Интернет удостоверяването е

Удостоверяването е проверка на самоличността, представена от потребителя. Изисква се удостоверяване при достъп до интернет услуги като:

В зависимост от важността на ресурса могат да се използват различни методи за удостоверяване за достъп до него:

Съдържание

Класификация на методите за удостоверяване

В зависимост от степента на доверие, структурата, характеристиките на мрежата и отдалечеността на обекта, проверката може да бъде еднопосочна или взаимна. Има също еднофакторно и силно (криптографско) удостоверяване. От еднофакторните системи най-разпространени в момента са системите за автентификация с парола. Потребителят има ID и парола, т.е. секретна информация, известна само на потребителя (и евентуално на системата), която се използва за удостоверяване. В зависимост от изпълнението на системата, паролата може да бъде еднократна или многократна. Нека разгледаме основните методи за удостоверяване според принципа на нарастваща сложност.

Основно удостоверяване

При този тип удостоверяване потребителското име и паролата са включени в уеб заявката (HTTP POST или HTTP GET). Всеки, който прихване пакета, лесно ще разбере тайната информация. Дори ако ограниченото съдържание не е много важно, този метод е най-добре да не се използва, тъй като потребителят може да използва една и съща парола на множество уебсайтове. Проучванията на Sophos показват, че 41% през 2006 г. и 33% през 2009 г. от потребителите използват само една парола за всички свои онлайн дейности, независимо дали става въпрос за банков уебсайт или местен форум [1] [2] . Също така сред недостатъците на удостоверяването с парола трябва да се отбележи ниско ниво на сигурност - паролата може да бъде надникната, отгатната, отгатната,информиране на непознати и др.

Дайджест удостоверяване

Digest удостоверяване - удостоверяване, при което паролата на потребителя се предава в хеширана форма. Изглежда, че по отношение на нивото на поверителност на паролата този тип не се различава много от предишния, тъй като нападателят не се интересува дали наистина е истинска парола или просто хеш от нея: след като прихване съобщението, той все още получава достъп до крайната точка.Но това не е съвсем вярно- паролата винаги се хешира с добавяне на произволен символен низ, който се генерира отново за всяка връзка. По този начин при всяка връзка се генерира нов хеш на паролата и прихващането му няма да работи. За по-подробно описание на начина, по който работи, моля, вижте http://www.faqs.org/rfcs/rfc2617.html - RFC2617 - HTTP удостоверяване: Основно и обобщено удостоверяване на достъпа. Digest удостоверяването се поддържа от всички популярни сървъри и браузъри.

Удостоверяване на представяне на цифров сертификат

Механизмите за удостоверяване, използващи цифрови сертификати, обикновено използват протокол за предизвикателство и отговор. Сървърът за удостоверяване изпраща на потребителя поредица от знаци, така нареченото предизвикателство. Отговорът е заявка за сървър за удостоверяване, подписана с личния ключ на потребителя. Удостоверяването с публичен ключ се използва като защитен механизъм за удостоверяване в протоколи като SSL и може да се използва и като един от методите за удостоверяване в рамките на протоколите Kerberos и RADIUS.

Удостоверяване на бисквитки

Децентрализирано удостоверяване

Един от основните недостатъци на такива системи е, че хакването дава достъп до много услуги наведнъж.

Отворена децентрализирана система за удостоверяванепотребители. OpenID позволява на потребителя да има едно потребителско име и парола за различни уебсайтове. Сигурността се осигурява чрез подписване на съобщения. Прехвърлянето на ключове за цифров подпис се основава на използването на алгоритъма на Diffie-Hellman, възможен е и трансфер на данни чрез HTTPS. Възможни уязвимости на OpenID:

  • податливи на фишинг атаки. Например измамнически сайт може да пренасочи потребителя към фалшив сайт на доставчик на OpenID, който ще поиска от потребителя да въведе своите тайни потребителско име и парола.
  • уязвим за атака на човек в средата

OpenID удостоверяването вече се използва активно и се предоставя от такива гиганти като BBC [6] , Google [7] , IBM, Microsoft [8] MySpace, PayPal, VeriSign, Yandex и Yahoo! [9] [10] [11]

OpenAuth[12]

Използва се за удостоверяване на потребители на AOL към уебсайтове. Позволява им да използват AOL услуги, както и всяка друга надградена над тях. Позволява ви да се удостоверявате в сайтове, които не са на AOL, без да се налага да създавате нов потребител на всеки сайт. Протоколът функционира по начин, подобен на OpenID [13] . Взети са и допълнителни мерки за сигурност:

  • данните за сесиите (включително потребителска информация) не се съхраняват в бисквитки.
  • бисквитките за удостоверяване са криптирани с алгоритъма „PBEWithSHAAnd3-KeyTripleDES-CBC“
  • достъпът до бисквитките за удостоверяване е ограничен до конкретен домейн, така че други сайтове да нямат достъп до тях (включително AOL сайтове)

OAuth позволява на потребителя да разреши на една интернет услуга достъп до потребителски данни на друга интернет услуга [14] . Протоколът се използва в системи като Twitter [15] , Google [16] (Google също поддържа хибриден протокол,комбиниране на OpenID и OAuth)

Проследяване на автентикацията от потребителя

Многофакторно удостоверяване

За повишаване на сигурността на практика се използват няколко фактора за удостоверяване наведнъж. Важно е обаче да се разбере, че не всяка комбинация от няколко метода е многофакторно удостоверяване. Използват се различни фактори:

  • Имот, който дадено предприятие притежава. Например биометрични данни, естествени уникални различия: лице, пръстови отпечатъци, ирис, капилярни модели, ДНК последователност.
  • Знанието е информация, която субектът знае. Например парола, пин код.
  • Притежанието е нещо, което субектът притежава. Например електронна или магнитна карта, флаш памет.

Използването на класически „многократно използвани“ пароли е сериозна уязвимост при работа от компютри на други хора, например в интернет кафе. Това накара водещите производители на пазара за удостоверяване да създадат хардуерно базирани генератори на еднократни пароли. Такива устройства генерират следващата парола или по график (например на всеки 30 секунди), или при поискване (чрез натискане на бутон). Всяка такава парола може да се използва само веднъж. Проверката на коректността на въведената стойност от страна на сървъра се проверява от специален сървър за удостоверяване, който изчислява текущата стойност на еднократната парола програмно. За да се запази принципът на двуфакторната автентификация, в допълнение към стойността, генерирана от устройството, потребителят въвежда постоянна парола.