Термин: Аутентификация

Аутентификация (англ. authentication, от греч. — реальный, истинный) — процесс проверки принадлежности субъекту прав доступа к информационным ресурсам системы или веб-сайта в соответствии с предъявленным им идентификатором; подтверждение (установление) подлинности субъекта.

Термин

Несмотря на то, что с английского языка термин authentication читается как «аутентикация», в русском языке употребляется слово «аутентификация». Причины такой ошибочной транслитерации достоверно не известны, однако термин уже закрепился в руководящих документах Гостехкомиссии России и исправлению не подлежит.

Аутентификация в контексте информационной безопасности

Аутентификация является промежуточной стадией процедуры предоставления доступа к информационным ресурсам системы. Аутентификация происходит после успешной идентификации и предшествует авторизации.

Элементы аутентификации

Процедура аутентификации включает в себя определенный набор элементов:

• субъект, который проходит аутентификацию (авторизированный пользователь);
• характеристика субъекта (идентификатор, который он предъявляет для проверки подлинности);
• владелец системы аутентификации (хозяин информационного ресурса или веб-сайта);
• механизм аутентификации (ПО, которое проверяет подлинность предъявленного идентификатора);
• механизм авторизации (предоставление или лишение субъекта прав доступа после успешной или безуспешной аутентификации).

Методы и средства аутентификации

Методы аутентификации делятся на четыре основные группы в зависимости от используемых в процессе проверки подлинности средств. Так, различают методы, основанные на:

• Знаниях, которыми владеет субъект (парольные методы).
• Предметах, которые принадлежат субъекту (комбинированные).
• Свойствах данных субъекта (биометрические).
• Информации, которая имеет непосредственное отношение к субъекту.

Парольные методы

Наиболее распространенные методы аутентификации, основанные на секретных характеристиках субъектов — паролях. В процессе проверки подлинности система сравнивает указный пользователем пароль с эталонным паролем, который хранится в ее БД в зашифрованном виде. Для аутентификации посредством данного метода могут использоваться постоянные (многоразовые, неизменные для каждой сессии) или динамические (одноразовые, постоянно меняющиеся для каждой сессии) пароли.

Комбинированные методы

Сущность данного метода заключается в использовании для подтверждения подлинности субъекта помимо пароля дополнительных предметов (мобильных телефонов, смарт-карт, токенов) или атрибутов (криптографических сертификатов). Авторизация при помощи предметов и атрибутов субъекта происходит только при наличии специального устройства, которое может считывать информацию с перечисленных идентификаторов.

Биометрические методы

Для аутентификации посредством биометрического метода субъекты должны пройти сканирование и анализ одного или нескольких физиологических (отпечатки пальцев, радужная оболочка глаза, сетчатка глаза, кисть руки, черты лица) или поведенческих характеристик (подпись, тембр голоса, клавиатурный почерк). Данный метод, как правило, используется только на особо важных объектах и системах, так как требует наличия специальной дорогостоящей техники и оборудования.

Методы, основанные на информации о субъекте

Данная группа методов относится к новейшим механизмам аутентификации: в основе лежит использование спутниковой системы навигации GPS. Основным идентификатором подлинности субъекта является его местонахождение.

Классификация и виды

В основе классификации механизмов аутентификации лежит ряд определенных критериев. Так, по степени доверия и направленности процесса различают следующие виды:

• Односторонняя проверка подлинности (субъект доказывает владельцу системы свои права доступа к информационным ресурсам или интернет-сайту).
• Двусторонняя аутентификация (обоюдная проверка и установление подлинности как субъекта, так и владельца системы).

В зависимости от возможностей средств аутентификации и уровня информационной безопасности можно выделить такие виды:

• Статическая аутентификация (защищает от несанкционированного доступа злоумышленников, которые могут завладеть данными об идентификаторе пользователя во время его работы с информационным ресурсом или сайтом). Как правило, в основе статической аутентификации лежит парольный метод.
• Устойчивая (служит для предотвращения перехвата идентификатора с целью использования его в следующих сеансах работы, но не защищает от активных атак, во время которых злоумышленник успевает быстро завладеть идентификатором и модифицировать его). Механизм устойчивой аутентификации основан на использовании динамических идентификаторов, которые меняются перед каждым сеансом.
• Постоянная (защищает субъекта от несанкционированной кражи и модификации его идентификатора на любом этапе работы с информацией).

По количеству методов, которые используются в процессе аутентификации, различают следующие виды:

• Однофакторная или слабая проверка доступа (например, применение только парольного или только биометрического метода).
• Многофакторная или сильная аутентификация (использование двух или более методов).

Протоколы аутентификации

Процедура проверки подлинности требует использования специальных криптографических протоколов аутентификации, которые служат для защиты субъекта и владельца системы от несанкционированных действий злоумышленников.

В зависимости от принципа работы все протоколы можно условно разделить на три типа:

• Протоколы доступа к паролю (например PAP — Password Authentication Protocol). Самые простые протоколы.
• Протоколы, которые работают по принципу «вызов-ответ» (например CHAP — Challenge-Handshake Authentication Protocol).
• Протоколы взаимной аутентификации (например Kerberos).

См. также

• Идентификация
• Авторизация
• Аккаунт