Пароли.
Идентификация, аутентификация пользователей.
Классификация методов идентификации пользователей
В первом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль, номер в списке, которого определен по случайному закону. Длина и порядковый номер начального символа пароля тоже могут задаваться случайным образом. При использовании метода «запрос-ответ» система задает пользователю некоторые вопросы общего характера, правильные ответы на которые… Читать ещё >
Пароли. Идентификация, аутентификация пользователей. Классификация методов идентификации пользователей (реферат, курсовая, диплом, контрольная)
Наиболее распространенными, простыми и привычными являются методы аутентификации, основанные на паролях — секретных идентификаторах субъектов. Здесь при вводе субъектом своего пароля подсистема аутентификации сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема аутентификации разрешает доступ к ресурсам АС. Парольные методы следует классифицировать по степени изменяемости паролей:
методы, использующие постоянные (многократно используемые) пароли;
методы, использующие одноразовые (динамично изменяющиеся) пароли.
В большинстве АС используются многоразовые пароли. В этом случае пароль пользователя не изменяется от сеанса к сеансу в течение установленного администратором системы времени его действительности. Это упрощает процедуры администрирования, но повышает угрозу рассекречивания пароля. Известно множество способов вскрытия пароля: от простого подсматривания до перехвата сеанса связи. Вероятность вскрытия злоумышленником пароля повышается, если пароль несет смысловую нагрузку (год рождения, имя), небольшой длины, набран в одном регистре, не имеет ограничений на период существования и т. д. Важно, разрешено ли вводить пароль только в диалоговом режиме или есть возможность обращаться из программы. В последнем случае, возможно, запустить программу по подбору паролей.
Более надежный способ — использование одноразовых или динамически меняющихся паролей. Известны следующие методы парольной защиты, основанные на одноразовых паролях:
методы модификации схемы простых паролей;
методы «запрос-ответ»;
функциональные методы.
В первом случае пользователю выдается список паролей. При аутентификации система запрашивает у пользователя пароль, номер в списке, которого определен по случайному закону. Длина и порядковый номер начального символа пароля тоже могут задаваться случайным образом. При использовании метода «запрос-ответ» система задает пользователю некоторые вопросы общего характера, правильные ответы на которые известны только конкретному пользователю. Функциональные методы основаны на использовании специальной функции парольного преобразования. Это позволяет обеспечить возможность изменения (по некоторой формуле) паролей пользователя во времени. Указанная функция должна удовлетворять следующим требованиям:
для заданного пароля x легко вычислить новый пароль y=f (x);
зная х и y, сложно или невозможно определить функцию f (x).
Наиболее известными примерами функциональных методов являются: метод функционального преобразования и метод «рукопожатия».
Идея метода функционального преобразования состоит в периодическом изменении самой функции. Последнее достигается наличием в функциональном выражении динамически меняющихся параметров, например, функции от некоторой даты и времени. Пользователю сообщается исходный пароль, собственно функция и периодичность смены пароля. Нетрудно видеть, что паролями пользователя на заданных периодах времени будут следующие: x, f (x), f (f (x)), …, f (x)n-1.
Метод «рукопожатия» состоит в следующем. Функция парольного преобразования известна только пользователю и системе защиты. При входе в АС подсистема аутентификации генерирует случайную последовательность x, которая передается пользователю. Пользователь вычисляет результат функции y=f (x) и возвращает его в систему. Система сравнивает собственный вычисленный результат с полученным от пользователя. При совпадении указанных результатов подлинность пользователя считается доказанной.
Достоинством метода является то, что передача какой-либо информации, которой может воспользоваться злоумышленник, здесь сведена к минимуму. В ряде случаев пользователю может оказаться необходимым проверить подлинность другого удаленного пользователя или некоторой АС, к которой он собирается осуществить доступ. Наиболее подходящим здесь является метод «рукопожатия», так как никто из участников информационного обмена не получит никакой конфиденциальной информации. Отметим, что методы аутентификации, основанные на одноразовых паролях, также не обеспечивают абсолютной защиты. Например, если злоумышленник имеет возможность подключения к сети и перехватывать передаваемые пакеты, то он может посылать последние как собственные.