В настоящее время информационные технологии стали неотъемлемой частью всех сфер деятельности человека. Наравне с развитием технологий усиливаются и злоумышленные действия над информацией. Так как в информационных системах хранится и обрабатывается большой объем информации ограниченного доступа, очень остро стоит вопрос обеспечения безопасности этой информации [1, С. 42].
C помощью ИС решается множество задач, это и привело к разнородности информационных систем и хранящейся в них информации. Очень важно обеспечить информационную безопасность любой ИС.
Обеспечить информационную безопасность ИС – значит организовать комплексную систему защиты доступа к конфиденциальной информации системы, чтобы исключить попытки несанкционированного доступа (НСД) к данным. Поэтому в современных ИС перед началом работы с системой пользователь обязан пройти идентификацию, аутентификацию и авторизацию [2, С. 238]. Идентификация: субъект сообщает информацию о себе, идентифицируя себя (имя и др.). Аутентификация: система проверяет, действительно ли субъект тот, за кого себя выдает [3, С. 135]. Авторизация: система проверяет права пользователя на доступ к ресурсам [4, С. 127].
Процесс аутентификации является основой предоставления защищенного доступа, установления доверительных отношений между информационной системой и пользователем. Поэтому актуальным является исследование систем аутентификации.
В современных ИС существует достаточно большое количество разнообразных систем аутентификации, но в данной статье будет рассмотрено 6 основных и наиболее часто используемых систем:
I. Аутентификация при помощи электронно-цифровой подписи (ЭЦП) и интеллектуальных карт.
ЭЦП помещается на аппаратные средства (интеллектуальные карты) и используется в качестве средства аутентификации. Сервер распознает подписанный ЭЦП идентификатор (или PIN пользователя) на карте и проверяет ее, проводя аутентификацию пользователя.
II. Многоразовые пароли.
В большинстве случаев пароли могут обеспечить необходимый уровень защиты системы, но в крупных предприятиях (организациях) применение паролей в политике безопасности информационной системы недостаточно. Они не обеспечивают нужной защиты системы на этапе проверки подлинности сотрудника. Пароли зачастую создаются очень простыми и легко угадываемыми; их не хранят в тайне (могут быть указаны в документации, хранятся на рабочем столе сотрудника), при вводе пароля его могут подсмотреть и др.
III. Одноразовые пароли.
Этот метод более надежен, чем применение многоразовых паролей, но и в нем есть минус - он уязвим. Злоумышленник может прослушать трафик, при этом перехватив логин и одноразовый пароль, который был послан пользователем. Блокируя компьютер сотрудника, он отправляет полученные данные от своего имени.
IV. Биометрическая аутентификация
Аутентификация посредством биометрических данных является новым современным методом защиты доступа, который в дальнейшем будет только совершенствоваться. В свою очередь, биометрические системы доступа основаны на параметрах человека, которые всегда будут при нем, то есть проблема сохранности не возникает [5, С. 174].
Несмотря на то, что биометрическая аутентификация является сравнительно новой технологией распознавания личности, она не является совершенной. Как и другие способы идентификации/аутентификации, биометрический метод также подвержен угрозам. К примеру, к устройству сканирования биометрических данных можно легко поднести муляж (запись голоса, муляжи пальцев из баллистического геля и др.).
Однако, при компрометации систем аутентификации пароли, как одноразовые, так и многоразовые, можно сменить, цифровые сертификаты или USB-ключи можно аннулировать, но биометрику человек заменить не сможет. Поэтому если биометрические данные сотрудников будут скомпрометированы, то организация будет вынуждена производить полную модернизацию всей системы.
V. Аутентификация через географическое местоположение
Данный метод – новейшее направление аутентификации, которое устанавливает подлинность пользователя на основе его местонахождения. Этот механизм использует систему космической навигации – GPS (Global Positioning System): подсистема определяет с точностью до метра месторасположение пользователя.
Основным достоинством такого метода аутентификации является то, что аппаратура GPS надежна в использовании и относительно недорога. Ее использование необходимо в тех случаях, когда удаленный пользователь должен находиться в нужном месте для авторизации. Так как координаты спутников меняются постоянно, то вероятность перехвата этих координат равна нулю.
VI. Графическая аутентификация
Суть такой аутентификации заключается в том, что пользователю предоставляется несколько коллекций изображений, которые, в свою очередь, разбиты по темам. Пользователь должен выбрать определенный набор изображений, при этом введя дополнительный текстовый пароль (многоразовый).
Такая аутентификация устойчива к перехвату: программа – шпион не отследит ввод пароля с клавиатуры, так как существует еще графический пароль помимо текстового.
Для исследования систем аутентификации предлагается использовать следующие критерии:
1. Стоимость установки и обслуживания (К1) – это показатель затрат, который включает в себя затраченное время, усилия и средства администратора системы на её установку и обслуживание, а также время, затраченное пользователем на создание или изменения своей учётной записи.
2. Удобство использования (К2) – подразумевает простоту использования для пользователей, портативность систем аутентификации и универсальность.
3. Наличие открытого интерфейса (К3) – критерий отражает возможность интеграции и совместимости с уже существующими приложениями и для будущего использования для новых приложений.
4. Подверженность атакам (К4) – показатель, отражающий существующие уязвимости в реализации и конфигурации. Данный критерий можно разделить на три составляющие:
4.1. Возможность подмены (К4.1);
4.2. Возможность полного перебора (К4.2);
4.3. Возможность оптимизированного перебора (К4.3);
5. Возможность возникновения ошибок (К5) – подразумевает возможность системы аутентификации допускать ошибки, а именно: допустить к системе незарегистрированного пользователя и, наоборот, не допустить к системе зарегистрированного пользователя.
6. Требование наличия дополнительных программных и аппаратных средств (К6).
В таблице 1 представлено сравнение систем аутентификации.
Таблица 1
Качественные значения критериев
Система аутентификации |
Критерии оценки |
|||||||
К1 |
К2 |
К3 |
К4.1 |
К4.2 |
К4.3 |
К5 |
К6 |
|
ЭЦП и интеллектуаль-ные карты |
Высокая |
Среднее |
Да |
Да |
Нет |
Нет |
Нет |
Требуется |
Многоразовые пароли |
Низкая |
Среднее |
Нет |
Да |
Да |
Да |
Нет |
Не требуется |
Одноразовые пароли |
Низкая |
Низкое |
Нет |
Да |
Да |
Нет |
Нет |
Только ПО |
Биометрическая аутентификация |
Средняя |
Высокое |
Да |
Да |
Нет |
Нет |
Да |
Требуется АО |
Аутентификация через географическое местоположение |
Средняя |
Низкое |
Нет |
Да |
Нет |
Нет |
Да |
Требуется |
Графическая аутентификация |
Высокая |
Высокое |
Нет |
Нет |
Да |
Да |
Да |
Только ПО |
Так как ни одна из систем аутентификации не обладает наилучшим набором значений критериев, необходимо разработать формальную модель для выбора наиболее рациональной системы аутентификации.
Сформируем вектор критериев К = (К1, К2, К3, К4, К5, К6).
К1 – стоимость установки и обслуживания принимает следующие значения:
К2 – удобство использования принимает следующие значения:
- наличие открытого интерфейса принимает следующие значения:
- подверженность атакам будет рассчитываться по формуле (1).
, (1)
где
- возможность возникновения ошибок аутентификации принимает следующие значения:
К6 – требование наличия дополнительных программных и аппаратных средств принимает следующие значения:
Существует наилучший вектор , в котором все значения критериев соответствуют максимальным значениям. Для всех критериев это значение 1.
.
Для оценки качества систем аутентификации вводится скалярная величина, равная расстоянию городских кварталов, или «манхэттенскому расстоянию» между наилучшим вектором и вектором критериев, полученным для i-го оцениваемой системы:
«Манхэттенское расстояние» рассчитывается по формуле (2).
(2)
Систему, для которой расстояние до наилучшего вектора окажется наименьшим, можно считать наиболее рациональной системой аутентификации.
Применив формулу (2), получаем обобщенные оценки:
1. Аутентификация посредством электронно-цифровой подписи и интеллектуальных карт - 2,8333;
2. Аутентификация с использованием многоразовых паролей – 2,5;
3. Аутентификация с использованием одноразовых паролей - 3;
4. Биометрическая аутентификация – 2,5;
5. Аутентификация через географическое местоположение – 3,8333;
6. Графическая аутентификация – 4;
Рисунок 1 – Диаграмма обобщенных оценок систем аутентификации
Сравнив полученные результаты, можно прийти к выводу, что наиболее рациональными системами аутентификации является система с использованием многоразовых паролей и система биометрической аутентификации.
Достоинствами системы аутентификации с использованием многоразовых паролей являются низкая стоимость установки и обслуживания, отсутствие ошибок и отсутствие необходимости дополнительного аппаратного и программного обеспечения. Достоинствами системы биометрической аутентификации являются стойкость к атакам, высокое удобство использования для пользователей, совместимость и возможность к интеграции.
Библиографическая ссылка
Сухаревская Е.В. ИССЛЕДОВАНИЕ СИСТЕМ АУТЕНТИФИКАЦИИ // Международный студенческий научный вестник. – 2018. – № 1. ;URL: https://eduherald.ru/ru/article/view?id=18090 (дата обращения: 26.12.2024).