Аутентификация - Быть, а не казаться
Download
Report
Transcript Аутентификация - Быть, а не казаться
Безмалый В.Ф.
Microsoft Security Trusted Advisor
MVP Consumer Security
[email protected]
http://vladbez.spaces.live.com
Идентификация - это, с одной стороны,
присвоение индивидуальных имен, номеров или
специальных устройств (идентификаторов)
субъектам и объектам системы, а, с другой
стороны, - это их распознавание (опознавание) по
присвоенным им уникальным идентификаторам.
Аутентификация - это проверка (подтверждение)
подлинности идентификации субъекта или объекта
системы. Цель аутентификации субъекта убедиться в том, что субъект является именно тем,
кем представился (идентифицировался).
путем проверки знания того, чего не знают другие
(паролей, PIN-кодов, ключевых слов);
путем проверки владения тем, что относительно
сложно отнять или передать (карточками, дискетами,
ключевыми вставками и т.п.);
путем проверки уникальных физических
характеристик и параметров (отпечатков пальцев,
особенностей радужной оболочки глаз, формы кисти
рук и т.п.) самих пользователей при помощи
специальных биометрических устройств;
путем проверки рекомендации (сертификата,
специального билета) от доверенного посредника.
В рамках разрешительной системы (системы
авторизации) допуска устанавливается:
кто, кому, при каких условиях, к каким ресурсам АС и на какие
виды доступа может давать разрешения;
система санкционирования и разграничения доступа, которая
предполагает определение для всех пользователей
информационных и программных ресурсов, доступных им для
чтения, модификации, удаления, выполнения и т.п.;
как реализуется процедура допуска.
Полномочия руководителей соответствующих
степеней давать разрешения на допуск к решению тех
или иных задач должны быть закреплены решениями
(приказами) высшего руководства организации.
Процедура регистрации (создания учетной записи)
пользователя для сотрудника и предоставления ему
прав доступа к ресурсам АС инициируется заявкой
начальника подразделения. В заявке указывается:
содержание запрашиваемых изменений (регистрация нового
пользователя АС, удаление учетной записи пользователя,
расширение или сужение полномочий и прав доступа к ресурсам
АС ранее зарегистрированного пользователя);
наименование подразделения, должность, фамилия, имя и
отчество сотрудника;
имя пользователя (при изменении полномочий и прав доступа);
полномочия, которых необходимо лишить пользователя или
которые необходимо добавить пользователю (путем указания
решаемых пользователем задач).
Исполненная заявка передается в подразделение и
хранится в архиве у ответственного за
информационную безопасность подразделения (при
его отсутствии - у руководителя подразделения). Копии
исполненных заявок могут впоследствии
использоваться:
для восстановления бюджетов и полномочий пользователей после
аварий в АС;
для контроля правомерности наличия у конкретного пользователя
прав доступа к тем или иным ресурсам системы при разборе
конфликтных ситуаций;
для проверки правильности настройки средств разграничения
доступа к ресурсам системы.
длина пароля должна составлять не менее 10
символов;
в пароле должны встречаться большие и
маленькие буквы, цифры и спецсимволы;
время жизни пароля должно составлять не более
42 дней;
пароли не должны повторяться.
Наиболее эффективным является метод взлома
парольной защиты операционной системы (в
дальнейшем - ОС), при котором атаке подвергается
системный файл, содержащий информацию о
легальных пользователях и их паролях.
В ряде случаев злоумышленнику удается путем
различных ухищрений получить в свое распоряжение
файл с именами пользователей и их зашифрованными
паролями.
И тогда ему на помощь приходят так называемые
парольные взломщики - специализированные
программы, которые служат для взлома паролей
операционных систем.
Криптографические алгоритмы, применяемые для
шифрования паролей пользователей в современных ОС,
используют необратимое шифрование, что делает
невозможным более эффективный алгоритм взлома, чем
перебор возможных вариантов.
Парольные взломщики шифруют все пароли с
использованием того же самого криптографического
алгоритма, который применяется для их засекречивания в
атакуемой ОС.
Данный способ позволяет взломать все пароли, если
известно их представление в зашифрованном виде, и они
содержат только символы из данного набора.
Для более эффективного подбора паролей
взломщики используют специальные словари, которые
представляют собой заранее сформированный список
слов, наиболее часто используемых на практике в
качестве паролей.(Большой набор словарей можно
найти на сайте http://www.password.ru)
К каждому слову из словаря парольный взломщик
применяет одно или несколько правил:
производится попеременное изменение буквенного регистра, в
котором набрано слово;
порядок следования букв в слове меняется на обратный;
в начало и в конец каждого слова приписывается цифра 1;
некоторые буквы изменяются на близкие по начертанию цифры. В
результате, например, из слова password получается pa55w0rd).
(на примере Windows 2000/XP/2003)
База данных SAM (Security Account Management
Database) представляет собой один из разделов (hive)
системного реестра (registry) Windows 2000/XP/2003.
Этот раздел принадлежит ветви (subtree)
HKEY_LOCAL_MACHINE и называется SAM.
Располагается в каталоге \winnt_root\System32\Config
в файлеSAM.
Изменять записи, хранящиеся в базе данных SAM,
при помощи программ, которые напрямую
редактируют реестр Windows нельзя, т. к. доступ к базе
данных SAM запрещен для всех без исключения
категорий пользователей Windows XP/2003.
В базе данных SAM каждый пароль пользователя
обычно бывает представлен в виде двух 16байтовых последовательностей, полученных
разными методами (Windows 2000/XP/2003 и LAN).
В методе Windows 2000/XP/2003 строка символов
пользовательского пароля хешируется с помощью
функции MD4. В результате на выходе MD4
получается так называемая «выжимка» исходной
последовательности, имеющая длину 128 бит.
В итоге из введенного пользователем символьного
пароля получается 16-байтовая последовательность хешированный пароль Windows 2000/XP/2003.
Эта последовательность шифруется по DESалгоритму, и результат шифрования сохраняется в базе
данных SAM.
При этом в качестве ключа используется так
называемый относительный идентификатор
пользователя (Relative Identifier, сокращенно RID),
который представляет собой автоматически
увеличивающийся порядковый номер учетной записи
данного пользователя в базе данных SAM.
Основным объектом атаки являются
административные полномочия. Их можно получить,
узнав в хешированном или символьном виде пароль
администратора системы, который хранится в базе
данных SAM.
По умолчанию в Windows 2000/XP/2003 доступ к
файлу \winnt_root\System32\Config\SAM заблокирован
для всех без исключения ее пользователей. Тем не
менее, с помощью программы NTBACKUP любой
обладатель права на резервное копирование файлов и
каталогов Windows 2000/XP/2003 может перенести этот
файл.
Резервную копию реестра можно также создать
утилитой REGBAK из состава Windows NT Resource
Kit.
Кроме того, несомненный интерес для любого
взломщика представляют резервная копия файла
SAM (SAM.SAV) в каталоге
\winnt_root\System32\Config и сжатая архивная
копия SAM (файл SAM._) в каталоге
\winnt_root\Repair.
Для восстановления пользовательских паролей ОС
Windows 2000/XP/2003 в символьном виде существуют
специальные парольные взломщики. Они выполняют
как прямой подбор паролей, так и поиск по словарю, а
также используют комбинированный метод взлома
парольной защиты, когда в качестве словаря
задействуется файл с заранее вычисленными
хешированными паролями, соответствующими
символьным последовательностям, которые часто
применяются в качестве паролей пользователей
операционных систем.
Обычное использование словаря;
Записанные дважды слова;
Обратный порядок символов слов;
Усеченные до заданного количества символов слова;
Слова без гласных, за исключением заглавной;
Транслитерация русских букв латинскими по
заданной таблице транслитерации;
Замена раскладки локализации латинской
раскладкой клавиатуры;
Замена латинской раскладки клавиатуры раскладкой
локализации;
А также множество других параметров взлома.
Согласно рекомендаций по безопасности Windows XP
(Державна експертиза з технічного захисту інформації
операційної системи Windows XP Professional SP2
(шифр - "Експертиза WXPSP2") время жизни пароля
(параметр политики паролей «Требовать
неповторяемость паролей» (Enforce password history))
должен составлять 42 дня.
Согласно того же документа параметр «Минимальная
длина пароля» (Minimum password lengths) должен
составлять для АС (автоматизированной системы):
одиночного компьютера без локальной сети - 7 символов;
локальная сеть без выхода в Интернет - 8 символов;
сеть с выходом в Интернет - 12 символов.
Число символов Длина пароля 7
Длина пароля 8
Цифры
10
0
0.0001
Маленькие
(большие)
буквы
26
0.064
0.1664
Цифры и
маленькие
буквы
36
0.0624
2.248
Цифры,
маленькие и
большие буквы
62
2.8062
173.9838
Цифры,
маленькие и
большие буквы
и спецсимволы
72
7.9929
575,4866
Число символов Длина пароля 7
Длина пароля 8
Цифры
10
100%
100%
Маленькие
(большие)
буквы
26
100%
100%
Цифры и
маленькие
буквы
36
100%
100%
Цифры,
маленькие и
большие буквы
62
100%
24.14%
Цифры,
маленькие и
большие буквы
и спецсимволы
72
100%
7.3%
пользователи часто применяют
короткие легко подбираемые пароли;
во многих системах существуют
многочисленные возможности
перехвата паролей (серфинг на плече,
запуск клавиатурных "шпионов",
перехват в открытых сетях и т.д.).
стоимость подобных систем;
отсутствие хорошо подготовленного,
профессионального, персонала;
сложность настройки подобных систем;
противодействие со стороны персонала, так как
руководство получает возможность
контролировать все перемещения персонала и
фактически производить контроль рабочего
времени.
проблема получения ключа из биометрических
параметров;
возможность исключения из процесса
аутентификации субъектов со скомпрометированным
электронным аутентификатором;
относительно высокая стоимость реализации
биометрических систем;
возможностью ошибок распознавания первого и
второго рода (пропуск или ложная тревога);
возможность изготовления относительно дешевых
муляжей для биопараметров.
смарт-карта – требует для подключения к
компьютеру PC/SC совместимое устройство чтения
смарт-карт.;
USB-ключ – напрямую подключается к
компьютеру через порт USB (Universal Serial Bus),
совмещая в себе функции смарт-карты и
устройства для её считывания.
Персональное средство аутентификации
и хранения данных, аппаратно
поддерживающее работу с цифровыми
сертификатами
и электронной цифровой
подписью.
Двухфакторная аутентификация пользователей при доступе к защищенным ресурсам компьютерам, сетям, приложениям (знать – PIN-код, иметь – смарт-карту)
Аппаратное выполнение криптографических операций в доверенной среде (в чипе
смарт-карты: аппаратный датчик случайных чисел, генерация ключей шифрования,
симметричное и асимметричное шифрование, вычисление хэш-функций, формирование
ЭЦП)
Безопасное хранение криптографических ключей, данных пользователей, настроек
приложений и др.
• Аутентификация в унаследованных (не PKI) приложениях
• Решение проблемы «слабых» паролей
• Мобильное хранение данных
Аутентификация по одноразовым паролям
29
30
Новое поколение USB-ключей и смарт-карт eToken,
построенное на базе Java-карты с увеличенным
объемом защищенной памяти для хранения
пользовательских данных (72 Кб) и возможностью
расширения функционала за счет загрузки
дополнительных приложений (Java-апплетов).
Выпускается в виде USB-ключа и смарт-карты.
31
Комбинированный USB-ключ с дополнительным
модулем Flash-памяти объёмом до 16 Гб для
использования в системах информационной
безопасности, сочетающий возможности смарткарты и защищённого хранилища данных.
32
Комбинированный USB-ключ с генератором
одноразовых паролей. Обладает всем функционалом
электронных ключей eToken PRO (Java) для
использования в PKI-системах и автономным режимом
работы без подключения к компьютеру. Может быть
использован в мобильных телефонах, смартфонах, а
также обычных компьютерах, на которых отсутствуют
или недоступны USB-порты (например, при работе в
интернет-кафе или чужом офисе).
33
Автономный генератор одноразовых паролей.
Устройство не требует подключения к компьютеру и
установки дополнительного программного
обеспечения и может использоваться в любых
операционных системах, а также при доступе к
защищенным ресурсам с мобильных устройств и
терминалов, не имеющих USB-разъема или устройства
чтения смарт-карт.
34
Назначение – усиление функций безопасности ОС
Microsoft Windows
Двухфакторная аутентификация (eToken + PIN-код)
На локальном компьютере
В домене Microsoft Windows
Аутентификация:
По цифровым сертификатам
По регистрационному профилю
пароль, имя домена)
пользователя (логин,
Вход на компьютер и в сеть Windows с
использованием eToken
Регистрация пользователя по сложному паролю
или цифровому сертификату
Блокирование компьютера при отсоединении
eToken
Решение проблемы "слабых" паролей
Интеграция в инфраструктуру открытых ключей
37
Двухфакторную аутентификацию пользователей
на компьютере и в сети Windows с помощью USBключей или смарт-карт eToken;
Использование регистрационных имён и паролей
для локального входа в систему или для входа в
домен;
Использование цифровых сертификатов Х.509,
сертификатов пользователя со смарт-картой и
закрытых ключей для входа в домен;
Генерирование и последующее применение
случайных паролей, неизвестных пользователю.
38
Безопасное хранение регистрационных данных
пользователя в памяти eToken
Хранение нескольких профилей на одном устройстве
Генерация случайных паролей
• Синхронизация с доменным
паролем пользователя
• Различные модели поведения при
отключении eToken:
– Блокировка рабочей станции
– Log off
Строгая аутентификация пользователей при доступе
к информационным ресурсам: серверам, базам данных,
разделам Web-сайтов, защищенным хранилищам,
шифрованным дискам и пр.;
Вход в операционные системы, службы каталога,
гетерогенные сети (операционные системы Microsoft,
Linux, Unix, Novell) и бизнес-приложения (SAP R/3, IBM
Lotus Notes/Domino);
Внедрение систем PKI (Entrust, Microsoft CA, RSA
Keon, а также в Удостоверяющих центрах – хранение
ключевой информации, аппаратная генерация
ключевых пар и выполнение криптографических
операций в доверенной среде (на чипе смарт-карты);
Построение систем
документооборота, защищённых
почтовых систем (на основе Microsoft
Exchange, Novell GroupWise, Lotus
Notes/Domino) - ЭЦП и шифрование
данных, хранение сертификатов и
закрытых ключей;
Организация защищённых каналов
передачи данных с использованием
транспорта Интернет (технология VPN,
протоколы IPSec и SSL) – аутентификация
пользователей, генерация ключей, обмен
ключами;
Межсетевые экраны и защита периметра
сети (продукты Cisco Systems, Check Point) –
аутентификация пользователей;
Шифрование данных на дисках – аутентификация
пользователей, генерация ключей шифрования,
хранение ключевой информации;
Единая точка входа пользователя в
информационные системы и порталы (в продуктах
eTrust SSO, IBM Tivoli Access Manager, WebSphere,
mySAP Enterprise Portal) и приложения под
управлением СУБД Oracle – строгая двухфакторная
аутентификация;
Защита Web-серверов и приложений электронной
коммерции (на основе Microsoft IIS, Apache Web
Server) – аутентификация пользователей, генерация
ключей, обмен ключами;
Управление безопасностью корпоративных
информационных систем, интеграция систем защиты
информации (Token Management System) - eToken
является единым универсальным идентификатором
для доступа к различным приложениям;
Поддержка унаследованных приложений и
разработка собственных решений в области ИБ.
eToken R2, eToken PRO – компания Aladdin;
iKey10xx, iKey20xx,iKey 3000 – компания Rainbow
Technologies;
ePass 1000 ePass 2000 – фирма Feitian
Technologies;
ruToken – разработка компании «Актив» и фирмы
«АНКАД»;
uaToken - компания ООО «Технотрейд».
Изделие
Емкость
памяти, Кб
Разрядност Аппаратно реализованные
ь
алгоритмы шифрования
серийного
номера
iKey 20xx
8/32
64
DES (ECB и CBC), DESX, 3DES, RC2,
RC5, MD5, RSA-1024/2048
eToken PRO
16/32
32
RSA/1024, DES, 3DES, SHA-1
ePass 1000
8/32
64
MD5, MD5-HMAC
ePass 2000
16/32
64
RSA, DES, 3DES, DSA, MD5, SHA-1
ruToken
8/16/32/64/128
32
ГОСТ 28147-89, RSA, DES, 3DES, RC2,
RC4, MD4, MD5, SHA-1
uaToken
8/16/32/64/128
32
ГОСТ 28147-89
eToken PRO – компания Aladdin;
iKey10xx, iKey20xx,iKey 3000 – компания Rainbow
Technologies;
ePass 1000 ePass 2000 – фирма Feitian
Technologies;
ruToken – разработка компании «Актив» и фирмы
«АНКАД»;
uaToken - компания ООО «Технотрейд».
Бесконтактные смарт-карты (БСК) используются в
различных приложениях и широко распространены
в мире как для аутентификации, так и для
различных транспортных, идентификационных,
расчетных и дисконтных приложений.
Важным свойством БСК, выделяющим ее среди
других смарт-карт, является отсутствие
механического контакта с устройством,
обрабатывающим данные с карты.
Максимальное расстояние для осуществления
транзакций между считывателем и картой
составляет 10 см.
С одной стороны это позволяет пользователю
удобно и быстро произвести транзакцию, но с
другой стороны при попадании карты в поле
антенны, карта вовлекается в процесс обмена
информацией, независимо от того желал этого
пользователь или нет.
"захват" карты (выбирается первая, находящаяся в
поле антенны считывателя, карта), если необходимо –
включение антиколлизионного алгоритма (команда
антиколлизии сообщает приложению уникальный
серийный номер "захваченной" карты, точнее уникальный номер встроенной в карту микросхемы),
выбор карты с данным серийным номером для
последующей работы с памятью карты или ее
серийным номером.
Указанная последовательность команд выполняется
за 3 мс, т.е. практически мгновенно.
Аутентификация выбранной области памяти карты.
Команда чтения 16 байтов памяти карты выполняется
за 2,5 мс, команды чтения и изменения баланса
кошелька за 9-10 мс.
Типичная транзакция, начинающаяся с "захвата"
карты и приводящая к изменению 16 байтов памяти
совершается максимум за 16 мс.
Для аутентификации сектора памяти карты
используется трехпроходный алгоритм с
использованием случайных чисел и секретных ключей
согласно стандарту ISO/IEC DIS 9798-2.
На первом шаге карта посылает считывателю
сформированное ею случайное число. Считыватель
добавляет к нему свое случайное число, шифрует
сообщение и отправляет его карте.
Карта расшифровывает полученное сообщение,
сравнивает "свое" случайное число с числом,
полученным в сообщении, при совпадении заново
зашифровывает сообщение и направляет считывателю.
Считыватель расшифровывает послание карты,
сравнивает "свое" случайное число с числом,
полученным в сообщении, и при совпадении чисел
аутентификация сектора считается успешной.
Бесконтактные смарт-карты разделяются
на идентификаторы PROximity и смарткарты, базирующиеся на международных
стандартах ISO/IEC 15693 и ISO/IEC 14443. В
основе большинства устройств на базе
бесконтактных смарт-карт лежит технология
радиочастотной идентификации.
Системы идентификации на базе
PROximity криптографически не
защищены, за исключением
специальных заказных систем.
Каждый ключ имеет прошиваемый
32/64 разрядный серийный номер.
системы на базе бесконтактных смарт-карт и USBключей;
системы на базе гибридных смарт-карт;
биоэлектронные системы
Функция
На базе
бесконтактных
смарт-карт и USBключей
На базе
гибридных смарткарт
Биоэлектронные
системы
Идентификация и
аутентификация
пользователей в
компьютерной
сети
Есть
Есть
Есть
Блокировка
Есть
работы
компьютеров и
разблокирование
при предъявлении
персонального
идентификатора
НЕТ
Есть
Функция
На базе
бесконтактных
смарт-карт и
USB-ключей
На базе
гибридных
смарт-карт
Биоэлектронн
ые системы
Идентификация и
аутентификация
сотрудников при их
доступе в здание,
помещение (из него)
Есть
Есть
НЕТ
Хранение
конфиденциальной
информации (ключей
шифрования, паролей,
сертификатов и т.д.)
Есть
Есть
Есть
Визуальная идентификация Нет
Есть
Есть
В корпус брелка USB-ключа встраивается антенна и
микросхема для создания бесконтактного интерфейса.
Это позволит организовать управление доступом в
помещение и к компьютеру, используя один
идентификатор.
Данная схема использования идентификатора
позволит исключить ситуацию, когда сотрудник,
покидая рабочее место, оставляет USB-ключ в разъеме
компьютера, что позволит работать под его
идентификатором.
На сегодня наиболее распространены два
идентификатора подобного типа:
RFiKey – компания Rainbow Technologies;
eToken PRO RM – компания Aladdin Software Security R.D.
RFID-технология (Radio Frequency IDentification,
радиочастотная идентификация) является наиболее
популярной на сегодня технологией бесконтактной
идентификации.
Радиочастотное распознавание осуществляется с
помощью закрепленных за объектом так называемых
RFID-меток, несущих идентификационную и другую
информацию.
При этом надо учитывать ограничения,
обусловленные размерами ключа: RFID-метка должна
быть не более 1,2 см в диаметре. Такие размеры имеют
метки, работающие с частотой 13.56 МГц, например,
производства «Ангстрем» или HID.
Гибридные смарт-карты содержат разнородные
чипы. Один чип поддерживает контактный
интерфейс, другой – бесконтактный. Как и в случае
гибридных USB-ключей, гибридные смарт-карты
решают две задачи: доступ в помещение и доступ к
компьютеру. Дополнительно на карту можно
нанести логотип компании, фотографию
сотрудника или магнитную полосу, что делает
возможным полностью заменить обычные
пропуска и перейти к единому "электронному
пропуску”.
Для защиты компьютерных систем от
несанкционированного доступа применяется комбинация
из двух систем – биометрической и контактной на базе
смарт-карт или USB-ключей.
Биометрия – это идентификация пользователя по
уникальным, присущим только данному пользователю,
биологическим признакам. Такие системы являются самыми
удобными с точки зрения самих пользователей, так как им
не нужно ничего запоминать и такие характеристики весьма
сложно потерять.
При биометрической идентификации в базе данных
хранится цифровой код, ассоциированный с определенным
человеком. Сканер или другое устройство, используемое
для аутентификации, считывает определенный
биологический параметр.
Форма лица (овал, форма и размер отдельных
деталей лица).
Геометрические параметры лица - расстояния
между его определенными точками.
Узор подкожных кровеносных сосудов на
термограмме лица.
Структура радужной оболочки глаза.
Узор кровеносных сосудов на сетчатке.
Форма уха (контур и наклон, козелок и
противокозелок, форма и прикрепление мочки и
т.д.).
Геометрические параметры уха - расстояния
между определенными точками на ухе. Геометрия
руки - ширина, длина, высота пальцев, расстояния
между определенными точками.
Неровности складок кожи на сгибах пальцев
тыльной стороны
кисти руки.
Рисунок вен на тыльной стороне кисти руки,
получаемый при инфракрасной подсветке.
Узор на ладони. Папиллярный узор как целостный
образ.
Параметры пространственно-частотного спектра
папиллярного узора
Подпись как двумерный бинарный образ.
Подпись как функция двух координат.
Динамика подписи (сила нажима и координата
времени).
Источник БХЧ Универсально Уникальность
сть
Стабильность
Собираемость
Видеообраз
+++
+
++
+++
Термограмма
+++
+++
+
++
Отпечаток
+++
+++
+++
++
Рука
++
++
++
+++
РОГ
++
+++
+++
++
Сетчатка
+++
+++
++
+
Подпись
+
+
+
+++
Голос
++
+
+
++
Губы
+++
+++
++
+
Уши
++
++
++
++
Динамика
++
+++
+
+++
Походка
+++
++
+
+
Самый распространенный статический метод
биометрической идентификации, в основе которого лежит
уникальность для каждого человека рисунка папиллярных
узоров на пальцах.
Изображение отпечатка пальца, полученное с помощью
специального сканера, преобразуется в цифровой код
(свертку) и сравнивается с ранее введенным шаблоном
(эталоном) или набором шаблонов (в случае
аутентификации).
Ведущие производители оконечного оборудования
(сканеров отпечатков пальцев):
BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/;
Bioscrypt, http://www.bioscrypt.com/;
DigitalPersona, http://www.digitalpersona.com/;
Ethentica, http://www.ethentica.com/;
Данный статический метод построен на распознавании
геометрии кисти руки, также являющейся уникальной
биометрической характеристикой человека.
С помощью специального устройства, позволяющего
получать трехмерный образ кисти руки (некоторые
производители сканируют форму нескольких пальцев),
получаются измерения, необходимые для получения
уникальной цифровой свертки, идентифицирующей
человека.
Ведущие производители:
Recognition Systems, http://www.recogsys.com/,
http://www.handreader.com/;
BioMet Partners, http://www.biomet.ch/.
Этот метод распознавания основан на уникальности
рисунка радужной оболочки глаза. Для реализации метода
необходима камера, позволяющая получить изображение
глаза человека с достаточным разрешением, и
специализированное программное обеспечение,
позволяющее выделить из полученного изображения
рисунок радужной оболочки глаза, по которому строится
цифровой код для идентификации человека.
Ведущие производители:
Iridian - крупнейший производитель в данной области, на
решениях этой компании базируются практически все
разработки других: LG, Panasonic, OKI, Saflink и т. д.,
http://www.iridiantech.com/.
В данном статическом методе идентификации строится двух- или
трехмерный образ лица человека. С помощью камеры и
специализированного программного обеспечения на изображении или
наборе изображений лица выделяются контуры бровей, глаз, носа, губ и
т. д., вычисляются расстояния между ними и другие параметры, в
зависимости от используемого алгоритма. По этим данным строится
образ, преобразуемый в цифровую форму для сравнения.
Количество, качество и разнообразие (разные углы поворота головы,
изменения нижней части лица при произношении ключевого слова и т.
д.) считываемых образов может варьироваться в зависимости от
алгоритмов и функций системы, реализующей данный метод. Ведущие
производители:
AcSys Biometrics, http://www.acsysbiometrics.com/
A4Vision, http://www.a4vision.com/
Цифровой код идентификации формируется по
динамическим характеристикам написания, то есть для
идентификации строится свертка, в которую входит
информация по графическим параметрам подписи,
временным характеристикам нанесения подписи и
динамики нажима на поверхность в зависимости от
возможностей оборудования (графический планшет,
экран карманного компьютера и т. д.).
Ведущие производители:
CIC (Communication Intelligence Corporation), http://www.cic.com/;
Cyber-SIGN, http://www.cybersign.com/;
SOFTPRO, http://www.signplus.com/;
Valyd, http://www.valyd.com/.
Метод в целом аналогичен вышеописанному,
однако вместо подписи в нем используется некое
кодовое слово, а из оборудования требуется
только стандартная клавиатура. Основная
характеристика, по которой строится свертка для
идентификации, - динамика набора кодового слова.
Ведущие производители:
BioPassword Security Software, http://www.biopassword.com/;
Checco, http://www.biochec.com/.
Существует достаточно много способов
построения кода идентификации по голосу: как
правило, это различные сочетания частотных и
статистических характеристик последнего.
Ведущие производители:
Nuance, http://www.nuance.com/;
Persay, http://www.persay.com/;
Voicevault, http://www.voicevault.com/.
Крайне сложная корректная настройка
оборудования, вернее, речь идет об установке
корректного порогового значения ошибки. . FAR
(False Acceptance Rate) - это процент ложных
отказов в допуске, FRR (False Rejection Rate) вероятность допуска в систему
незарегистрированного человека.
Порог чувствительности является своеобразной
гранью идентификации.
Человек, имеющий сходство какой-либо характеристики
выше предельного, будет допущен в систему и наоборот.
Значение порога администратор может изменять по своему
усмотрению. Т.е. это накладывает весьма высокие
требования на администратора системы, ведь поддержка
баланса между удобством и надежностью требует больших
усилий.
Вторым недостатком, связанным с внедрением таких
систем является сопротивление сотрудников компаний,
связанное с возможностью контроля рабочего времени
сотрудников. Тем более что реально существуют системы
учета рабочего времени сотрудников.
Биометрические сканеры невозможно применять для
идентификации людей с некоторыми физическими
недостатками.
Применение сканеров сетчатки глаза будет сложным для
тех, кто носит очки или контактные линзы, а человек,
больной артритом, не сможет ровно положить палец на
сканер отпечатка.
Еще одна проблема — рост. Сканирование лица может
стать затруднительным, если рост человека ниже 1,55 м или
выше 2,1 м.
К недостаткам такого способа идентификации можно
отнести возможность воспользоваться муляжом отпечатка,
что было успешно продемонстрировано заключенными
шотландской тюрьмы строгого режима Glenochil.
Буквально через 10 лет по прогнозам Gartner,
число сотрудников, работающих в удаленном
режиме, существенно увеличится. Их прирост уже
сейчас составляет 10—15% в год.
Gartner приводит в пример опыт корпораций Sun
и IBM: за три года после внедрения дистанционной
работы для своих штатных сотрудников Sun
Microsystems сэкономила на аренде помещений
300 млн. долл., а по подсчетам IBM, корпорация
ежегодно экономит на «удалёнке» до 500 млн.
долл.
При аутентификации пользователей сети
удалённого доступа обычно используются
следующие варианты:
индивидуальный предустановленный ключ или пароль (preshared key);
цифровой сертификат с закрытым ключом, хранящимся на
компьютере;
цифровой сертификат с закрытым ключом, хранящимся в
памяти токена;
комбинация цифрового сертификата одноразового пароля.
Аппаратные реализации генераторов
одноразовых паролей называют ОТР-токенами.
Выпускаются в различных форм-факторах:
в виде карманного калькулятора;
в виде брелка;
в виде смарт-карты;
в виде устройства, комбинированного с USB-ключом;
в виде специального программного обеспечения для
карманных компьютеров.
Применение паролей в настоящий момент все больше не
соответствует требованиям безопасности, так как с ростом
сложности пароля и количества паролей для запоминания будет
усиливаться роль человеческого фактора:
Пользователи всегда будут выбирать наиболее простые с их
точки зрения пароли;
При ужесточении политики паролей пользователи будут идти
на всяческие ухищрения, облегчающие им заботу о паролях, но
снижающие безопасность (т.е. наклеивать пароль на монитор,
клавиатуру, записывать его в блокнот и т.д.);
С ростом вычислительных мощностей процесс подбора
паролей будет происходить все быстрее.
В связи с этим необходим переход на многофакторную
аутентификацию, из всех видов которой на сегодня самым
надежным является применение USB-ключей (смарт-карт).
Безмалый Владимир
MVP Consumer Security
Microsoft Security Trusted Advisor
[email protected]
http://vladbez.spaces.live.com