На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 2 март-апрель 2008 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


ПЕРСПЕКТИВЫ МНОГОФАКТОРНЫХ СИСТЕМ

А. В. Николаев, В. А. Михеев


Предыдущая статьяСледующая статья

В настоящее время большинство современных систем разграничения доступа построено на основе однофакторной аутентификации. Яркий тому пример – парольная защита. Пароли давно стали неотъемлемой частью операционных систем и их сервисов. Уже ни для кого не секрет, что двухфакторная аутентификация с использованием токена либо смарт-карты с PIN-кодом является более надежной. Если обратиться к статистике, то окажется, что случаев взлома двухфакторных систем практически нет.

Современные системы аутентификации основываются на использовании стандартных методов разграничения доступа к удаленной системе и ее сетевым ресурсам, таких как парольная защита, механизм, основанный на принципе «запрос – ответ», аутентификация с помощью аппаратных средств, аутентификация на основе биометрических особенностей, аутентификация посредством цифровых сертификатов, с использованием цифровых подписей и криптографических протоколов.

Подавляющее большинство всех перечисленных систем наряду с присущими каждой из них особенностями, уязвимостями и преимуществами имеют определенные общие недостатки:

  • в них отсутствует комплексный подход к защите информации;
  • они лишены принципа многоступенчатой защиты как подхода к безопасности.

Отсутствием именно этих двух критериев вызвано наличие значительного числа уязвимостей в современных системах аутентификации. В большинстве существующих систем разграничения доступа используется лишь один уровень защиты, то есть злоумышленнику необходимо и достаточно преодолеть всего один «рубеж обороны» для получения доступа к защищаемой информации.

Весьма распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль – в случае совпадения подлинность пользователя считается доказанной. Основные достоинства парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и различные сервисы. При правильном использовании они могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать не самым сильным средством проверки подлинности. Чтобы пароль был запоминающимся, его зачастую делают простым. Однако простой пароль нетрудно угадать. Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы. Пароль можно угадать «методом грубой силы», используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать, запрограммировав полный перебор вариантов (предполагается, что алгоритм шифрования известен). Тем не менее парольная защита нашла широкое применение благодаря своей простоте и привычности.

IP-адрес позволяет точно идентифицировать узел. Однако аутентификация с использованием только IP-адресов не является надежной защитой, так как злоумышленник, зная, что система базируется лишь на одном конкретном идентификаторе, свой IP-адрес может подменить.

Таким образом, возникает необходимость в создании более надежных систем аутентификации с несколькими «рубежами обороны», использующими не один вид идентификации узла, а несколько – одновременно и согласованно.

Рассмотрим конкретную структуру работы программы в виде основных выполняемых блоков как пример многофакторной системы разграничения доступа под web-технологии (рис. 1). Как видно на схеме, для получения доступа к сетевым ресурсам необходимо пройти четыре уровня проверки, то есть четыре «рубежа» защиты. Первые три уровня выполняются мгновенно, так как удаленный пользователь ресурсов на этих этапах не должен самостоятельно вводить свои данные или идентификаторы, потому что программа все будет делать за него сама.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100