piątek, 28 października 2011

Metody uwierzytelnienia stosowane powszechnie

Tym postem początkujemy serię artykułów o biometrii.W tym konkretnie istniejące i stosowane metody uwierzytelniania w Sieci i nie tylko ;) Zapraszamy.

Zacznijmy od regułki co to jest uwierzytelnianie.Uwierzytelnianie jest to proces polegający na zweryfikowaniu tożsamości użytkownika systemu, tj. sprawdzenia czy rzeczywiście jest tym za kogo się podaje.Odrębnym pojęciem jest autoryzacja, czyli przyznanie lub sprawdzenie uprawnień uwierzytelnionemu użytkownikowi, ale tym nie będziemy się zajmować w tym artykule.

Metody uwierzytelniania wykształciły się na długo przed erą internetu i elektroniki.Ogólnie metody uwierzytelniania możemy podzielić na oparte o:
  • Mienie (P-ang. possesion).Aby uzyskać do czegoś dostęp, należy być w posiadaniu rzeczy, np. klucza, karty magnetycznej.Zdalny atak na metodę uwierzytelniania mieniem jest niemożliwy, bez fizycznego dostępu do P.
  • Wiedzę (K-ang. knowledge).Dostęp do czegoś uzyskuje się odpowiadając poprawnie na pytanie, podając poprawne hasło lub szyfr, podając odpowiednią kolejność, podając odpowiednią ścieżkę.Atak zdalny na tę metodę uwierzytelnienia jest możliwy, jeśli atakujący domyślna się jak odpowiedzieć na pytanie lub przeprowadzając atak brute force.
  • Wiedzę i Mienie (K+P).Aby uzyskać dostęp do systemu musimy podać informację niejawną (np. numer klienta) oraz dać coś co posiadamy przy sobie, np. kod z karty TAN lub kod sms przesłany na nasz telefon.Metoda ta jest uważana za bardzo bezpieczną i jest stosowana przez banki.
  • Biometryki (B-ang. biometrics).Biometryki to cechy fizyczne (obraz siatkówki oka,odcisk palca,obraz twarzy,głos,DNA) lub behawioralne (sposób chodzenia,sposób pisania na klawiaturze,podpis ręczny,fala P300) każdego człowieka.

Biometryki, szczególnie w połączeniu z uwierzytelnianiem za pomocą wiedzy i mienia stanowią najbezpieczniejsza formę uwierzytelniania użytkowników.Metody P,K,P+K sprawdzają czy P,K,P+K dokładnie zgadzają się z zarejestrowanymi danymi w bazie danych.Tak więc nie są to metody do końca bezpieczne.Metoda K utożsamia użytkownika który posiada wiedzę taką jak zarejestrowaną z profilem osoby w bazie, choć niekoniecznie musi to być prawowita osoba.Można wydobyć wiedzę od prawowitej osoby siłą, szantażem lub podstępem i na tej podstawie podszyć się pod daną osobę, czyli ukraść jej tożsamość.Metoda P jest pozornie bardziej bezpieczna, gdyż wymaga pofatygowania się osoby która ma mienie do punktu uwierzytelniania.A pozornie dlatego, że mienie (przedmiot) można ukraść prawowitej osobie i na tej podstawie podać się za kogoś innego.Metoda P+K jest bardziej bezpieczna, gdyż nie dość że należy mieć fizyczną rzecz którą posiada tylko prawowity użytkownik, to jeszcze należy z jego mózgu wydobyć pewną tajemną wiedzę, której raczej prawowity użytkownik normalnie nie zdradza nikomu.Oczywiście i w tej metodzie nie ma 100 % pewności, ale przejęcie tożsamości uwierzytelnionej tą metodą jest już zdecydowanie trudniejsze.Bo nie dość że należy zmusić gościa do gadania, to jeszcze należy go fizycznie odwiedzić, aby wydobyć od niego mienie, czyli klucz ;)

Tak więc w przypadku metod uwierzytelniania P,K,P+K po pomyślnej weryfikacji mamy jedynie potwierdzenie, że jakiś użytkownik podał dane uwierzytelniania te same, co zarejestrowany na początku użytkownik.I na tej podstawie mamy przypuszczać, że ten uwierzytelniony użytkownik jest tym, za kogo się podaje.To podejście nie gwarantuje 100 % bezpieczeństwa.
Co innego biometryki.W przypadku uwierzytelnienia użytkownika metodą P i/lub K dodatkowo połączonych z biometrykami mamy 100 % pewność, że osoba uwierzytelniona jest tą, za którą się podaje.Nie zakładam tu że ktoś byłby zdolny do wycięcia siatkówki oka, odcięcia ręki od trupa itp.

Biometryki są bardzo trudne do podrobienia, oczywiście nie mówimy tu o takich biometrykach jak chód człowieka, tempo pisania na klawiaturze czy podpis ręczny.

Gdzie stosowane są biometryki?
Ktoś kto wyrabiał niedawno paszport wie, że teraz wyrabiane są paszporty biometryczne, tzn. mające zakodowany wzór odcisków palców.Podczas przylotu np. do USA na czytniku linii papilarnych sprawdzane są linie papilarne przyjezdnych aby potwierdzić, że przyjezdny to rzeczywiście ta osoba, na którą był wydany paszport.Bo wygląd fizyczny można łatwo ucharakteryzować.

Metody uwierzytelniania P+B stosują ... banki.Jeśli chcemy wypłacić gotówkę w oddziale banku to musimy przedstawić dowód tożsamości.Nie może to być dowolny dokument ze zdjęciem (dowód osobisty, paszport, prawo jazdy) ale dokładnie ten, który okazano podczas zakładania konta i podpisywania umowy.
Mając już podgląd do naszego konta Pani w okienku nie wykona nam od ręki przelewu.Najpierw musi ona wydrukować pisemne zlecenie wypłaty gotówki, na którym my się podpisujemy.I tu kolejne obostrzenie.Nasz podpis musi być dokładnie taki sam, jak podaliśmy przy zakładaniu konta, czyli na karcie podpisów.Z doświadczeń zaobserwowałem, że Panie z okienka mają komputery skierowane po części do klienta i zawsze zerkam na ekran aby porównać podpis na karcie wzorów z wpisanym.Od czasu założenia umowy zmieniłem swój podpis, ale na karcie wzorów w banku pozostał stary.Panie nie zasłaniają specjalnie ekranu, można zajrzeć na monitor.

Metodę uwierzytelnienia K stosują popularne portale internetowe oferujące darmowe konta pocztowe (o2.pl, wp.pl, onet.pl).Nie będę tego komentował, gdyż pewnie nie raz słyszeliście od swoich znajomych, że ktoś przejął im konto.

Metody uwierzytelniania P+K stosuje się m.in. przy odpalaniu głowic jądrowych.Oficer uprawniony do odpalenia ładunku ma przy sobie klucz, ale samym kluczem nie może go odpalić.Do tego potrzebny mu jest drugi klucz (z oficerem lub bez ;) i kod uzbrojenia głowic atomowych.W momencie rozpoczęcia akcji żaden z oficerów biorących udział w akcji nie zna kodu uzbrarającego, a więc nie ma wiedzy.Dopiero kod wysłany przez zwierzchnika sił zbrojnych w połączeniu z kluczem (mieniem) pozwala zazbroić ładunek i odpalić pocisk.

Procedury uwierzytelniania P+K powoli wchodzą w nasze życie.Aby wysłać przelew zewnętrzny z bankowości internetowej musimy się wpierw do niej zalogować (K), a następnie wpisać kod otrzymany smsem lub z karty TAN (P).Również Gmail wprowadził niedawno możliwość dwustopniowego logowania się (P+K) do swoich skrzynek pocztowych.

0 komentarzy:

Prześlij komentarz