средства аутентификации

Ответ от Alexey Khoroshev[гуру]
Что такое аутентификация? Профессионалы определяют аутентификацию как «процесс подтверждения правильности требуемой идентичности» .
Иными словами, аутентификация – процесс, где лицо обеспечивает доказательство того, что оно является тем, за кого себя выдает. Во многих случаях целесообразно выделить идентификацию и аутентификацию в два отдельных процесса, происходящих на разных уровнях. Тем не менее, чтобы лучше разобраться в видах аутентификации, будем считать, что оба этих процесса осуществляются на одном уровне.
Сначала определимся с тем, что такое идентификация и насколько это однозначное понятие. В том контексте, в котором мы рассматриваем безопасность доступа к данным, существуют два вида идентификации объекта:
• определение настоящей identity, т. е. кто или что такое объект на самом деле, в реальной жизни;
• определение электронной identity, т. е. подлинности того, кто произвел те данные, к которым должен быть получен доступ.
Если говорить о реальной ситуации, то сегодня любой человек имеет гораздо больше двух электронных «сущностей» : например, все мы имеем несколько адресов электронной почты – для рабочей переписки (корпоративный e-mail), какой-нибудь бесплатный почтовый аккаунт, свой номер в ICQ и пр. Жизненно важно использовать каждую электронную «сущность» персоны в соответствии с теми задачами, для которых она была создана: вести рабочую переписку только с рабочего электронного адреса, отвечать малознакомым друзьям по переписке с бесплатного аккаунта и т. д. Это делает процесс идентификации электронной личности логичным: моя цифровая подпись однозначно сопоставляет мою электронную «сущность» тем данным, что я произвел. Сопоставление реальной identity персоны и электронной происходит во время ввода логина и пароля на сервер электронной почты, при использовании SecurID или смарт-карт. Именно так и происходит аутентификация.
Профессионалы информационной безопасности выделяют три основных способа аутентификации:
• аутентификация по фактору собственности, или, проще, «то, что у меня есть с собой» : кредитная карта, магнитный пропуск и пр. ;
• аутентификация по фактору индивидуального знания – «то, что я знаю» : пароли, PIN-коды, номера карточки социального страхования и пр. ;
• аутентификация по биометрическому фактору – «то, что я есть на самом деле» : отпечатки пальцев, голосовые метки и пр.
Аутентификация, базирующаяся на методе собственности, наиболее уязвима для взлома со стороны злоумышленников: кредитные карточки и иные предметы аутентификации могут быть утеряны или похищены. Обычно такой тип аутентификации стараются комбинировать с каким-то вторичным способом, например подписью.
При аутентификации по методу индивидуального знания даже неспециалист может назвать явные угрозы, которые сразу приходят на ум: пароль можно по ошибке кому-нибудь назвать, записать на бумаге и утерять ее и т. д. Специалист пойдет дал средства коммуникации и там узнать интересующую информацию, а также использовать для взлома пароля программные и аппаратные средства.
В конце концов человека можно запугать – это самый чудовищный, но банальный способ узнать пароль.
Итак, что же у нас остается? Биометрика. Биометрические методы аутентификации многие специалисты считают сегодня самыми надежными по уровню безопасности. Однако биометрика пока достаточно дорогое удовольствие. Тем не менее по статистике в настоящее время биометрические методы аутентификации применяются там, где цена взлома слишком велика: корпоративный сегмент с высоким уровнем защиты – учреждения, ведающие государственной тайной, финансами и т. д. В частном секторе, где принято считать каждый рубль и – что греха таить – экономить на безопасности, пока используются первые два метода.
Как вы могли убедиться, у каждого метода аутентификации при явных преимуществах есть очевидные недостатки. Такая ситуация диктует потребителю и специалистам по информационной безопасности вывод: комбинируйте!
Источник: Полностью: