Автентифікàція (англ. Authentication) — це перевірка достовірності пред'явленого користувачем ідентифікатора.
Автентифікація в веб
Автентифікація вимагається при доступі до таких , як:
- електронна пошта;
- вебфоруми;
- соціальні мережі;
- інтернет-банкінг;
- платіжні системи;
- ;
- інтернет-магазини.
Позитивним результатом автентифікації є авторизація користувача, тобто надання йому прав доступу до ресурсів, визначених для виконання його завдань. Залежно від важливості ресурсу, для доступу до нього можуть застосовуватися різні методи автентифікації.
Класифікація методів автентифікації
Залежно від міри довірчих стосунків, структури, особливостей мережі і віддаленості об'єкта перевірка може бути односторонньою або взаємною. Також розрізняють однофакторну і строгу (двофакторну) автентифікації. В однофакторних системах, найпоширенішими в цей час є парольні системи автентифікації.
У користувача є ідентифікатор і пароль, тобто секретна інформація, відома тільки користувачеві (і можливо — системі), яка використовується для проходження автентифікації. Залежно від реалізації системи, пароль може бути одноразовим або багаторазовим. Далі розглянуто основні методи автентифікації за принципом наростаючої складності.
Базова автентифікація
Базова автентифікація — найпростіший спосіб обмеження доступу до . Основна перевага — простота реалізації і використання. Однак, разом з перевагою, цей засіб автентифікації отримав і цілий ряд недоліків. Механізм автентифікації включається в той момент, коли браузер запрошує у сервера захищений документ, не надаючи при цьому даних для ідентифікації. У відповідь на такий запит сервер посилає заголовок:
401 Unauthorized
і пропонує спосіб для ідентифікації.
Бачачи подібну відповідь, браузер формує вікно, в якому пропонується ввести ім'я користувача і пароль. Після введення своїх даних, браузер відправляє новий запит на сервер, в який він додає рядок для автентифікації.
Персональні дані не передаються в явному вигляді. Вони кодуються за технологією Base64. З одного боку це виглядає досить безпечним, але з іншого, для розкодування такого рядка, необхідно скористатися однією функцією. Ця функція включена, у різноманітні мови програмування.
У механізму базової автентифікації існує цілий ряд особливостей. Перш за все це браузером. Робиться це для «полегшення» роботи користувача, немає необхідності повторно вводити свої дані, з іншого боку це може призвести до перехоплення персональних даних. Робота IIS з базовою автентифікацією, теж не проста. За стандартом потрібно, щоб у системі був зареєстрований користувач, з таким же ім'я користувача і паролем, і з правами на вхід в систему. Так само варто відзначити простоту роботи базової автентифікації з проксі-серверами. Завдяки простоті, вона легко проходить через проксі-сервер.
Дайджест автентифікація
Дайджест автентифікація є просунутішим і складнішим видом автентифікації, ніж базова автентифікація. Головною відмінністю тут є те, що логін-пароль користувача пересилаються через мережу не у відкритому виді, а шифруються за алгоритмом MD5 (хешуються). Налаштування дайджест автентифікації схоже на налаштування базової автентифікації. Основні кроки залишаються колишніми:
- створити файл з паролями;
- прописати ресурс, що захищається, в конфігурацію Apache (у файлі httpd.conf або у файлі .htaccess);
- створити файл для роботи з групами і настроїти груповий доступ (цей пункт не є обов'язковим).
Дайджест-автентифікація підтримується всіма популярними серверами й браузерами.
HTTPS
Протокол HTTPS дозволяє шифрувати усі дані, що передаються між браузером і сервером, а не тільки імена користувачів і паролі. Власне кажучи, HTTPS не є окремим протоколом, але є комбінацією нормальної взаємодії HTTP через SSL або TLS. Це гарантує помірний захист від підслухування і від атаки «людина-посередині».
Типовим TCP портом HTTPS є 443 (для HTTP типове значення 80).
Щоб підготувати вебсервер для прийняття https транзакцій адміністратор повинен створити сертифікат з відкритим ключем для вебсервера. Цей сертифікат повинен бути підписаним уповноваженим на видачу сертифікатів який засвідчує, що власник сертифікату — той самий, що стверджується у сертифікаті.
браузери розповсюджуються з сертифікатами уповноважених на видачу сертифікатів верхнього рівня, таким чином браузери можуть перевірити сертифікати підписані ними. Організації можуть також мати їх власні уповноважені на видачу сертифікатів, особливо якщо вони відповідальні за конфігурацію браузерів, що мають доступ до їхніх власних сайтів, оскільки вони можуть тривіально додати свого власного сертифіката до браузера. Деякі сайти використовують самостійно підписані сертифікати. Їхнє використання забезпечує захист проти підслуховування, але є ризик атаки «людина-посередині».
Система може також використовуватися для клієнтської автентифікації, для того, щоб дозволяти доступ до вебсервера тільки зареєстрованим користувачам. Для цього адміністратор сайту створює сертифікати для кожного користувача, які завантажуються в їхній браузер. Ці сертифікати звичайно містять ім'я і електронну пошту зареєстрованого користувача і автоматично перевіряються сервером при кожному повторному підключенні. Введення паролю не потрібне. Рівень захисту залежить від коректності запровадження браузерного і серверного програмного забезпечення і підтримуваних криптографічних алгоритмів.
Автентифікація по пред'явленню цифрового сертифікату
Механізми автентифікації із застосуванням цифрових сертифікатів, як правило, використовують протокол із запитом і відповіддю. Сервер автентифікації відправляє користувачеві послідовність символів, так званий запит. Відповіддю виступає запит сервера автентифікації, підписаний за допомогою закритого ключа користувача.
Автентифікація з відкритим ключем використовується як захищений механізм автентифікації в таких протоколах як SSL. Вона також може використовуватися як один з методів автентифікації у рамках протоколів Kerberos і RADIUS.
Використання смарт-карток та USB-ключів
Не зважаючи на те, що криптографія з відкритим ключем згідно зі специфікацією Х.509 може забезпечувати строгу автентифікацію користувача, сам по собі незахищений закритий ключ подібний до паспорта без фотографії. Закритий ключ, що зберігається на твердому диску комп'ютера власника, уразливий відносно прямих і мережевих атак. Досить підготовлений зловмисник може викрасти персональний ключ користувача і за допомогою цього ключа представлятися цим користувачем. Захист ключа за допомогою пароля допомагає, але недостатньо ефективно — паролі уразливі відносно багатьох атак. Поза сумнівом, вимагається безпечніше сховище. Смарт-картки — пластикові картки стандартного розміру банківської картки, що мають вбудовану мікросхему. Вони знаходять усе ширше застосування в різних областях, від систем накопичувальних знижок до кредитних і дебетових карток, студентських квитків і телефонів стандарту GSM.
Для використання смарт-карток в комп'ютерних системах потрібний пристрій читання смарт-карток. Незважаючи на назву — пристрій, більшість подібних крайових пристроїв, або пристроїв сполучення (IFD), здатні як прочитувати, так і записувати інформацію, якщо дозволяють можливості смарт-картки та права доступу. Пристрої читання смарт-карток можуть підключатися до комп'ютера за допомогою послідовного порту, слоту PCMCIA або USB. Пристрій читання смарт-карток також може бути вбудований в клавіатуру. Як правило, для доступу до захищеної інформації, що зберігається в пам'яті смарт-картки, вимагається пароль, званий PIN-кодом.
USB-ключі досить привабливі, оскільки USB став стандартним портом для підключення периферійних пристроїв і організації не потрібно купувати для користувачів спеціальні зчитувачі. Автентифікацію на основі смарт-карток і USB-ключів найскладніше обійти, оскільки використовується унікальний фізичний об'єкт, яким повинна володіти людина, щоб увійти до системи. На відміну від паролів, власник швидко дізнається про крадіжку і може відразу прийняти необхідні заходи для запобігання її негативним наслідкам. Крім того, реалізується двохфакторна автентифікація.
Мікропроцесорні смарт-картки і USB-ключі можуть підвищити надійність служб: смарт-картка може використовуватися для безпечного зберігання закритих ключів користувача, а також для безпечного виконання криптографічних перетворень. Безумовно, ці пристрої автентифікації не забезпечують абсолютну безпеку, але надійність їхнього захисту набагато перевершує можливості звичайного настільного комп'ютера.
Для зберігання і використання закритого ключа розробники використовують різні підходи. Найпростіший з них — використання пристрою автентифікації як захищеного носія автентифікаційної інформації: при необхідності картка експортує закритий ключ, і криптографічні операції здійснюються на робочій станції. Цей підхід є не найдосконалішим з точки зору безпеки, зате що відносно легко реалізовується і пред'являє невисокі вимоги до пристрою автентифікації. Два інші підходи безпечніші, оскільки припускають виконання пристроєм автентифікації криптографічних операції. При першому користувач генерує ключі на робочій станції і зберігає їх у пам'яті пристрою. При другому користувач генерує ключі за допомогою пристрою. У обох випадках, після того, як закритий ключ збережений, його не можна витягнути з пристрою і отримати будь-яким іншим способом.
Автентифікація за допомогою Cookies
Безліч різних сайтів використовують як засіб автентифікації cookies, до них належать чати, форуми, ігри. Якщо cookie вдасться викрасти, то, підробивши його, можна автентифікуватись замість іншого користувача.
У разі, коли дані, що вводяться, погано фільтруються або не фільтруються зовсім, викрасти cookies стає не дуже складно. Щоб якось поліпшити ситуації використовується захист за IP-адресою, тобто cookies сесії зв'язуються з IP-адресою, з якого спочатку користувач авторизувався в системі. Проте IP-адресу можна підробити використовуючи IP-спуфінг, тому сподіватися на абсолютний захист за IP-адресою теж не можна.
Механізм використання cookies наступний:
- користувач вводить ім'я користувача і пароль в текстових полях сторінки входу і відправляє їх на сервер;
- сервер отримує ім'я користувача і пароль, перевіряє їх і, при їхній правильності, відправляє сторінку успішного входу, прикріпивши cookies з деяким ідентифікатором сесії. Ці cookies можуть бути дійсними тільки для поточної сесії браузера, але можуть бути налагоджені і на тривале зберігання;
- щоразу, коли користувач запрошує сторінку з сервера, браузер автоматично відправляє cookies з ідентифікатором сесії серверу. Сервер перевіряє ідентифікатор у своїй базі ідентифікаторів і, за наявності в базі такого ідентифікатора, «пізнає» користувача.
Цей метод широко використовується на багатьох сайтах, наприклад на Yahoo, у Вікіпедії, в Facebook.
Багато браузерів (зокрема Opera, FireFox), шляхом редагування властивостей cookies, можуть управляти поведінкою вебсайтів. Змінивши термін використання непостійних (сесійних) cookies можна, наприклад, отримати формально-необмежену сесію після авторизації на якому-небудь сайті. Скориставшись такими механізмами, наприклад як JavaScript, користувач може змінити файл cookies. Більше того, існує можливість замінити сесійних cookies — постійними (з вказанням терміну придатності). У цей час більшість браузерів використовують cookies з прапором HTTPonly, який забороняє доступ до cookies різним скриптам.
Децентралізована автентифікація
Виділяють такі види децентралізованої автентифікації:
- OpenID. Відкрита децентралізована система автентифікації користувачів. OpenID дозволяє користувачеві мати один логін-пароль для різних вебсайтів. Безпека забезпечується підпискою повідомлень. Передача ключа для цифрового підпису заснована на використанні алгоритму Діффі — Хеллмана, також можлива передача даних за HTTPS. Можливі уразливості OpenID :
- схильний до фишінгових атак. Наприклад, шахрайський сайт може перенаправити користувача на підроблений сайт OpenID провайдера, який попросити користувача ввести його секретний логін і пароль;
- уразлива перед атакою «людина посередині».
Автентифікація за OpenID зараз активно використовується і надається такими гігантами, як BBC, Google, IBM, , PayPal, VeriSign, Yandex і Yahoo.
- OpenAuth. Використовується для автентифікації AOL користувачів на вебсайтах. Дозволяє їм користуватися сервісами AOL, а також будь-ким іншими надбудованими над ними. Дозволяє проходити автентифікацію на сайтах, що не належать до AOL, при цьому не створюючи нового користувача на кожному сайті. Протокол функціонує схожим на OpenID образом. Також прийняті додаткові заходи безпеки :
- сесії (у тому числі інформація про користувача) зберігаються не в cookies;
- cookies автентифікації шифруються алгоритмом PBEWithSHAAnd3-KeyTripleDES-CBC;
- доступ до cookies автентифікації обмежений певним доменом, так що інші сайти не мають до них доступу (у тому числі сайти AOL).
- Oauth. OAuth дозволяє користувачу дозволити одному отримати доступ до даних користувача на іншому . Протокол використовується в таких системах, як Twitter, Google (Google також підтримує гібридний протокол, що об'єднує в собі OpenID і OAuth).
Одним з головних мінусів таких систем є те, що злом дає доступ відразу до багатьох сервісів.
Відстежування автентифікації самим користувачем
Багато в чому безпека користувачів в Інтернеті залежить від поведінки самих користувачів. Так наприклад, Google показує з якої IP-адреси включені призначені для користувача сесії, логірує авторизацію, також дозволяє здійснити такі налаштування:
- передача даних тільки за HTTPS;
- Google може детектувати користувача, якщо зловмисник використовує ваш акаунт (друзі вважають ваші листи спамом, остання активність відбувалася в нехарактерний для вас час, деякі повідомлення зникли…);
- відстежування списку третіх сторін, що мають доступ до використовуваних користувачем продуктів Google.
Частенько користувачеві повідомляється з якої IP-адреси він останній раз проходив автентифікацію.
Багатофакторна автентифікація
Для підвищення безпеки на практиці використовують декілька чинників автентифікації відразу. Проте, при цьому важливо розуміти, що не всяка комбінація декількох методів є багатофакторною автентифікацією. Використовуються чинники різної природи :
- Властивість, яку має суб'єкт. Наприклад, біометрія, природні унікальні відмінності: особа, відбитки пальців, веселкова оболонка очей, капілярні візерунки, послідовність ДНК;
- Знання-інформація, яку знає суб'єкт. Наприклад, пін-код;
- Володіння — річ, яку має суб'єкт. Наприклад, електронна або магнітна картка, флеш-память.
У основі одного з найнадійніших на сьогодні методів багатофакторної автентифікації лежить застосування персональних апаратних пристроїв — токенів. Токени дозволяють генерувати і зберігати ключі шифрування, забезпечуючи тим самим строгу автентифікацію. Використання класичних «багаторазових» паролів є серйозною уразливістю при роботі з чужих комп'ютерів, наприклад в інтернет-кафе. Це підштовхнуло провідних виробників ринку автентифікації до створення апаратних генераторів одноразових паролів. Такі пристрої генерують черговий пароль або за розкладом (наприклад, кожні 30 секунд), або за запитом (при натисненні на кнопку). Кожен такий пароль можна використовувати тільки один раз. Перевірку правильності введеного значення на стороні сервера перевіряє спеціальний сервер автентифікації, що обчислює поточне значення одноразового пароля програмно. Для збереження принципу двохфакторності автентифікації окрім згенерованого пристроєм значення користувач вводить постійний пароль.
Див. також
Посилання
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Avtentifikaciya angl Authentication ce perevirka dostovirnosti pred yavlenogo koristuvachem identifikatora Avtentifikaciya v vebAvtentifikaciya vimagayetsya pri dostupi do takih yak elektronna poshta vebforumi socialni merezhi internet banking platizhni sistemi internet magazini Pozitivnim rezultatom avtentifikaciyi ye avtorizaciya koristuvacha tobto nadannya jomu prav dostupu do resursiv viznachenih dlya vikonannya jogo zavdan Zalezhno vid vazhlivosti resursu dlya dostupu do nogo mozhut zastosovuvatisya rizni metodi avtentifikaciyi Klasifikaciya metodiv avtentifikaciyiZalezhno vid miri dovirchih stosunkiv strukturi osoblivostej merezhi i viddalenosti ob yekta perevirka mozhe buti odnostoronnoyu abo vzayemnoyu Takozh rozriznyayut odnofaktornu i strogu dvofaktornu avtentifikaciyi V odnofaktornih sistemah najposhirenishimi v cej chas ye parolni sistemi avtentifikaciyi U koristuvacha ye identifikator i parol tobto sekretna informaciya vidoma tilki koristuvachevi i mozhlivo sistemi yaka vikoristovuyetsya dlya prohodzhennya avtentifikaciyi Zalezhno vid realizaciyi sistemi parol mozhe buti odnorazovim abo bagatorazovim Dali rozglyanuto osnovni metodi avtentifikaciyi za principom narostayuchoyi skladnosti Bazova avtentifikaciya Bazova avtentifikaciya najprostishij sposib obmezhennya dostupu do Osnovna perevaga prostota realizaciyi i vikoristannya Odnak razom z perevagoyu cej zasib avtentifikaciyi otrimav i cilij ryad nedolikiv Mehanizm avtentifikaciyi vklyuchayetsya v toj moment koli brauzer zaproshuye u servera zahishenij dokument ne nadayuchi pri comu danih dlya identifikaciyi U vidpovid na takij zapit server posilaye zagolovok 401 Unauthorized i proponuye sposib dlya identifikaciyi Bachachi podibnu vidpovid brauzer formuye vikno v yakomu proponuyetsya vvesti im ya koristuvacha i parol Pislya vvedennya svoyih danih brauzer vidpravlyaye novij zapit na server v yakij vin dodaye ryadok dlya avtentifikaciyi Personalni dani ne peredayutsya v yavnomu viglyadi Voni koduyutsya za tehnologiyeyu Base64 Z odnogo boku ce viglyadaye dosit bezpechnim ale z inshogo dlya rozkoduvannya takogo ryadka neobhidno skoristatisya odniyeyu funkciyeyu Cya funkciya vklyuchena u riznomanitni movi programuvannya U mehanizmu bazovoyi avtentifikaciyi isnuye cilij ryad osoblivostej Persh za vse ce brauzerom Robitsya ce dlya polegshennya roboti koristuvacha nemaye neobhidnosti povtorno vvoditi svoyi dani z inshogo boku ce mozhe prizvesti do perehoplennya personalnih danih Robota IIS z bazovoyu avtentifikaciyeyu tezh ne prosta Za standartom potribno shob u sistemi buv zareyestrovanij koristuvach z takim zhe im ya koristuvacha i parolem i z pravami na vhid v sistemu Tak samo varto vidznachiti prostotu roboti bazovoyi avtentifikaciyi z proksi serverami Zavdyaki prostoti vona legko prohodit cherez proksi server Dajdzhest avtentifikaciya Dajdzhest avtentifikaciya ye prosunutishim i skladnishim vidom avtentifikaciyi nizh bazova avtentifikaciya Golovnoyu vidminnistyu tut ye te sho login parol koristuvacha peresilayutsya cherez merezhu ne u vidkritomu vidi a shifruyutsya za algoritmom MD5 heshuyutsya Nalashtuvannya dajdzhest avtentifikaciyi shozhe na nalashtuvannya bazovoyi avtentifikaciyi Osnovni kroki zalishayutsya kolishnimi stvoriti fajl z parolyami propisati resurs sho zahishayetsya v konfiguraciyu Apache u fajli httpd conf abo u fajli htaccess stvoriti fajl dlya roboti z grupami i nastroyiti grupovij dostup cej punkt ne ye obov yazkovim Dajdzhest avtentifikaciya pidtrimuyetsya vsima populyarnimi serverami j brauzerami HTTPS Protokol HTTPS dozvolyaye shifruvati usi dani sho peredayutsya mizh brauzerom i serverom a ne tilki imena koristuvachiv i paroli Vlasne kazhuchi HTTPS ne ye okremim protokolom ale ye kombinaciyeyu normalnoyi vzayemodiyi HTTP cherez SSL abo TLS Ce garantuye pomirnij zahist vid pidsluhuvannya i vid ataki lyudina poseredini Tipovim TCP portom HTTPS ye 443 dlya HTTP tipove znachennya 80 Shob pidgotuvati vebserver dlya prijnyattya https tranzakcij administrator povinen stvoriti sertifikat z vidkritim klyuchem dlya vebservera Cej sertifikat povinen buti pidpisanim upovnovazhenim na vidachu sertifikativ yakij zasvidchuye sho vlasnik sertifikatu toj samij sho stverdzhuyetsya u sertifikati brauzeri rozpovsyudzhuyutsya z sertifikatami upovnovazhenih na vidachu sertifikativ verhnogo rivnya takim chinom brauzeri mozhut pereviriti sertifikati pidpisani nimi Organizaciyi mozhut takozh mati yih vlasni upovnovazheni na vidachu sertifikativ osoblivo yaksho voni vidpovidalni za konfiguraciyu brauzeriv sho mayut dostup do yihnih vlasnih sajtiv oskilki voni mozhut trivialno dodati svogo vlasnogo sertifikata do brauzera Deyaki sajti vikoristovuyut samostijno pidpisani sertifikati Yihnye vikoristannya zabezpechuye zahist proti pidsluhovuvannya ale ye rizik ataki lyudina poseredini Sistema mozhe takozh vikoristovuvatisya dlya kliyentskoyi avtentifikaciyi dlya togo shob dozvolyati dostup do vebservera tilki zareyestrovanim koristuvacham Dlya cogo administrator sajtu stvoryuye sertifikati dlya kozhnogo koristuvacha yaki zavantazhuyutsya v yihnij brauzer Ci sertifikati zvichajno mistyat im ya i elektronnu poshtu zareyestrovanogo koristuvacha i avtomatichno pereviryayutsya serverom pri kozhnomu povtornomu pidklyuchenni Vvedennya parolyu ne potribne Riven zahistu zalezhit vid korektnosti zaprovadzhennya brauzernogo i servernogo programnogo zabezpechennya i pidtrimuvanih kriptografichnih algoritmiv Avtentifikaciya po pred yavlennyu cifrovogo sertifikatu Mehanizmi avtentifikaciyi iz zastosuvannyam cifrovih sertifikativ yak pravilo vikoristovuyut protokol iz zapitom i vidpoviddyu Server avtentifikaciyi vidpravlyaye koristuvachevi poslidovnist simvoliv tak zvanij zapit Vidpoviddyu vistupaye zapit servera avtentifikaciyi pidpisanij za dopomogoyu zakritogo klyucha koristuvacha Avtentifikaciya z vidkritim klyuchem vikoristovuyetsya yak zahishenij mehanizm avtentifikaciyi v takih protokolah yak SSL Vona takozh mozhe vikoristovuvatisya yak odin z metodiv avtentifikaciyi u ramkah protokoliv Kerberos i RADIUS Vikoristannya smart kartok ta USB klyuchiv Ne zvazhayuchi na te sho kriptografiya z vidkritim klyuchem zgidno zi specifikaciyeyu H 509 mozhe zabezpechuvati strogu avtentifikaciyu koristuvacha sam po sobi nezahishenij zakritij klyuch podibnij do pasporta bez fotografiyi Zakritij klyuch sho zberigayetsya na tverdomu disku komp yutera vlasnika urazlivij vidnosno pryamih i merezhevih atak Dosit pidgotovlenij zlovmisnik mozhe vikrasti personalnij klyuch koristuvacha i za dopomogoyu cogo klyucha predstavlyatisya cim koristuvachem Zahist klyucha za dopomogoyu parolya dopomagaye ale nedostatno efektivno paroli urazlivi vidnosno bagatoh atak Poza sumnivom vimagayetsya bezpechnishe shovishe Smart kartki plastikovi kartki standartnogo rozmiru bankivskoyi kartki sho mayut vbudovanu mikroshemu Voni znahodyat use shirshe zastosuvannya v riznih oblastyah vid sistem nakopichuvalnih znizhok do kreditnih i debetovih kartok studentskih kvitkiv i telefoniv standartu GSM Dlya vikoristannya smart kartok v komp yuternih sistemah potribnij pristrij chitannya smart kartok Nezvazhayuchi na nazvu pristrij bilshist podibnih krajovih pristroyiv abo pristroyiv spoluchennya IFD zdatni yak prochituvati tak i zapisuvati informaciyu yaksho dozvolyayut mozhlivosti smart kartki ta prava dostupu Pristroyi chitannya smart kartok mozhut pidklyuchatisya do komp yutera za dopomogoyu poslidovnogo portu slotu PCMCIA abo USB Pristrij chitannya smart kartok takozh mozhe buti vbudovanij v klaviaturu Yak pravilo dlya dostupu do zahishenoyi informaciyi sho zberigayetsya v pam yati smart kartki vimagayetsya parol zvanij PIN kodom USB klyuchi dosit privablivi oskilki USB stav standartnim portom dlya pidklyuchennya periferijnih pristroyiv i organizaciyi ne potribno kupuvati dlya koristuvachiv specialni zchituvachi Avtentifikaciyu na osnovi smart kartok i USB klyuchiv najskladnishe obijti oskilki vikoristovuyetsya unikalnij fizichnij ob yekt yakim povinna voloditi lyudina shob uvijti do sistemi Na vidminu vid paroliv vlasnik shvidko diznayetsya pro kradizhku i mozhe vidrazu prijnyati neobhidni zahodi dlya zapobigannya yiyi negativnim naslidkam Krim togo realizuyetsya dvohfaktorna avtentifikaciya Mikroprocesorni smart kartki i USB klyuchi mozhut pidvishiti nadijnist sluzhb smart kartka mozhe vikoristovuvatisya dlya bezpechnogo zberigannya zakritih klyuchiv koristuvacha a takozh dlya bezpechnogo vikonannya kriptografichnih peretvoren Bezumovno ci pristroyi avtentifikaciyi ne zabezpechuyut absolyutnu bezpeku ale nadijnist yihnogo zahistu nabagato perevershuye mozhlivosti zvichajnogo nastilnogo komp yutera Dlya zberigannya i vikoristannya zakritogo klyucha rozrobniki vikoristovuyut rizni pidhodi Najprostishij z nih vikoristannya pristroyu avtentifikaciyi yak zahishenogo nosiya avtentifikacijnoyi informaciyi pri neobhidnosti kartka eksportuye zakritij klyuch i kriptografichni operaciyi zdijsnyuyutsya na robochij stanciyi Cej pidhid ye ne najdoskonalishim z tochki zoru bezpeki zate sho vidnosno legko realizovuyetsya i pred yavlyaye nevisoki vimogi do pristroyu avtentifikaciyi Dva inshi pidhodi bezpechnishi oskilki pripuskayut vikonannya pristroyem avtentifikaciyi kriptografichnih operaciyi Pri pershomu koristuvach generuye klyuchi na robochij stanciyi i zberigaye yih u pam yati pristroyu Pri drugomu koristuvach generuye klyuchi za dopomogoyu pristroyu U oboh vipadkah pislya togo yak zakritij klyuch zberezhenij jogo ne mozhna vityagnuti z pristroyu i otrimati bud yakim inshim sposobom Avtentifikaciya za dopomogoyu Cookies Bezlich riznih sajtiv vikoristovuyut yak zasib avtentifikaciyi cookies do nih nalezhat chati forumi igri Yaksho cookie vdastsya vikrasti to pidrobivshi jogo mozhna avtentifikuvatis zamist inshogo koristuvacha U razi koli dani sho vvodyatsya pogano filtruyutsya abo ne filtruyutsya zovsim vikrasti cookies staye ne duzhe skladno Shob yakos polipshiti situaciyi vikoristovuyetsya zahist za IP adresoyu tobto cookies sesiyi zv yazuyutsya z IP adresoyu z yakogo spochatku koristuvach avtorizuvavsya v sistemi Prote IP adresu mozhna pidrobiti vikoristovuyuchi IP spufing tomu spodivatisya na absolyutnij zahist za IP adresoyu tezh ne mozhna Mehanizm vikoristannya cookies nastupnij koristuvach vvodit im ya koristuvacha i parol v tekstovih polyah storinki vhodu i vidpravlyaye yih na server server otrimuye im ya koristuvacha i parol pereviryaye yih i pri yihnij pravilnosti vidpravlyaye storinku uspishnogo vhodu prikripivshi cookies z deyakim identifikatorom sesiyi Ci cookies mozhut buti dijsnimi tilki dlya potochnoyi sesiyi brauzera ale mozhut buti nalagodzheni i na trivale zberigannya shorazu koli koristuvach zaproshuye storinku z servera brauzer avtomatichno vidpravlyaye cookies z identifikatorom sesiyi serveru Server pereviryaye identifikator u svoyij bazi identifikatoriv i za nayavnosti v bazi takogo identifikatora piznaye koristuvacha Cej metod shiroko vikoristovuyetsya na bagatoh sajtah napriklad na Yahoo u Vikipediyi v Facebook Bagato brauzeriv zokrema Opera FireFox shlyahom redaguvannya vlastivostej cookies mozhut upravlyati povedinkoyu vebsajtiv Zminivshi termin vikoristannya nepostijnih sesijnih cookies mozhna napriklad otrimati formalno neobmezhenu sesiyu pislya avtorizaciyi na yakomu nebud sajti Skoristavshis takimi mehanizmami napriklad yak JavaScript koristuvach mozhe zminiti fajl cookies Bilshe togo isnuye mozhlivist zaminiti sesijnih cookies postijnimi z vkazannyam terminu pridatnosti U cej chas bilshist brauzeriv vikoristovuyut cookies z praporom HTTPonly yakij zaboronyaye dostup do cookies riznim skriptam Decentralizovana avtentifikaciya Vidilyayut taki vidi decentralizovanoyi avtentifikaciyi OpenID Vidkrita decentralizovana sistema avtentifikaciyi koristuvachiv OpenID dozvolyaye koristuvachevi mati odin login parol dlya riznih vebsajtiv Bezpeka zabezpechuyetsya pidpiskoyu povidomlen Peredacha klyucha dlya cifrovogo pidpisu zasnovana na vikoristanni algoritmu Diffi Hellmana takozh mozhliva peredacha danih za HTTPS Mozhlivi urazlivosti OpenID shilnij do fishingovih atak Napriklad shahrajskij sajt mozhe perenapraviti koristuvacha na pidroblenij sajt OpenID provajdera yakij poprositi koristuvacha vvesti jogo sekretnij login i parol urazliva pered atakoyu lyudina poseredini Avtentifikaciya za OpenID zaraz aktivno vikoristovuyetsya i nadayetsya takimi gigantami yak BBC Google IBM PayPal VeriSign Yandex i Yahoo OpenAuth Vikoristovuyetsya dlya avtentifikaciyi AOL koristuvachiv na vebsajtah Dozvolyaye yim koristuvatisya servisami AOL a takozh bud kim inshimi nadbudovanimi nad nimi Dozvolyaye prohoditi avtentifikaciyu na sajtah sho ne nalezhat do AOL pri comu ne stvoryuyuchi novogo koristuvacha na kozhnomu sajti Protokol funkcionuye shozhim na OpenID obrazom Takozh prijnyati dodatkovi zahodi bezpeki sesiyi u tomu chisli informaciya pro koristuvacha zberigayutsya ne v cookies cookies avtentifikaciyi shifruyutsya algoritmom PBEWithSHAAnd3 KeyTripleDES CBC dostup do cookies avtentifikaciyi obmezhenij pevnim domenom tak sho inshi sajti ne mayut do nih dostupu u tomu chisli sajti AOL Oauth OAuth dozvolyaye koristuvachu dozvoliti odnomu otrimati dostup do danih koristuvacha na inshomu Protokol vikoristovuyetsya v takih sistemah yak Twitter Google Google takozh pidtrimuye gibridnij protokol sho ob yednuye v sobi OpenID i OAuth Odnim z golovnih minusiv takih sistem ye te sho zlom daye dostup vidrazu do bagatoh servisiv Vidstezhuvannya avtentifikaciyi samim koristuvachem Bagato v chomu bezpeka koristuvachiv v Interneti zalezhit vid povedinki samih koristuvachiv Tak napriklad Google pokazuye z yakoyi IP adresi vklyucheni priznacheni dlya koristuvacha sesiyi logiruye avtorizaciyu takozh dozvolyaye zdijsniti taki nalashtuvannya peredacha danih tilki za HTTPS Google mozhe detektuvati koristuvacha yaksho zlovmisnik vikoristovuye vash akaunt druzi vvazhayut vashi listi spamom ostannya aktivnist vidbuvalasya v neharakternij dlya vas chas deyaki povidomlennya znikli vidstezhuvannya spisku tretih storin sho mayut dostup do vikoristovuvanih koristuvachem produktiv Google Chastenko koristuvachevi povidomlyayetsya z yakoyi IP adresi vin ostannij raz prohodiv avtentifikaciyu Bagatofaktorna avtentifikaciya Dlya pidvishennya bezpeki na praktici vikoristovuyut dekilka chinnikiv avtentifikaciyi vidrazu Prote pri comu vazhlivo rozumiti sho ne vsyaka kombinaciya dekilkoh metodiv ye bagatofaktornoyu avtentifikaciyeyu Vikoristovuyutsya chinniki riznoyi prirodi Vlastivist yaku maye sub yekt Napriklad biometriya prirodni unikalni vidminnosti osoba vidbitki palciv veselkova obolonka ochej kapilyarni vizerunki poslidovnist DNK Znannya informaciya yaku znaye sub yekt Napriklad pin kod Volodinnya rich yaku maye sub yekt Napriklad elektronna abo magnitna kartka flesh pamyat U osnovi odnogo z najnadijnishih na sogodni metodiv bagatofaktornoyi avtentifikaciyi lezhit zastosuvannya personalnih aparatnih pristroyiv tokeniv Tokeni dozvolyayut generuvati i zberigati klyuchi shifruvannya zabezpechuyuchi tim samim strogu avtentifikaciyu Vikoristannya klasichnih bagatorazovih paroliv ye serjoznoyu urazlivistyu pri roboti z chuzhih komp yuteriv napriklad v internet kafe Ce pidshtovhnulo providnih virobnikiv rinku avtentifikaciyi do stvorennya aparatnih generatoriv odnorazovih paroliv Taki pristroyi generuyut chergovij parol abo za rozkladom napriklad kozhni 30 sekund abo za zapitom pri natisnenni na knopku Kozhen takij parol mozhna vikoristovuvati tilki odin raz Perevirku pravilnosti vvedenogo znachennya na storoni servera pereviryaye specialnij server avtentifikaciyi sho obchislyuye potochne znachennya odnorazovogo parolya programno Dlya zberezhennya principu dvohfaktornosti avtentifikaciyi okrim zgenerovanogo pristroyem znachennya koristuvach vvodit postijnij parol Div takozhAvtentifikaciya Dajdzhest avtentifikaciya Single sign onPosilannya