Identifikation und Authentifizierung: grundlegende Konzepte

2024 Autor: Howard Calhoun | [email protected]. Zuletzt bearbeitet: 2023-12-17 10:23

Identifikation und Authentifizierung sind die Grundlage moderner Software- und Hardware-Sicherheitstools, da alle anderen Dienste hauptsächlich darauf ausgerichtet sind, diesen Entitäten zu dienen. Diese Konzepte stellen eine Art erste Verteidigungslinie dar, die die Sicherheit des Informationsraums der Organisation gewährleistet.

Was ist das?

Identifikation und Authentifizierung haben unterschiedliche Funktionen. Die erste gibt dem Subjekt (dem Benutzer oder Prozess, der in seinem Namen handelt) die Möglichkeit, seinen eigenen Namen anzugeben. Mit Hilfe der Authentifizierung wird die zweite Partei endgültig davon überzeugt, dass das Subjekt wirklich derjenige ist, für den er sich ausgibt. Identifizierung und Authentifizierung werden häufig durch die synonymen Ausdrücke „Namensnachricht“und „Authentifizierung“ersetzt.

Sie selbst sind in mehrere Sorten unterteilt. Als nächstes schauen wir uns an, was Identifizierung und Authentifizierung sind und was sie sind.

Authentifizierung

Dieses Konzept sieht zwei Arten vor: einseitig, beim Kundenmuss dem Server zunächst seine Authentizität nachweisen, und zwar in beide Richtungen, dh wenn eine gegenseitige Bestätigung durchgeführt wird. Ein Standardbeispiel dafür, wie eine Standard-Benutzeridentifikation und -authentifizierung durchgeführt wird, ist das Verfahren zum Einloggen in ein bestimmtes System. Somit können verschiedene Typen in verschiedenen Objekten verwendet werden.

In einer Netzwerkumgebung, in der Benutzeridentifikation und -authentifizierung auf geografisch verteilten Seiten durchgeführt werden, unterscheidet sich der fragliche Dienst in zwei Hauptaspekten:

• der als Authentifikator fungiert;
• wie genau der Austausch von Authentifizierungs- und Identifikationsdaten organisiert und geschützt ist.

Um seine Identität nachzuweisen, muss das Subjekt eine der folgenden Entitäten vorweisen:

• bestimmte Informationen, die er kennt (persönliche Nummer, Passwort, spezieller kryptografischer Schlüssel usw.);
• bestimmte Sache, die er besitzt (persönliche Karte oder ein anderes Gerät mit ähnlichem Zweck);
• ein bestimmtes Ding, das ein Element seiner selbst ist (Fingerabdrücke, Stimme und andere biometrische Mittel zur Identifizierung und Authentifizierung von Benutzern).

Systemfunktionen

In einer offenen Netzwerkumgebung haben die Parteien keine vertrauenswürdige Route, was bedeutet, dass die von der Person übermittelten Informationen im Allgemeinen möglicherweise nicht mit den empfangenen und verwendeten Informationen übereinstimmenbeim Authentifizieren. Es ist erforderlich, um die Sicherheit des aktiven und passiven Abhörens des Netzwerks zu gewährleisten, dh den Schutz vor der Korrektur, dem Abfangen oder der Wiedergabe verschiedener Daten. Die Möglichkeit, Passwörter im Klartext zu übertragen, ist unbefriedigend, ebenso kann die Passwortverschlüsselung nicht retten, da sie keinen Schutz vor Nachahmung bietet. Aus diesem Grund werden heute komplexere Authentifizierungsprotokolle verwendet.

Eine zuverlässige Identifizierung ist nicht nur wegen verschiedener Online-Bedrohungen schwierig, sondern auch aus einer Vielzahl anderer Gründe. Zunächst einmal kann fast jede Authentifizierungseinheit gestohlen, gefälscht oder gefolgert werden. Es besteht auch ein gewisser Widerspruch zwischen der Zuverlässigkeit des verwendeten Systems einerseits und der Bequemlichkeit des Systemadministrators oder Benutzers andererseits. Daher ist es aus Sicherheitsgründen erforderlich, den Benutzer zu bitten, seine Authentifizierungsinformationen mit einiger Häufigkeit erneut einzugeben (da möglicherweise bereits eine andere Person an seiner Stelle sitzt), und dies verursacht nicht nur zusätzlichen Ärger, sondern erhöht auch die Möglichkeit, dass jemand die Eingabe von Informationen ausspionieren kann. Unter anderem wirkt sich die Zuverlässigkeit der Schutzausrüstung erheblich auf deren Kosten aus.

Moderne Identifikations- und Authentifizierungssysteme unterstützen das Konzept des Single-Sign-On am Netz, wodurch Sie vor allem die Anforderungen an den Benutzerkomfort erfüllen können. Wenn ein Standard-Unternehmensnetzwerk viele Informationsdienste hat,die Möglichkeit einer unabhängigen Behandlung vorsehen, dann wird die wiederholte Eingabe personenbezogener Daten zu lästig. Im Moment kann noch nicht gesagt werden, dass die Nutzung von Single Sign-On als normal angesehen wird, da sich die dominierenden Lösungen noch nicht herausgebildet haben.

Daher versuchen viele, einen Kompromiss zwischen Erschwinglichkeit, Komfort und Zuverlässigkeit der Mittel zu finden, die eine Identifizierung / Authentifizierung ermöglichen. Die Autorisierung der Benutzer erfolgt in diesem Fall nach individuellen Regeln.

Besonderes Augenmerk sollte darauf gelegt werden, dass der genutzte Dienst zum Ziel eines Verfügbarkeitsangriffs gewählt werden kann. Ist das System so konfiguriert, dass nach einer bestimmten Anzahl erfolgloser Versuche die Eingabemöglichkeit gesperrt wird, dann können Angreifer in diesem Fall mit wenigen Tastendrücken die Arbeit legaler Benutzer unterbinden.

Passwort-Authentifizierung

Der Hauptvorteil eines solchen Systems ist, dass es extrem einfach und den meisten vertraut ist. Passwörter werden seit langem von Betriebssystemen und anderen Diensten verwendet, und wenn sie richtig verwendet werden, bieten sie ein Sicherheitsniveau, das für die meisten Organisationen durchaus akzeptabel ist. Andererseits stellen solche Systeme, bezogen auf die Gesamtheit der Merkmale, das schwächste Mittel dar, mit dem eine Identifizierung / Authentisierung durchgeführt werden kann. Die Autorisierung wird in diesem Fall ganz einfach, da Passwörter sein müsseneinprägsam, aber gleichzeitig sind einfache Kombinationen nicht schwer zu erraten, insbesondere wenn eine Person die Vorlieben eines bestimmten Benutzers kennt.

Manchmal kommt es vor, dass Passwörter im Prinzip nicht geheim geh alten werden, da sie in bestimmten Dokumentationen ganz normale Werte haben und nicht immer nach der Installation des Systems geändert werden.

Wenn Sie das Passwort eingeben, können Sie sehen, und in einigen Fällen verwenden die Leute sogar spezielle optische Geräte.

Benutzer, die Hauptsubjekte der Identifizierung und Authentifizierung, können oft Passwörter mit Kollegen teilen, damit diese für eine bestimmte Zeit den Besitzer wechseln können. Theoretisch wäre es in solchen Situationen am besten, spezielle Zugriffskontrollen zu verwenden, aber in der Praxis wird dies von niemandem verwendet. Und wenn zwei Personen das Passwort kennen, erhöht sich die Wahrscheinlichkeit, dass andere irgendwann davon erfahren, erheblich.

Wie kann ich das beheben?

Es gibt mehrere Möglichkeiten, wie Identifikation und Authentifizierung gesichert werden können. Die informationsverarbeitende Komponente kann sich wie folgt absichern:

• Die Auferlegung verschiedener technischer Beschränkungen. Meistens werden Regeln für die Länge des Passworts sowie den Inh alt bestimmter Zeichen darin festgelegt.
• Verw altung des Ablaufs von Passwörtern, d. h. die Notwendigkeit, sie regelmäßig zu ändern.
• Einschränken des Zugriffs auf die Hauptkennwortdatei.
• Durch Begrenzung der Gesamtzahl der Fehlversuche, die bei der Anmeldung verfügbar sind. Dank anIn diesem Fall sollten Angreifer Aktionen nur vor der Identifizierung und Authentifizierung durchführen, da die Brute-Force-Methode nicht verwendet werden kann.
• Vorschulung der Benutzer.
• Verwenden Sie eine spezielle Passwort-Generator-Software, mit der Sie Kombinationen erstellen können, die wohlklingend und einprägsam genug sind.

Alle diese Maßnahmen können in jedem Fall angewendet werden, auch wenn neben Passwörtern auch andere Authentifizierungsmittel verwendet werden.

Einmalpasswörter

Die oben besprochenen Optionen sind wiederverwendbar, und wenn die Kombination aufgedeckt wird, erhält der Angreifer die Möglichkeit, bestimmte Operationen im Namen des Benutzers auszuführen. Aus diesem Grund werden Einmalpasswörter als stärkeres Mittel verwendet, das gegen die Möglichkeit des passiven Abhörens des Netzwerks resistent ist, wodurch das Identifikations- und Authentifizierungssystem viel sicherer, wenn auch nicht so bequem wird.

Derzeit ist einer der populärsten Softwaregeneratoren für Einmalpasswörter ein System namens S/KEY, herausgegeben von Bellcore. Das Grundkonzept dieses Systems besteht darin, dass es eine bestimmte Funktion F gibt, die sowohl dem Benutzer als auch dem Authentifizierungsserver bekannt ist. Das Folgende ist der geheime Schlüssel K, der nur einem bestimmten Benutzer bekannt ist.

Bei der erstmaligen Verw altung des Benutzers wird diese Funktion auf die Taste angewendeteine bestimmte Anzahl von Malen, danach wird das Ergebnis auf dem Server gespeichert. Das Authentifizierungsverfahren sieht in Zukunft so aus:

1. Eine Zahl kommt vom Server zum Benutzersystem, die um 1 kleiner ist als die Anzahl der Male, die die Funktion auf die Taste verwendet wird.
2. Der Benutzer verwendet die Funktion für den verfügbaren geheimen Schlüssel so oft, wie im ersten Absatz festgelegt, wonach das Ergebnis über das Netzwerk direkt an den Authentifizierungsserver gesendet wird.
3. Server wendet diese Funktion auf den empfangenen Wert an, wonach das Ergebnis mit dem zuvor gespeicherten Wert verglichen wird. Wenn die Ergebnisse übereinstimmen, wird der Benutzer authentifiziert und der Server speichert den neuen Wert und verringert dann den Zähler um eins.

In der Praxis ist die Umsetzung dieser Technologie etwas komplexer aufgebaut, aber im Moment nicht so wichtig. Da die Funktion irreversibel ist, selbst wenn das Passwort abgefangen oder ein unbefugter Zugriff auf den Authentifizierungsserver erlangt wird, bietet sie nicht die Möglichkeit, einen geheimen Schlüssel zu erh alten und in irgendeiner Weise vorherzusagen, wie das nächste Einmalpasswort konkret aussehen wird.

In Russland wird ein spezielles staatliches Portal als einheitlicher Dienst verwendet - das "Unified Identification / Authentication System" ("ESIA").

Ein weiterer Ansatz für ein starkes Authentifizierungssystem ist, in kurzen Abständen ein neues Passwort generieren zu lassen, was ebenfalls durch implementiert wirdVerwendung spezialisierter Programme oder verschiedener Chipkarten. In diesem Fall muss der Authentifizierungsserver den geeigneten Passwortgenerierungsalgorithmus sowie bestimmte damit verbundene Parameter akzeptieren, und außerdem muss es auch eine Synchronisation der Server- und Clientuhr geben.

Kerberos

Der Kerberos-Authentifizierungsserver erschien erstmals Mitte der 90er Jahre des letzten Jahrhunderts, aber seitdem hat er bereits eine Vielzahl grundlegender Änderungen erfahren. Derzeit sind einzelne Komponenten dieses Systems in fast jedem modernen Betriebssystem vorhanden.

Der Hauptzweck dieses Dienstes besteht darin, das folgende Problem zu lösen: Es gibt ein bestimmtes ungeschütztes Netzwerk, in dessen Knoten verschiedene Subjekte in Form von Benutzern sowie Server- und Client-Softwaresystemen konzentriert sind. Jedes solche Subjekt hat einen individuellen geheimen Schlüssel, und damit das Subjekt C die Möglichkeit hat, dem Subjekt S seine eigene Authentizität zu beweisen, ohne die es ihm einfach nicht dienen wird, muss es sich nicht nur selbst benennen, sondern auch um zu zeigen, dass er einen bestimmten geheimen Schlüssel kennt. Gleichzeitig hat C nicht die Möglichkeit, seinen geheimen Schlüssel einfach an S zu senden, da erstens das Netz offen ist und S ihn außerdem nicht kennt und im Prinzip auch nicht kennen sollte. In einer solchen Situation wird eine weniger einfache Technik verwendet, um die Kenntnis dieser Informationen zu demonstrieren.

Elektronische Identifizierung/Authentifizierung durch das Kerberos-System sorgt dafürVerwendung als vertrauenswürdiger Dritter, der über Informationen über die geheimen Schlüssel der bedienten Objekte verfügt und diese bei Bedarf bei der Durchführung der paarweisen Authentifizierung unterstützt.

Damit sendet der Kunde zunächst eine Anfrage an das System, die die notwendigen Informationen über ihn sowie über die angeforderte Dienstleistung enthält. Danach liefert ihm Kerberos eine Art Ticket, das mit dem geheimen Schlüssel des Servers verschlüsselt ist, sowie eine Kopie einiger Daten davon, die mit dem Schlüssel des Clients verschlüsselt ist. Im Falle einer Übereinstimmung steht fest, dass der Client die für ihn bestimmte Information entschlüsselt hat, also nachweisen konnte, dass er den geheimen Schlüssel wirklich kennt. Dies deutet darauf hin, dass der Kunde genau der ist, für den er sich ausgibt.

Hier ist besonders zu beachten, dass die Übertragung der geheimen Schlüssel nicht über das Netzwerk erfolgte, sondern ausschließlich zur Verschlüsselung diente.

Biometrische Authentifizierung

Biometrie umfasst eine Kombination automatisierter Mittel zur Identifizierung/Authentifizierung von Personen anhand ihrer Verh altens- oder physiologischen Merkmale. Physische Mittel zur Authentifizierung und Identifizierung umfassen die Überprüfung der Netzhaut und Hornhaut der Augen, Fingerabdrücke, Gesichts- und Handgeometrie und andere persönliche Informationen. Zu den Verh altensmerkmalen gehören der Stil der Tastaturarbeit und die Dynamik der Signatur. KombiniertMethoden sind die Analyse verschiedener Merkmale der Stimme einer Person sowie die Erkennung ihrer Sprache.

Solche Identifikations-/Authentifizierungs- und Verschlüsselungssysteme sind in vielen Ländern der Welt weit verbreitet, aber lange Zeit waren sie extrem teuer und schwierig zu bedienen. In jüngster Zeit ist die Nachfrage nach biometrischen Produkten aufgrund der Entwicklung des E-Commerce erheblich gestiegen, da es aus Sicht des Benutzers viel bequemer ist, sich zu präsentieren, als sich einige Informationen zu merken. Dementsprechend schafft Nachfrage Angebot, und so begannen relativ preiswerte Produkte auf dem Markt zu erscheinen, die sich hauptsächlich auf die Fingerabdruckerkennung konzentrieren.

In den allermeisten Fällen wird Biometrie in Kombination mit anderen Authentifikatoren wie Smartcards verwendet. Häufig ist die biometrische Authentifizierung nur die erste Verteidigungslinie und dient als Mittel zur Aktivierung von Smartcards, die verschiedene kryptografische Geheimnisse enth alten. Bei Verwendung dieser Technologie wird das biometrische Template auf derselben Karte gespeichert.

Die Aktivitäten auf dem Gebiet der Biometrie sind ziemlich hoch. Ein entsprechendes Konsortium existiert bereits, und es wird auch recht aktiv daran gearbeitet, verschiedene Aspekte der Technologie zu standardisieren. Heute sieht man viele Werbeartikel, in denen biometrische Technologien als ideales Mittel zur Erhöhung der Sicherheit und gleichzeitig für die breite Öffentlichkeit zugänglich dargestellt werden.die Massen.

ESIA

Das Identifikations- und Authentifizierungssystem ("ESIA") ist ein spezieller Dienst, der geschaffen wurde, um die Durchführung verschiedener Aufgaben im Zusammenhang mit der Überprüfung der Identität von Antragstellern und Teilnehmern an dienststellenübergreifenden Interaktionen im Falle der Bereitstellung von sicherzustellen alle kommunalen oder staatlichen Dienstleistungen in elektronischer Form.

Um Zugang zum "Einheitlichen Portal der Behörden" sowie zu allen anderen Informationssystemen der Infrastruktur des aktuellen E-Government zu erh alten, müssen Sie zunächst ein Konto registrieren und damit, erh alte ein PES.

Ebenen

Das Portal des einheitlichen Identifizierungs- und Authentifizierungssystems sieht drei Hauptebenen von Konten für Einzelpersonen vor:

• Vereinfacht. Um es zu registrieren, müssen Sie nur Ihren Nachnamen und Vornamen sowie einen bestimmten Kommunikationskanal in Form einer E-Mail-Adresse oder eines Mobiltelefons angeben. Dies ist die primäre Ebene, über die eine Person nur Zugang zu einer begrenzten Liste verschiedener öffentlicher Dienste sowie zu den Fähigkeiten bestehender Informationssysteme hat.
• Standard. Um es zu erh alten, müssen Sie zunächst ein vereinfachtes Konto ausstellen und dann zusätzliche Daten angeben, einschließlich Informationen aus dem Reisepass und der Nummer des persönlichen Versicherungskontos. Die angegebenen Informationen werden automatisch durch Informationssysteme überprüftPensionskasse sowie dem Bundesmigrationsdienst und bei erfolgreicher Prüfung wird das Konto auf die Standardstufe überführt, die dem Nutzer eine erweiterte Liste öffentlicher Dienstleistungen eröffnet.
• Bestätigt. Um diese Kontoebene zu erh alten, erfordert das einheitliche Identifizierungs- und Authentifizierungssystem, dass Benutzer über ein Standardkonto verfügen, sowie eine Identitätsprüfung, die durch einen persönlichen Besuch in einer autorisierten Servicefiliale oder durch den Erh alt eines Aktivierungscodes per Einschreiben durchgeführt wird. Falls die Identitätsüberprüfung erfolgreich ist, wird das Konto auf eine neue Ebene verschoben und der Benutzer hat Zugriff auf die vollständige Liste der erforderlichen Regierungsdienste.

Trotz der Tatsache, dass die Verfahren ziemlich kompliziert erscheinen mögen, können Sie sich direkt auf der offiziellen Website mit der vollständigen Liste der erforderlichen Daten vertraut machen, sodass eine vollständige Registrierung innerhalb weniger Tage durchaus möglich ist.