Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Защита в операционных системах

3.1.2. Аутентификация с использованием внешних носителей информации

При использовании данной схемы аутентификации аутентификационная информация хранится на внешнем носителе информации, который может представлять собой пластиковую карту, таблетку touch memory, электронный ключ и т. п. При входе в систему пользователь подключает к компьютеру этот носитель, и система считывает с него идентификационную и аутентификационную информацию пользователя. Далее аутентификация осуществляется, как было описано выше.

Поскольку аутентификационный ключ, хранящийся на внешнем носителе, может быть сделан гораздо более длинным, чем пароль, подобрать такой ключ практически невозможно. Однако угроза компрометации аутентификационных данных по-прежнему остается актуальной. Если процедура аутентификации не предусматривает дополнительных мер защиты, любой обладатель носителя аутентификационной информации, в том числе нарушитель, укравший носитель у легального пользователя системы, может войти в систему с правами пользователя, которому принадлежит этот носитель.

Описываемый механизм аутентификации, как правило, используется в совокупности с предыдущим. При этом пользователь, входя в систему, должен не только предъявить компьютеру носитель аутентификационных данных, но и ввести соответствующий этому носителю пароль (например, числовой пин-код). Формат хранения аутентификационной информации на носителе не должен позволять воспользоваться этой информацией случайному обладателю данного носителя.

Основной угрозой при использовании описываемого механизма аутентификации является угроза кражи носителя аутентификационных данных с последующим его копированием и подбором пароля на доступ к ключу. Если аутентификационные данные выбираются случайно и формат их хранения на носителе не содержит проверочных полей (контрольных сумм и т. д.), оффлайн-подбор пароля на доступ к носителю аутентификационных данных невозможен — нарушитель просто не сможет сформулировать критерий, позволяющий отличать правильно расшифрованные аутентификационные данные от неправильно расшифрованных, и, следовательно, правильный пароль от неправильного.

Во многих реализациях аутентификации с использованием внешних носителей применяются следующие дополнительные меры защиты:

  • • защита ключевого носителя от копирования;
  • • блокировка или уничтожение аутентификационной информации после определенного количества неудачных попыток ввода пароля на доступ к ключу.

При технически грамотной реализации механизма хранения аутентификационных данных эти меры никак не влияют на стойкость реализуемой системы аутентификации, но они существенно повышают привлекательность данной системы для потенциальных заказчиков и потому применяются очень широко.

Если в качестве носителя ключевой информации применяются электронные ключи Touch Memory или пластиковые карты Memory Card, перечисленные меры защиты неприменимы. Хотя существующие средства защиты от копирования и позволяют несколько затруднить копирование носителя информации, любой из перечисленных носителей может быть скопирован за считанные минуты. Поскольку проверку правильности пароля на доступ к ключу осуществляет защищаемая операционная система, то, если нарушитель подбирает пароль с помощью специальной программы, подсчитывать количество неудачных попыток также невозможно.

В отличие от перечисленных носителей информации, интеллектуальные пластиковые карты Smart Card содержат, помимо энергонезависимой оперативной памяти, микропроцессор, способный выполнять криптографические преобразования информации. Поэтому интеллектуальные карты способны самостоятельно проверять правильность пароля на доступ к ключевой информации, и при аутентификации пользователя с использованием интеллектуальной карты проверку пароля на доступ к карте производит не операционная система, а сама карта. Интеллектуальная карта может быть запрограммирована на стирание хранимой информации после превышения максимально допустимого количества неправильных попыток ввода пароля, что не позволяет подбирать этот пароль без частого копирования карты, что весьма дорого.

В делом использование для аутентификации пользователей не только паролей, но еще и внешних носителей информации позволяет заметно повысить защищенность операционной системы. Но, с другой стороны, при использовании в защищаемой системе аутентификации с использованием внешних носителей информации у администраторов и пользователей возникает целый ряд проблем.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >
 

Популярные страницы