

Фактически, подсистема аутентификации Laravel состоит из двух частей:

  1. Guards, «гарды», «охранники». Это по сути правила аутентификации пользователя — в каких частях запроса хранить информацию о том, что данный запрос идет от аутентифицированного пользователя. Например, это можно делать в сессии/куках, или в некотором токене, который должен содержаться в каждом запросе. В Laravel это гарды session и token соответственно.
  2. Providers, «провайдеры». Они определяют, как можно получить данные пользователя из базы данных или другого места хранения. В Laravel можно получать пользователя через Eloquent и Query Builder, но вы можете написать свой провайдер, если по каким-то причинам, хотите хранить данные пользователей, например, в файле.

Можно создавать собственные гарды и провайдеры.

Это нужно, если у вас, например, несколько таблиц с пользователями, или несколько областей в приложении, куда нужно логиниться отдельно, даже уже аутентифицированным пользователям — например, админка.

Но если вы только изучаете фреймворк — не беспокойтесь, чтобы использовать аутентификацию в Laravel вам не нужно досконально разбираться, как работают гарды и провайдеры.

Весь необходимый код уже написан, и схема, которая принята по умолчанию, подойдет практически всем.

Настройки базы данных

По умолчанию Laravel использует модель App\User Eloquent в каталоге app. Эта модель может использоваться вместе с драйвером аутентификации на базе Eloquent.

Если ваше приложение не использует Eloquent, вы можете применить драйвер аутентификации database, который использует Query Builder.

При создании схемы базы данных для модели App\User убедитесь, что поле пароля имеет длину минимум в 60 символов. Дефолтное значение для поля varchar — 255 — подойдет замечательно.

Также вы должны убедиться, что ваша таблица users (или её эквивалент) содержит строковое nullable поле remember_token длиной в 100 символов.

Это поле используется для хранения токена сессии, если ваше приложение предоставляет функциональность «запомнить меня». Создать такое поле можно с помощью $table->rememberToken(); в миграции.

Единая система идентификации и аутентификации

В целях реализации  задач, связанных с идентификацией и аутентификацией заявителей и участников межведомственного электронного взаимодействия при предоставлении государственных и муниципальных услуг в электронной форме, создана

Единая система идентификации и аутентификации (ЕСИА).

На территории Российской Федерации, в соответствии с Федеральным законом от 27.07.2010 г. № 210 «Об организации предоставления государственных и муниципальных услуг» обращение за получением государственной или муниципальной услуги и предоставление государственной или муниципальной услуги может осуществляться с использованием электронных документов, подписанных электронной подписью в соответствии с требованиями

Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» и требованиями Федерального закона № 210-ФЗ, а виды электронных подписей, использование

Федерального закона № 210-ФЗ, а виды электронных подписей, использование которых допускается при обращении за   получением   государственных и муниципальных услуг, и порядок их использования установлены правилами определения видов электронных подписей, использование которых допускается при обращении за получением государственных и муниципальных услуг, утвержденными постановлением

Правительства Российской Федерации от 25.06.2012г. № 634 «О видах электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг.

В соответствии с Правилами при обращении за оказанием государственных и муниципальных услуг допускается применение усиленной квалифицированной электронной подписи (УКЭП) и простой электронной подписи (ПЭП).

Для получения доступа к Единому порталу государственных услуг (функций) и прочим информационным системам инфраструктуры электронного правительства требуется пройти процедуру регистрации учетной записи, получив таким образом ПЭП.

В ЕСИА предусмотрены три уровня учетных записей физического лица:

1. Упрощенная учетная запись. Для ее регистрации требуется указать имя и фамилию, а также один из возможных каналов коммуникации: мобильный телефон или адрес электронной почты. Это самый первый уровень учётной записи, позволяющий получить доступ к ограниченному перечню государственных услуг и возможностей информационных систем.

2. Стандартная учетная запись. Для её получения требуется наличие упрощённой учетной записи, а также указание дополнительных данных пользователя:

Страхового номера индивидуального лицевого счета (СНИЛС) и паспортных данных. Внесённые данные автоматически проходят проверку в информационных системах Пенсионного Фонда Российской Федерации и Федеральной миграционной службы.

В случае успешной проверки внесенных данных упрощенная учетная запись становится стандартной, позволяющей получить доступ к расширенному перечню государственных услуг.

3. Подтвержденная учетная запись. Для её получения требуется наличие стандартной   учетной   записи,   а  также   подтверждение   личности   пользователя посредством личного посещения Центра обслуживания,

либо   получения кода  активации посредством  заказного  письма.  В   случае успешного  подтверждения  личности стандартная учетная запись становится подтвержденной, позволяющей получить доступ к полному перечню государственных услуг, а также к функциональности портала «Российская общественная инициатива».

С перечнем пунктов активации ПЭП (Центров обслуживания) можно ознакомиться пройдя по ссылке: https://esia.gosuslugi.ru/public/ra/?fts=reg.

Если необходимо просмотреть центры обслуживания, где можно зарегистрировать свою учетную запись, предъявив паспорт и СНИЛС, выберите пункт — Регистрация учетной записи.

Если необходимо просмотреть центры обслуживания, где можно подтвердить личность, если вы ранее самостоятельно прошли процедуру проверки личных данных, то выберите пункт — Подтверждение личности.

И если необходимо просмотреть центры обслуживания, где можно восстановить доступ к своей учетной записи, предъявив паспорт и СНИЛС, выберите пункт — Восстановление доступа.

Зачем нужен сервер аутентификации

Данные, информация, полномочия — самые большие ценности для любой современной компании, после человеческих ресурсов, конечно.

Все чаще мы слышим новости о несанкционированном доступе к тем или иным ресурсам. Причем жертвами злоумышленников могут стать как коммерческие организации или банки, так и правительства государств.

Плата за необеспеченную безопасность ресурсов может оказаться катастрофической для коммерческих компаний и крайне высокой для государственных.

Начиная от прямых убытков и заканчивая банальной потерей лояльности клиентов и утратой конкурентных преимуществ.

Как же удается злоумышленникам получить доступ к информационным системам и системам банковского обслуживания, к почтовым ящикам и аккаунтам социальных сетей?

Первое, с чем сталкивается пользователь (а значит, и злоумышленник) при доступе к любому сколь-нибудь значимому сервису, — это аутентификация.

Именно это действие позволяет определить, что пользователь, обращающийся за информацией или желающий произвести какие-то действия, — тот самый, за которого он себя выдает.

Без проверки подлинности пользователя невозможно произвести авторизацию, то есть предоставить определённые права. Если злоумышленник может пройти аутентификацию от лица пользователя, обладающего необходимыми полномочиями в целевой системе, то дальше он получает эти полномочия и его задача с высокой степенью вероятности будет выполнена.

Проверка подлинности в информационной системе — как проверка заграничного паспорта на паспортном контроле при пресечении границы. Если человек предъявляет поддельный или чужой заграничный паспорт, то он не должен пройти паспортный контроль.

Для того чтобы это обеспечить, производится ряд проверок, направленных на выявление подделок и сверку соответствия владельца заграничного паспорта и его предъявителя.

Если бы паспорт представлял собой произвольного вида бумажку без водяных знаков с написанными от руки данными, то подделать такой документ не составило бы труда. Но в действительности заграничный паспорт имеет большое количество степеней защиты и не позволяет подделать его подручными средствами.

Так же и с аутентификацией в информационных системах. Учётную запись пользователя, осуществляющего вход по логину и паролю в веб-интерфейс электронной почты без использования протокола HTTPS, несложно скомпрометировать.

Если же проверять подлинность пользователя по сертификату, записанному на смарт-карте, — задача существенно усложняется.

Цель аутентификации — максимально затруднить использование чужих (украденных, подобранных) учетных данных.

Сам же этот процесс должен быть простым для легального пользователя. Всем давно понятно, что придумывание и запоминание стойких паролей длиной под двадцать символов может только раздражать юзера.

В компании может быть несколько различных информационных систем и источников ресурсов, требующих аутентификации:

— корпоративный портал,

— электронная почта,

— CRM-система,

— удаленный VPN-доступ,

— Wi-Fi.

Простому пользователю, от которого требуют выполнять политику безопасности по сложности и уникальности паролей, буквально не позавидуешь.

Самое неприятное начинается, когда внутри компании решают, что необходимо обеспечить защиту, например, электронной почты.

Помимо настройки TLS-шифрования, конечно, вспоминают о двухфакторной аутентификации, или, сокращенно, 2FA. Если почтовый сервер поддерживает 2FA «из коробки», то используют эту возможность.

Если же такого функционала нет — компания может решить «допилить» его самостоятельно. Даже не буду углубляться в особенности доморощенных модулей аутентификации.

Главное, что теперь у пользователя есть какой-то способ строгой аутентификации при входе в почтовый ящик: аппаратный или программный токен, смарт-карта или что-то еще.

Через какое-то время компания решает, что VPN-доступ по связке логин — пароль небезопасен, так что нужно использовать 2FA и для этой задачи.

Но ведь первый токен, выданный пользователю, невозможно применить для чего-то еще, кроме доступа к почте. Так появляется второй токен, а вместе с ним и еще один модуль для двухфакторной аутентификации.

Не будем забывать об администраторах, которым теперь нужно управлять всеми этими средствами аутентификации в удвоенном размере.

Следующим шагом может стать добавление строгой аутентификации для остальных критически важных систем.

А в какой-то момент компания может прийти к выводу, что аутентификация с использованием одноразовых паролей не подходит для решаемых задач, и заменить ее аутентификацией по сертификатам или другим методом проверки подлинности.

Использовавшиеся ранее генераторы одноразовых паролей заменят смарт-картами, а сам метод аутентификации будут переделывать в соответствии со вновь сложившимися требованиями. В сложившейся ситуации это очень не быстрый процесс.

В итоге мы имеем разрозненные системы аутентификации, не связанные между собой, не гибкие и требующие большого объема ресурсов для поддержки.

Это ведет к дополнительным расходам и «неповоротливости» компании в случае изменений в способах аутентификации.

Сервер аутентификации — это единый центр администрирования всех процессов проверки подлинности сразу для всех приложений/сервисов/ресурсов.

Промышленные такие серверы поддерживают целый набор методов аутентификации. Как правило, это OATH HOTP, TOTP, OCRA, PKI-сертификаты, RADIUS, LDAP, обычный пароль, SMS, CAP/DPA и многие другие. Каждый ресурс, использующий сервер аутентификации, может использовать метод, который требуется именно ему.

Администраторы получают единый интерфейс управления учетными данными пользователей, гибкие возможности по смене методов проверки подлинности.

А бизнес, в свою очередь, получает надежную защиту доступа к сервисам и ресурсам в виде двухфакторной аутентификации, что, конечно, повышает лояльность пользователей, как внутренних, так и внешних.

Теперь добавление второго фактора для проверки подлинности не потребует от компании создания нового «костыля» для приложения и закупки новых токенов.

Вообще добавление нового метода аутентификации — стандартная задача для подобных систем. Приведу пример. Банк А проверял подлинность владельцев дебетовых или кредитных карт в клиент-банке по сертификатам на USB-токенах.

Его платежные карты были исключительно с магнитной полосой, но в какой-то момент банк наладил выпуск карт с EMV-чипом, который, по сути, является микрокомпьютером. Карту с EMV-чипом можно использовать для аутентификации по алгоритму Master Card Chip Authentication Program (CAP).

Читайте также:  10 лучших способов Как раскрутить группу в ВК самому бесплатно в 2019-2020 году. Подробный мануал от А до Я для начинающих SMM-щиков.

То есть теперь банк А может отказаться от применения для каждого пользователя дорогостоящих PKI-токенов и сменить этот метод аутентификации на CAP, для которого требуется только недорогой криптокалькулятор.

Через некоторое время банк А начинает выпуск платежных карт с дисплеем и реализованным алгоритмом OATH TOTP и для того, чтобы избавить пользователя от использования дополнительного криптокалькулятора, настраивает аутентификацию TOTP для клиент-банка.

Следует понимать, что помимо дистанционного банковского обслуживания в банке А есть множество других сервисов, как внутренних, так и предназначенных для клиентов или партнеров, требующих аутентификации.

Для каждого приложения служба информационной безопасности может выдвинуть свои требования по необходимым методам проверки подлинности пользователей. Вся аутентификация банка А может производиться на сервере аутентификации.

Нет никакой необходимости заниматься разработками для каждого приложения отдельно.

Такая гибкость и легкость добавления новых методов проверки подлинности просто недостижима без сервера аутентификации.

Сокращение времени на эти задачи настолько значительно, что позволяет говорить о быстроте ввода продукта в эксплуатацию как о конкурентном преимуществе.

Ведь организация, предлагающая передовые технологические решения раньше остальных, заведомо более привлекательна для клиентов.

Доступность строгой аутентификации в виде специализированного программного обеспечения позволяет добавлять многофакторность для приложений, которые прежде не обладали подобным функционалом, без многочисленных доработок.

Практически все информационные системы, сервисы, приложения, не поддерживающие строгую аутентификацию «из коробки», могут использовать возможности сервера аутентификации для доступа пользователей.

Аутентификация — это отдельная, очень объемная область информационной безопасности. Если рассматривать ее как небольшую, незначительную часть какого-то продукта, то результат может оказаться очень и очень неприятным.

Красивая форма ввода логина и пароля, может, и впечатлит легального пользователя, но точно не остановит злоумышленника.

И даже реализованный собственными силами алгоритм проверки подлинности по сертификатам или любой другой алгоритм строгой аутентификации не позволит быть уверенным в отсутствии ошибок и уязвимостей.

Даже сама реализация алгоритмов проверки подлинности уже требует высококвалифицированной профессиональной работы. Не говоря о криптографических алгоритмах, которые требуются для любого метода аутентификации.

Ведь даже при использовании простого пароля требуется вычисление его хэша. Если модуль проверки подлинности разрабатывает дилетант, то результат в виде обнаружения злоумышленниками уязвимостей не заставит себя ждать.

Некоторые промышленные серверы аутентификации поддерживают использование Hardware Security Module (HSM).

Это обеспечивает сохранность всей чувствительной информации путем шифрования. Ключи шифрования при таком подходе хранятся в аппаратном модуле HSM. Их невозможно извлечь, и даже все операции с этими ключами производятся только внутри HSM.

Так достигаются высочайший уровень защищенности аутентификационных данных и высокая скорость работы криптографических алгоритмов, выполняемых внутри аппаратных модулей HSM.

Появление на рынке специализированных серверов аутентификации позволяет унифицировать подход к процедурам проверки подлинности внутри организации.

Выделение аутентификации в отдельный слой безопасности в конечном счете обеспечит повышенную безопасность доступа к ресурсам компании и снижение затрат на администрирование, эксплуатацию и аудит.

Двухфакторная аутентификация в Яндекс

Вы можете настроить аккаунт на Яндексе таким образом, чтобы войти в него можно было только с одноразовым паролем. Этот механизм называется двухфакторной аутентификацией (2FA) и позволяет защитить ваш аккаунт надежнее, чем традиционный пароль.

Чтобы эффективно защитить ваш аккаунт обычным паролем, его нужно делать сложным, но при этом его всегда нужно помнить и хранить в секрете.

Но даже если вы делаете все правильно, такой пароль все равно остается уязвимым — например, для вирусов, которые могут перехватить то, что вы набираете на клавиатуре или копируете в буфер обмена.

С одноразовыми паролями защитить аккаунт гораздо проще: вам нужно только запомнить пин-код и настроить Яндекс.Ключ (приложение для Android и iOS).

Приложение постоянно генерирует новые одноразовые пароли. Каждый новый пароль быстро перестает работать, если вы им не воспользовались, и сразу отключается, если вы вошли с ним на Яндекс. Подсматривать или красть такой пароль бесполезно.

Детали настройки одноразовых паролей приведены на страницах Помощи:

  • О том, как включить вход по одноразовым паролям, читайте в разделе Включить двухфакторную аутентификацию.

  • Включенные одноразовые пароли меняют процедуру восстановления доступа.

  • Чтобы вернуться к постоянному паролю учетной записи, вход по одноразовым паролям нужно выключить.

Примечание

Одноразовые пароли можно включить для аккаунта Почты для доменов, только если на соответствующем домене разрешена смена пароля.

При этом если администратор домена сбросит ваш пароль, то вход по одноразовым паролям отключится, а пароли приложений нужно будет создать заново.

Как подключить и отключить двухэтапную авторизацию в Гугл

Для повышения защищенности вашего аккаунта от попыток взлома и кражи, введена система двухэтапной авторизации посредством сервиса Google Authenticator.

Система призвана защитить аккаунт, даже если пароль попадёт в руки злоумышленника. Для работы Google Authenticator достаточно смартфона на базе операционной системы iOS, Android или BlackBerry.

Существуют также неофициальные приложения для Windows phone.

 Как подключить?

 Для подключения данного типа авторизации вам необходимо иметь смартфон на базе операционной системы iOS, Android или BlackBerry. Для Windows phone существуют неофициальные приложения.

Также существует возможность подключения двухэтапной авторизации к регистрационной почте.

 Для начала вам необходимо пройти на страницу авторизации и выбрать аккаунт (если их несколько), на котором вам необходимо подключить двухэтапную аутентификацию.

Пройдя на третью страницу вам будет предложены ссылки для установки необходимого приложения на ваше устройство и QR-код.

После того, как приложение будет установлено, проведите сканирование QR-кода. Приложение сгенерирует вам временный пароль, который будет необходимо ввести в форму внизу страницы.

Подключение двухэтапной авторизации к почте.

Подключить двухэтапную авторизацию к почте вы можете из личного кабинета на нашем сайте Мой профиль => Безопасность => Защита аккаунта.

После нажатия кнопки включить, вам на почту будет отправлен проверочный код, который необходимо будет ввести в соответствующее поле и нажать кнопку подтвердить.

После этого, коды двухэтапной авторизации будут поступать в виде писем на вашу почту.

Как отключить двухэтапную авторизацию Гугла

 Данный тип авторизации можно отключить в разделе Мой профиль=> Безопасность => Защита аккаунта.

Далее вам будет необходимо нажать кнопку «Отключить» и ввести код авторизации из приложения на вашем устройстве.

Что такое авторизация простыми словами

При входе посетителей на сайт, в систему банковских платежей, требуется авторизоваться. Что такое авторизация?

Это процесс подтверждения прав на совершение определенных операций – управления счетом, снятия средств, изменения данных.

Он необходим для обеспечения безопасности при совершении действий, для разграничения прав пользователей, для защиты от злоумышленников.

Используется на сайтах, в банкоматах, пропускниках, Интернет-магазинах. Обычно пользователь должен ввести свой логин (имя) в системе и пароль (кодовое слово, набор символов).

Если коды введены правильно, разрешается вход в систему и выполнение разрешенных манипуляций. Если допущена ошибка, вход в систему не производится.

Ошибка авторизации

Ошибка авторизации – неверное введение логина, пароля и других данных.

При наборе кодовых слов, пользователь должен обращать внимание на правильный порядок символов, регистр, установленную раскладку клавиатуры.

При ошибке авторизации система блокирует посетителя доступ к системе и может производить такие действия:

  • фиксацию факта несанкционированного доступа;
  • подачу звукового или светового сигнала, выдачу сообщения на экран;
  • ограничение доступа на определенное время;
  • предложение повторного набор кода;
  • восстановление пароля;
  • блокирование банковской кредитной карты, пропуска.

Код авторизации

Код авторизации представляет собой набор символов, которые хранятся в памяти системы и позволяют идентифицировать права пользователя.

В качестве кода обычно выступают комбинации 3-12 букв, цифр, знаков, набранных в определенной последовательности.

Код авторизации генерируется в процессе регистрации пользователя и впоследствии может изменяться по желанию владельца учетной записи или по требованию службы безопасности.

Часто устанавливается определенное ограничение на количество изменений комбинаций в период времени. Для безопасного пользования сервисом, пользователь должен хранить набор символов в тайне.

Авторизация в личном кабинете

Авторизация в личном кабинете позволяет пользователю получить доступ к изменению настроек своей учетной записи, интерфейса взаимодействия с системой, паролей, типовых операций, на управление счетом, внесение изменений в систему.

До выполнения авторизации, посетитель сайта или банковского учреждения может использовать ограниченный набор функций: просматривать общедоступную информацию, проводить транзакции, не требующие подтверждения прав доступа.

Часто при авторизации в личном кабинете используют дополнительные средства безопасности – ввод капчи, подтверждение по SMS или e-mail.

Онлайн авторизация

Онлайн авторизация позволяет пользователям использовать сервисы без личного посещения финансовых учреждений, магазинов, учебных заведений.

Для этого нужно войти на сайт, перейти по соответствующей ссылке или нажать на определенную кнопку, ввести данные в форму.

Онлайн авторизация помогает посетителям ресурса экономить время, а организациям – делать услуги доступными широким массам, привлекать большее количество клиентов, улучшать качество обслуживания, повышать степень безопасности выполнения операций, проводить статистические исследования, ранжировать права доступа пользователей.

Авторизация недоступна

При входе в систему, пользователю может быть выдано сообщение о том, что авторизация недоступна.

В этом случае посетителю следует попробовать повторно авторизоваться, выполнив все требования безопасности, выполнить восстановление забытого пароля или логина или обратиться в службу технической поддержки по телефону или e-mail.

Сообщение «Авторизация недоступна», выдается посетителю сайта или пользователю сервиса в следующих случаях:

  • неверный ввод логина или пароля;
  • аннулирование прав доступа к системе, блокирование пользователя;
  • перебои в работе техники, ПО;
  • попытка получения доступа во внеурочное время.

Данные авторизации

Данные авторизации — сведения, которые должен ввести пользователь системы для подтверждения права доступа к выполнению операций.

Обычно это логин и пароль, реже — фамилия, имя, отчество, должность, дополнительные кодовые комбинации, капча, проверочные слова.

Данные авторизации хранятся в системе и могут быть изменены пользователем или службой безопасности.

При утере информации, посетитель сайта или сервиса должен пройти процедуру ее восстановления, включающую повторную идентификацию различными способами, например, при помощи SMS или e-mail, путем обращения в службу технической поддержки.

Аутентификация в контексте информационной безопасности

Аутентификация является промежуточной стадией процедуры предоставления доступа к информационным ресурсам системы.

Аутентификация происходит после успешной идентификации и предшествует авторизации.

Элементы аутентификации

Процедура аутентификации включает в себя определенный набор элементов:

  • субъект, который проходит аутентификацию (авторизированный пользователь);
  • характеристика субъекта (идентификатор, который он предъявляет для проверки подлинности);
  • владелец системы аутентификации (хозяин информационного ресурса или веб-сайта);
  • механизм аутентификации (ПО, которое проверяет подлинность предъявленного идентификатора);
  • механизм авторизации (предоставление или лишение субъекта прав доступа после успешной или безуспешной аутентификации).

Методы и средства аутентификации

Методы аутентификации делятся на четыре основные группы в зависимости от используемых в процессе проверки подлинности средств. Так, различают методы, основанные на:

  • Знаниях, которыми владеет субъект (парольные методы).
  • Предметах, которые принадлежат субъекту (комбинированные).
  • Свойствах данных субъекта (биометрические).
  • Информации, которая имеет непосредственное отношение к субъекту.

Парольные методы

Наиболее распространенные методы аутентификации, основанные на секретных характеристиках субъектов — паролях.

В процессе проверки подлинности система сравнивает указный пользователем пароль с эталонным паролем, который хранится в ее БД в зашифрованном виде.

Для аутентификации посредством данного метода могут использоваться постоянные (многоразовые, неизменные для каждой сессии) или динамические (одноразовые, постоянно меняющиеся для каждой сессии) пароли.

Комбинированные методы

Сущность данного метода заключается в использовании для подтверждения подлинности субъекта помимо пароля дополнительных предметов (мобильных телефонов, смарт-карт, токенов) или атрибутов (криптографических сертификатов).

Авторизация при помощи предметов и атрибутов субъекта происходит только при наличии специального устройства, которое может считывать информацию с перечисленных идентификаторов.

Биометрические методы

Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и анализ одного или нескольких физиологических (отпечатки пальцев, радужная оболочка глаза, сетчатка глаза, кисть руки, черты лица) или поведенческих характеристик (подпись, тембр голоса, клавиатурный почерк).

Данный метод, как правило, используется только на особо важных объектах и системах, так как требует наличия специальной дорогостоящей техники и оборудования.

Методы, основанные на информации о субъекте

Данная группа методов относится к новейшим механизмам аутентификации: в основе лежит использование спутниковой системы навигации GPS.

Основным идентификатором подлинности субъекта является его местонахождение.

Классификация и виды

В основе классификации механизмов аутентификации лежит ряд определенных критериев. Так, по степени доверия и направленности процесса различают следующие виды:

  • Односторонняя проверка подлинности (субъект доказывает владельцу системы свои права доступа к информационным ресурсам или интернет-сайту).
  • Двусторонняя аутентификация (обоюдная проверка и установление подлинности как субъекта, так и владельца системы).
Читайте также:  Можно ли заработать на просмотре рекламы и как много. Сервисы, выплачивающие деньги без обмана и мошенничества

В зависимости от возможностей средств аутентификации и уровня информационной безопасности можно выделить такие виды:

  • Статическая аутентификация (защищает от несанкционированного доступа злоумышленников, которые могут завладеть данными об идентификаторе пользователя во время его работы с информационным ресурсом или сайтом). Как правило, в основе статической аутентификации лежит парольный метод.
  • Устойчивая (служит для предотвращения перехвата идентификатора с целью использования его в следующих сеансах работы, но не защищает от активных атак, во время которых злоумышленник успевает быстро завладеть идентификатором и модифицировать его). Механизм устойчивой аутентификации основан на использовании динамических идентификаторов, которые меняются перед каждым сеансом.
  • Постоянная (защищает субъекта от несанкционированной кражи и модификации его идентификатора на любом этапе работы с информацией).

По количеству методов, которые используются в процессе аутентификации, различают следующие виды:

  • Однофакторная или слабая проверка доступа (например, применение только парольного или только биометрического метода).
  • Многофакторная или сильная аутентификация (использование двух или более методов).

Протоколы аутентификации

Процедура проверки подлинности требует использования специальных криптографических протоколов аутентификации, которые служат для защиты субъекта и владельца системы от несанкционированных действий злоумышленников.

В зависимости от принципа работы все протоколы можно условно разделить на три типа:

  • Протоколы доступа к паролю (например PAP — Password Authentication Protocol). Самые простые протоколы.
  • Протоколы, которые работают по принципу «вызов-ответ» (например CHAP — Challenge-Handshake Authentication Protocol).
  • Протоколы взаимной аутентификации (например Kerberos).

ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ

Применение открытых каналов передачи данных создает потенциальные возможности для действий злоумышленников (нарушителей).

Поэтому одной из важных задач обеспечения информационной безопасности при взаимодействии пользователей является использование методов и средств, позволяющих одной (проверяющей) стороне убедиться в подлинности другой (проверяемой) стороны.

Обычно для решения данной проблемы применяются специальные приемы, дающие возможность проверить подлинность проверяемой стороны.

Аутентификация, авторизация и администрирование действий пользователей

С каждым зарегистрированным в компьютерной системе субъектом (пользователем или процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его.

Это может быть число или строка символов, именующие данный субъект. Эту информацию называют идентификатором субъекта.

Если пользователь имеет идентификатор, зарегистрированный в сети, он считается легальным (законным) пользователем; остальные пользователи относятся к нелегальным пользователям.

Прежде чем получить доступ к ресурсам компьютерной системы, пользователь должен пройти процесс первичного взаимодействия с компьютерной системой, который включает идентификацию и аутентификацию.

Идентификация (Identification) — процедура распознавания пользователя по его идентификатору (имени).

Эта функция выполняется, когда пользователь делает попытку войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) — процедура проверки подлинности заявленного пользователя, процесса или устройства.

Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет.

При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией.

Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей).

Именно от них зависит последующее решение системы: можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация (.Authorization) — процедура предоставления субъекту определенных полномочий и ресурсов в данной системе.

Иными словами, авторизация устанавливает сферу его действия и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, то конфиденциальность и целостность информации в этой системе могут быть нарушены.

Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование (.Accounting) — регистрация действий пользователя в сети, включая его попытки доступа к ресурсам.

Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них.

Записи в системном журнале, аудиторские проверки и ПО accounting — все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации. Общедоступные Web-серверы могут разрешить анонимный или гостевой доступ к информации.

Финансовые транзакции могут потребовать строгой аутентификации. Примером слабой формы аутентификации может служить использование IP-адреса для определения пользователя. Подмена (spoofing) IP-адреса может легко разрушить механизм аутентификации.

Надежная аутентификация является тем ключевым фактором, который гарантирует, что только авторизованные пользователи получат доступ к контролируемой информации.

При защите каналов передачи данных должна выполняться взаимная аутентификация субъектов, т. е. взаимное подтверждение подлинности субъектов, связывающихся между собой по линиям связи.

Процедура подтверждения подлинности выполняется обычно в начале сеанса установления соединения абонентов. Термин «соединение» указывает на логическую связь (потенциально двустороннюю) между двумя субъектами сети.

Цель данной процедуры — обеспечить уверенность, что соединение установлено с законным субъектом и вся информация дойдет до места назначения.

Для подтверждения своей подлинности субъект может предъявлять системе разные сущности. В зависимости от предъявляемых субъектом сущностей процессы аутентификации могут быть разделены на основе:

  • • знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа запрос-ответ;
  • • обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory;
  • • каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голоса, радужной оболочки и сетчатки глаза, отпечатков пальцев, геометрии ладони и др.). В данной категории не используются криптографические методы и средства. Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике .

Пароль — это то, что знает пользователь и другой участник взаимодействия. Для взаимной аутентификации участников взаимодействия может быть организован обмен паролями между ними.

Персональный идентификационный номер PIN (Personal Identification Number) является испытанным способом аутентификации держателя пластиковой карты и смарт-карты. Секретное значение PIN-кода должно быть известно только держателю карты.

Динамический (одноразовый) пароль — это пароль, который после однократного применения никогда больше не используется. На практике обычно используется регулярно меняющееся значение, которое базируется на постоянном пароле или ключевой фразе.

Система запрос—ответ. Одна из сторон инициирует аутентификацию с помощью посылки другой стороне уникального и непредсказуемого значения «запрос», а другая сторона посылает ответ, вычисленный с помощью «запроса» и секрета.

Так как обе стороны владеют одним секретом, то первая сторона может проверить правильность ответа второй стороны.

Сертификаты и цифровые подписи. Если для аутентификации используются сертификаты, то требуется применение цифровых подписей на этих сертификатах.

Сертификаты выдаются ответственным лицом в организации пользователя, сервером сертификатов или внешней доверенной организацией.

В рамках Интернета появились коммерческие инфраструктуры управления открытыми ключами PKI (Public Key Infrastructure) для распространения сертификатов открытых ключей. Пользователи могут получить сертификаты различных уровней.

Процессы аутентификации можно также классифицировать по уровню обеспечиваемой безопасности. В соответствии с этим процессы аутентификации разделяются на следующие типы:

  • • аутентификация, использующая пароли и PIN-коды;
  • • строгая аутентификация на основе использования криптографических методов и средств;
  • • биометрическая аутентификация пользователей.

С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике.

Основные атаки на протоколы аутентификации:

  • • маскарад (impersonation). Пользователь выдает себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;
  • • подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;
  • • повторная передача {replay attack) заключается в повторной передаче аутентификационных данных каким-либо пользователем;
  • • принудительная задержка {forced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;
  • • атака с выборкой текста {chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.

Для предотвращения таких атак при построении протоколов аутентификации применяются:

  • • использование механизмов типа «запрос—ответ», «отметка времени», случайных чисел, идентификаторов, цифровых подписей;
  • • привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые используются при дальнейшем взаимодействии пользователей;
  • • периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т. п.

Механизм «запрос—ответ» состоит в следующем. Если пользователь Л хочет быть уверенным, что сообщения, получаемые им от пользователя В, не являются ложными, он включает в посылаемое для Всообщение непредсказуемый элемент — запрос X (например, некоторое случайное число).

При ответе пользователь В должен выполнить над этим элементом некоторую операцию (например, вычислить некоторую функцию/(ЛО).

Это невозможно осуществить заранее, так как пользователю В неизвестно, какое случайное число X придет в запросе.

Получив ответ с результатом действий В, пользователь Л может быть уверен, что В — подлинный. Недостаток этого метода — возможность установления закономерности между запросом и ответом.

Механизм «отметка времени» подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети определяет, насколько «устарело» пришедшее сообщение, и решает не принимать его, поскольку оно может быть ложным.

В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.

При использовании отметок времени возникает проблема допустимого временного интервала задержкидля подтверждения подлинности сеанса: сообщение с «временным штемпелем» в принципе не может быть передано мгновенно.

Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.

При сравнении и выборе протоколов аутентификации необходимо учитывать следующие характеристики:

  • • наличие взаимной аутентификации. Это свойство отражает необходимость обоюдной аутентификации между сторонами аутентификационного обмена;
  • • вычислительную эффективность. Это количество операций, необходимых для выполнения протокола;
  • • коммуникационную эффективность. Данное свойство отражает количество сообщений и их длину, необходимую для осуществления аутентификации;
  • • наличие третьей стороны. Примером третьей стороны может служить доверенный сервер распределения симметричных ключей или сервер, реализующий дерево сертификатов для распределения открытых ключей;

Факторы аутентификации

Двухэтапную аутентификацию часто называют двухфакторной, не делая особой разницы между понятиями. Я тоже не придавал ей особого значения, хотя и пользовался обоими способами.

Но однажды глаз зацепился за новость о переходе Apple с двухэтапной на двухфакторную аутентификацию, которую твитнул специалист по информационной безопасности Алексей Комаров.

Я попросил эксперта объяснить разницу между 2SV и 2FA, и он уложился в один твит со ссылкой на свою статью.

В ней мне очень понравились аналогии – простые и понятные. Позволю себе процитировать их целиком.

На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию.

Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент?

Различают всего четыре фактора аутентификации. Рассмотрим их все.

«У Вас продается славянский шкаф?» — это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.

Связной может предъявить, например, половину разорванной фотографии или что- то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта что-то есть.

В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.

Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк.

Читайте также:  Как заработать на Ютубе: самые надёжные способы монетизации видео-роликов. Рекламная сеть Гугла и прямые рекламодатели

Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.

Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать.

Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.

Какая аутентификация является двухфакторной

Исходя из названия, аутентификация выполняется с помощью двух факторов, причем они обязательно должны быть разными!

Продолжу рассказ своей аналогией – посмотрите внимательно на этот сейф.

Открыть его вы сможете, только если знаете секретную комбинацию, и у вас есть ключ от замка. Заметьте, что эти два фактора отличаются.

Злоумышленник может похитить ключ, но без кода он бесполезен. Равно как подсмотренный код не поможет без ключа.

Другими словами, чтобы пробраться в сейф, преступнику нужно украсть две разные «вещи».

Давайте посмотрим, как это выглядит в контексте информационных технологий.

В чем разница между двухэтапной и двухфакторной аутентификацией

Двухфакторная аутентификация может быть двухэтапной, но обратное верно не всегда. Граница между этими понятиями очень тонкая, поэтому их часто и не различают.

Например, Twitter в блоге нарекает свою двухэтапную аутентификацию двухфакторной, а Google в справке уравнивает эти способы (впрочем, компания предлагает оба).

Действительно, в сетевых учетных записях (Microsoft, Google, Яндекс и т.п.), соцсетях и мессенджерах реализация 2FA и 2SV очень похожа.

Один этап всегда подразумевает ввод пароля или ПИН-кода, который вы знаете. Разница между способами аутентификации кроется во втором этапе – 2FA возможна только в том случае, если у вас что-то есть.

Типичным дополнением к известному вам паролю служит одноразовый код или пароль (OTP). Здесь-то и зарыта собака!

Двухфакторная аутентификация подразумевает создание одноразового пароля непосредственно на устройстве, которым вы обладаете (аппаратный токен или смартфон). Если OTP отправлен в SMS, аутентификация считается двухэтапной.

Казалось бы, SMS приходит на смартфон, который у вас есть. Как вы увидите ниже, это – ложная предпосылка.

Пример двухфакторной аутентификации

Для удаленного доступа к ресурсам моего работодателя необходимо пройти двухфакторную аутентификацию. Первый фактор – пароль учетной записи, который я знаю.

Второй фактор – аппаратный токен для генерации OTP, который у меня есть.

Чтобы выполнить вход в систему от моего имени, злоумышленник должен украсть не только пароль, но и выданный мне токен, т.е. физически проникнуть в мою квартиру.

Для доступа к ресурсам клиента я тоже использую 2FA, но в этом случае роль аппаратного токена выполняет смартфон с приложением RSA SecureID.

Пример двухэтапной аутентификации

Когда вы впервые входите на новом устройстве в Telegram, вам приходит на телефон код подтверждения – это первый этап аутентификации.

У многих пользователей мессенджера он единственный, но в настройках безопасности приложения можно включить второй этап — пароль, который известен только вам и вводится после кода из SMS.

Проблема одноразовых паролей в SMS

Давайте вернемся к случаю с получением неправомочного доступа к аккаунту Telegram, с которого я начал сегодняшний рассказ.

В процессе взлома оппозиционерам временно отключили сервис SMS. Они видят в этом руку технического отдела МТС, но и без его участия злоумышленники вполне могли перевыпустить SIM-карту или провести атаку MITM.

Больше им ничто не мешало войти в Telegram на другом устройстве!

Будь на аккаунте пароль, известный только владельцу, осуществить взлом было бы на порядок сложнее.

Однако такая аутентификация остается двухэтапной, и взлом аккаунта хорошо демонстрирует, что при целевой атаке обладание смартфоном не играет никакой роли.

Вы лишь знаете свой пароль и одноразовый код, который приходит в SMS, а это одинаковые факторы.

Снижает ли безопасность регистрация по номеру телефона

В комментариях к предыдущей записи несколько читателей выразили мнение, что типичное для ряда мессенджеров удобство регистрации по номеру телефона ослабляет защиту аккаунта по сравнению с традиционным паролем. Я так не считаю.

В отсутствие 2FA или 2SV аутентификация получается одноэтапной и однофакторной. Поэтому по большому счету нет разницы, выполняете вы вход с помощью известного вам пароля или неизвестного заранее кода, присылаемого в SMS.

Да, злоумышленники могут получить ваш SMS-код, но они могут перехватить и ваш пароль, пусть и каким-то другим способом (клавиатурный шпион, контроль публичной сети Wi-Fi).

Если вы хотите лучше защитить свою учетную запись, опирайтесь на 2FA или 2SV, а не на ложное ощущение превосходства пароля над номером телефона.

ЗАМЕНА ПАРОЛЕЙ НА БИОМЕТРИЧЕСКУЮ
АУТЕНТИФИКАЦИЮ СОТРУДНИКОВ

Технологии биометрической аутентификации решают проблемы паролей, использование которых сопряжено с рисками информационной безопасности и неэффективной работой сотрудников.

Подбор паролей

Пользователи не применяют сложные или длинные пароли, т.к. их трудно придумывать и запоминать. Это позволяет злоумышленникам выполнять подбор паролей учетных записей сотрудников в короткие сроки (от 1 минуты).

Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему — подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.

Раскрытие и передача паролей

Рядовые сотрудники не придают важности сохранению паролей в секрете и часто записывают их прямо на рабочем месте.

Кроме того, они часто сообщают свой пароль коллегам, с просьбой выполнить какие-либо действия в их отсутствие (отправить отчет, просмотреть почту и пр.).

Такая ситуация упрощает злоумышленнику задачу получения чужих паролей и не требует от него использования сложных технических решений.

Забытые пароли

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ.

Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.

Использование паролей уволенными сотрудниками

Если при увольнении сотрудника служба ИТ не успела или забыла заблокировать его учетную запись, сотрудник может получить доступ к конфиденциальной информации и передать ее конкурентам.

Преимущества биометрических технологий

Биометрические технологии исключают пароли из жизни сотрудников и обладают следующими преимуществами.

Высокий уровень безопасности

Биометрическая аутентификация позволяет с высокой точностью выполнять процедуру верификации пользователя (с вероятностью ошибки до 0.00001%, в зависимости от технологии).

Это позволяет использовать биометрию в любых бизнес-сценариях, требующих надежной аутентификации пользователя.

Неотчуждаемость аутентификационных данных

В отличие от паролей или смарт-карт, которые можно забыть, потерять или передать третьему лицу, биометрические аутентификационные данные всегда с пользователем.

Удобство использования

Биометрическая идентификация и аутентификация не требуют от пользователя запоминать сложные пароли или хранить какое-либо устройство (токен, карту и пр.), сотрудник не сможет забыть или потерять аутентификационные данные.

Описание задачи

Задачу защиты корпоративного ПК с помощью биометрической аутентификации можно сформулировать следующим образом:

  1. Необходимо обеспечить биометрическую аутентификацию пользователей при доступе
      • в ОС Windows (доменный ПК)
      • в целевые приложения
  2. Решение должно поддерживать различные технологии биометрической аутентификации:
      • отпечаток пальца
      • рисунок вен ладони
      • 3D изображение лица

Решение

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon.

Данный компонент реализует Credential Provider — интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием биометрии.

Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС.

Система является централизованной, что позволяет входить на один ПК с использованием одного сканера разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей.

В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне.

В момент регистрации в Indeed Access Manager первого аутентификатора (биометрического шаблона и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы.

Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений.

Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей.

В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

В состав Indeed Access Manager входят следующие основные компоненты

Indeed Enterprise Server (Сервер) — серверный компонент инфраструктуры Indeed Access Manager.

Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора.

Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon — клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент — клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM.

Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п.

В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Технологии аутентификации

На данный момент Indeed AM поддерживает следующие биометрические технологии:

Аутентификация по отпечаткам пальцев

Биометрическая система защиты по отпечаткам пальцев является наиболее распространенной технологией биометрической аутентификации.

Удобна для использования на офисных ПК, подходит для большого количества аутентификаций в течение рабочего дня.

Аутентификация по 3D изображению лица на базе технологии Intel RealSense

Для аутентификации по форме лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.

Технология является бесконтактной, что позволяет использовать ее на устройствах общего доступа.

Аутентификация по рисунку вен ладони в реализации сканера Fujitsu PalmSecure v2

Бесконтактная технология биометрической аутентификации. Хорошо адаптирована для офисного режима работы, также может эффективно использоваться в устройствах общего доступа.

Технология гигиенична и, в отличие от отпечатков пальцев, не предъявляет требований к состоянию поверхности кожи (загрязнение, порезы и т.п.)

Пожалуйста, поделитесь этой статьей в любой из социальных сетей:
Добавить комментарий