Proprietatea sistemelor de a putea asigura autenticitatea datelor. Autentificare cu doi factori. Competent și incompetent

Scrisoarea de credit este o obligație monetară condiționată acceptată de bancă în numele plătitorului, care permite efectuarea plăților în favoarea beneficiarului fondurilor. Banca poate efectua plăți către vânzător sau poate autoriza o altă bancă să efectueze astfel de plăți dacă sunt îndeplinite condițiile scrisorii de credit.

Autentificare

Autentificarea este procesul de determinare a identității unui client din informațiile furnizate acestuia. Autentificarea se face în următoarele moduri:

Autenticitatea datelor

Proprietatea datelor de a fi autentice și proprietatea sistemelor de a fi capabile să asigure autenticitatea datelor.

Autenticitatea datelor înseamnă că acestea au fost create de participanții legitimi la procesul de informare și nu au fost supuse unei distorsiuni accidentale sau deliberate.

Capacitatea sistemului de a asigura autenticitatea datelor înseamnă că sistemul este capabil să detecteze toate cazurile de corupție a datelor cu o probabilitate de eroare care să nu depășească o valoare predeterminată.

Cheie privată

Cheie privată - parte privată (secretă) a unei perechi de chei criptografice. Servește pentru a crea semnături electronice, cu care pot fi apoi verificate și pentru a decripta mesajele care au fost criptate.

Cheia privată este stocată doar de proprietarul acesteia, în nici un caz dezvăluind-o nimănui. Pierderea unei chei private înseamnă posibilitatea dezvăluirii de către terți a oricărei informații criptate pentru proprietarul acesteia, precum și posibilitatea de a contraface semnătura electronică a proprietarului acesteia de către terți. În orice sistem criptografic, cheia privată este întotdeauna cel mai important secret, motiv pentru care trebuie ținută secretă.

Cheie publică

O cheie publică este o parte publică (neclasificată) a unei perechi de chei criptografice. Servește pentru verificarea semnăturilor electronice create cu ajutorul omologului său și pentru criptarea mesajelor, care vor fi apoi decriptate.

Cheia publică este trimisă pentru înregistrare la un centru de certificare - o organizație angajată în înregistrarea cheilor publice și a proprietarilor acestora, precum și în emiterea de chei electronice care confirmă deținerea cheilor publice anumitor persoane. În centrul de certificare, certificatele tuturor cheilor publice ale abonaților sunt plasate într-o bază de date, de unde pot fi furnizate la cerere oricărei persoane care contactează centrul.

Pașaportul tranzacției conform contractului

Pașaportul unei tranzacții în cadrul unui contract - un document care este întocmit atunci când se efectuează o tranzacție valutară în baza unui contract.

Pașaportul tranzacției conform contractului de împrumut

Pașaportul unei tranzacții în temeiul unui contract de împrumut - un document care este întocmit atunci când se efectuează o operațiune de schimb valutar în baza unui contract de împrumut sau a unui contract de împrumut.

Protocolul SSL

SSL (Secure Sockets Layer) a fost dezvoltat de Netscape. Vă permite să identificați părțile care fac schimb de date pe baza certificatelor electronice, să efectuați datele transmise și să vă asigurați că datele nu sunt distorsionate în timpul transferului.

Notă! Posibilitatea utilizării protocolului SSL este determinată de prezența unei casete de selectare în câmp SSL 2.0 sau SSL 3.0 instalat la configurarea browserului de internet.

Rezident

Rezident - persoană juridică sau fizică înregistrată permanent sau cu reședința permanentă într-o anumită țară.

Certificat

Un certificat este un document (eventual în formă electronică) care conține, care aparține deținătorului certificatului, împreună cu informații suplimentare despre proprietarul acestuia (de exemplu, numele și numele organizației, adresa de e-mail etc.), semnat de Autoritatea de Certificare ...

Sarcina principală a unui certificat este să asocieze o cheie publică cu identitatea proprietarului acesteia (proprietarul cheii private asociate).

Certificatele au o perioadă de valabilitate, după care devin nule. Perioada de valabilitate se reflectă în conținutul certificatului.

Certificatele sunt stocate în registrul Windows sau pe alte medii de informații cheie. Certificatele înregistrate în registrul Windows pot fi accesate din Internet Explorer, care are un expert pentru import/export pentru certificat și cheie privată.

Criptare

Criptarea informațiilor este o modalitate de a preveni vizualizarea sau utilizarea neautorizată a informațiilor. Pentru criptare se folosesc algoritmi matematici speciali (criptoalgoritmi). Criptarea garantează protecția informațiilor sensibile împotriva accesului neautorizat al terților. Pentru a restabili informațiile criptate, se efectuează transformarea inversă - decriptare. Pentru a decripta informațiile, trebuie să aveți o cheie secretă (privată) corespunzătoare.

În sistemele moderne, se utilizează o pereche de chei de criptare: o cheie publică, care poate fi cunoscută de oricine, și cheia sa privată asociată, cunoscută doar de proprietarul acestei chei. O pereche de chei corespunzătoare poate fi utilizată pentru criptare, precum și pentru crearea și verificarea unei semnături electronice (ES) și, în același timp, are următoarele proprietăți:

• Un mesaj criptat cu o cheie publică poate fi decriptat numai folosind cheia privată asociată.
• Semnătura electronică creată folosind o cheie privată poate fi verificată pentru conformitate folosind cheia publică asociată.

Semnatura electronica

Semnătura electronică este utilizată pentru a semna documente electronice. Semnătura electronică (ES) este o cerință a unui document electronic conceput pentru a proteja acest document electronic de contrafacere și care permite identificarea proprietarului certificatului cheie de semnătură, precum și pentru a stabili absența denaturării informațiilor dintr-un document electronic.

Se generează o semnătură electronică cu un ajutor care poate fi stocat pe o dischetă, în registrul de sistem, pe smart carduri etc.

ES poate fi verificat folosind o pereche de chei private cu care a fost format acest ES. Astfel, cunoscând cheia publică a utilizatorului, este posibil să se determine cu certitudine cine a semnat documentul.

Pentru a trimite un document la bancă, trebuie să aveți cel puțin o semnătură electronică. Numărul de semnături electronice utilizate sub fiecare document este determinat în bancă individual pentru fiecare client și este stabilit în Contractul de servicii în sistemul „Client Internet pentru persoane juridice”.

O metodă de autentificare a datelor transmise într-un sistem digital de transmisie a datelor, caracterizată prin organizarea și autentificarea datelor înainte de a fi transferate într-o structură ierarhică din cel puțin un bloc al directorului rădăcină, un bloc subdirector și un bloc de fișiere, iar algoritmul de autentificare este aplicat la datele fișierului, iar fișierul corespunzător valoarea de autentificare este stocată în blocul subdirector care face referire la fișier, algoritmul de autentificare este la rândul său aplicat valorii de autentificare a fișierului, iar valoarea de autentificare corespunzătoare subdirectorului este stocată în subdirectorul care face referire la rădăcină director. Alte aspecte ale invenţiei se referă la autentificarea unui al doilea director rădăcină prin generarea unei a doua valori de autentificare şi autentificarea datelor înainte de încapsulare în tabele sau secţiuni TS. Efectul tehnic obținut prin invenție este de a asigura verificarea integrității datelor și autentificarea software-ului furnizat de mai mulți operatori de difuzare. 4 sec. şi 20 C.p. f-cristale, 7 ill.

Text de descriere în formă de facsimil (vezi partea grafică).

Revendicare

1. Metodă de autentificare a datelor transmise într-un sistem de transmisie digitală de date, caracterizată prin aceea că respectivele date, înainte de transmitere, sunt organizate într-o structură ierarhică de cel puțin un bloc director rădăcină, un bloc subdirector și un bloc de fișiere, un algoritm de autentificare se aplică datelor fișierului, iar valoarea corespunzătoare de autentificare a fișierului este stocată în subdirectorul care face referire la fișier, un algoritm de autentificare este aplicat la rândul său valorii de autentificare a fișierului, iar valoarea corespunzătoare de autentificare a subdirectorului este stocată în subdirectorul care face referire la subdirectorul dat. 2. 2. Metodă conform revendicării 1, în care datele fişierului sunt autentificate prin aplicarea unui algoritm de hashing la unele sau la toate datele din fişier, iar valoarea hash rezultată este stocată ca valoare de autentificare a fişierului într-un subdirector care face referire la fişier. 3. Metodă conform revendicării 2, caracterizată prin aceea că numitul algoritm de hashing este un algoritm criptografic sigur care generează o valoare hash substanţial unică pe baza unui set de date dat. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că autentificarea datelor de fişier pentru multitudinea de fişiere este realizată prin aplicarea unui algoritm de hashing la datele combinate ale multitudinii de fişiere, generând o singură valoare hash. 8. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că autentificarea subdirectorului este realizată prin aplicarea unui algoritm de hashing la cel puțin respectiva valoare de autentificare a fișierului și valoarea hash rezultată este stocată ca valoare de autentificare a subdirectorului în directorul rădăcină de referință. subdirectorul 6. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că autentificarea multitudinii de subdirectoare se realizează prin aplicarea unui algoritm de hashing la concatenarea valorilor de autentificare a fișierelor din multitudinea de subdirectoare pentru a genera o singură valoare hash. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că o cheie secretă a unui algoritm de criptare este aplicată la cel puţin o parte din datele stocate în directorul rădăcină şi valoarea criptată rezultată este stocată în directorul rădăcină. 8. Metodă conform revendicării 7, caracterizată prin aceea că datele criptate respective corespund unei semnături digitale generate folosind o cheie secretă a unui algoritm de criptare, care poate fi verificată folosind o cheie publică corespunzătoare. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că blocul dependent include o valoare criptată generată de cheia secretă, iar o valoare de autentificare pentru acest bloc este calculată pe baza rezultatelor aplicării unui algoritm de autentificare la respectiva valoare criptată, și este stocat în bloc, cu referire la respectivul bloc dependent 10. 10. Metodă conform revendicării 9, caracterizată prin aceea că o valoare de semnătură pentru respectivul bloc dependent este generată utilizând un algoritm de criptare şi un algoritm de hashing este aplicat acestei valori de semnătură pentru a genera respectiva valoare de autentificare. 11. Metodă conform revendicării 9 sau 10, caracterizată prin aceea că respectivul bloc dependent este un subdirector sau un bloc de fişiere. 11. Metodă conform revendicării 9 sau 10, caracterizată prin aceea că respectivul bloc dependent este un al doilea bloc de director rădăcină. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că respectivele blocuri corespund unei multitudini de fişiere de date, încapsulate în secţiuni sau tabele care conţin date, apoi încapsulate în pachete de date pentru a forma un flux de transport. 14. Metodă conform revendicării 13, caracterizată prin aceea că respectivele blocuri corespund de preferinţă obiectelor de date formatate conform standardului DSMCC. 15. Metodă conform revendicării 13 sau 14, caracterizată prin aceea că blocurile menţionate sunt încapsulate în tabele şi pachete care îndeplinesc cerinţele standardului MPEG. O metodă de verificare a autenticității primului și celui de-al doilea set de blocuri de date asociate transmise într-un sistem digital de transmisie de date, caracterizată prin aceea că un bloc din primul set de blocuri conține o semnătură generată de o cheie secretă aplicată primului bloc menționat, autenticitatea cel puţin a valorii acestei semnături este verificată printr-un algoritm, iar valoarea de autentificare este stocată într-un bloc din al doilea set de blocuri menţionat care face referire la primul bloc. 17. Metodă conform revendicării 16, caracterizată prin aceea că respectiva valoare criptată corespunde unei semnături digitale generate de o cheie secretă aplicată la cel puţin unele dintre datele din blocul corespunzător. 18. Metodă conform revendicării 16 sau 17, caracterizată prin aceea că respectivele blocuri de date corespund unei multitudini de fişiere de date, încapsulate în secţiuni sau tabele care conţin date, apoi încapsulate în pachete de date pentru a forma un flux de transport. 19. Metodă de autentificare a datelor transmise într-un sistem digital de transmisie a datelor, caracterizată prin aceea că datele sunt organizate sub forma unei secvențe de fișiere de date și fișierele sunt autentificate indiferent de operațiunea sau operațiunile de formatare și încapsulare a datelor și înainte de aceasta operațiune sau operațiuni utilizate de sistemul de transmisie digital menționat, date pentru pregătirea datelor pentru transmisie într-un flux de transport de pachete 20. 20. Metodă conform revendicării 19, în care datele sunt autentificate înainte de încapsularea datelor într-o secvenţă de tabele, care sunt apoi încapsulate în pachetele de date ale fluxului de transport al pachetelor. 9. Metodă conform oricăreia dintre revendicările precedente, caracterizată prin aceea că respectivul sistem de transmisie de date digitale corespunde unui sistem de televiziune digitală. 16. Metodă pentru verificarea datelor primite transmise într-un sistem de transmisie digitală de date în conformitate cu oricare dintre revendicările 1 la 15, caracterizată prin aceea că decodorul de recepție aplică un algoritm de autentificare datelor fișierului și compară valoarea primită cu valoarea de autentificare stocată în fișier de referință la un subdirector și, de asemenea, aplică algoritmul de autentificare la cel puțin respectiva valoare de autentificare a fișierului stocată în respectivul subdirector și compară valoarea rezultată cu valoarea corespunzătoare de autentificare a subdirectorului conținută în directorul rădăcină care face referire la acest subdirector. 19. Metodă pentru verificarea datelor primite transmise într-un sistem de transmisie digitală a datelor în conformitate cu oricare dintre revendicările 16 la 18, caracterizată prin aceea că decodorul verifică valoarea semnăturii primului bloc folosind o cheie publică corespunzătoare și, de asemenea, verifică respectiva valoare de autentificare conținută în blocul menţionat al doilea set de blocuri menţionat prin aplicarea unui algoritm de autentificare la cel puţin valoarea semnăturii menţionate. 22. Metodă de verificare a datelor primite transmise într-un sistem de transmisie digitală a datelor în conformitate cu oricare dintre revendicările 19 la 21, caracterizată prin aceea că operația de verificare a datelor este efectuată după ce fișierul de date a fost recuperat de către decodor din datele încapsulate și formatate transmise de către sistemul digital de transmisie a datelor...

FIGURILE

, , , , ,

TK4A - Modificări la publicațiile de informații despre invenții în buletinele „Invenții (cereri și brevete)” și „Invenții. Modele de utilitate”

Pagină: 604

Tipărit: 15. ... blocurile menționate sunt încapsulate în tabele ...

Numărul buletinului și anul publicării: 18-2004

Vei avea nevoie

• Carnetul de bibliotecă
• acces la internet
• Abilitatea de a lucra cu cataloage de bibliotecă
• Abilitatea de a lucra cu servicii de căutare pe Internet

Instrucțiuni

Aflați dacă aveți de-a face cu un fapt sau cu o estimare Primul lucru cu care ne confruntăm atunci când primim informații noi sunt faptele. Un fapt este o informație care a fost deja verificată pentru fiabilitate. Informațiile care nu au fost verificate sau care nu pot fi verificate nu sunt un fapt. Faptele pot fi numere, date, nume, evenimente. Tot ce poate fi atins, măsurat, enumerat, confirmat. Faptele sunt furnizate din diverse surse – institute de cercetare, agenții sociologice, agenții de statistică etc. Principalul lucru care distinge faptele de evaluare este obiectivitatea. Evaluarea exprimă întotdeauna poziția subiectivă a cuiva, atitudinea emoțională, o chemare la un fel de acțiune. Faptul nu dă nici o evaluare, nu cere nimic.

Verificați sursele de informații Al doilea lucru pe care îl întâlnim sunt sursele de informații. Nu putem verifica toate faptele pe cont propriu, prin urmare cunoștințele noastre se bazează în mare măsură pe încrederea în surse. Cum se verifică sursa informației? Se știe că criteriul adevărului este practica, cu alte cuvinte, doar atât este adevărat, cu ajutorul căruia putem rezolva o problemă anume. Informațiile trebuie să fie eficiente. Această performanță reflectă numărul de persoane care au aplicat cu succes informațiile. Cu cât oamenii au mai multă încredere în sursă, se referă la ea, cu atât mai fiabile sunt informațiile furnizate.

Compararea surselor Din fericire, popularitatea și credibilitatea unei surse nu este o garanție a fiabilității. Unul dintre semnele unei informații fiabile este consistența acesteia. Orice fapt trebuie să fie confirmat de rezultatele cercetărilor independente, de ex. trebuie să se repete. Cercetătorii independenți trebuie să ajungă la aceleași concluzii. Informațiile aleatorii, izolate, trebuie tratate cu mare grijă. Cu cât sunt mai multe informații identice primite din surse diferite, cu atât aceste informații sunt mai fiabile.

Verificați reputația sursei informațiilor Ideea este că sursa este întotdeauna responsabilă pentru faptele furnizate. Această responsabilitate nu este doar morală, ci și materială. Pentru furnizarea de date îndoielnice, organizațiile care le furnizează își pot pierde mijloacele de existență. Pierderea cititorilor, amenzi sau chiar închisoare - consecințele pentru mincinoși pot fi îngrozitoare. Organizațiile de renume își prețuiesc reputația și nu vor risca niciodată să publice informații false. Citiți istoria organizației, aflați numele liderilor ei, citiți recenziile cititorilor și opiniile experților.

Aflați despre autorul sursei de informații Orice informație este transmisă în cele din urmă de oameni. Dacă aveți îndoieli cu privire la informații, verificați cine este autorul. Citiți și alte lucrări ale autorului, aflați-i biografia, dacă are o diplomă științifică, ce funcție ocupă, ce experiență are în acest domeniu și, bineînțeles, la cine se referă. Dacă este imposibil să aflați despre autor, atunci nu este recomandat să aveți încredere în informațiile dubioase.

Soluțiile comerciale de autentificare cu doi factori sunt adesea costisitoare și dificil de implementat și gestionat. Cu toate acestea, vă puteți crea propria soluție de autentificare cu doi factori folosind adresa IP a utilizatorului, fișierul de semnalizare sau certificatul digital.

Diverse soluții comerciale asigură securitatea site-ului Web care depășește metodele tradiționale de autentificare folosind un singur factor (adică o combinație de nume de utilizator și parolă). Al doilea factor este locația geografică, comportamentul utilizatorului, solicitările de imagini și cardurile inteligente, dispozitivele și amprentele mai familiare. Pentru mai multe informații despre soluțiile comerciale cu doi factori, consultați articolele enumerate în bara laterală „Lectură suplimentară”.

Dar soluțiile comerciale nu sunt singura opțiune. Puteți pregăti singur procedura de autentificare cu doi factori. Acest articol oferă câteva linii directoare pentru proiectarea autentificării cu doi factori pentru aplicații web și oferă câteva exemple de cod sursă pentru a vă ajuta să vă începeți propriul proiect.

Prezentare generală a verificării în doi factori

Să revenim la o scurtă prezentare generală a autentificării cu doi factori, adică utilizarea a două forme diferite de identificare a potențialilor utilizatori. Autenticitatea poate fi verificată folosind trei forme:

Ceva faimos;

Un fel de caracteristici ale utilizatorului;

Ceva pe care îl are utilizatorul.

Majoritatea aplicațiilor folosesc doar una dintre aceste forme, de obicei prima. Numele de utilizator și parola sunt date cunoscute.

Acest nivel de securitate este acceptabil pentru majoritatea site-urilor și aplicațiilor Web. Cu toate acestea, având în vedere creșterea semnificativă a furtului de identitate și a altor tipuri de fraudă online, unele site-uri Web introduc autentificarea cu doi factori. În conformitate cu noua legislație, începând cu anul 2007, toate site-urile de electronic banking trebuie să aplice verificarea în doi factori. În curând, aceste cerințe pot fi extinse la site-uri de recrutare, medicale, guvernamentale și alte site-uri unde pot fi accesate datele personale.

După cum sa menționat mai sus, există multe produse comerciale de verificare cu doi factori. Prețurile lor sunt foarte diferite, deși nivelul de intrare este destul de ridicat. Nu orice companie are fondurile pentru o soluție majoră. Iar unele companii folosesc programe foarte specializate care sunt slab compatibile cu produsele comerciale. În orice caz, este util să te gândești la propria ta soluție cu doi factori. Orientările din acest articol vă vor ajuta să mergeți pe calea corectă de proiectare.

aplicație de adresă IP

Articolul „Protejați-vă site-ul de atacuri” publicat în. Oferă o scurtă descriere a utilizării unei adrese IP pentru identificarea suplimentară a utilizatorului. Această metodă este clasificată ca „un fel de caracteristică a utilizatorului”. Multe soluții comerciale folosesc caracteristici biologice (cum ar fi amprentele sau modelele irisului). Odată cu scăderea costurilor hardware și software îmbunătățit, această opțiune a devenit mai practică, dar prețurile sunt încă destul de mari.

În plus, unii utilizatori se opun păstrării datelor biometrice în companie. Una este dacă altcineva află numărul cardului tău de securitate socială și cu totul alta este să-ți fure amprentele!

Este mai ușor și mai ieftin să utilizați o soluție bazată pe cod. Desigur, fiabilitatea sa este inferioară soluțiilor fizice, dar pentru multe aplicații oferă suficientă precizie. Fiecare utilizator are o adresă IP care poate fi folosită ca al doilea factor de verificare.

Esența metodei se rezumă la faptul că atunci când încearcă să se înregistreze, adresa IP a utilizatorului este preluată din jurnalele serverului Web sau din altă sursă. Adresa este apoi supusă uneia sau mai multor verificări. Dacă are succes și dacă numele și parola de înregistrare sunt corecte, utilizatorului i se acordă acces. Dacă utilizatorul nu trece de acest nivel de validare, cererea este respinsă sau direcționată către un nivel mai profund de analiză. În special, utilizatorului i se pot adresa întrebări personale suplimentare (de exemplu, care este numele de fată al mamei) sau i se poate cere să contacteze telefonic un reprezentant autorizat pentru o verificare în afara rețelei.

Există mai multe modalități de a valida o adresă IP, fiecare dintre acestea oferind un anumit nivel de încredere în identificarea unui utilizator. Cel mai simplu test este de a compara adresa IP a utilizatorului cu o listă de adrese nedorite cunoscute în afara zonei de serviciu. De exemplu, dacă utilizatorii sunt localizați în principal într-o singură țară, atunci puteți compara cu o listă de adrese nedorite din afara acelei țări. Având în vedere că o proporție semnificativă a tentativelor de furt de identitate provine din afara unei anumite țări, blocarea adreselor periculoase din afara unei țări va preveni, cel mai probabil, un număr mare de încercări frauduloase.

Nu este dificil să obții liste cu adrese periculoase. Lista lui Bob la adresa http://www.unixhub.com/block.html începe cu blocuri de adrese din Asia, America Latină și Caraibe. Maparea la acesta poate fi utilă dacă compania nu are utilizatori în acele regiuni. De menționat că listările obținute de pe site-uri gratuite trebuie modificate pentru a nu bloca site-urile utile. Listările comerciale sunt mai precise, cum ar fi MaxMind la http://www.maxmind.com. Lista 1 prezintă un exemplu de pseudocod pentru implementarea acestei abordări.

Cu toate acestea, dacă nu doriți să blocați utilizatorii pe regiune, sau doriți mai multă selectivitate, puteți înregistra adresa IP a utilizatorului la înregistrarea în timpul primei vizite, cu condiția ca procesul de înregistrare să aibă un mijloc de verificare a utilizatorului. În special, poți cere utilizatorului să răspundă la una sau două întrebări (de exemplu, să ceri numărul școlii în care a studiat) sau să îi ceri să introducă codul de înregistrare care i-a fost trimis anterior prin e-mail. Odată ce adresa IP a fost obținută și validată, puteți utiliza acea adresă pentru a evalua încercările ulterioare de înregistrare.

Dacă toți utilizatorii vor solicita acces doar de pe site-uri corporative cu adrese IP cunoscute și fixe, atunci o metodă foarte eficientă este o comparație cu o listă de adrese preaprobate. În acest caz, utilizatorii de pe site-uri necunoscute sunt privați de drepturile lor de acces. Cu toate acestea, dacă utilizatorii provin de pe site-uri ale căror adrese sunt necunoscute în prealabil, de exemplu de acasă, unde de obicei nu există o adresă IP statică, atunci acuratețea determinării scade brusc.

O soluție mai puțin fiabilă este compararea adreselor IP „fuzzy”. Furnizorii de servicii de Internet (ISP) ai utilizatorilor casnici atribuie adrese IP dintr-o gamă proprie, de obicei subrețele de clasă C sau B. Prin urmare, numai primii doi sau trei octeți ai adresei IP pot fi utilizați pentru autentificare. De exemplu, dacă adresa 192.168.1.1 este înregistrată pentru un utilizator, atunci ulterior poate fi necesar ca acesta să accepte adrese de la 192.168.1.1 la 192.168.254.254. Această abordare prezintă un anumit risc de atac din partea unui atacator care folosește serviciile aceluiași furnizor, dar cu toate acestea dă rezultate bune.

În plus, utilizatorii pot fi verificați folosind adrese IP pentru a-și determina locația. Trebuie să cumpărați o bază de date comercială care să conțină toate domeniile de adresă IP cunoscute și locația lor aproximativă, de exemplu de la o companie precum MaxMind sau Geobytes (http://www.geobytes.com). Dacă locația înregistrată a utilizatorului este Houston și ulterior încearcă să acceseze site-ul din România sau chiar New York, atunci accesul poate fi refuzat, sau măcar se poate efectua o verificare mai profundă. Această metodă rezolvă problema schimbării blocului de adrese de către furnizor. Cu toate acestea, un atacator mai are șansa de a accesa dintr-o locație în care există utilizatori înregistrați.

Vă puteți autentifica cu un factor dublu al doilea, începând cu excluderea tuturor adreselor IP care se potrivesc cu lista de blocare sau care se potrivesc cu lista albă. Dacă se utilizează o listă albă și nu există o adresă IP verificabilă în ea, atunci utilizatorului i se poate adresa o întrebare suplimentară. Dacă în cele din urmă adresa IP este aprobată, utilizatorului i se poate solicita să adauge adresa IP curentă la lista albă (utilizatorii ar trebui să fie informați că numai computerele utilizate în mod regulat pot fi adăugate în listă). Lista 2 arată pseudocodul pentru potrivire cu o listă de blocare și o listă albă.

Autentificarea IP nu este potrivită pentru situațiile în care mai mulți utilizatori de telefonie mobilă accesează un site din camere de hotel și în alte părți din țară și străinătate, schimbând constant adresele IP, ISP-urile și locațiile. Pentru astfel de utilizatori, Lista de adrese IP refuzate nu poate fi aplicată. Nici acești utilizatori nu vor apărea pe lista de adrese IP permise. Cu toate acestea, ei pot răspunde în continuare la întrebarea de securitate în timpul autentificării.

Pentru a oferi o protecție mai bună pentru „utilizatorii în roaming”, puteți aprofunda verificarea luând în considerare versiunea browserului (care de obicei nu se schimbă frecvent), sistemul de operare și chiar adresa MAC a plăcii de rețea. Cu toate acestea, atunci când utilizați astfel de metode, de obicei trebuie să rulați un program special pe client pentru a accesa parametrii necesari. Adevărat, adresele MAC și versiunile browserului și ale sistemului de operare pot fi falsificate, iar această metodă de protecție nu este perfect de încredere.

Utilizarea balizelor și a certificatelor

O alternativă este să folosiți una dintre celelalte două forme de validare: „ceva pe care utilizatorul îl are”. Sistemele de verificare hardware cer un dispozitiv special. În sistemele software auto-proiectate, puteți utiliza fișiere de semnalizare sau un certificat stocat pe computerele utilizatorilor. Această abordare este similară cu certificatele de securitate de pe site-urile Web de comerț electronic, care certifică faptul că informațiile despre comandă sunt transmise site-ului corect.

Cea mai ușoară modalitate este să utilizați fișiere de semnalizare. Multe companii le folosesc pentru a urmări cheile de sesiune și alte informații pentru utilizatori. Trebuie doar să creați un fișier „beacon” permanent și să îl salvați pe computerul utilizatorului pentru identificarea ulterioară. Puteți merge dincolo de simplele fișiere de semnalizare și puteți cripta o parte a fișierului pentru a îngreuna falsificarea unui fraudator.

Certificatele digitale oferă un nivel mai ridicat de securitate. Acestea necesită o anumită pregătire din partea utilizatorului: certificatul trebuie creat intern sau obținut de la o Autoritate de Certificare (CA). Această din urmă metodă este mai fiabilă, deoarece este mai dificil să falsificați un certificat extern. Cu toate acestea, costul continuu al menținerii unui certificat este comparabil cu costul unei soluții de dispozitiv de autentificare cu doi factori.

Desigur, fișierele și certificatele beacon sunt aplicabile numai computerelor de acasă ale angajaților și altor computere înregistrate cu sistemul de autentificare. Este necesară o metodă alternativă pentru a identifica utilizatorii care lucrează cu computere care nu le aparțin. O astfel de metodă este întrebările de securitate menționate mai sus și prezentate în Lista 2. Cu toate acestea, luați în considerare dacă acordarea accesului la aplicații critice de pe computere publice este justificată, având în vedere amenințarea generată de loggerele tastelor, spyware și alte programe malware.

Acest articol discută două moduri de a organiza autentificarea simplă cu doi factori pentru aplicațiile Web: una folosind „o anumită caracteristică a utilizatorului” (adresă IP), cealaltă folosind „ceva pe care îl are utilizatorul” (fișierele sunt „balize” sau certificate). Trebuie amintit că aceste soluții nu asigură nivelul foarte ridicat de securitate cerut, de exemplu, în sectorul financiar, pentru care hardware-ul este mai potrivit. Dar soluțiile prezentate în acest articol funcționează bine cu alte metode pentru a proteja mai bine rețelele corporative și site-urile de comerț electronic.

Paul Hensarling ([email protected]) este analist de securitate la o companie de consultanță. Certificat de CSSA;

Tony Howlett ([email protected]) - Președinte al firmei de consultanță în rețea Network Security Services. Certificat de CISSP și CSNA

mecanismele sunt strâns legate deoarece un mecanism sau o combinație de mecanisme este folosită pentru a furniza un serviciu. Mecanismul poate fi utilizat în unul sau mai multe servicii. Aceste mecanisme sunt discutate pe scurt mai jos pentru a înțelege ideea lor generală. Ele vor fi discutate mai detaliat mai jos.

ITU-T (X.800) a identificat cinci servicii legate de obiectivele și atacurile de securitate a informațiilor, ale căror tipuri le-am identificat în secțiunile anterioare. Figura 1.3 prezintă clasificarea a cinci servicii generice.

Orez. 1.3.

Pentru a preveni atacurile de securitate cibernetică despre care am vorbit, trebuie doar să aveți unul sau mai multe dintre serviciile prezentate mai sus pentru unul sau mai multe obiective de securitate a informațiilor.

Confidențialitatea datelor

Confidențialitatea datelor concepute pentru a proteja datele împotriva încercărilor de a le dezvălui. Acest serviciu larg este definit în recomandarea ITU-T X.800. Poate acoperi confidențialitatea unui întreg mesaj sau a unei părți din acesta și, de asemenea, protejează împotriva monitorizării și analizei traficului - de fapt, este conceput pentru a preveni manipularea și monitorizarea traficului.

Integritatea datelor

Integritatea datelor conceput pentru a proteja datele de modificarea, inserarea, ștergerea și retransmiterea informațiilor de către inamic. Poate proteja întregul mesaj sau o parte a acestuia.

Autentificare (autentificare)

Acest serviciu oferă autentificare (autentificare) operator la celălalt capăt al liniei. Într-o conexiune orientată spre conexiune, se asigură că emițătorul sau receptorul este autentificat în timpul stabilirii conexiunii ( identificarea obiectelor nivel egal). Într-o conexiune fără conexiune, acesta autentifică sursa de date (autentificarea originii datelor).

Excluzând mesajele de renunțare

Serviciu excluderea abandonului mesajului protejează împotriva respingerii mesajului de către emițător sau receptor al datelor. Prin excluderea respingerii mesajului de către emițător, receptorul de date poate apoi dovedi originea mesajului folosind codul de identificare (identificatorul) emițătorului. Prin excluderea respingerii mesajului de către destinatar, emițătorul poate folosi apoi dovada livrării pentru a dovedi că datele au fost livrate destinatarului vizat.

Controlul accesului

Controlul accesului oferă protecție împotriva accesului neautorizat la date. Accesîn această definiție, termenul este foarte larg și poate include citirea, scrierea, modificarea datelor, pornirea unui program și așa mai departe.

Mecanisme de securitate

Pentru a furniza servicii de securitate a informațiilor, ITU-T (X.800) recomandă unele mecanisme de securitate definite în secțiunea anterioară. Figura 1.4 oferă o clasificare a acestor mecanisme.

Orez. 1.4.

Criptare

Criptare... Prin declasificarea sau declasificarea datelor, puteți asigura confidențialitatea. Criptarea completează și alte mecanisme care oferă alte servicii. Astăzi, două metode sunt utilizate pentru criptare: criptografie și steganografia. Le vom discuta pe scurt mai târziu.

Integritatea datelor

Mecanism integritatea datelor adaugă la sfârșitul datelor o valoare de verificare scurtă care este generată un anumit proces separat de date. Receptorul primește date și pista de audit. Pe baza datelor primite, creează o nouă pistă de audit și o compară pe cea nou creată cu cea primită. Dacă aceste două semne indicatoare se potrivesc, integritatea datelor a fost salvat.

Semnatura digitala

Semnatura digitala- un mijloc prin care expeditorul poate semna electronic datele, iar destinatarul poate verifica semnătura folosind un calculator. Expeditorul folosește un proces care poate indica faptul că această semnătură are o cheie privată aleasă dintre cheile publice care au fost anunțate public pentru utilizare publică. Destinatarul folosește cheia publică a expeditorului pentru a dovedi că mesajul este într-adevăr semnat de expeditor, care pretinde că a trimis mesajul.

Mesaje pentru autentificare

La mesagerie pentru a identifica cele două obiecte fac schimb de mesaje pentru a demonstra că obiectele sunt cunoscute între ele. De exemplu, o entitate juridică poate dovedi că cunoaște o caracteristică secretă pe care numai ea o poate cunoaște (să zicem, ultimul loc de întâlnire cu un partener).

Umplerea traficului

Umplerea traficuluiînseamnă capacitatea de a insera niște date fictive în traficul de date pentru a contracara tentativele atacatorilor de a le folosi pentru analiză.

Managementul rutare

Managementul rutareînseamnă alegerea și schimbarea continuă a diferitelor rute disponibile între emițător și destinatar pentru a împiedica un adversar să intercepteze informații pe o anumită rută.

Împuternicire

Împuternicireînseamnă alegerea unui terț pentru a-i încredința controlul schimbului dintre două obiecte. Acest lucru se poate face, de exemplu, pentru a preveni abandonarea mesajului. Destinatarul poate implica un terț care poate fi de încredere pentru a stoca cererile expeditorului, împiedicând astfel expeditorul să nege ulterior că mesajul a fost transmis.

Controlul accesului

Controlul accesului folosește metode pentru a dovedi că utilizatorul are dreptul de a accesa datele sau resursele aparținând sistemului. Exemple de astfel de dovezi sunt parolele și