9.3 Применение пароля для аутентификации
Пароль пользователя – одно из самых важных и самых слабых мест безопасности системы.
Человек или программа, отгадавшие пароль пользователя, получает доступ к ресурсам системы в том объёме, в котором он предоставляется пользователю. Особенно это важно в случае пароля администратора, так как его полномочия в системе гораздо шире, а действия от его имени могут повредить систему.
Обычно, пароль РА, представляемый пользователем, сравнивается с исходным значением РА, хранящемся в компьютерном центре.
Так как пароль должен храниться в тайне, он должен шифроваться перед пересылкой по незащищенному каналу.
При совпадении РА и Р'А пароль считается подлинным, рисунок 9.7.
Если получатель НЕ ДОЛЖЕН раскрывать исходную форму пароля, то отправитель пересылает ВМЕСТО открытой формы пароля ОТОБРАЖЕНИЯ ПАРОЛЯ, получаемое с использованием односторонней функции α (…).
Это преобразование должно гарантировать невозможность раскрытия пароля по его отображению противником в связи с неразрешимой числовой задачей.
Функция α (…) определяется: α(Р) = Ер(ID)
где Р – пароль отправителя; ID – идентификатор отправителя; Ер – процедура шифрования, выполняемая с использованием пароля в качестве ключа.
Эти функции удобны, если длина пароля и ключа одинаковы: подтверждение подлинности состоит из пересылки получателю отображения (Р) и сравнение его с предварительно вычисленным и хранимым эквивалентом α(Р).
Надёжность паролю придаёт не его длина, а его непредсказуемость. Наименее предсказуемы пароли, представляющие случайную комбинацию прописных и строчных букв, цифр и знаков препинания, – но их труднее запомнить.
На практике пароли, состоящие из нескольких букв (с целью легкого запоминания), уязвимы к атаке полного перебора вариантов. Поэтому функцию α(Р) определяют:
где К и ID – ключ и идентификатор отравителя.
Значение α(Р) вычисляется заранее и хранится идентификационной таблице у пользователя.
Подтверждение подлинности состоит из сравнения двух отображений пароля α(Р0) и α’(Р0) , рисунок 9.8.
Но получивший доступ к идентификационной таблице может незаконно изменить ее содержание.
9.4 Биометрическая идентификация и аутентификация
Пользователь идентифицируется путём измерения физиологических параметров и характеристик человека, особенностей его поведения.
Достоинства:
а) высокая степень достоверности из-за уникальности биометрических признаков;
б) биометрические признаки неотделимы от дееспособной личности;
в) трудность фальсификации биометрических признаков.
В качестве БИОМЕТРИЧЕСКИХ ПРИЗНАКОВ используются:
а) узор радужной оболочки и сетчатки глаз;
б) отпечатки пальцев;
в) геометрическая форма руки;
д) форма и размеры лица;
е) рисунок кровеносных сосудов лица;
ж) особенности голоса;
и) биомеханические характеристики рукописной подписи;
к) биомеханические характеристики «клавиатурного подчерка»
При регистрации пользователь должен продемонстрировать свои характерные биометрические признаки, регистрируемые системой как контрольный образ. Он хранится в электронной форме и используется для проверки идентичности.
Системы, использующие УЗОР РАДУЖНОЙ ОБОЛОЧКИ И СЕТЧАТКИ глаз делятся на:
а) использующие рисунок радужной оболочки;
б) использующие рисунок кровеносных сосудов сетчатки.
Так как вероятность повторения данных параметров 10–78, эти системы наиболее надёжны среди биометрических.
Идентификация по отпечаткам пальцев наиболее распространена, так как наличествуют большие банки данных по отпечаткам пальцев.
При оценке формы руки используют сканеры, устанавливаемые на стенах.
Идентификация по лицу и голосу наиболее дешева, т. к. современные ЭВМ имеют видео- и аудиосредства. Такие системы применяются при удаленной идентификации в сетях.
Идентификация личности по динамике рукописной подписи считывает интенсивность каждого усилия подписывающего, частотные характеристики написания каждого элемента подписи и начертания подписи в целом.
Системы с использованием биомеханических характеристик клавиатурного подчерка учитывают моменты нажатия и отпускания клавиш, различающихся у разных пользователей. По этому динамическому ритму набора строятся идентификации.
Использование биометрических параметров для идентификации пока не имеет нормативно-правового обеспечения – стандартов. Поэтому их применяют в АС, обрабатывающих и хранящих персональные данные, составляющие коммерческую или служебную тайну.