Identificação e autenticação: conceitos básicos

2024 Autor: Howard Calhoun | [email protected]. Última modificação: 2023-12-17 10:38

Identificação e autenticação são a base das modernas ferramentas de segurança de software e hardware, uma vez que quaisquer outros serviços são projetados principalmente para atender essas entidades. Esses conceitos representam uma espécie de primeira linha de defesa que garante a segurança do espaço informacional da organização.

O que é isso?

Identificação e autenticação têm funções diferentes. A primeira dá ao sujeito (o usuário ou processo agindo em seu nome) a oportunidade de fornecer seu próprio nome. Com a ajuda da autenticação, a segunda parte está finalmente convencida de que o sujeito realmente é quem afirma ser. Identificação e autenticação são frequentemente substituídas pelas frases "mensagem de nome" e "autenticação" como sinônimos.

Eles mesmos são divididos em várias variedades. A seguir, veremos o que são identificação e autenticação e o que são.

Autenticação

Este conceito prevê dois tipos: unilateral, quando o clientedeve primeiro comprovar sua autenticidade ao servidor, e bidirecional, ou seja, quando está sendo realizada a confirmação mútua. Um exemplo padrão de como a identificação e autenticação de usuário padrão é realizada é o procedimento para efetuar login em um sistema específico. Assim, diferentes tipos podem ser usados em diferentes objetos.

Em um ambiente de rede onde a identificação e autenticação do usuário são realizadas em lados geograficamente dispersos, o serviço em questão difere em dois aspectos principais:

• que atua como autenticador;
• como exatamente a troca de dados de autenticação e identificação foi organizada e como ela é protegida.

Para comprovar sua identidade, o sujeito deve apresentar uma das seguintes entidades:

• certas informações que ele conhece (número pessoal, senha, chave criptográfica especial, etc.);
• certa coisa que ele possui (cartão pessoal ou algum outro dispositivo com finalidade semelhante);
• uma certa coisa que é um elemento de si mesma (impressões digitais, voz e outros meios biométricos de identificação e autenticação de usuários).

Recursos do Sistema

Em um ambiente de rede aberta, as partes não possuem uma rota confiável, o que significa que, em geral, as informações transmitidas pelo sujeito podem acabar não correspondendo às informações recebidas e utilizadasao autenticar. É necessário garantir a segurança da escuta ativa e passiva da rede, ou seja, proteção contra a correção, interceptação ou reprodução de diversos dados. A opção de transmitir senhas em texto simples é insatisfatória e, da mesma forma, a criptografia de senhas não pode salvar o dia, pois não oferece proteção contra reprodução. É por isso que protocolos de autenticação mais complexos são usados hoje.

A identificação confiável é difícil não apenas por causa de várias ameaças online, mas também por vários outros motivos. Em primeiro lugar, quase qualquer entidade de autenticação pode ser roubada, forjada ou inferida. Há também certa contradição entre a confiabilidade do sistema utilizado, por um lado, e a conveniência do administrador ou usuário do sistema, por outro. Assim, por razões de segurança, é necessário solicitar ao usuário que reinsira suas informações de autenticação com alguma frequência (já que alguma outra pessoa já pode estar sentada em seu lugar), e isso não apenas cria problemas adicionais, mas também aumenta significativamente a chance de que alguém possa espionar a entrada de informações. Entre outras coisas, a confiabilidade do equipamento de proteção afeta significativamente seu custo.

Os sistemas modernos de identificação e autenticação suportam o conceito de single sign-on para a rede, que permite principalmente atender aos requisitos em termos de conveniência do usuário. Se uma rede corporativa padrão tiver muitos serviços de informação,prevendo a possibilidade de tratamento independente, a introdução repetida de dados pessoais torna-se demasiado onerosa. No momento, ainda não se pode dizer que o uso de single sign-on é considerado normal, pois as soluções dominantes ainda não se formaram.

Assim, muitos estão tentando encontrar um compromisso entre acessibilidade, conveniência e confiabilidade dos meios que fornecem identificação/autenticação. A autorização de usuários neste caso é realizada de acordo com regras individuais.

Especial atenção deve ser dada ao fato de que o serviço utilizado pode ser escolhido como objeto de um ataque de disponibilidade. Se o sistema estiver configurado de tal forma que, após um certo número de tentativas malsucedidas, a capacidade de entrar seja bloqueada, nesse caso, os invasores poderão interromper o trabalho de usuários legais com apenas algumas teclas.

Autenticação por senha

A principal vantagem de tal sistema é que ele é extremamente simples e familiar para a maioria. As senhas são usadas por sistemas operacionais e outros serviços há muito tempo e, quando usadas corretamente, fornecem um nível de segurança bastante aceitável para a maioria das organizações. Mas por outro lado, em termos do conjunto total de características, tais sistemas representam o meio mais fraco pelo qual a identificação/autenticação pode ser realizada. A autorização neste caso torna-se bastante simples, pois as senhas devem sermemorável, mas ao mesmo tempo combinações simples não são difíceis de adivinhar, especialmente se uma pessoa conhece as preferências de um determinado usuário.

Às vezes acontece que as senhas, em princípio, não são mantidas em segredo, pois possuem valores bastante padronizados especificados em determinada documentação, e nem sempre após a instalação do sistema, elas são alteradas.

Ao digitar a senha, você pode ver e, em alguns casos, as pessoas até usam dispositivos ópticos especializados.

Usuários, os principais sujeitos de identificação e autenticação, muitas vezes podem compartilhar senhas com colegas para que eles mudem de propriedade por um certo tempo. Em teoria, em tais situações seria melhor usar controles de acesso especiais, mas na prática isso não é usado por ninguém. E se duas pessoas souberem a senha, isso aumenta muito as chances de que outras pessoas acabem descobrindo.

Como corrigir isso?

Existem vários meios de como a identificação e autenticação podem ser seguras. O componente de processamento de informações pode se proteger da seguinte forma:

• A imposição de várias restrições técnicas. Na maioria das vezes, as regras são definidas para o comprimento da senha, bem como o conteúdo de certos caracteres nela.
• Gerenciamento da expiração de senhas, ou seja, a necessidade de alterá-las periodicamente.
• Restringindo o acesso ao arquivo de senha principal.
• Limitando o número total de tentativas com falha disponíveis no login. Graças aNesse caso, os invasores devem apenas realizar ações antes de realizar a identificação e autenticação, pois o método de força bruta não pode ser usado.
• Pré-treinamento dos usuários.
• Usando um software gerador de senha especializado que permite criar combinações que são eufônicas e memoráveis o suficiente.

Todas essas medidas podem ser usadas em qualquer caso, mesmo que outros meios de autenticação sejam usados juntamente com senhas.

Senhas de uso único

As opções discutidas acima são reutilizáveis e, se a combinação for revelada, o invasor terá a oportunidade de realizar determinadas operações em nome do usuário. É por isso que as senhas descartáveis são usadas como um meio mais forte, resistente à possibilidade de escuta passiva da rede, graças ao qual o sistema de identificação e autenticação se torna muito mais seguro, embora não tão conveniente.

No momento, um dos softwares geradores de senha de uso único mais populares é um sistema chamado S/KEY, lançado pela Bellcore. O conceito básico deste sistema é que existe uma determinada função F que é conhecida tanto pelo usuário quanto pelo servidor de autenticação. A seguir está a chave secreta K, que é conhecida apenas por um determinado usuário.

Durante a administração inicial do usuário, esta função é utilizada para a teclaum certo número de vezes, após o que o resultado é salvo no servidor. No futuro, o procedimento de autenticação ficará assim:

1. Um número chega ao sistema do usuário do servidor, que é 1 a menos que o número de vezes que a função é usada para a tecla.
2. O usuário usa a função para a chave secreta disponível o número de vezes que foi definido no primeiro parágrafo, após o qual o resultado é enviado via rede diretamente para o servidor de autenticação.
3. Server usa esta função para o valor recebido, após o qual o resultado é comparado com o valor salvo anteriormente. Se os resultados corresponderem, o usuário será autenticado e o servidor salvará o novo valor e diminuirá o contador em um.

Na prática, a implementação desta tecnologia tem uma estrutura um pouco mais complexa, mas no momento não é tão importante. Como a função é irreversível, mesmo que a senha seja interceptada ou obtido acesso não autorizado ao servidor de autenticação, ela não fornece a capacidade de obter uma chave secreta e de qualquer forma prever como será a próxima senha descartável especificamente.

Na Rússia, um portal estadual especial é usado como um serviço unificado - o "Sistema Unificado de Identificação / Autenticação" ("ESIA").

Outra abordagem para um sistema de autenticação forte é ter uma nova senha gerada em intervalos curtos, que também é implementado por meio deuso de programas especializados ou vários cartões inteligentes. Nesse caso, o servidor de autenticação deve aceitar o algoritmo de geração de senha apropriado, bem como determinados parâmetros associados a ele, e além disso, deve haver sincronização de relógio do servidor e do cliente.

Kerberos

O servidor de autenticação Kerberos apareceu pela primeira vez em meados dos anos 90 do século passado, mas desde então já recebeu um grande número de mudanças fundamentais. No momento, componentes individuais deste sistema estão presentes em quase todos os sistemas operacionais modernos.

O principal objetivo deste serviço é resolver o seguinte problema: existe uma certa rede desprotegida, e vários assuntos estão concentrados em seus nós na forma de usuários, bem como sistemas de software servidor e cliente. Cada sujeito tem uma chave secreta individual, e para que o sujeito C tenha a oportunidade de provar sua própria autenticidade ao sujeito S, sem a qual ele simplesmente não o servirá, ele precisará não apenas se nomear, mas também para mostrar que ele conhece uma certa chave secreta. Ao mesmo tempo, C não tem a oportunidade de simplesmente enviar sua chave secreta para S, pois, em primeiro lugar, a rede é aberta e, além disso, S não a conhece e, em princípio, não deveria conhecê-la. Em tal situação, uma técnica menos direta é usada para demonstrar o conhecimento dessas informações.

Identificação/autenticação eletrônica através do sistema Kerberos prevê issouse como um terceiro confiável que tem informações sobre as chaves secretas dos objetos servidos e, se necessário, os auxilia na condução da autenticação em pares.

Assim, o cliente primeiro envia uma solicitação ao sistema, que contém as informações necessárias sobre ele, bem como sobre o serviço solicitado. Depois disso, o Kerberos fornece a ele uma espécie de ticket, que é criptografado com a chave secreta do servidor, bem como uma cópia de alguns dados dele, que é criptografado com a chave do cliente. Em caso de coincidência, verifica-se que o cliente descriptografou a informação que lhe era destinada, ou seja, conseguiu demonstrar que realmente conhece a chave secreta. Isso sugere que o cliente é exatamente quem afirma ser.

Atenção especial deve ser dada ao fato de que a transferência de chaves secretas não foi realizada pela rede, e elas foram usadas exclusivamente para criptografia.

Autenticação biométrica

A biometria envolve uma combinação de meios automatizados de identificação/autenticação de pessoas com base em suas características comportamentais ou fisiológicas. Os meios físicos de autenticação e identificação incluem a verificação da retina e da córnea dos olhos, impressões digitais, geometria do rosto e da mão e outras informações pessoais. As características comportamentais incluem o estilo de trabalhar com o teclado e a dinâmica da assinatura. Combinadométodos são a análise de várias características da voz de uma pessoa, bem como o reconhecimento de sua fala.

Tais sistemas de identificação/autenticação e criptografia são amplamente utilizados em muitos países ao redor do mundo, mas por muito tempo foram extremamente caros e difíceis de usar. Recentemente, a demanda por produtos biométricos aumentou significativamente devido ao desenvolvimento do comércio eletrônico, pois, do ponto de vista do usuário, é muito mais conveniente apresentar-se do que memorizar alguma informação. Assim, a demanda cria oferta, então produtos relativamente baratos começaram a aparecer no mercado, focados principalmente no reconhecimento de impressões digitais.

Na grande maioria dos casos, a biometria é usada em combinação com outros autenticadores, como cartões inteligentes. Muitas vezes, a autenticação biométrica é apenas a primeira linha de defesa e atua como um meio de ativar cartões inteligentes que incluem vários segredos criptográficos. Ao usar essa tecnologia, o modelo biométrico é armazenado no mesmo cartão.

A atividade no campo da biometria é bastante elevada. Já existe um consórcio apropriado e também está sendo realizado um trabalho bastante ativo para padronizar vários aspectos da tecnologia. Hoje você pode ver muitos artigos publicitários nos quais as tecnologias biométricas são apresentadas como um meio ideal para aumentar a segurança e ao mesmo tempo acessíveis ao público em geral.as massas.

ESIA

O Sistema de Identificação e Autenticação ("ESIA") é um serviço especial criado com o intuito de assegurar a execução das diversas tarefas relacionadas com a verificação da identidade dos requerentes e participantes na interação interdepartamental no caso de prestação de quaisquer serviços municipais ou estaduais em formato eletrônico.

Para ter acesso ao "Portal Único de Órgãos Governamentais", bem como a quaisquer outros sistemas de informação da infraestrutura do atual governo eletrônico, é necessário primeiro registrar uma conta e, como resultado, receba um PES.

Níveis

O portal do sistema unificado de identificação e autenticação oferece três níveis principais de contas para pessoas físicas:

• Simplificado. Para registrá-lo, basta indicar seu sobrenome e nome, bem como algum canal de comunicação específico na forma de endereço de e-mail ou telefone celular. Este é o nível primário, através do qual uma pessoa tem acesso apenas a uma lista limitada de vários serviços públicos, bem como às capacidades dos sistemas de informação existentes.
• Padrão. Para obtê-lo, primeiro você precisa emitir uma conta simplificada e, em seguida, fornecer dados adicionais, incluindo informações do passaporte e o número da conta pessoal individual do seguro. As informações especificadas são verificadas automaticamente através de sistemas de informaçãoFundo de Pensão, bem como o Serviço Federal de Migração, e se o cheque for aprovado, a conta é transferida para o nível padrão, o que abre uma extensa lista de serviços públicos ao usuário.
• Confirmado. Para obter este nível de conta, o sistema unificado de identificação e autenticação exige que os usuários tenham uma conta padrão, bem como a verificação de identidade, que é realizada por meio de uma visita pessoal a uma agência de atendimento autorizada ou pela obtenção de um código de ativação via carta registrada. Caso a verificação de identidade seja bem-sucedida, a conta passará para um novo nível e o usuário terá acesso à lista completa de serviços governamentais necessários.

Apesar do fato de que os procedimentos podem parecer bastante complicados, na verdade, você pode se familiarizar com a lista completa de dados necessários diretamente no site oficial, portanto, um registro completo é possível em poucos dias.