Autentisering er handlingen for å bekrefte sannheten til et attributt til et enkelt datastykke eller informasjon som hevdes å være sann av en enhet. I motsetning til identifikasjon, som refererer til handlingen med å bekrefte identiteten til en person eller noe, er autentisering prosessen med å faktisk bekrefte identiteten.
For eksempel ved å bekrefte en persons identitet ved å validere identitetsdokumentene deres, verifisere ektheten til et nettsted med et digitalt sertifikat , bestemme alderen til en artefakt ved karbondatering , eller sikre at et produkt er det som er angitt på emballasjeetiketten. Med andre ord innebærer autentisering ofte å verifisere gyldigheten av minst én form for identifikasjon.
I informasjonsteknologi , prosessen der et datasystem , datamaskin , programvare eller bruker bekrefter den korrekte, eller i det minste antatte, identiteten til en annen datamaskin, programvare eller bruker som ønsker å kommunisere gjennom en tilkobling , og autoriserer den til å bruke de relative tilknyttede tjenestene . [1] Det er systemet som faktisk bekrefter at et individ er den han utgir seg for å være.
Autentisering er forskjellig fra identifikasjon (avgjør om en person er kjent av systemet eller ikke) og autorisasjon (gir en bruker rett til å få tilgang til bestemte systemressurser, basert på hans eller hennes identitet). [2]
De er de som utfører cyberangrep for å innhente informasjon (som legitimasjon) eller annet for profitt mot ofrene. Cyber angrep er alle handlinger som skader konfidensialiteten , tilgjengeligheten og integriteten til datamaskinen eller dataene den inneholder.
Sosiale medier svindlereDet er de som prøver å innhente legitimasjonen til brukerne på sosiale medier gjennom teknikkene for bedrag. De mest brukte teknikkene er:
Ofte i sosiale nettverk ser du "annonser" som: "Se hvor morsomt denne gratisapplikasjonen er". Dette brukes vanligvis til å utføre denne typen angrep. Kanskje finnes applikasjonen også, men da ber den deg skrive inn brukernavn og passord for å kunne fortsette eller vise alle dine «sosiale» venner poengsummen. I dette tilfellet blir informasjonen som er lagt inn i skjemaene tatt og deretter brukt til å logge på sosiale nettverk med den stjålne legitimasjonen.
PhishersPhishing er en type svindel som utføres på Internett der en angriper prøver å lure offeret ved å overbevise dem om å oppgi personlig informasjon, økonomiske data eller tilgangskoder. Standard phishing -angrepsprosessen består av følgende trinn:
Eksempel: "Kontoen din har blitt suspendert av sikkerhetsgrunner, klikk her for å aktivere den på nytt".
Den beste måten å forsvare seg mot disse angrepene på er bevissthet. Vær forsiktig med at nettstedene du besøker er autentiske (se på den grønne hengelåsen før URL -en ).
Når det gjelder e-poster med forespørsel om personopplysninger, kontonumre, passord eller kredittkort, er det god praksis, før du kansellerer, å sende en kopi til kompetente myndigheter og varsle banken eller andre interesserte parter, slik at de kan gjøre ytterligere ordninger mot det falske nettstedet og informere brukerne.
Det er ingen datamaskiner , programvare eller brukere som med full sikkerhet kan bekrefte identiteten til andre datamaskiner, programvare og brukere.
Derfor, siden den "helt sikre" løsningen er uoppnåelig, kan man bare prøve å utsette autentiseringen for ulike tester, for eksempel spørsmål som må besvares riktig. Det er absolutt ekstremt viktig at den virtuelle identiteten er unikt assosiert med den "fysiske", og det er derfor mulig å verifisere at personen som bruker tjenesten virkelig er den han utgir seg for å være, for de mest kritiske tjenestene, for eksempel de som involverer finansielle transaksjoner eller kommunikasjon av personopplysninger.
Under en tilkobling/kommunikasjon på Internett eller tilgang til noen tjenester som gjøres tilgjengelig av nettet , er det viktig for brukeren å unikt definere sin identitet, bli gjenkjent og derfor få tilgang til tjenestene sine. På samme måte er det også viktig å kjenne identiteten til den som befinner seg på den andre siden av kommunikasjonslinjen og å være sikker på at samtalepartneren de utveksler informasjon med virkelig er den de sier de er og ikke en bedrager.
Problemet med autorisasjon identifiseres ofte med autentisering: standard sikkerhetsprotokoller , for eksempel, er basert på denne antakelsen. Imidlertid er det tilfeller der disse to problemene løses med forskjellige strategier.
Et hverdagslig eksempel er den vanlige autentiseringsprosedyren vi kjenner som pålogging , til stede for eksempel i fora , tilgang til hjemmebank og e-handelstjenester , Wi-Fi- nettverk , mobiltelefoner , etc. Et behandlingssystem, designet for kun å brukes av autoriserte brukere , må kunne oppdage og ekskludere uautoriserte parter . Tilgang til den er derfor garantert først etter vellykket autentiseringsprosedyre, vanligvis gjennom et brukernavn og/eller et personlig passord .
En påloggings-/passordbeholder er maskinvarenøkkelen .
Dette er en enhet som inneholder et internminne hvor det er mulig å lagre passord, koder, digitale signaturer. Sikkerheten til beholderen er avhengig av påliteligheten til eieren, da det er logisk at hvis sistnevnte lar nøkkelen være uten tilsyn, kan sikkerheten bli kompromittert. Et eksempel på en maskinvarenøkkel er smartkort . Noen vanlige eksempler på autentiseringsprosesser involvert i en tilgangskontroll er som følger:
Det er en annen type nøkkel som tillater maskinvareautentisering på aktiverte nettsteder, på serversystemer og på tilpassede programvareprodukter. Den er basert på et nøkkelutvekslingssystem med en server som identifiserer nøkkelen og gir et annet passord ved hver tilgang, noe som gjør brukeren unik identifiserbar. Ved tap er det mulig å be om deaktivering på selve serveren for å unngå at den kan brukes av andre. Dette systemet foretrekkes ofte fremfor det klassiske passordet på tjue tegn, da brukeren har en tendens til ikke å huske det og skriver det i små ark, noe som gjør sikkerheten skapt av selve passordet ubrukelig (grunnleggende sikkerhetsproblemer som ikke dikteres av teknologi, men av den menneskelige faktoren) . Det brukes ofte med OpenSSH, Phpmyadmin, Wordpress og annen programvare. [3]
I dag brukes nye autentiseringsmetoder som erstatter de klassiske passordene som kan være dårlige som sikkerhet. Tradisjonell online autentisering er avhengig av noe du vet, som er et passord. Dette er imidlertid ikke en ufeilbarlig metode, faktisk: et passord er en hemmelig data som må deles med de som bekrefter identiteten. Svært ofte har du ingen mulighet til å sikre at passordet ditt er trygt lagret, og det kan være et enkelt bytte for alle som ser det komme inn eller bruker programvare som en keylogger. [4]
Metodene som et menneske kan autentisere er delt inn i tre klasser, basert på: [5]
Valget av de ulike autentiseringsmetodene er betinget av ulike faktorer, inkludert brukervennlighet, viktigheten av informasjonen som skal beskyttes og kostnadene for systemet. Ofte er det også en gjensidig autentisering der hver av partene skal autentisere seg overfor den andre.
I tillegg brukes ofte en kombinasjon av metoder i stedet for enkeltmetoden, dvs. et identifikasjonskort og en PIN-kode som øker sikkerheten. Dette kalles sterk autentisering eller tofaktorautentisering .
Offline tokensTokens fungerer utenfor båndet , i den forstand at de ikke har en direkte forbindelse med autentiseringsanmoderen, vanligvis gjennom en delt hemmelig nøkkel.
Det biometriske gjenkjenningssystemet er et autentiseringsverktøy (brukt på mennesker) som er basert på menneskets unike fysiske egenskaper. De mest brukte metodene er: fingeravtrykk, stemmeavtrykk, håndårer og øyenetthinne.
I disse tilfellene mangler ikke problemene, faktisk er de fysiske egenskapene ustabile og variable (sår på hånden, forvrengt stemme på grunn av forkjølelse, utvidede pupiller, etc.). Hvis du setter opp en fingeravtrykkskanner med maksimal oppløsning, kan autentiseringen mislykkes hvis hendene dine er kalde eller har blemmer. Irisgjenkjenning og ansiktstrykk viste seg å være for lett å forfalske. De er interessante å "leke" med (noen Android-enheter tillater ansiktslås), men de er for upålitelige til å stole på for å støtte autentisering. Fingeravtrykkene sitter igjen selv om de også er forfalsket. [4] Det ble demonstrert på "Chaos Computer Club"-konferansen at det er enkelt å kopiere fingeravtrykk ved å bruke til og med noen få fotografier (fingeravtrykkene til den tyske forsvarsministeren har blitt kopiert) [6] . I motsetning til et passord, hvis netthinneskanningen eller fingeravtrykkskanningen har blitt stjålet, kan den absolutt ikke endres. Sannsynligheten for å stjele passordet eller tokenet ditt i tillegg til sannsynligheten for at noen stjeler et passende fingeravtrykk er uendelig liten. Som i de fleste tilfeller avhenger det av sikkerheten til applikasjonen.
CaptchaCAPTCHA brukes i informatikk og er en test som består av ett eller flere spørsmål og svar for å autentisere at brukeren er et menneske (og ikke en datamaskin eller en bot). En CAPTCHA-test som vanligvis brukes består av en forvrengt og/eller uskarp sekvens og krever at brukeren skriver hvilke bokstaver eller tall som utgjør den.
Kryptografiske metoderI IKT -sammenheng er det utviklet symmetriske og asymmetriske kryptografiske metoder ( se MAC og digital signatur ) som brukes til autentisering av digitale dokumenter som utveksles og som foreløpig ikke er bedragerbare hvis (og bare hvis) den originale nøkkelen som ble brukt ikke har blitt kompromittert. Disse utmerkede metodene anses, i det minste foreløpig, som uangripelige, men det er ingen sikkerhet for at de vil forbli "trygge" for alltid. Uventede fremtidige matematiske utviklinger kan faktisk gjøre hele den moderne generasjonen av krypteringsalgoritmer sårbar , og sette alvorlig spørsmålstegn ved alt som har blitt autentisert i fortiden. Spesielt ville en digitalt signert kontrakt ikke lenger ha noen verdi hvis det grunnleggende kryptografiske systemet var "ødelagt".
Asymmetrisk nøkkelkryptografi er basert på bruk av to nøkler, en privat og den andre offentlig . Etter å ha innhentet autorisasjonen fra Registration Authority ( RA ) [7] som verifiserer og registrerer identiteten til søkeren [8] oppretter brukeren de to nøklene og leverer den offentlige til sertifiseringsmyndigheten (eller Certification Authority CA , en enhet som erklærer at den offentlige nøkkelen faktisk er knyttet til den brukeren) som genererer sertifikatet, lagrer det i sertifikatkatalogen og sender det til brukeren selv. Sistnevnte har nå muligheten til å bruke nøklene også for autentisering.
Eksempel: betraktet som to brukere, Alice og Bob, tar Alice meldingen i klartekst og (etter å ha autentisert den med sin private nøkkel) sender den til Bob. Sistnevnte utfører nå autentiseringsfasen ved å bruke den offentlige nøkkelen (Alices). Så Bob eller serveren trenger bare å ha den offentlige nøkkelen for å autentisere Alice som har den private nøkkelen. Autentisering kan også krypteres ved bruk av alltid asymmetrisk nøkkelkryptering: Til å begynne med er meldingen i klartekst. Alice sender Bob meldingen som er autentisert med (hennes) private nøkkel og deretter kryptert med (Bobs) offentlige nøkkel. Bob mottar meldingen og dekrypterer den ved å bruke (hans) private nøkkel og bekrefter autentiseringen av klartekstmeldingen gjennom (Alices) offentlige nøkkel.
Tilgang til datasystemer eller beskyttede bedriftsnettverk ( intranett ) av brukere skjer vanligvis med klient-server- protokoller som AAA-protokoller (f.eks . RADIUS , DIAMETER , Kerberos ) i en kommunikasjon mellom klienten og autentiseringsserveren ved bruk av en av autentiseringsmetodene/-teknikkene beskrevet ovenfor.
For å beskytte tilgangen til Ethernet-nettverket, brukes IEEE 802.1x -protokollen som er utformet for å tillate nettverkstilgangskontroll på portnivå og har blitt autentiseringsrammeverket for trådløse LAN. Det brukes på lag 2 av nettverket, faktisk er det implementert i bryterne. Den raske spredningen har i stor grad vært avhengig av tilgjengeligheten av veletablerte standarder, hovedsakelig EAP (Extensible Authentication Protocol). Portbasert sikkerhet lar nettverksenheter koble til nettverket først etter autentiseringsfasen . De er implementert i både trådløse og kablede (kablede) nettverk.
NACNettverkstilgangskontroll er en sikkerhetsteknikk som kontrollerer nettverkstilgang og håndhever endepunktsikkerhetspolicyer . NAC overvåker endepunkters nettverkstilgangsordning, vurderer deres samsvarsstatus og tilbyr automatiske utbedringsmuligheter. Disse enhetene, i likhet med 802.1x-protokollen, krever, før de gir tilgang til nettverket, å autentisere og utføre kontroller på selve enhetene for å redusere muligheten for angrep, selv null-dager (sjekk for eksempel tilstedeværelse av antivirus, patcher, programvare osv.). [9]
Virtuelt privat nettverk (VPN)VPN er en kombinasjon av maskinvare og programvare som brukes til å koble sammen personer som bruker offentlige og delte (derfor upålitelige) transportinfrastrukturer som internett på en sikker måte. Først må du autentisere dataene du vil overføre til brannmuren mellom de to fagene. Dette skaper en form for intern autentiseringstjeneste som gjør det virtuelle private nettverket sikrere.
Et eksempel på en VPN-implementering er OpenVPN , en åpen kildekodeprogramvare som lar verter autentisere seg med hverandre ved hjelp av delte private nøkler, digitale sertifikater eller bruker-/passordlegitimasjon. En annen metode er bruk av tunnelprotokoller som IPsec , opprettet for å oppnå sikre tilkoblinger over IP -nettverk . Sikkerheten er sikret gjennom autentisering, kryptering og dataintegritet til IP-pakkene.
VPN brukes også med skyen kalt Virtual Private Cloud. I dette tilfellet er noen eller alle tjenestene, vanligvis fra et selskap (f.eks. Amazon, Google App Engine, osv.), lokalisert i en skyleverandør hvor det opprettes et rom der den virtuelle infrastrukturen som administreres av leverandøren er vert og er tilgjengelig globalt. Tilgang til dataene dine gjøres ved hjelp av VPN-er dedikert til hver kunde, kryptert kommunikasjon og autentisering ved å legge inn legitimasjon.
CookieInformasjonskapsler er tokens som brukes i nettkommunikasjon ( HTTP-cookie ) mellom klient og server for å holde økten oppe da HTTP er en statsløs protokoll . Når en bruker går inn på et nettsted for første gang, forstår sistnevnte at han er en ny bruker fordi informasjonskapselen ikke er til stede i forespørselspakken som mottas. Deretter genererer serveren en på en unik og uforutsigbar måte (som ikke kan forutsies) og lagrer den i databasen og setter den inn i svarpakken i cookie-settet . Nettleseren som mottok denne pakken sjekker for tilstedeværelsen av informasjonskapselen og lagrer den i informasjonskapselfilen den administrerer. Fra nå av, i alle forespørsels- og svarpakkene, vil denne informasjonskapselen bli brukt til å autentisere økten og serveren kan dermed autentisere nettleseren og derfor forstå hvem den er, hvis den allerede har vært på denne siden, hva den har gjort, etc. Det finnes forskjellige typer informasjonskapsler:
Den første typen brukes til å autentisere tilgang til en side eller nettapplikasjon uten å skrive inn legitimasjonen på nytt hver gang du vil ha tilgang. Varigheten av informasjonskapselen er ofte svært begrenset (kort utløpstid), så du har muligheten til å bruke «husk meg»-tjenesten som genererer en autentiseringsinformasjonskapsel med lengre utløpsdato. Denne typen informasjonskapsler brukes også i e-handel for å unngå å legge inn legitimasjonen som brukes til nettkjøp (unngå å oppgi brukernavn, passord, kredittkortnummer osv.).
Sporingsinformasjonskapsler er de som brukes for å holde oversikt over nettstedene brukeren besøker. Det brukes også i e-handel vanligvis for å huske hvilke produkter brukeren ønsker å kjøpe (og dermed lage handlekurven). Kombinert med autentiseringsinformasjonskapslene blir det mulig å foreta flere kjøp samtidig med et enkelt klikk (legitimasjonen legges ikke inn fordi autentiseringsinformasjonskapselen brukes).
OBS, autentiseringskapsler kan bli stjålet av de som snuser på pakkestrømmen hvis tilkoblingen ikke er HTTPs, men ganske enkelt HTTP eller stjålet gjennom XSS - angrep ( Cross-site scripting ). Ved å gjøre det kan angriperen forfalske identiteten sin ved å bruke disse informasjonskapslene og lure serveren med en falsk identitet (han vil ha tilgang til offerets økt).
TilgangskontrollEn vanlig bruk av "autentisering og autorisasjon" er tilgangskontroll. et datasystem som kun skal brukes av autoriserte personer for å oppdage og ekskludere de som ikke er autoriserte. Tilgang til den kontrolleres derfor vanligvis ved å insistere på en autentiseringsprosedyre for å etablere brukerens identitet med en viss grad av tillit, tildeling av privilegier etablert for denne identiteten. En slik prosedyre involverer bruk av lag 8, som lar IT-administratorer identifisere brukere, overvåke Internett-aktiviteten til nettverksbrukere, sette brukerbaserte retningslinjer og generere rapporter etter brukernavn. Vanlige eksempler på tilgangskontroll som involverer autentisering inkluderer:
I noen tilfeller balanseres den enkle tilgangen av nøyaktigheten til tilgangskontrollene. For eksempel krever ikke nettverkskredittkortet et personlig identifikasjonsnummer for å autentisere den påståtte identiteten; og en liten transaksjon krever vanligvis ikke engang en signatur fra den autentiserte personen for bevis på autorisasjon av transaksjonen. Sikkerheten til systemet styres ved å begrense distribusjonen av kredittkortnumre, og ved trusselen om straff for svindel. Sikkerhetseksperter hevder at det er umulig å bevise identiteten til en databruker med absolutt sikkerhet. Det er kun mulig å ta en eller flere prøver som, hvis godkjent, tidligere er erklært tilstrekkelige til å fortsette. Problemet er å finne ut hvilke tester som er tilstrekkelige, og mange er utilstrekkelige. Alle data kan forfalskes på en eller annen måte, med ulik vanskelighetsgrad. Eksperter på nettsikkerhet erkjenner også at til tross for stor innsats, som et forretnings-, forsknings- og nettverkssamfunn, har vi fortsatt ikke en sikker forståelse av kravene til autentisering, under en rekke omstendigheter. Mangel på denne forståelsen er en betydelig hindring for å identifisere optimale autentiseringsmetoder. hovedspørsmålene er:
De fleste logiske kontrollene (loggstyring, overvåking, herding osv.) mister sin effektivitet dersom kontrollen ikke utføres fra et fysisk synspunkt. For å sikre større fysisk sikkerhet (se: IT-sikkerhet ), og dermed også av data- eller dataflyten som den bærer eller inneholder, er det nødvendig å sette opp en slags fysisk tilgang til bedriftens lokaler eller maskinrom, kun gjennom autentisering basert på privilegier. Autentisering kan skje via merker, nøkler, biometriske systemer, etc.
ISO- standard for autentiseringForfalskede produkter tilbys ofte til forbrukere som om de var ekte. Forfalskede forbruksvarer som forfalsket musikk, klær og narkotika selges som legitime. Innsats for å kontrollere forsyningskjeden og utdanne forbrukere bidrar til å sikre at autentiske produkter selges og brukes. Sikkerhetstrykk på emballasje, etiketter og merkelapper er også gjenstand for forfalskning.
En sikker nøkkellagerenhet kan brukes til autentisering i forbrukerelektronikk, nettverksautentisering, lisensadministrasjon, forsyningskjedestyring , etc. Generelt må enheten være autentisert og trenger en slags digital tilkobling til et trådløst eller kablet nettverk. Komponenten som autentiseres trenger imidlertid ikke å være av elektronisk natur, for eksempel en autentiseringsbrikke som kan festes mekanisk og leses gjennom en kobling til verten. Disse sikre koprosessorene som kan brukes på produkter og tjenester kan tilby en løsning som kan være mye vanskeligere å forfalske.
Emballasje og merking kan utformes for å bidra til å redusere risikoen for forfalskning av forbruksvarer eller tyveri og videresalg av produkter. Noen pakkekonstruksjoner er vanskeligere å kopiere. Forfalskede varer, uautorisert salg, materialerstatninger og endringer kan alle reduseres med disse anti-forfalskningsteknologiene. Pakkene kan inneholde autentiseringsforseglinger og bruke sikkerhetsutskrifter for å indikere at innholdet i pakken ikke er forfalsket; disse er også gjenstand for forfalskning. Pakker kan også inneholde tyverisikringsenheter, for eksempel fargepakker, RFID eller elektronisk gjenstandsovervåking som kan aktiveres eller oppdages av enheter ved utgangspunkter og krever spesialverktøy for å deaktivere. Anti-forfalskning teknologier som kan brukes med emballasje inkluderer:
Autentisering av informasjon kan utgjøre spesielle problemer med elektronisk kommunikasjon, for eksempel sårbarhet for angrep, hvor en tredjepart kan avskjære kommunikasjonsstrømmen, setter seg mellom partene ( mann i midten angrep ), for å avskjære informasjon fra begge sider . Ekstra identitetsfaktorer kan være nødvendig for å autentisere identiteten til hver part.
Å imitere stilen til en kjent forfatter kan føre til litterær forfalskning . Hvis et originalt manuskript, maskinskrevet tekst eller opptak er tilgjengelig, kan selve mediet (eller emballasjen - alt fra en boks til en e-postoverskrift) bidra til å bevise eller motbevise dokumentets autentisitet.
Tekst, lyd og video kan imidlertid kopieres til nye medier, og muligens lar bare selve informasjonsinnholdet bli brukt til autentisering.
Ulike systemer har blitt oppfunnet for å tillate forfattere å gi en måte for lesere å pålitelig autentisere at en gitt melding stammer fra eller overføres av dem. Disse inkluderer autentiseringsfaktorer, for eksempel:
Noen ganger er det nødvendig å autentisere sannheten til videoopptak som brukes som bevis i rettssaker. Riktige kjede-of-custody-registre og sikre lagringsfasiliteter kan bidra til å sikre at digitale eller analoge opptak fra domstolen kan tas i bruk.