- •Білет №20
- •1. Комунікаційні технології
- •3. Безпека інформації: визначення і проблеми.
- •Білет №21
- •1. Інформаційні технології
- •2. Міжнародна правнича інформація. Способи розповсюдження правової інформації
- •3. Що розуміється під сукупністю заходів щодо захисту інформації?
- •Білет №22
- •1. Клієнт-сервер архітектура
- •2. Інформаційна система юнеско
- •3. Можливі канали відтоку інформації.
- •Білет №23
- •1. Телекомунікації України
- •2. Основні напрями владних міжнародних інформаційних систем. (повний брєд)
- •3. Мета шифрування інформаційних файлів. Шифрування тексту методом зсуву алфавіту. Білет №24
- •1. Веб-технології: гіпертекст
- •2. Загальна характеристика банківських інформаційних систем
- •3. Три основних способи захисту інформації.
- •Білет№25
- •1. Загальна характеристика Інтернету
- •2. Переваги та недоліки Internet як середовища передачі фінансової інформації.
- •3. Захист інтелектуальної власності
- •Білет №26
- •1. Надання комунікаційних і інформаційних послуг в Інтернеті
- •2. Swift – міжбанківська організація валютних і фінансових розрахунків.
- •3. Основні технології, що використовуються при здійсненні комп'ютерних злочинів
- •Білет №27
- •1. Пошук інформації в Інтернеті
- •2. Міжнародна науково-технічна інформація.
- •3. Види шахрайства в комп’ютерних мережах
- •Білет №28
- •1. Загальні проблеми інформаційного характеру
- •2. Комп'ютерно-інформаційна преса
- •3. Ідентифікація користувачів
- •Білет №29
- •1. Підходи міжнародних організацій до розв’язання проблем інформаційного характеру
- •2. Характеристика дистанційної освіти в міжнародному середовищі
- •3. Аутентифікація користувачів
3. Аутентифікація користувачів
Аутентифікація користувача - процедура встановлення за допомогою спеціальних програмних засобів достовірності користувача. Аутентифікація користувача включає дві процедури - ідентифікацію та верифікацію.
Підсистема аутентифікації користувачів - найважливіший компонент корпоративної системи інформаційної безпеки, і її значення важко переоцінити. Підсистема аутентифікації підтверджує особу користувача інформаційної системи і тому повинна бути надійною і адекватною, тобто виключати всі помилки в наданні доступу.
Існуючі методи аутентифікації різні за ступенем надійності, і, як правило, з посиленням захисту різко зростає ціна систем, що вимагає при виборі засобів аутентифікації аналізу ризиків та оцінки економічної доцільності застосування тих чи інших заходів захисту. Проте останнім часом "співвідношення сил" в області ефективності застосовуваних методів аутентифікації змінюється.
Засоби аутентифікації можна розділити на три групи ("фактора") у відповідності із існуючими принципами: принцип "що ви знаєте" ("you know "), що лежить в основі методів аутентифікації по паролю; принцип" що ви маєте "(" you have "), коли аутентифікація здійснюється за допомогою магнітних карт, токенів та інших пристроїв; та принцип" хто ви є "(" you are " ), що використовує персональні властивості користувача (відбиток пальця, структуру сітківки ока і т. д.). Системи строгої аутентифікації використовують 2 і більше факторів при аутентифікації користувачів.
На сьогоднішній день кошти аутентифікації першої групи ("you know") є найбільш економічними за вартістю, але одночасно і найменш надійними. Пароль користувача можна підглянути, перехопити в каналі зв'язку, та й просто підібрати. Якщо політика безпеки вимагає застосування складних паролів, користувачам важко їх запам'ятовувати, і нерідко на самому видному місці з'являються паперові листочки із записами паролів (наприклад, прикріплюються до монітора).
Наслідки особливо небезпечні в системах, де використовується принцип " єдиного входу "(single sign-on), коли співробітник застосовує один пароль для аутентифікації і роботи з багатьма корпоративними додатками та джерелами інформації.
Часто, не усвідомлюючи важливості аутентифікації, співробітники практикують передачу особистого пароля колегам. Тут варто зазначити, що процедура аутентифікації тісно пов'язана з іншими процесами в системі інформаційної безпеки (ІБ), наприклад з моніторингом дій в системі, і при розслідуванні інциденту, не маючи суворої ідентифікації користувача, нерідко дуже важко встановити причину інциденту.
Системи строгої аутентифікації, побудовані на факторі "you know" і "you have", надають більше можливостей для посилення захисту. Наприклад, роботу токенів, які генерують одноразові паролі, не маючи з'єднання з захищається системою, дуже складно підробити, а сам пароль не може бути повторно використаний.
Прикладами можуть служити пристрої RSA SecureID і Vasco Digipass. Найбільш цікаве застосування цих пристроїв в таких областях, як електронна комерція, включаючи інтернет-банкінг, або для організації захисту ключових з точки зору безпеки користувачів (адміністраторів інформаційної системи і керівників).