Internet Windows Android
Extinde
Acasă

Autenticitatea datelor înseamnă că acestea sunt. Cum se verifică acuratețea informațiilor

Scrisoarea de credit este o obligație monetară condiționată acceptată de bancă în numele plătitorului, care permite efectuarea plăților în favoarea beneficiarului fondurilor. Banca poate efectua plăți către vânzător sau poate autoriza o altă bancă să efectueze astfel de plăți dacă sunt îndeplinite condițiile scrisorii de credit.

Autentificare

Autentificarea este procesul de determinare a identității unui client din informațiile furnizate acestuia. Autentificarea se face în următoarele moduri:

Autenticitatea datelor

Proprietatea datelor pentru a fi autentice și proprietatea sistemelor pentru a fi capabile să asigure autenticitatea datelor.

Autenticitatea datelor înseamnă că a fost creată de participanți legitimi la procesul de informare și nu a fost supusă unor denaturări accidentale sau deliberate.

Capacitatea sistemului de a asigura autenticitatea datelor înseamnă că sistemul este capabil să detecteze toate cazurile de corupție a datelor cu o probabilitate de eroare care nu depășește o valoare prestabilită.

Cheie privată

Cheie privată - parte privată (secretă) a unei perechi de chei criptografice. Servește pentru a crea semnături electronice, care pot fi apoi verificate cu, și pentru a decripta mesajele care au fost criptate.

Cheia privată este stocată numai de proprietarul său, în niciun caz nu o dezvăluie nimănui. Pierderea unei chei private înseamnă posibilitatea divulgării de către terți a oricărei informații criptate pentru proprietarul său, precum și posibilitatea contrafacerii semnăturii electronice a proprietarului său de către terți. În orice sistem criptografic, cheia privată este întotdeauna cel mai important secret, motiv pentru care trebuie păstrată secret.

Cheie publică

O cheie publică este o parte publică (neclasificată) a unei perechi de chei criptografice. Servește pentru verificarea semnăturilor electronice create cu ajutorul omologului său și pentru criptarea mesajelor, care vor fi apoi decriptate.

Cheia publică este trimisă pentru înregistrare la un centru de certificare - o organizație angajată în înregistrarea cheilor publice și a proprietarilor acestora, precum și emiterea celor electronice care confirmă proprietatea cheilor publice către anumite persoane. În centrul de certificare, certificatele tuturor cheilor publice ale abonaților sunt plasate într-o bază de date, de unde pot fi furnizate la cerere oricărei persoane care contactează centrul.

Pașaportul tranzacției conform contractului

Pașaportul unei tranzacții în cadrul unui contract - un document care este întocmit la efectuarea unei tranzacții valutare în cadrul unui contract.

Pașaportul tranzacției în temeiul contractului de împrumut

Pașaportul unei tranzacții în temeiul unui contract de împrumut - un document care este întocmit la efectuarea unei operațiuni de schimb valutar în temeiul unui contract de împrumut sau a unui contract de împrumut.

Protocol SSL

SSL (Secure Sockets Layer) a fost dezvoltat de Netscape. Vă permite să identificați părțile care fac schimb de date pe baza certificatelor electronice, să efectuați datele transmise și să vă asigurați că datele nu sunt distorsionate în timpul transferului.

Notă! Capacitatea de a utiliza protocolul SSL este determinată de prezența unei casete de selectare în câmp SSL 2.0 sau SSL 3.0 instalat la configurarea browserului de internet.

Rezident

Rezident - o persoană juridică sau fizică înregistrată permanent sau cu domiciliul permanent într-o anumită țară.

Certificat

Un certificat este un document (posibil în formă electronică) care conține, care aparține titularului certificatului, împreună cu informații suplimentare despre proprietarul acestuia (de exemplu, numele și numele organizației, adresa de e-mail etc.), semnat de Autoritatea de certificare ...

Sarcina principală a unui certificat este de a asocia o cheie publică cu identitatea proprietarului său (proprietarul cheii private asociate).

Certificatele au o perioadă de valabilitate, după care devin invalide. Perioada de valabilitate se reflectă în conținutul certificatului.

Certificatele sunt stocate în registrul Windows sau pe alte suporturi de informații cheie. Certificatele înregistrate în registrul Windows pot fi accesate din Internet Explorer, care are un expert și import / export de chei private.

Criptare

Criptarea informațiilor este o modalitate de a preveni vizualizarea sau utilizarea neautorizată a informațiilor. Pentru criptare se utilizează algoritmi matematici speciali (criptoalgoritmi). Criptarea garantează protecția informațiilor clasificate împotriva accesului neautorizat de către terți. Pentru a restabili informațiile criptate, se efectuează transformarea inversă - decriptare. Pentru a decripta informații, trebuie să aveți o cheie secretă (privată) corespunzătoare.

În sistemele moderne, se utilizează o pereche de chei de criptare: o cheie publică, care poate fi cunoscută de oricine, și cheia sa privată asociată, cunoscută doar de proprietarul acestei chei. O pereche de chei corespunzătoare poate fi utilizată pentru criptare, precum și pentru crearea și verificarea unei semnături electronice (ES) și, în același timp, are următoarele proprietăți:

  • Un mesaj criptat cu o cheie publică poate fi decriptat numai utilizând cheia privată asociată.
  • Semnătura electronică creată utilizând o cheie privată poate fi verificată pentru a respecta cheia publică asociată.

Semnatura electronica

O semnătură electronică este utilizată pentru a semna documente electronice. O semnătură electronică (ES) este o cerință a unui document electronic conceput pentru a proteja acest document electronic împotriva falsificării și care permite identificarea proprietarului certificatului cheii de semnătură, precum și pentru a stabili absența denaturării informațiilor într-un document electronic.

O semnătură electronică este generată cu un ajutor care poate fi stocat pe o dischetă, în registrul de sistem, pe carduri inteligente etc.

ES poate fi verificat folosind o pereche de cheie privată cu care a fost format acest ES. Astfel, cunoscând cheia publică a utilizatorului, este posibil să se determine cu certitudine cine a semnat documentul.

Pentru a trimite un document băncii, trebuie să aveți cel puțin o semnătură electronică. Numărul de semnături electronice utilizate în cadrul fiecărui document este determinat în bancă în mod individual pentru fiecare client și este stabilit în Contractul de servicii din sistemul Clientului Internet pentru entități juridice.

Identificarea și autentificarea sunt baza instrumentelor moderne de securitate software și hardware, deoarece orice alte servicii sunt concepute în principal pentru a deservi aceste entități. Aceste concepte reprezintă un fel de primă linie de apărare care asigură spațiul organizației.

Ce este?

Identificarea și autentificarea au funcții diferite. Primul oferă subiectului (un utilizator sau un proces care acționează în numele său) capacitatea de a-și furniza propriul nume. Cu ajutorul autentificării, a doua parte este în cele din urmă convinsă că subiectul este cu adevărat cine pretinde că este. Adesea, identificarea și autentificarea sunt înlocuite cu expresiile „mesaj de nume” și „autentificare”.

Ei înșiși sunt împărțiți în mai multe soiuri. În continuare, vom analiza ce sunt identificarea și autentificarea și care sunt acestea.

Autentificare

Acest concept prevede două tipuri: unidirecțional, când clientul trebuie să-și demonstreze mai întâi autenticitatea către server și două direcții, adică atunci când există o confirmare reciprocă. Un exemplu comun al modului în care se realizează identificarea și autentificarea standard a utilizatorului este procedura de conectare la un anumit sistem. Astfel, diferite tipuri pot fi utilizate în diferite obiecte.

Într-un mediu de rețea, atunci când identificarea și autentificarea utilizatorilor sunt efectuate pe laturi dispersate geografic, serviciul luat în considerare diferă în două aspecte principale:

  • ce acționează ca un autentificator;
  • cum a fost organizat schimbul de date de autentificare și identificare și cum este protejat.

Pentru a-și dovedi autenticitatea, una dintre următoarele entități trebuie prezentată de subiect:

  • anumite informații pe care le cunoaște (număr personal, parolă, cheie criptografică specială etc.);
  • un anumit lucru pe care îl deține (un card personal sau un alt dispozitiv cu un scop similar);
  • un anumit lucru care este un element al său (amprente, voce și alte mijloace biometrice de identificare și autentificare a utilizatorilor).

Caracteristicile sistemului

Într-un mediu de rețea deschis, părțile nu au un traseu de încredere, ceea ce sugerează că, în general, informațiile transmise de subiect pot să nu se potrivească în cele din urmă cu informațiile primite și utilizate în timpul autentificării. Este necesar să se asigure securitatea ascultărilor active și pasive în rețea, adică protecția împotriva corectării, interceptării sau redării diverselor date. Opțiunea de transmitere a parolelor în text clar nu este satisfăcătoare și, în același mod, criptarea parolelor nu poate salva ziua, deoarece acestea nu oferă protecție împotriva reproducerii. Acesta este motivul pentru care astăzi sunt folosite protocoale de autentificare mai sofisticate.

Identificarea fiabilă are dificultăți nu numai din diverse motive, ci și din mai multe alte motive. În primul rând, aproape orice entitate de autentificare poate fi furată, contrafăcută sau dedusă. Există, de asemenea, o anumită contradicție între fiabilitatea sistemului utilizat, pe de o parte, și comoditatea administratorului de sistem sau a utilizatorului, pe de altă parte. Astfel, din motive de securitate, este necesar cu o anumită frecvență să solicitați utilizatorului să reintroducă informațiile sale de autentificare (deoarece o altă persoană ar putea sta deja în locul lui), iar acest lucru nu numai că creează probleme suplimentare, dar crește și șansa ca cineva să spioneze introducerea informațiilor. Printre altele, fiabilitatea echipamentului de protecție afectează semnificativ costul acestuia.

Sistemele moderne de identificare și autentificare acceptă conceptul de conectare unică la rețea, care îndeplinește în primul rând cerințele în ceea ce privește ușurința utilizatorului. Dacă o rețea corporativă standard are multe servicii de informații care oferă posibilitatea accesului independent, atunci introducerea repetată a datelor cu caracter personal devine prea împovărătoare. În prezent, nu se poate spune încă că utilizarea conectării unice la rețea este considerată normală, deoarece soluțiile dominante nu s-au format încă.

Astfel, mulți încearcă să găsească un compromis între accesibilitate, comoditate și fiabilitatea mijloacelor prin care se asigură identificarea / autentificarea. În acest caz, autorizarea utilizatorului se efectuează conform regulilor individuale.

O atenție specială trebuie acordată faptului că serviciul utilizat poate fi ales ca obiect al unui atac de accesibilitate. Dacă se face în așa fel încât, după un anumit număr de încercări nereușite, capacitatea de a intra a fost blocată, atunci în acest caz, atacatorii pot opri activitatea utilizatorilor legali prin literalmente câteva apăsări de tastă.

Autentificare parolă

Principalul avantaj al unui astfel de sistem este că este extrem de simplu și familiar majorității. Parolele au fost folosite de mult de sistemele de operare și de alte servicii și, atunci când sunt utilizate corect, oferă un nivel de securitate acceptabil pentru majoritatea organizațiilor. Dar, pe de altă parte, în ceea ce privește setul general de caracteristici, astfel de sisteme reprezintă cel mai slab mijloc prin care se poate efectua identificarea / autentificarea. În acest caz, autorizarea devine destul de simplă, deoarece parolele ar trebui să fie memorabile, dar combinațiile simple nu sunt greu de ghicit, mai ales dacă o persoană cunoaște preferințele unui anumit utilizator.

Uneori se întâmplă ca parolele, în principiu, să nu fie păstrate secrete, deoarece au valori destul de standard specificate în anumite documentații și nu întotdeauna după instalarea sistemului, ele sunt schimbate.

Când introduceți parola, puteți vedea și, în unele cazuri, oamenii folosesc chiar și dispozitive optice specializate.

Utilizatorii, principalele subiecte de identificare și autentificare, pot împărtăși adesea parole colegilor pentru ca aceștia să schimbe proprietarul pentru o anumită perioadă de timp. În teorie, în astfel de situații, ar fi cel mai corect să se utilizeze controale speciale de acces, dar în practică acest lucru nu este folosit de nimeni. Și dacă două persoane cunosc parola, acest lucru mărește foarte mult șansele ca alții să afle în cele din urmă despre ea.

Cum se remediază?

Există mai multe mijloace de identificare și autentificare. Componenta de procesare a informațiilor poate fi securizată prin următoarele:

  • Impunerea diferitelor restricții tehnice. Cel mai adesea, regulile sunt stabilite pentru lungimea parolei, precum și conținutul anumitor caractere din ea.
  • Gestionarea datei de expirare a parolelor, adică necesitatea înlocuirii lor periodice.
  • Restricționarea accesului la fișierul principal de parolă.
  • Prin limitarea numărului total de încercări eșuate disponibile la conectare. Acest lucru asigură că atacatorii trebuie să efectueze acțiuni numai înainte de identificare și autentificare, deoarece metoda forței brute nu poate fi utilizată.
  • Pregătirea preliminară a utilizatorilor.
  • Folosind generatoare de parole software specializate care vă permit să creați astfel de combinații care sunt eufonice și destul de memorabile.

Toate aceste măsuri pot fi utilizate în orice caz, chiar dacă sunt utilizate și alte mijloace de autentificare împreună cu parole.

Parole unice

Opțiunile discutate mai sus sunt reutilizabile și, dacă combinația este dezvăluită, atacatorul poate efectua anumite operațiuni în numele utilizatorului. De aceea, parolele unice sunt folosite ca mijloace mai puternice, rezistente la posibilitatea ascultării pasive a rețelei, datorită căreia sistemul de identificare și autentificare devine mult mai sigur, deși nu atât de convenabil.

În acest moment, unul dintre cele mai populare generatoare de parolă software unice este un sistem numit S / KEY, lansat de Bellcore. Conceptul de bază al acestui sistem este acela că există o funcție specifică F care este cunoscută atât de utilizator, cât și de serverul de autentificare. Următoarea este cheia secretă K, care este cunoscută doar de un anumit utilizator.

În timpul administrării inițiale a utilizatorului, această funcție este utilizată pentru cheie de un anumit număr de ori, după care rezultatul este salvat pe server. În viitor, procedura de autentificare arată astfel:

  1. Un număr este trimis către server de la server, care este cu 1 mai mic decât de câte ori funcția este utilizată pentru tastă.
  2. Utilizatorul folosește funcția la cheia secretă existentă de câte ori a fost setată în primul paragraf, după care rezultatul este trimis prin rețea direct la serverul de autentificare.
  3. Serverul folosește această funcție la valoarea primită, după care rezultatul este comparat cu valoarea salvată anterior. Dacă rezultatele se potrivesc, atunci utilizatorul este autentificat și serverul stochează noua valoare și apoi scade contorul cu unul.

În practică, implementarea acestei tehnologii are o structură puțin mai complexă, dar în acest moment acest lucru nu este atât de important. Deoarece funcția este ireversibilă, chiar și în cazul interceptării parolei sau a obținerii accesului neautorizat la serverul de autentificare, aceasta nu oferă posibilitatea de a obține cheia secretă și, în nici un fel, de a prezice cum va arăta următoarea parolă unică.

În Rusia, un serviciu de stat special - „Sistem unificat de identificare / autentificare” („ESIA”) este utilizat ca serviciu unificat.

O altă abordare a unui sistem de autentificare fiabil este de a genera o nouă parolă la intervale scurte de timp, care este, de asemenea, implementată prin utilizarea de programe specializate sau diverse carduri inteligente. În acest caz, serverul de autentificare trebuie să accepte algoritmul de generare a parolei corespunzător, precum și anumiți parametri asociați și, în plus, trebuie să existe și o sincronizare a serverului și a ceasurilor clientului.

Kerberos

Serverul de autentificare Kerberos a apărut pentru prima dată la mijlocul anilor 90 ai secolului trecut, dar de atunci a reușit deja să primească un număr imens de modificări fundamentale. În acest moment, componentele individuale ale acestui sistem sunt prezente în aproape fiecare sistem de operare modern.

Scopul principal al acestui serviciu este de a rezolva următoarea problemă: există o anumită rețea neprotejată, iar diferiți subiecți sunt concentrați în nodurile sale sub formă de utilizatori, precum și sisteme software pentru server și client. Fiecare astfel de subiect are o cheie secretă individuală și, pentru ca subiectul C să aibă posibilitatea de a-și dovedi propria identitate subiectului S, fără de care pur și simplu nu îl va servi, va trebui nu numai să se numească pe sine, ci și să arate că știe un anumit Cheia secretă. În același timp, C nu are ocazia să-și trimită pur și simplu cheia secretă către S, deoarece, în primul rând, rețeaua este deschisă și, pe lângă aceasta, S nu știe și, în principiu, nu ar trebui să o știe. Într-o astfel de situație, se folosește o tehnică mai puțin simplă pentru a demonstra cunoașterea acestor informații.

Identificarea / autentificarea electronică prin sistemul Kerberos prevede utilizarea acestuia ca terță parte de încredere, care are informații despre cheile secrete ale obiectelor care sunt întreținute și, dacă este necesar, le ajută să efectueze autentificarea în perechi.

Astfel, clientul trimite mai întâi o cerere către sistem, care conține informațiile necesare despre el, precum și serviciul solicitat. După aceea, Kerberos îi oferă un fel de bilet, care este criptat cu cheia secretă a serverului, precum și o copie a unei părți a datelor din acesta, care este clasificată cu cheia clientului. În cazul unui meci, se stabilește că clientul a decriptat informațiile destinate acestuia, adică a putut demonstra că știe cu adevărat cheia secretă. Acest lucru sugerează că clientul este exact persoana pe care pretinde că este.

O atenție specială ar trebui acordată aici faptului că transferul cheilor secrete nu a fost efectuat prin rețea și au fost utilizate exclusiv pentru criptare.

Autentificare folosind date biometrice

Biometria include o combinație de mijloace automate de identificare / autentificare a persoanelor pe baza caracteristicilor lor comportamentale sau fiziologice. Mijloacele fizice de autentificare și identificare includ verificarea retinei și corneei ochilor, amprentelor digitale, geometria feței și a mâinilor și alte informații individuale. Caracteristicile comportamentale includ stilul tastaturii și dinamica semnăturii. Metodele combinate sunt o analiză a diferitelor caracteristici ale vocii unei persoane, precum și recunoașterea vorbirii sale.

Astfel de sisteme de identificare / autentificare și criptare sunt omniprezente în multe țări din întreaga lume, dar pentru o lungă perioadă de timp au fost extrem de costisitoare și dificil de utilizat. Recent, cererea de produse biometrice a crescut semnificativ datorită dezvoltării comerțului electronic, deoarece, din punctul de vedere al utilizatorului, este mult mai convenabil să te prezinți decât să-ți amintești unele informații. În consecință, cererea creează ofertă, astfel încât au început să apară pe piață produse relativ ieftine, care sunt axate în principal pe recunoașterea amprentelor digitale.

În marea majoritate a cazurilor, biometria este utilizată în combinație cu alți autentificatori cum ar fi. Adesea, autentificarea biometrică este doar prima linie de apărare și acționează ca un mijloc de activare a cardurilor inteligente care includ diverse secrete criptografice. Când utilizați această tehnologie, șablonul biometric este salvat pe același card.

Activitatea în domeniul biometriei este destul de ridicată. Există deja un consorțiu corespunzător și, de asemenea, se desfășoară activități destul de active pentru standardizarea diferitelor aspecte ale tehnologiei. Astăzi, puteți vedea o mulțime de articole promoționale care prezintă tehnologia biometrică ca un mijloc ideal de asigurare a securității sporite și în același timp accesibil publicului larg.

ESIA

Sistemul de identificare și autentificare („ESIA”) este un serviciu special creat pentru a asigura punerea în aplicare a diferitelor sarcini legate de verificarea autenticității solicitanților și a participanților la interacțiunea inter-agenții în cazul furnizării oricărui serviciu municipal sau de stat în formă electronică.

Pentru a avea acces la „Portalul unic al structurilor de stat”, precum și la orice alte sisteme de informații ale infrastructurii actualului e-guvernament, va trebui mai întâi să vă înregistrați un cont și, ca urmare, să obțineți un PEP .

Nivele

Portalul oferă trei niveluri principale de conturi pentru persoane fizice:

  • Simplificat. Pentru a-l înregistra, trebuie doar să indicați numele și prenumele dvs., precum și un anumit canal de comunicare specific sub forma unei adrese de e-mail sau a unui telefon mobil. Acesta este nivelul primar, cu ajutorul căruia o persoană are acces doar la o listă limitată de diverse servicii publice, precum și la capacitățile sistemelor informatice existente.
  • Standard. Pentru a-l obține, trebuie inițial să emiteți un cont simplificat și apoi să furnizați și date suplimentare, inclusiv informații din pașaport și numărul contului personal individual de asigurare. Informațiile specificate sunt verificate automat prin intermediul sistemelor informaționale ale Fondului de pensii, precum și al Serviciului Federal pentru Migrație, iar dacă verificarea are succes, contul este transferat la nivelul standard, ceea ce deschide utilizatorul către o listă extinsă de servicii publice .
  • Confirmat. Pentru a obține acest nivel de cont, un sistem unificat de identificare și autentificare impune utilizatorilor să aibă un cont standard, precum și dovada identității, care se efectuează printr-o vizită personală la un departament de service autorizat sau prin primirea unui cod de activare printr-o scrisoare recomandată . În cazul în care confirmarea identității are succes, contul se va muta la un nou nivel, iar utilizatorul va avea acces la lista completă a serviciilor guvernamentale necesare.

În ciuda faptului că procedurile pot părea destul de complicate, de fapt, puteți face cunoștință cu lista completă a datelor necesare direct pe site-ul oficial, astfel încât o înregistrare completă este posibilă în câteva zile.

mecanismele sunt strâns legate, deoarece un mecanism sau o combinație de mecanisme este utilizat pentru a furniza un serviciu. Mecanismul poate fi utilizat în unul sau mai multe servicii. Aceste mecanisme sunt discutate pe scurt mai jos pentru a înțelege ideea lor generală. Acestea vor fi discutate mai detaliat mai jos.

ITU-T (X.800) a identificat cinci servicii legate de obiectivele și atacurile de securitate a informațiilor, ale căror tipuri le-am identificat în secțiunile anterioare. Figura 1.3 prezintă clasificarea a cinci servicii generice.


Orez. 1.3.

Pentru a preveni atacurile de securitate cibernetică despre care am vorbit, trebuie doar să aveți unul sau mai multe dintre serviciile prezentate mai sus pentru unul sau mai multe obiective de securitate a informațiilor.

Confidențialitatea datelor

Confidențialitatea datelor conceput pentru a proteja datele de încercările de a le divulga. Acest serviciu amplu este definit în recomandarea ITU-T X.800. Poate acoperi confidențialitatea unui mesaj întreg sau a unei părți a acestuia și, de asemenea, protejează împotriva monitorizării și analizei traficului - de fapt, este conceput pentru a preveni manipularea și monitorizarea traficului.

Integritatea datelor

Integritatea datelor conceput pentru a proteja datele de modificarea, inserarea, ștergerea și retransmiterea informațiilor de către inamic. Poate proteja întregul mesaj sau o parte a acestuia.

Autentificare (autentificare)

Acest serviciu oferă autentificare (autentificare) operator la celălalt capăt al liniei. Într-o conexiune orientată spre conexiune, se asigură că emițătorul sau receptorul este autentificat în timpul stabilirii conexiunii ( identificarea obiectelor nivel egal). Într-o conexiune fără conexiune, autentifică sursa de date (autentificarea originii datelor).

Excluderea renunțării la mesaj

Serviciu excluderea abandonului mesajului protejează împotriva respingerii mesajelor de către emițător sau receptor de date. Prin excluderea respingerii mesajului de către emițător, receptorul de date poate dovedi apoi originea mesajului folosind codul de identificare (identificator) al emițătorului. Prin excluderea respingerii mesajului de către receptor, emițătorul poate folosi apoi dovada livrării pentru a dovedi că datele au fost livrate destinatarului dorit.

Controlul accesului

Controlul accesului oferă protecție împotriva accesului neautorizat la date. Accesîn această definiție, termenul este foarte larg și poate include citirea, scrierea, modificarea datelor, pornirea unui program și așa mai departe.

Mecanisme de securitate

Pentru a furniza servicii de securitate a informațiilor, ITU-T (X.800) recomandă unele mecanisme de securitate definit în secțiunea anterioară. Figura 1.4 oferă o clasificare a acestor mecanisme.


Orez. 1.4.
Criptare

Criptare... Declasificând sau declasificând datele, puteți asigura confidențialitatea. Criptarea completează și alte mecanisme care furnizează alte servicii. Astăzi, două metode sunt utilizate pentru criptare: criptografie și steganografie. Le vom discuta pe scurt mai târziu.

Integritatea datelor

Mecanism integritatea datelor adaugă la sfârșitul datelor o scurtă valoare de verificare generată un anumit proces separat de date. Receptorul primește date și piste de audit. Pe baza datelor primite, creează o nouă caracteristică de testare și o compară pe cea recent creată cu cea primită. Dacă aceste două semne indicative se potrivesc, integritatea datelor a fost salvat.

Semnatura digitala

Semnatura digitala- un mijloc prin care expeditorul poate semna electronic datele, iar receptorul poate verifica semnătura folosind un computer. Expeditorul folosește un proces care poate indica faptul că această semnătură are o cheie privată aleasă dintre cheile publice care au fost anunțate public pentru utilizare publică. Receptorul folosește cheia publică a expeditorului pentru a dovedi că mesajul este într-adevăr semnat de expeditor, care susține că a trimis mesajul.

Mesaje pentru autentificare

La mesagerie pentru a identifica cele două obiecte schimbă unele mesaje pentru a demonstra că obiectele sunt cunoscute unul de celălalt. De exemplu, o persoană juridică poate dovedi că cunoaște o caracteristică secretă pe care numai ea o poate cunoaște (să zicem, ultimul loc de întâlnire cu un partener).

Umplerea traficului

Umplerea traficuluiînseamnă abilitatea de a insera unele date fictive în traficul de date pentru a contracara încercările atacatorilor de a le utiliza pentru analiză.

Managementul rutării

Managementul rutăriiînseamnă alegerea și schimbarea continuă a diferitelor rute disponibile între expeditor și receptor pentru a împiedica un adversar să intercepteze informații pe o rută specifică.

Împuternicire

Împuternicireînseamnă alegerea unui terț pentru a-i încredința controlul schimbului între două obiecte. Acest lucru se poate face, de exemplu, pentru a preveni abandonarea mesajului. Receptorul poate implica o terță parte în care se poate avea încredere pentru a stoca solicitările expeditorului, împiedicând astfel expeditorul să respingă ulterior faptul că mesajul a fost transmis.

Controlul accesului

Controlul accesului folosește metode pentru a dovedi că utilizatorul are dreptul de a accesa date sau resurse aparținând sistemului. Exemple de astfel de dovezi sunt parolele și

Soluțiile comerciale de autentificare cu doi factori sunt adesea costisitoare și dificil de implementat și de gestionat. Cu toate acestea, puteți crea propria dvs. soluție de autentificare cu doi factori utilizând adresa IP a utilizatorului, fișierul baliză sau certificatul digital.

Diverse soluții comerciale oferă securitate site-ului Web care depășește metodele tradiționale de autentificare utilizând un singur factor (adică o combinație de nume de utilizator și parolă). Al doilea factor este locația geografică, comportamentul utilizatorului, solicitările de imagine și carduri inteligente, dispozitive și amprente digitale mai familiare. Pentru mai multe informații despre soluțiile comerciale cu doi factori, consultați articolele listate în bara laterală „Lectură ulterioară”.

Dar soluțiile comerciale nu sunt singura opțiune. Puteți pregăti singur procedura de autentificare cu doi factori. Acest articol oferă câteva linii directoare pentru proiectarea autentificării în doi factori pentru aplicațiile Web și oferă câteva exemple de cod sursă pentru a vă ajuta să începeți propriul proiect.

Prezentare generală a verificării în doi factori

Să revenim la o scurtă prezentare generală a autentificării cu doi factori, adică utilizarea a două forme diferite de identificare a potențialilor utilizatori. Autenticitatea poate fi verificată folosind trei forme:

    Ceva faimos;

    Un fel de caracteristici ale utilizatorului;

    Ceva pe care îl are utilizatorul.

Majoritatea aplicațiilor folosesc doar unul dintre aceste formulare, de obicei primul. Numele de utilizator și parola sunt date cunoscute.

Acest nivel de securitate este acceptabil pentru majoritatea site-urilor și aplicațiilor Web. Cu toate acestea, având în vedere creșterea semnificativă a furtului de identitate și a altor tipuri de fraudă online, unele site-uri web introduc autentificare cu doi factori. În conformitate cu noua legislație, începând din 2007, toate site-urile bancare electronice trebuie să aplice verificarea în doi factori. În curând, aceste cerințe pot fi extinse la site-uri de recrutare, medicale, guvernamentale și alte site-uri unde pot fi accesate date cu caracter personal.

După cum sa menționat mai sus, există multe produse comerciale de verificare cu doi factori. Prețurile lor sunt foarte diferite, deși nivelul de intrare este destul de ridicat. Nu fiecare companie are fonduri pentru o soluție majoră. Și unele companii folosesc programe extrem de specializate, care sunt slab compatibile cu produsele comerciale. În orice caz, este util să vă gândiți la propria soluție cu doi factori. Instrucțiunile din acest articol vă vor ajuta să mergeți pe calea corectă de proiectare.

Aplicație adresă IP

Articolul „Protejați-vă site-ul de atacuri” publicat în. Oferă o scurtă descriere a utilizării unei adrese IP pentru identificarea suplimentară a utilizatorului. Această metodă este clasificată ca „un fel de caracteristică a utilizatorului”. Multe soluții comerciale utilizează caracteristici biologice (cum ar fi amprentele digitale sau modelele irisului). Odată cu scăderea costurilor hardware și a software-ului îmbunătățit, această opțiune a devenit mai practică, dar prețurile sunt încă destul de ridicate.

În plus, unii utilizatori se opun păstrării datelor lor biometrice în companie. Un lucru este dacă altcineva află numărul cardului dvs. de securitate socială și altceva este să vă fure amprentele!

Este mai ușor și mai ieftin să utilizați o soluție bazată pe cod. Bineînțeles, fiabilitatea sa este inferioară soluțiilor fizice, dar pentru multe aplicații oferă o precizie suficientă. Fiecare utilizator are o adresă IP care poate fi utilizată ca al doilea factor de verificare.

Esența metodei se rezumă la faptul că, atunci când încearcă să se înregistreze, adresa IP a utilizatorului este recuperată din jurnalele serverului Web sau ale altei surse. Adresa este apoi supusă unuia sau mai multor verificări. Dacă are succes și dacă numele de înregistrare și parola sunt corecte, utilizatorului i se acordă acces. Dacă utilizatorul nu trece de acest nivel de validare, cererea este respinsă sau direcționată către un nivel mai profund de analiză. În special, utilizatorului i se pot pune întrebări personale suplimentare (de exemplu, care este numele de fată al mamei) sau solicitat să contacteze telefonic un reprezentant autorizat pentru o verificare în afara rețelei.

Există mai multe moduri de a valida o adresă IP, fiecare dintre acestea oferind un anumit nivel de încredere în identificarea unui utilizator. Cel mai simplu test este să comparați adresa IP a utilizatorului cu o listă de adrese nedorite cunoscute în afara zonei de servicii. De exemplu, dacă utilizatorii sunt localizați în principal într-o țară, atunci se poate face o comparație cu o listă de adrese nedorite în afara acelei țări. Având în vedere că o proporție semnificativă a încercărilor de furt de identitate provine din afara unei anumite țări, blocarea adreselor periculoase în afara unei țări va preveni cel mai probabil un număr mare de încercări frauduloase.

Nu este dificil să obțineți liste de adrese periculoase. Lista de blocuri a lui Bob la http://www.unixhub.com/block.html începe cu blocuri de adrese din Asia, America Latină și Caraibe. Cartarea la acesta poate fi utilă dacă compania nu are utilizatori în acele regiuni. Trebuie remarcat faptul că listele obținute de pe site-urile gratuite trebuie modificate pentru a nu bloca site-urile utile. Înregistrările comerciale sunt mai exacte, cum ar fi MaxMind la http://www.maxmind.com. Listarea 1 prezintă un exemplu de pseudocod pentru implementarea acestei abordări.

Cu toate acestea, dacă nu doriți să blocați utilizatorii în funcție de regiune sau doriți mai multă selectivitate, puteți înregistra adresa IP a utilizatorului la înregistrare în timpul primei vizite, cu condiția ca procesul de înregistrare să aibă un mijloc de verificare a utilizatorului. În special, îi puteți cere utilizatorului să răspundă la una sau două întrebări (de exemplu, să solicitați numărul școlii în care a studiat) sau să-i cereți să introducă codul de înregistrare care i-a fost trimis anterior prin e-mail. Odată ce adresa IP a fost obținută și validată, puteți utiliza acea adresă pentru a evalua încercările de înregistrare ulterioare.

Dacă toți utilizatorii vor solicita accesul doar de pe site-urile corporative cu adrese IP cunoscute și fixe, atunci o metodă foarte eficientă este o comparație cu o listă de adrese pre-aprobate. În acest caz, utilizatorii de pe site-uri necunoscute sunt private de drepturile lor de acces. Cu toate acestea, dacă utilizatorii provin de pe site-uri ale căror adrese sunt necunoscute în avans, de exemplu de acasă, unde de obicei nu există o adresă IP statică, atunci precizia determinării este redusă drastic.

O soluție mai puțin fiabilă este compararea adreselor IP „fuzzy”. Furnizorii de servicii Internet (ISP) ai utilizatorilor casnici atribuie adrese IP dintr-o gamă de subrețele lor, de obicei clasa C sau B. Prin urmare, numai primii doi sau trei octeți ai adresei IP pot fi folosiți pentru autentificare. De exemplu, dacă adresa 192.168.1.1 este înregistrată pentru un utilizator, atunci mai târziu poate fi necesar ca acesta să accepte adrese de la 192.168.1.1 la 192.168.254.254. Această abordare prezintă un anumit risc de atac din partea unui atacator care folosește serviciile aceluiași furnizor, dar oferă totuși rezultate bune.

În plus, utilizatorii pot fi verificați utilizând adrese IP pentru a determina locația lor. Trebuie să cumpărați o bază de date comercială care să conțină toate domeniile de adresă IP cunoscute și locația lor aproximativă, de exemplu de la o companie precum MaxMind sau Geobytes (http://www.geobytes.com). Dacă locația înregistrată a utilizatorului este Houston și ulterior încearcă să acceseze site-ul din România sau chiar din New York, atunci accesul poate fi refuzat sau cel puțin o verificare mai profundă poate fi efectuată. Această metodă rezolvă problema schimbării blocului de adrese de către furnizor. Cu toate acestea, un atacator are încă șansa de a accesa dintr-o locație în care există utilizatori înregistrați.

Vă puteți autentifica cu un factor de două secunde, începând cu excluderea tuturor adreselor IP care se potrivesc cu lista de blocuri sau potrivirea cu lista albă. Dacă se folosește o listă albă și nu există o adresă IP verificabilă în ea, atunci utilizatorului i se poate pune o întrebare suplimentară. Dacă adresa IP este aprobată definitiv, utilizatorul poate fi solicitat să adauge adresa IP curentă la lista albă (utilizatorii ar trebui să fie informați că numai computerele utilizate în mod regulat pot fi adăugate la listă). Listarea 2 arată pseudocod pentru potrivirea cu o listă de blocuri și o listă albă.

Autentificarea IP nu este potrivită pentru situațiile în care mai mulți utilizatori de telefonie mobilă accesează un site din camere de hotel și din alte părți ale țării și din străinătate, schimbând constant adresele IP, furnizorii de servicii Internet și locațiile. Pentru astfel de utilizatori, lista de adrese IP refuzate nu poate fi aplicată. Acești utilizatori nu vor apărea nici pe lista adreselor IP permise. Cu toate acestea, ei pot răspunde la întrebarea de securitate în timpul autentificării.

Pentru a oferi o protecție mai bună pentru „utilizatorii în roaming”, puteți aprofunda verificarea luând în considerare versiunea browserului (care de obicei nu se schimbă frecvent), sistemul de operare și chiar adresa MAC a plăcii de rețea. Cu toate acestea, atunci când utilizați astfel de metode, de obicei trebuie să rulați un program special pe client pentru a accesa parametrii necesari. Este adevărat, adresele MAC și versiunile browserului și ale sistemului de operare pot fi falsificate, iar această metodă de protecție nu este fiabilă.

Utilizarea fișierelor și certificatelor de semnalizare

O alternativă este de a utiliza una dintre celelalte două forme de validare: „ceva ce are utilizatorul”. Sistemele de verificare hardware solicită un dispozitiv special. În sistemele software auto-proiectate, puteți utiliza fișiere far sau un certificat stocat pe computerele utilizatorilor. Această abordare este similară certificatelor de securitate de pe site-urile web de comerț electronic, care certifică faptul că informațiile de comandă sunt transmise site-ului corect.

Cea mai ușoară modalitate este de a utiliza fișiere de semnalizare. Multe companii le folosesc pentru a urmări cheile de sesiune și alte informații pentru utilizatori. Trebuie doar să creați un fișier permanent „far” și să îl salvați pe computerul utilizatorului pentru identificarea viitoare. Puteți trece dincolo de simplele fișiere cu faruri și cripta o parte a fișierului pentru a îngreuna falsificarea unui fraudator.

Certificatele digitale oferă un nivel mai ridicat de securitate. Acestea necesită o anumită pregătire din partea utilizatorului: certificatul trebuie creat intern sau obținut de la o autoritate de certificare (CA). Această din urmă metodă este mai fiabilă, deoarece este mai dificil să falsifici un certificat extern. Cu toate acestea, costul continuu al menținerii unui certificat este comparabil cu costul unei soluții de dispozitiv de autentificare cu doi factori.

Desigur, semnalizatoarele și certificatele se aplică numai computerelor de acasă ale angajaților și altor computere înregistrate cu sistemul de autentificare. Este necesară o metodă alternativă pentru a identifica utilizatorii care utilizează computere care nu le aparțin. O astfel de metodă este întrebările de securitate menționate mai sus și prezentate în Listă 2. Cu toate acestea, luați în considerare dacă acordarea accesului la aplicații critice de pe calculatoarele publice este justificată, având în vedere amenințarea înregistrărilor de taste, a programelor spyware și a altor programe malware.

Acest articol discută două moduri de a organiza autentificarea simplă în doi factori pentru aplicațiile Web: una folosind „o caracteristică a utilizatorului” (adresa IP), cealaltă folosind „ceva pe care utilizatorul îl are” (fișierele sunt „balize” sau certificate). Trebuie reamintit faptul că aceste soluții nu asigură nivelul foarte ridicat de securitate necesar, de exemplu, în sectorul financiar, pentru care hardware-ul este mai potrivit. Dar soluțiile prezentate în acest articol funcționează bine cu alte metode pentru a proteja mai bine rețelele corporative și site-urile de comerț electronic.

Paul Hensarling ([e-mail protejat]) este analist de securitate la o companie de consultanță. Certificat de CSSA;

Tony Howlett ([e-mail protejat]) - Președintele firmei de consultanță în rețea Servicii de securitate a rețelei. Certificat de CISSP și CSNA

Autenticitatea datelor

„... Autenticitatea datelor este starea datelor, a căror origine poate fi verificată și care poate fi atribuită în mod unic anumitor dimensiuni ...”

O sursă:

"CERINȚE GENERALE DE SOFTWARE PENTRU MĂSURĂRI. RECOMANDARE. MI 2891-2004"

(aprobat de FSUE VNIIMS Rostekhregulirovanie 07.12.2004)


Terminologia oficială... Academic.ru. 2012.

Vedeți ce este „Autenticitatea datelor” în alte dicționare:

    Autenticitatea datelor- starea datelor, a căror origine poate fi verificată și care poate fi atribuită fără echivoc anumitor măsurători. Sursa: MI 2891 2004: Recomandare. GSOEE. Cerințe generale pentru software-ul instrumentelor de măsurare ...

    Autenticitate- 3.5. Autenticitatea este factorul determinant în valoarea unui sit de patrimoniu cultural. Înțelegerea semnificației autenticității joacă un rol fundamental în toate cercetările științifice pe probleme de patrimoniu cultural și este determinată de patru parametri principali: ... ... Dicționar-carte de referință a termenilor documentației normative și tehnice

    SPKM- (engleză The Simple Public Key GSS API Mechanism is a simple GSS API mecanism based on a public key infrastructure) un protocol de rețea care are o infrastructură cu o cheie publică, nu o simetrică. Protocolul se aplică ... ... Wikipedia

    MI 2891-2004: Recomandare. GSOEE. Cerințe generale pentru software-ul instrumentelor de măsurare- Terminologie MI 2891 2004: Recomandare. GSOEE. Cerințe generale pentru software-ul instrumentelor de măsurare: acestea sunt informații de măsurare prezentate într-o formă adecvată pentru transmisie, interpretare sau prelucrare. Definiții ale termenului din ... ... Dicționar-carte de referință a termenilor documentației normative și tehnice

    Shang- (Shang) (c. 16-11 sec. Î.Hr.), prima balenă stabilită în mod fiabil. dinastie. Autenticitatea datelor sale a fost confirmată în anii 1920. oase ghicitoare (oase de dragon) găsite lângă Anyang. Purtând războaie, vânătoare, regii din Sh ... ... Istoria lumii

    UniCERT este un sistem PKI (Public Key Infrastructure) pentru tipuri de încredere private și publice. Termenul PKI poate fi descifrat ca o colecție de hardware și software, persoane și proceduri necesare pentru gestionare, stocare, ... ... Wikipedia

    Banii electronici- (Monedă electronică) Monedele electronice sunt obligațiile monetare ale emitentului în formă electronică Tot ce trebuie să știți despre istoricul monedei electronice și dezvoltarea monedei electronice, transferul, schimbul și retragerea monedei electronice în diferite sisteme de plată ... Enciclopedia investitorilor

    JOHN DUNS CATTLE- [lat. Ioannes (Johannes) Duns Scotus] († 8.11.1308, Köln), medieval. filosof și teolog, catolic. preot, membru al ordinului monahal franciscan; în catolic. Biserica slăvită în fața celor binecuvântați (pomenirea Occidentului. 8 noiembrie). Viaţă. John Duns Scott. 1473 ... ... Enciclopedia ortodoxă

    Critica biblică- adică critica cărților evreilor sacri din Vechiul Testament și creștinului Noului Testament. Are ca subiect: 1) studiul autenticității lor, adică aparținând autorilor cărora li se atribuie tradiția și, în general, circumstanțele lor ... ... Dicționar enciclopedic al F.A. Brockhaus și I.A. Efron

    PAUL ST. MESAJUL APOSTOLULUI- secțiunea novozav. * canon, format din 14 epistole. În fiecare dintre ele, cu excepția evreilor, Apostolul Pavel se numește pe sine în nume în cuvintele sale de început. P.a.p. se obișnuiește împărțirea în 4 grupuri: 1) Epistole timpurii (1-2 Tes; uneori li se adaugă Gal); 2) Mare ... ... Dicționar bibliologic

Cărți

  • Carte Velesov. Vede despre modul de viață și originea credinței slavilor, Maksimenko Georgy Zakharovich. Această publicație unică prezintă textul cărții Veles și descifrarea ei în comparație cu cele mai recente descoperiri științifice. Aici veți găsi răspunsuri la cele mai dificile întrebări legate de ... Cumpărați pentru 1404 ruble
  • Cartea lui Veles Veda despre modul de viață și originea credinței slavilor, Maksimenko G. Această publicație unică prezintă textul cărții Veles și descifrarea ei în comparație cu cele mai recente descoperiri științifice. Aici veți găsi răspunsuri la cele mai dificile întrebări legate de ...
Nu ați găsit un răspuns la întrebarea dvs.? Uita-te aici
Imprimantă Epson t50 pentru producător de PCBImprimantă Epson t50 pentru producător de PCB
Husa de telefon impermeabilă DIYHusa de telefon impermeabilă DIY
Stai pentru un smartphone pe o torpilă auto cu propriile mâini sau cum să faci un suport de mașină pentru un telefon într-o mașină Suport pentru telefon de casă într-o mașinăStai pentru un smartphone pe o torpilă auto cu propriile mâini sau cum să faci un suport de mașină pentru un telefon într-o mașină Suport pentru telefon de casă într-o mașină