- •Розрахунково-графічна робота
- •«Порівняльний аналіз методів аутентифікації: одноразові паролі та багатофакторний методи»
- •1. Огляд аутентифікації
- •1.1. Історія
- •1.2. Механізм аутентифікації
- •1.3. Елементи системи аутентифікації
- •1.4. Фактори аутентифікації
- •1.5. Види аутентифікації
- •1.6. Протоколи аутентифікації
- •2. Метод одноразових паролів
- •2.1. Технологія One-Time Password
- •2.2. Одноразовий пароль: ввів і забув
- •2.3. Реалізація otp
- •2.4. Уразливості технологій отр
- •2.5. Якість реалізації
- •3. Метод багатофакторної аутентифікації
- •3.1. Механізм генерації кодів
- •3.2. Механізм багатофакторної аутентифікації
- •3.3. Біометричні методи
- •Статистичні
- •2. Динамічні
- •Висновок
- •Список використаних джерел
2. Динамічні
Аутентифікація по голосу. Біометричний метод аутентифікації по голосу,
характеризується простотою в застосуванні. Даному методу не потрібна дорога апаратура, досить мікрофона і звукової плати. В даний час дана технологія швидко розвивається, так як цей метод аутентифікації широко використовується в сучасних бізнес-центрах. Існує досить багато способів побудови шаблону по голосу. Зазвичай, це різні комбінації частотних і статистичних характеристик голосу. Можуть розглядатися такі параметри, як модуляція, інтонація, висота тону, і т. п. Основним і визначальним недоліком методу аутентифікації по голосу - низька точність методу. Наприклад, людину з простудою система може не впізнати. Важливу проблему становить різноманіття проявів голосу однієї людини: голос здатний змінюватися в залежності від стану здоров'я, віку, настрою і т.д. Це різноманіття представляє серйозні труднощі при виділенні характерних властивостей голосу людини. Крім того, облік шумової компоненти є ще однією важливою і не розв'язаною проблемою в практичному використанні аутентифікації по голосу. Так як ймовірність помилок другого роду при використанні даного методу велика (близько одного відсотка), аутентифікація по голосу застосовується для управління доступом в приміщеннях середнього рівня безпеки, такі як комп'ютерні класи, лабораторії виробничих компаній і т.д.
Аутентифікація по рукописному написанню. Метод біометричної аутентифікації по рукописному почерку грунтується на специфічному русі людської руки під час підписання документів. Для збереження підпису використовують спеціальні ручки або сприйнятливі до тиску поверхні. Цей вид аутентифікації людини використовує його розпис. Шаблон створюється в залежності від необхідного рівня захисту. Зазвичай виділяють два способи обробки даних про підписи:
Аналіз самої розпису, тобто використовується просто ступінь збігу двох картинок.
Аналіз динамічних характеристик написання, тобто для аутентифікації будується згортка, в яку входить інформація по підпису, тимчасовими та статистичними характеристиками написання підпису.
Висновок
Отже, концепція одноразових паролів укупі з сучасними криптографічними методами можуть використовуватися для реалізації надійних систем віддаленої аутентифікації. При цьому дана технологія має ряд серйозних достоїнств. По-перше, це, надійність. Сьогодні розроблено не так вже й багато способів дійсно "сильною" аутентифікації користувачів з передачею інформації по відкритих каналах зв'язку. Між тим таке завдання з'являється все частіше і частіше. І одноразові паролі – один з найперспективніших її рішень.
Друга перевага одноразових паролів – це використання "стандартних" криптографічних алгоритмів. Так що для реалізації системи аутентифікації з їх застосуванням чудово підходять вже існуючі розробки. Власне кажучи, це наочно доводить той же eToken NG-OTP, сумісний з вітчизняними криптопровайдера. Ну а це тягне за собою можливість використання таких токенів у вже існуючих системах корпоративної безпеки без їх перебудови. Таким чином, впровадження технології одноразових паролів можна провести з відносно невеликими витратами.
Ще один плюс одноразових паролів полягає в низькій залежності захисту від людського фактора. Правда, це відноситься не до всіх її реалізацій. Як ми вже говорили, надійність багатьох програм для створення одноразових паролів залежить від якості використовуваного користувачем PIN-коду. В апаратних генераторах на базі USB-токенів використовується повноцінна двофакторна автентифікація. І нарешті, четверте перевагу концепції OTP – зручність її для користувачів. Отримувати доступ до необхідної інформації за допомогою одноразових паролів не складніше ніж застосовувати для цієї мети статичні ключові слова. Особливо приємно те, що деякі апаратні реалізації розглянутої технології можна використовувати на будь-яких пристроях незалежно від існуючих на ньому портів і встановленого ПЗ.
Двофакторна аутентифікація, в рамках такої системи понять, це аутентифікація, при якій використовується одночасно: пароль + пристрій, пароль + біометричні дані або біометричні дані + пристрій.
Які доводи зазвичай наводяться на користь такої аутентифікації, на відміну від одно-факторної?
Стандартний хід полягає в тому, що введення пароля з клавіатури як метод аутентифікації має цілий ряд очевидних недоліків і не може гарантувати надійної аутентифікації.
Це, безумовно, так, але чи варто з цього робити висновок про ненадійність "однофакторної" аутентифікації взагалі?
Інший, менш уразливий довід на користь двофакторной (багатофакторної) аутентифікації зводиться до того, що чим більше факторів, тим менше ймовірність помилок. Причому помилок обох типів - як "збіги" і підтвердження статусу, яким користувач насправді не володіє (випадково чи зловмисно, наприклад, шляхом перебору ідентифікаторів), так і помилкового не підтвердження легального статусу через якого збою.
Для того щоб аутентифікація була насправді надійної, важливо не кількість типів пропонованих ознак, а якість реалізації механізму на обох сторонах взаємодії - як в частині, що знаходиться у користувача, так і в частині, що знаходиться у перевіряючої боку.
Якщо база даних відбитків пальців зберігається на паперових носіях у шафі, то аутентифікація по біометричному ознакою буде і незручною, і ненадійною - потрібний листок може бути просто вилучений. Точно так само може бути вилучена (додана / спотворена) запис користувача даних з бази, збереженої в пам'яті ПК, і скільки факторів не було б задіяне в процесі аутентифікації, він не зможе підвищити рівень захищеності.
Дуже важливо уявляти собі весь процес аутентифікації в тій чи іншій системі, а не тільки кількість врахованих чинників.
Наприклад, ми підключаємо пристрій T (перший фактор) і вводимо пароль (другий фактор), а процесор ПК порівнює цей "комплект" з даними в базі, що зберігається в процесорі того ж ПК. Досить очевидно, що може бути змінена база даних, підмінений механізм перевірки, спотворений результат цієї перевірки і т.д. І все це незалежно від того, що пристрій унікальне і пароль вірний.
Але може бути зовсім інакше. Підключаючи пристрій Ш, користувач за допомогою ПІН-коду аутентифицирующей безпосередньо в пристрої, автономний процесор якого звіряє ПІН з зберігаються в захищеній від модифікації пам'яті Ш. Потім процесор Ш передає аутентифицирующей дані в процесор СЗІ, встановленого в ПК.
Зауважимо, що це вже не ПІН, а дані, вироблені і зберігаються безпосередньо в Ш, які користувачеві недоступни3, а значить, аутентифікацію за допомогою Ш неможливо підмінити пред'явленням цих даних з якогось іншого джерела.
Процесором СЗІ дані звіряються з базою, що зберігається в захищеній від модифікації пам'яті СЗІ (а не ПК).
При такому алгоритмі перевірки аутентифікація відбувається ступінчасто: спочатку користувач "визнається" пристроєм Ш, а потім пристрій Ш "визнається" СЗІ. Всі перевірки відбуваються у довіреній середовищі, а всі критичні дані захищені технологічно.
При цьому "зовні" для користувача і те, і інше - просто "двофакторна аутентифікація": користувач підключає пристрій (раз) і вводить відому йому послідовність символів (два).
Отже, досить передбачувано ми приходимо до висновку про те, які вони - плюси і мінуси двофакторної аутентифікації. Мінус - це небезпека формального підходу, адже фактори, що впливають на надійність аутентифікації аж ніяк не вичерпуються типами ідентифікують ознак. А все інше - плюси.