Короткі теоретичні відомості

Авторіза́ція (англ. authorization) – процес надання певній особі прав на виконання деяких дій. Авторизацію не слід плутати з аутентифікацією: аутентифікація – це встановлення дійсності особи, а авторизація – надання цій особі деяких прав.

Ідентифікацію й аутентифікацію можна вважати основою програмно-технічних засобів безпеки, оскільки інші сервиси розраховані на обслуговування іменованих суб'єктів. Ідентифікація й аутентификация – це перша лінія оборони, "прохідна" інформаційного простору організації.

Ідентифікація дозволяє суб'єктові (користувачеві, процесу, що діє від імені певного користувача, або іншому апаратно-програмному компоненту) назвати себе (повідомити своє ім'я).

За допомогою аутентифікації друга сторона переконується, що суб'єкт дійсно той, за кого він себе видає. Як синонім слова "аутентифікація" іноді використають словосполучення "перевірка дійсності".

Аутентифікація буває однобічною (звичайно клієнт доводить свою дійсність серверу) та двосторонньою (взаємною). Приклад однобічної аутентифікації – процедура входу користувача в систему.

У мережному середовищі, коли сторони ідентифікації / аутентифікації територіально рознесені, у розглянутого сервісу є два основних аспекти:

– що служить аутентифікатором (тобто використовується для підтвердження дійсності суб'єкта);

– як організований (і захищений) обмін даними ідентифікації (аутентифікації).

Суб'єкт може підтвердити свою дійсність, пред'явивши принаймні одну з наступних сутностей:

– щось, що він знає (пароль, особистий ідентифікаційний номер, криптографічний ключ і т.п.);

– щось, чим він володіє (особисту картку або інший пристрій аналогічного призначення);

– щось, що є частиною його самого (голос, відбитки пальців і т.п., тобто свої біометричні характеристики).

У відкритому мережному середовищі між сторонами ідентифікації / аутентифікації не існує довіреного маршруту; це означає, що в загальному випадку дані, передані суб'єктом, можуть не збігатися з даними, отриманими й використаними для перевірки дійсності. Необхідно забезпечити захист від пасивного й активного прослуховування мережі, тобто від перехоплення, зміни й / або відтворення даних. Передача паролів у відкритому виді, мабуть, незадовільна; не рятує положення й шифрування паролів, тому що воно не захищає від відтворення. Потрібні більш складні протоколи аутентифікації.

Надійна ідентифікація ускладнена не тільки через мережні погрози, але й через цілий ряд причин. По-перше, майже всі аутентифікаційні ознаки можна довідатися, викрасти або підробити. По-друге, є протиріччя між надійністю аутентифікації, з одного боку, і зручностями користувача й системного адміністратора з іншої. Так, з міркувань безпеки необхідно з певною частотою просити користувача повторно вводити аутентифікаційну інформацію (адже на його місце міг сісти інший), а це не тільки проблематично, але й підвищує ймовірність того, що хтось може підглянути за введенням даних. По-третє, чим надійніше засіб захисту, тим він дорожче.

Сучасні засоби ідентифікації / аутентифікації повинні підтримувати концепцію єдиного входу в мережу. Єдиний вхід у мережу – це, у першу чергу, вимога зручності для користувачів. Якщо в корпоративній мережі багато інформаційних сервисів, що допускають незалежний обіг, то багаторазова ідентифікація / аутентифікація стає занадто обтяжною. На жаль, поки не можна сказати, що єдиний вхід у мережу став нормою.

Таким чином, необхідно шукати компроміс між надійністю, доступністю за ціною й зручністю використання й адміністрування засобів ідентифікації й аутентифікації.

<== попередня сторінка	\|	наступна сторінка ==>
Відновлення паролів користувачів	\|	Парольна аутентифікація

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

Генерація сторінки за: 0.02 сек.