Locked History Actions

Autentification & identification

Žodis angliškai

Autentifacation & identification

Žodis Lietuviškai

Autentifikavimas ir itentifikavimas

Paaiškinimai

Teorija: 1. Identifikacija ir autentifikacija

Kiekvienas asmuo yra identifikuojamas nuo pat mažens: tėvai suteikia jam vardą ir pavardę. Kai asmeniui išduodamas pasas, jam yra priskiriamas asmens kodas. Pagal šiuos duomenis galima nustatyti kiekvieno asmens tapatybę. Mūsų tapatybė leidžia mums skolintis pinigus iš banko, apmokėti pirkinius banko kortele, nuvažiuoti į svetimą šalį ir t.t. Taigi kiekvienas iš mūsų išeidamas iš savo namų susiduria su savo tapatybės identifikacija.

Tačiau kas iš tikrųjų yra identifikacija? Identifikacija – tai yra procesas, kurio metu vartotojui yra priskiriami unikalūs duomenys, pagal kuriuos vartotojas gali būti vienareikšmiškai atskirtas nuo kitų vartotojų. Šie unikalūs duomenys yra vadinami identifikatoriais. Identifikatoriaus koncepcija yra panaši į asmens vardo koncepciją, t.y. asmuo gali būti identifikuotas pagal savo identifikatorių panašiai kaip ir pagal savo vardą bei pavardę.

Dažnai identifikacija yra painiojama su autentifikacija. Autentifikavimas - (Mokėjimo ir atsiskaitymo sistemos) - šis metodas yra vartojamas patikrinti pranešimo šaltinį arba identifikuoti sistemos dalyvį ir įsitikinti, kad pranešimas perduodant nebuvo modifikuotas arba pakeistas. Autentifikavimas plačiai naudojamas saugos sistemose. Autentifikacija skiriasi nuo identifikacijos tuo, kad tai yra procesas, kurio metu vartotojo įvesti duomenys yra palyginami su duomenų bazėje esama informacija apie šį vartotoją. Jeigu vartotojo įvesti duomenys sutampa su informacija duomenų bazėje, tai autentifikacija yra sėkminga ir vartotojas patvirtina savo tapatybę.

Buitine kalba vartotojo identifikacija yra procesas, kai jam suteikiamas vardas, o autentifikacija yra vartotojo prisistatymas. Identifikacija ir autentifikacija ne tik skamba panašiai, bet ir mūsų gyvenime visuomet yra šalia viena kitos kaip dvi bendros sistemos dalys.

  • Asmens tapatybės paslaptis yra labai svarbi. Tačiau, jeigu kasdieniniame gyvenime mūsų tapatybę gali patvirtinti asmens dokumentai, tai virtualioje aplinkoje mes patys turime pasirūpinti savo tapatybe. Be to kiekvienam interneto vartotojui yra svarbu identifikuoti save ne tik savo namuose, darbe ar mokslo įstaigoje, bet ir svetur.

2. Kam reikalinga autentifikacija ?

Mūsų laikais, kai daug paslaugų perkeliama į elektroninę erdvę iškilo svarbus klausimas: kaip atpažinti asmenį prieš suteikiant jam informaciją? Sakykim vartotojas prisijungia prie viešųjų paslaugų portalo ir nori gauti informaciją apie darbdavio sumokėtus mokesčius "Sodrai". Prieš pateikiant tokius duomenis informacijos tiekėjas turi įsitikinti, kad perduoda duomenis būtent tam asmeniui, kuris padarė užklausą. Atitinkamai užklausą padaręs asmuo turi autentifikuoti save, arba kitaip sakant įrodyti savo tapatybę.

Vienas iš saugiausių būdų tai padaryti - autentifikuotis naudojant skaitmeninį sertifikatą .

3. Slaptažodžiai

Vartotojų identifikacija gali būti skirtinga. Tai priklauso ne tik nuo pačio vartotojo, bet ir nuo to ar vartotojas identifikuojasi sistemoje, firmoje, forume, svetainėje ir t.t. Taip pat identifikacijos būdas priklauso ir nuo to ką vartotojas nori identifikuoti: savo tapatybę ar savo nuosavybę (pvz. knygą, dainą, mokslinį straipsnį ir t.t). Identifikacijos procedūra taip pat yra skirtinga fiziniams ir juridiniams asmenims.

Populiariausias identifikacijos būdas yra vartotojo vardas ir slaptažodis. Šių elementų pora yra vadinama paskyra (angl. account). Tokį identifikacijos būdą bent kartą naudojo kiekvienas asmuo, kuris naudoja internetą. Kadangi dažniausiai vartotojo vardas yra viešai skelbiamas, tai reikia mokėti pasirinkti tinkamą slaptažodį.

Slaptažodis kaip identifikatorius atsirado jau senovės Romoje. Šiuolaikinių kompiuterių atmintyje slaptažodžiai yra saugomi hešo pavidalu. Tam tikslui yra naudojamos specialios kriptografinės funkcijos, kurios yra vadinamos hešo funkcijomis. Dažnai tam yra naudojami MD-5 ir SHA-1 algoritmai. Pavyzdžiui, jei vartotojas pasirinko slaptą frazę „The quick brown fox jump over the lazy dog“, tai ši frazė bus išsaugota kompiuteryje tokiu pavidalu:

SHA1("The quick brown fox jumps over the lazy dog")

= 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12

MD5("The quick brown fox jumps over the lazy dog")

  • = 9e107d9d372bb6826bd81d3542a419d6
  • Tačiau kriptografiniai tyrimai rodo, kad algoritmas MD-5 jau nebėra kriptografiškai saugus, nes prieš šį algoritmą yra galima kolizijos ataka. Kompiuteris su 2,6 GHz Pentium 4 procesoriumi atlieka šią ataką per kelias sekundes. Taigi toks slaptažodžio saugojimo būdas gali artimiausiu metu tapti nesaugiu.

Slaptažodis turi ir kitą problemą. Pasak kompiuterinių tinklų saugumo specialistus apie 40 procentų interneto vartotojų pasirenka slaptažodžius, kuriuos yra lengva atspėti. Akivaizdu, kad tokie slaptažodžiai negali būti laikomi saugiais. Vartotojams patinka naudoti silpnus slaptažodžius, nes daugelis vartotojų turi atsiminti nė mažiau kai 5 – 10 slaptažodžių. Knygos „Perfect passwords“ autorius Markas Bernetas sudarė 500 populiariausių slaptažodžių sąrašą tarp angliškai kalbančių vartotojų. Pirmoji vieta atiteko slaptažodžiui 123456. Šio slaptažodžio modifikacijos 123456789, 1234 ir 12345678 užėmė atitinkamai antrąją, trečiąją ir ketvirtąją vietas. Taip pat yra populiarūs necenzūriniai slaptažodžiai, filmų pavadinimai (pvz Matrix – 229 vieta, StarWars – 129 vieta), spalvos (juoda, mėlyna ir t.t.) bei šalių pavadinimai (Brazilija – 411 vieta, Japonija – 413 vieta, Rusija – 492 vieta). Aštuntas pagal populiarumą yra slaptažodis qwerty. Taip pat populiarus yra slaptažodis password. Dėl šios priežasties 2010 metais daugiau nei 10 000 įvairiausių elektroninių paštų vartotojų slaptažodžiai buvo viešai paskelbti tinklapyje pastebin.com.

Taigi matome, kad saugaus slaptažodžio problema yra aktuali. 1999 metais buvo pasiūlyta schema saugiam slaptažodžiui sukurti ir saugoti. Schemos idėja buvo sukurti tokį slaptažodį, kuris būtų stabilus ilgą laikotarpį ir neišduotų jokios informacijos apie slaptą tekstą, tačiau galėtų prisitaikyti prie vartotojo spausdinimo įpročių. Sprendimas leido sutrukdyti dešifruoti slaptažodį naudojant serverio turinį.

Kitas šios problemos sprendimo būdas remiasi tuo, kad vartotojai gali naudoti specialius simbolius tokius kaip tarpas ar pabraukimas. Tokiu būdų kenkėjas, norintis nulaužti slaptažodį, yra priverstas naudoti platesnę simbolių aibę paieškai.

Vartotojui, kuris nori pasirinkti saugų slaptažodį galima pasiūlyti laikytis šių taisyklių: • Slaptažodis neturi būti per trumpas, nes tai palengvina pilno perrinkimo ataką. Minimalus slaptažodžio ilgis turi būti 8 simboliai. Be to slaptažodis neturi būti sudarytas vien iš skaičių. • Slaptažodis neturi būti gerai žinomas žodis. Tai palengvina žodyno ataką. • Slaptažodį neturi sudaryti vien laisvai prieinama informacija apie vartotoją.

4. Duomenų šifravimas Duomenų šifravimas. Šifravimas yra procesas, kuriuo metu duomenys yra užšifruojami, kad juos neperskaitytu nepageidaujami asmenys. Šiuos duomenys gali būti perimami trečiosios šalies, bet jų nebus įmanoma perskaityti, nes trečioji šalis neturi šifro rakto.

SSL dažniausiai naudojama užtikrinti perduodamų duomenų saugumą tarp interneto naršyklės bei WEB serverio. Taip pat SSL gali būti naudojamas užtikrinant serverių bendravimą.

Paprastai skaitmeninis sertifikatas susideda iš:

• Savininko viešo rakto

• Savininko vardo

• Viešo rakto galiojimo termino

• Skaitmeninį sertifikatą teikiančios organizacijos (CA) pavadinimo

• Skaitmeninio sertifikato serijinio numerio

• Sertifikatą teikiančios organizacijos skaitmeninio parašo.

Literatūra

https://id.ssc.lt/

http://yiiframework.ru/doc/guide/ru/topics.auth

http://lt.wiktionary.org/wiki/autentifikavimas

http://windows.microsoft.com/lt-lt/windows-vista/what-are-server-authentication-options

paskutinį kartą redaguota 2013-04-29 17:04:48 redaktoriaus Katažyna Pechoviak