Autentykacja

Z Encyklopedia Zarządzania

Funkcjonowanie wielu współczesnych instytucji administrujących przebiega z wykorzystaniem różnych środków i metod technicznych teleinformatyki. Ważnym etapem każdej transakcji, która wykonywana jest w systemach teleinformatycznych jest identyfikowanie stron, a także ich uwierzytelnienie z adekwatnym poziomem bezpieczeństwa dotyczącego realizowanej usługi.

Identyfikacja jest to taki proces przypisywania identyfikatora do danej osoby i potwierdzenie tożsamości tej osoby na podstawie identyfikatora. Proces takiego uwierzytelnienia polega przede wszystkim na wykazaniu, że użytkownik systemu e-usługi, który posługuje się danym identyfikatorem jest osobą faktyczną, która została uprzednio zadeklarowana oraz zidentyfikowana.

Obecnie zdarzają się braki uniwersalnych modeli uwierzytelnienia, które spełniałyby obowiązujące standardy techniczne oraz normy prawne, które zostałyby zaakceptowane przez określoną, liczną grupę danych użytkowników. Skutkiem tegoż stanu rzeczy jest przede wszystkim rozwój nowych modeli uwierzytelnienia, które funkcjonują bez wystarczających podstaw normatywnych i prawnych, jednakże rozwijających się dzięki temu, iż odpowiadają potrzebom swoich odbiorców i twórców.

Wszelkie Polskie instytucje administrujące oraz dostawy różnych usług elektronicznych oferują specyficzne procedury uwierzytelnienia oraz identyfikacji. Są to różne typy oraz procedury wykorzystujące głównie login oraz hasło, a także:

  1. zdrapki
  2. puki
  3. piny
  4. tonery
  5. smsy
  6. karty
  7. narzędzia

W efekcie użytkownicy systemów zmuszeni są korzystać z różnych identyfikatorów elektronicznych, metod oraz środków uwierzytelnienia[1].

Autentykacja czyli Uwierzytelnianie (z ang. authentication) to proces mający na celu potwierdzenie tożsamości w ramach kontroli dostępu do zasobów w celu uniemożliwienia nieuprawnionym użytkownikom uzyskania wglądu do systemu oraz aby rejestrować działalność użytkownika.

Jedną z technik weryfikacji tożsamości jest system haseł. Konto powiązane z hasłem służącym do uwierzytelniania może mieć przypisane wiele różnych poziomów uprawnień do zasobów. Poziomy uprawnień mogą być kojarzone z poszczególnymi zasobami bądź też operacjami, jakie się na tych zasobach wykonuje:

  • czytanie
  • pisanie
  • dodawanie nowego wpisu
  • zmiana istniejącego wpisu

W celu potwierdzenia tożsamości, wymagane jest podanie hasła, które jest unikatowo skojarzone z kontem. W zabezpieczanych tą metodą systemach komputerowych kojarzenie kont z hasłami robione jest już na etapie zakładania konta. Każde konto zawierać powinno ponadto szczegółową informację o użytkowniku (imię, nazwisko, telefon itp.). Hasło, jako że musi być zapamiętane przez użytkownika nie powinno być zbyt długie; stosowanie bardzo długich i skomplikowanych haseł może doprowadzić do sytuacji, w której użytkownik będzie je zapisywał na papierze, co może doprowadzić do jego przechwycenia przez osobę nieupoważnioną. W praktyce długość haseł zawiera się najczęściej między czterema a dziewięcioma znakami. Prawdopodobieństwo odgadnięcia hasła n - znakowego, wykorzystującego 26 liter (wielkość liter nie jest rozpoznawalna) wynosi 26. W przypadku, gdy wielkość znaków jest rozróżnialna prawdopodobieństwo "złamania" hasła gwałtownie maleje do wartości 52 (dopuszczając obsługę cyfr oraz innych znaków drukowalnych np. $, %, # itp. jest jeszcze mniejsze). Pytanie o hasło powinno pojawiać się każdorazowo, gdy użytkownik loguje się w trybie interaktywnym bądź korzysta z aplikacji, która serwuje zasoby o ograniczonym dostępie. Jeśli nie jest to zbyt uciążliwe, powinien być stosowany mechanizm wygasania zalogowanej sesji, jeżeli wykryto brak aktywności na niej przez dłuższy czas (np. 20 minut). Identyfikator wraz z przyporządkowanym mu hasłem najczęściej przechowywany jest w plikach konfiguracyjnych. W momencie logowania oba te parametry porównywane są z odpowiednim wpisem w tymże pliku. Plik haseł ze względu na swą wagę musi być chroniony nie tylko przed dostępem "zwykłego" użytkownika, ale również administratora, stąd dane w nim zawarte są szyfrowane lub haszowane.

Bezpieczeństwo hasła systematycznie maleje wraz z kolejnym jego użyciem, w związku z powyższym jego ważność powinna być ograniczona czasowo. Przeciętnie czas ważności waha się w granicach 3 tygodni do 3 miesięcy a w skrajnych przypadkach jest ograniczona do jednokrotnego użycia (z ang. one-time password). Hasła jednorazowe są niemalże jedynym sposobem zapobiegania niewłaściwym uwierzytelnieniom.

W implementacjach komercyjnych często stosuje się generator hasła jednorazowego wraz z numerem PIN (z ang. Personal Identyfication Number). Rozwiązanie to polega na zastosowaniu kalkulatora sprzętowego, który po wprowadzeniu przez użytkownika kodu PIN generuje jednorazowe hasło. Mamy tu do czynienia z tzw. uwierzytelnianiem dwuskładnikowym (z ang. two - factor authentication).

Inną odmiana haseł jednorazowych jest użycie książki kodowej (z ang. code book). Polega ono na wygenerowaniu listy haseł jednorazowych, które po wykorzystaniu zostają z tej listy skreślone. Każde hasło może ulec skompromitowaniu. Niebezpieczeństwo to rozpoczyna się z chwilą wpisywania go do systemu (zaglądanie przez ramię, obserwacja ruchów rąk). Kolejną okazją jest przesyłanie hasła drogą teleinformatyczną a w szczególności przez Internet.

Uwierzytelnianie za pomocą systemu haseł posiada kilka słabych stron:

  • brak kontroli dystrybucji haseł; możliwość podszywania się osoby nieuprawnionej pod innego użytkownika,
  • hasła są często zbyt łatwe do odgadnięcia, co sprzyja próbom przechwytywania ich przez osoby nieupoważnione.

TL;DR

Artykuł omawia różne metody uwierzytelniania i identyfikacji w systemach teleinformatycznych. Wskazuje na brak uniwersalnych modeli uwierzytelniania, co prowadzi do rozwoju nowych metod. Omawiane są procedury uwierzytelniania, w tym korzystanie z haseł, a także inne techniki, takie jak hasła jednorazowe czy uwierzytelnianie dwuskładnikowe. Przedstawione są również słabe strony uwierzytelniania za pomocą haseł, takie jak łatwość odgadnięcia lub przechwycenia przez osoby nieuprawnione.


Autentykacjaartykuły polecane
Kradzież tożsamościSpoofingHTTPAutoryzacjaPhishingTLSCertyfikat SSLDarknetZłośliwe oprogramowanie

Przypisy

  1. Sroka K. Podpis elektroniczny a identyfikacja i uwierzytelnianie, s. 109-110

Bibliografia

Autor: Ewa Zawalska, Natalia Mikler