Практическое занятие №3
Тема: Методы аутентификации, использующие пароли.
Цель: изучить алгоритмы различных методов аутентификации
Задачи:
формирование знаний об алгоритмах аутентификации на основе многоразовых паролей;
формирование знаний об алгоритмах аутентификации на основе одноразовых паролей
Оборудование: персональный компьютер, ОС Windows XP.
Вид работы: групповой
Время выполнения: 2 часа
Теоретический материал
В соответствии с сертификационными требованиями к системам безопасности операционных систем при подключении пользователей должен реализовываться механизм аутентификации и/или идентификации.
Идентификация и аутентификация применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы).
Идентификация – присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным.
Аутентификация (установление подлинности) – проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.
Настройка параметров аутентификации операционных систем выполняется в рамках локальной политики безопасности.
Оснастка «Локальная политика безопасности» используется для изменения политики учетных записей и локальной политики на локальном компьютере. При помощи оснастки «Локальная политика безопасности» можно определить:
кто имеет доступ к компьютеру;
какие ресурсы могут использовать пользователи на Вашем компьютере;
включение и отключение записи действий пользователя или группы в журнале событий.
Вопросы для самопроверки:
Что понимается под идентификацией и аутентификацией пользователя?
Перечислите возможные идентификаторы при реализации механизмов идентификации и аутентификации.
Какой из видов аутентификации (устойчивая аутентификации и постоянная аутентификация) более надежный?
Для чего используется оснастка «Локальная политика безопасности»?
Ход выполнения работы:
1. Аутентификация на основе многоразовых паролей
Одной из распространенных схем аутентификации является простая аутентификация, которая основана на применении традиционных многоразовых паролей с одновременным согласованием средств его использования и обработки. Базовый принцип «единого входа» предполагает достаточность одноразового прохождения пользователем процедуры аутентификации для доступа ко всем сетевым ресурсам.
Процедура простой аутентификации пользователя в сети заключается в следующем: при попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права и доступ к ресурсам сети, которые определены для его статуса системой авторизации.
В схеме простой аутентификации передача пароля и идентификатора пользователя может выполняться следующими способами:
в незашифрованном виде; например, согласно протоколу парольной аутентификации PAP (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме;
в защищенном виде; все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.
Задание 1. Зарисуйте схему простой аутентификации и дополните ее недостающими элементами, изучив алгоритм, приведенный ниже.
С
хема
простой аутентификации с использованием
пароля показана на
Рис. 1. Простая аутентификация с использованием пароля
Вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль, его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования ЕК и расшифрования DК управляемые разделяемым секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля РА и исходного значения Р'А, хранящегося в сервере аутентификации. Если значения РА совпадают, то пароль Р'А считается подлинным, а пользователь А - законным.
С точки зрения безопасности более предпочтительным является метод передачи и хранения паролей с использованием односторонних функций: пользователь должен переслать вместо открытой формы пароля его отображение, получаемой с использованием односторонней функции h(.). Это преобразование гарантирует невозможность раскрытия злоумышленником пароля по его отображению, так как злоумышленник наталкивается на неразрешимую числовую задачу.
Задание 2. Зарисуйте схему простой аутентификации с использованием односторонней функции дополните ее недостающими элементами, изучив алгоритм, приведенный ниже.
Односторонняя функция h(.) может быть определена следующим образом:
h(P) = Ep(ID), где
Р – пароль пользователя,
ID – идентификатор пользователя,
Ep – процедура шифрования, выполняемая с использованием пароля Р в качестве ключа.
Такие функции удобны, если длина пароля и ключа одинаковы. Проверка подлинности пользователя А с помощью пароля РА состоит из пересылки серверу аутентификации отображения h(PА) и сравнения его с предварительно вычисленным и хранимым в базе данных сервера аутентификации эквивалентом h’(PА). Если отображения h(PА) и h’(PА) равны, то считается, что пользователь успешно прошел аутентификацию.
|
|
|
|
IDA |
? |
|
|
|
|
Рис. 2. Использование односторонней функции для проверки пароля
Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, т.к. в них выбор аутентифицирующей информации происходит из относительно небольшого множества осмысленных слов. Срок действия многоразового пароля должен быть определен в политике безопасности организации, и такие пароли должны регулярно изменяться.