ОБЗОР МЕТОДОВ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ

OVERVIEW OF USER AUTHENTICATION METHODS

Alyona Gladevich

student, Department of Information Systems and Software Engineering, Baltic State Technical University "VOENMEH" named after D.F. Ustinov,

Russia, St. Petersburg

Anastasiia Barmina

lecturer, Department of Information Systems and Software Engineering, Baltic State Technical University "VOENMEH" named after D.F. Ustinov,

Russia, St. Petersburg

АННОТАЦИЯ

В статье приводится обзор методов аутентификации пользователя в приложениях, взаимодействующих с сетью Интернет. Обзор является основой для проведения анализа возможности модификации жизненного цикла программного обеспечения, использующих такие механизмы.

ABSTRACT

The article provides an overview of user authentication methods in applications that interact with the Internet. The review is the basis for analyzing the possibility of modifying the software life cycle using such mechanisms.

Ключевые слова: приложение; безопасность, аутентификация, интернет, разработка.

Keywords:  application; security, authentication, internet, development.

Кибербезопасность является актуальным направлением на сегодняшний день. Учащаются случаи хакерских атак, хищения конфиденциальных данных, поэтому обеспечение надежной сетевой безопасности важнее, чем когда-либо. Первостепенная задача безопасного программного обеспечения заключается в том, чтобы только авторизованные пользователи имели доступ к информации.

Сетевая аутентификация достигает этой цели. Существует ряд доступных методов и инструментов аутентификации, и важно понимать, как они работают, чтобы выбрать правильный для использования в программной системе. В статье будут рассмотрен ряд методов аутентификации пользователей и то, как они могут помочь пользователям защитить свои данные.

Аутентификация на уровне сети (сетевая аутентификация) — это то, как сеть подтверждает, что пользователи являются теми, за кого себя выдают.

Когда пользователь пытается войти в сеть, он указывает свою личность с помощью имени пользователя. Затем система сверяет имя пользователя со списком авторизованных пользователей, чтобы убедиться, что им разрешен доступ к сети.

Однако этого процесса недостаточно для создания безопасной системы. К примеру, кто-то имеет чужие персональные данные и вводит чужое имя пользователя, хотя таковым не является. В этот момент можно говорить про методы аутентификации. Аутентификация — это дополнительный шаг, который подтверждает, что человек, вводящий имя пользователя, действительно является владельцем этого имени пользователя. После аутентификации пользователя можно безопасно разрешить ему доступ к информации.

По мере развития технологий был разработан разнообразный набор методов сетевой аутентификации. К ним относятся как общие методы аутентификации (пароли, двухфакторная аутентификация 2FA, жетоны, биометрические данные, аутентификация транзакций, компьютерное распознавание, CAPTCHA и единый вход SSO), так и специальные протоколы аутентификации (включая Kerberos и SSL/TLC).

Далее они будут рассмотрены подробнее.

Аутентификация по паролю. Любой, кто пользуется Интернетом, знаком с паролями — самой простой формой аутентификации. После того, как пользователь вводит свое имя пользователя, ему необходимо ввести некоторый секретный код, чтобы получить доступ. В теории, если каждый пользователь будет хранить свой пароль надежно, несанкционированный доступ будет предотвращен. Однако практика показывает, что даже секретные пароли уязвимы для взлома. Злоумышленники используют программы, которые осуществляют подбор паролей и получают доступ, когда угадывают правильный.

Чтобы снизить этот риск, пользователям необходимо выбирать безопасные пароли, содержащие как буквы, так и цифры, верхний и нижний регистр, специальные символы (например, $, % или &) и слова, не найденные в словаре.

Двухфакторная аутентификация (2FA). Двухфакторная аутентификация основана на паролях, что создает значительно более надежное решение для обеспечения безопасности. Для доступа к сети требуется как пароль, так и владение определенным физическим объектом, о котором знает только пользователь. Банкоматы были одной из первых систем, использующих двухфакторную аутентификацию. Чтобы использовать банкомат, клиенты должны помнить «пароль» — свой PIN-код — плюс вставить дебетовую карту. Ни того, ни другого недостаточно.

В компьютерной безопасности 2FA следует тому же принципу. После ввода имени пользователя и пароля пользователям необходимо пройти дополнительное мероприятие для входа в систему: им необходимо ввести одноразовый код с определенного физического устройства. Код может быть отправлен на мобильный телефон в текстовом сообщении или сгенерирован с помощью мобильного приложения. Если злоумышленник угадает пароль, он не сможет продолжить работу без мобильного телефона пользователя; и наоборот, если они украдут мобильное устройство, они все равно не смогут войти без пароля [1].

Аутентификация по токену. Некоторые компании предпочитают не полагаться на мобильные телефоны как на дополнительный уровень защиты аутентификации. Вместо этого они обратились к системам аутентификации с помощью токенов. Системы токенов используют специальное физическое устройство для двухфакторной аутентификации. Это может быть ключ, вставленный в USB-порт компьютера, или смарт-карта, содержащая чип радиочастотной идентификации или связи ближнего радиуса действия.

Биометрическая аутентификация. Биометрические системы являются передовыми методами компьютерной аутентификации. Биометрия опирается на физические характеристики пользователя для его идентификации. Наиболее широкодоступные биометрические системы используют отпечатки пальцев, сканирование сетчатки или радужной оболочки, распознавание голоса и распознавание лица. Поскольку нет двух пользователей с одинаковыми физическими характеристиками, биометрическая аутентификация довольно безопасна. Это единственный способ точно узнать, кто именно входит в систему. Это также имеет то преимущество, что пользователям не нужно брать с собой отдельную карту, ключ или мобильный телефон, а также им не нужно запоминать пароль (хотя биометрическая аутентификация более безопасна в сочетании с паролем).

Несмотря на свои преимущества в плане безопасности, биометрические системы также имеют существенные недостатки. Во-первых, они дороги в установке и требуют специального оборудования, такого как сканеры отпечатков пальцев или сканеры глаз. Во-вторых, это проблема конфиденциальности. Пользователи могут отказаться делиться своими личными биометрическими данными с частной компанией, если для этого нет веской причины. Таким образом, биометрическая аутентификация наиболее целесообразна в средах, требующих высокого уровня безопасности.

«Единый вход» (англ. SSO). SSO позволяет пользователю ввести свои учетные данные только один раз, чтобы получить доступ к нескольким приложениям. В качестве примера можно представить сотрудника, которому нужен доступ как к электронной почте, так и к облачному хранилищу, но на отдельных сайтах. Если два сайта связаны с SSO, пользователь автоматически получит доступ к сайту облачного хранилища после входа в почтовый клиент. SSO экономит время пользователей, избегая повторного ввода паролей. Тем не менее, это также может представлять угрозу безопасности; поскольку неавторизованный пользователь, получивший доступ к одной системе, теперь может проникнуть в другие.

Также могут использоваться при разработке различные протоколы аутентификации. Это специальные технологии, предназначенные для обеспечения безопасного доступа пользователей. Kerberos и SSL/TLS — два наиболее распространенных протокола аутентификации.

Kerberos является методом аутентификации по умолчанию в Windows, а также используется в Mac OS X и Linux. Kerberos использует временные сертификаты безопасности, известные как «билеты» (англ. tickets). «Билеты» позволяют устройствам в незащищенной сети аутентифицировать друг друга. Каждый «билет» имеет учетные данные, которые идентифицируют пользователя в сети. Данные в «билетах» зашифрованы, поэтому их невозможно прочитать в случае перехвата третьей стороной [2].

Kerberos использует доверенную третью сторону для обеспечения безопасности. Но у Kerberos есть некоторые уязвимости — он требует, чтобы сервер аутентификации был постоянно доступен, и он требует, чтобы часы в разных частях сети всегда были синхронизированы. Тем не менее, он остается широко распространенной и полезной технологией аутентификации.

SSL/TLS. SSL и его преемник TLS — еще один важный протокол аутентификации. В SSL/TLS клиенты и серверы используют цифровые сертификаты для аутентификации друг друга перед подключением. Сертификаты клиента и сертификаты сервера обмениваются для проверки личности каждой стороны в процессе, известном как взаимная идентификация. Сертификат сервера представляет собой небольшой файл данных, сохраняемый на веб-сервере. Сертификат связывает криптографический ключ с данными об организации, которой принадлежит сервер. Веб-браузер проверяет действительность сертификата перед подключением к серверу.

Поддержка SSL/TLS встроена во все основные веб-браузеры, включая Chrome, Firefox и Safari. SSL/TLS просты в реализации, поскольку не требует специального программного обеспечения. Весь трафик в SSL/TLS шифруется, поэтому он недоступен для перехватчиков. SSL/TLS стал неотъемлемой частью веб-технологий и продолжает совершенствоваться и обновляться.

Можно сделать вывод, что существует множество факторов, которые следует учитывать при выборе правильных технологий аутентификации для программного обеспечения. 2FA делает пароли более безопасными, а биометрические системы обеспечивают еще более высокий уровень защиты, в то время как, Kerberos и SSL/TLS обеспечивают шифрование связи.

Список литературы:

1. Немного о 2FA: Двухфакторная аутентификация / Хабр [электронный ресурс] — Режим доступа. — URL: https://habr.com/ru/company/1cloud/blog/277901/ (дата обращения 19.04.2022)
2. The Kerberos ticket - IBM Documentation [электронный ресурс] — Режим доступа. — URL: https://www.ibm.com/docs/en/sc-and-ds/8.2.1?topic=concepts-kerberos-ticket (дата обращения 20.04.2022)