Современные методы парольной аутентификации

Использование современных информационных систем предполагает необходимость защиты учетных записей и распознавания объекта, осуществляющего вход в систему. Одним из наиболее распространённых методов авторизации в информационных системах является парольная защита, в рамках которой вводится имя пользователя и известный только пользователю набор символов, являющихся паролем для входа в систему. В зависимости от ценности информационного актива необходимо использовать пароли с определенной степенью сложности, что позволит защитить систему от несанкционированного входа, в т.ч. и с использованием современных систем, позволяющих подбирать пароли. Одним из ключевых требований к обеспечению парольной защиты является исключение вероятности несанкционированного входа, что позволяет гарантировать защиту от действий, которые могут приводить к негативным последствиям для пользователя.
Целью работы является изучение возможностей расширения системы аутентификации в информационных системах предприятий.
Задачи работы:
 Изучение основных задач парольной защиты, требований к паролям, основных проблем, связанных с парольной аутентификацией;
 Изучение современных технологий парольной аутентификации.
Объект исследования: системы защиты информации.
Предмет исследования: программные и аппаратные системы аутентификации.
 
1. Анализ требований к аутентификации пользователей
1.1 Общая характеристика технологий аутентификации пользователей

Использование программного обеспечения в работе современных компаний предполагает необходимость использования средств разграничения доступа, а также недопущения работы под чужими учетными данными, протоколирования действий пользователей. Одним из наиболее распространенных механизмов, посредством которых обеспечиваются возможности несанкционированного доступа к информационным ресурсам являются технологии аутентификации, с использованием которых система осуществляет распознавание пользователей и предоставление им доступных режимов, настроенных в соответствии с имеющимися полномочиями.
Идентификаторами пользователей являются открытые данные, через которые в системе проводится распознавание прав пользователей. Существуют технологии программной идентификации, для авторизации в которых используются имена пользователей в текстовой форме («логины»), либо сертификаты, посредством которых проводится распознавание учетной записи. Разработаны также аппаратные системы, в которых для распознавания пользователей системы используются электронные ключи, на которых сохранены зашифрованные данные, необходимые для входа в систему, а также технологии, использующие биометрические алгоритмы. К идентификаторам предъявляются требования, позволяющие однозначно идентифицировать пользователя и исключить коллизии, связанные с совпадением логинов.
Пользовательские пароли включают определенную секретную последовательность данных, известных только пользователю, хранящуюся в зашифрованном виде в информационной базе. Вход в систему возможен в случае совпадения имени пользователя и введенного пароля. При этом пароль должен быть действующим.
В базах данных пользовательских учетных записей хранятся данные по учетным записям для всех пользователей информационной системы.
Задачи использования парольной защиты включают [3]:
- обеспечение возможностей входа в систему злоумышленников;
- идентификация пользователя и открытие доступа к режимам работы системы, соответствующим имеющимся правам;
- применение системной политики для назначенного уровня полномочий учетной записи.
Вход в систему через ввод пароля предполагает аутентификацию пользователя в рамках использования информационного ресурса, соответственно пользователь несет ответственность за сохранность в тайне парольной информации.
По функциональному назначению вход в систему через ввод пароля, как правило, используется для контроля загрузки системы, мониторинга функционирования, в целях закрытия или контроля доступа. При вводе пароля могут различные средства ввода, включающие клавиатуру, либо более современные системы, например, использующие голосовой набор или ввод данных в интерактивном режиме.
В целях контроля загрузки может проводиться процедура идентификации и аутентификации пользователя перед запуском системы, например, через встроенные средства BIOS. В данном случае выполнение загрузки системы может производиться только санкционированными пользователями.
Идентификация служит для сопоставления каждому пользователю (группе пользователей) соответствующей ему разграничительной политики доступа на защищаемом объекте. Для этого необходимо проведение идентификации пользователя в самостоятельном режиме – путем указания своего «имени» (идентификатора). Таким образом проводится проверка на наличие доступа текущего пользователя к системе. И в соответствии с введённым идентификатором для пользователя проводится сопоставление соответствующих прав доступа.
Аутентификация предназначена для контроля процедуры идентификации. Для этого пользователь должен ввести пароль. Правильность вводимого пароля подтверждает однозначное соответствие между регистрирующимся пользователем и идентифицированным пользователем.
Для решения задачи контроля функционирования вычислительной системы при помощи пароля выделяются:
1. Авторизация в системе (производится средствами операционной системы).
2. Установка пароля на запуск процесса (например, системы антивирусной защиты).
3. Контроль доступа к ресурсам файлового сервера.
4. Авторизация при доступе в приложения (реализуется средствами прикладного ПО).
При выявлении попыток несанкционированного доступа в форме ошибочного ввода идентификационной информации система может блокировать доступ к ресурсу на определенное время, отправлять сообщение администратору о попытках неуспешного входа в систему.
Объектами парольной защиты могут являться:
- BIOS;
- авторизация в операционной система;
- прикладное ПО;
- учетные записи на сайтах, мобильных приложениях;
- режим блокировки экрана;
- пин-коды устройств.
Требования к парольной защите определяются спецификой защищаемого объекта и технологией защиты.