Identification et authentification : concepts de base

2024 Auteur: Howard Calhoun | [email protected]. Dernière modifié: 2023-12-17 10:27

L'identification et l'authentification sont à la base des outils de sécurité logiciels et matériels modernes, puisque tous les autres services sont principalement conçus pour servir ces entités. Ces concepts représentent une sorte de première ligne de défense qui assure la sécurité de l'espace d'information de l'organisation.

Qu'est-ce que c'est ?

L'identification et l'authentification ont des fonctions différentes. La première donne au sujet (l'utilisateur ou le processus agissant en son nom) la possibilité de fournir son propre nom. Avec l'aide de l'authentification, la deuxième partie est finalement convaincue que le sujet est vraiment celui qu'il prétend être. L'identification et l'authentification sont souvent remplacées par les expressions "message nominatif" et "authentification" comme synonymes.

Ils sont eux-mêmes divisés en plusieurs variétés. Ensuite, nous verrons ce que sont l'identification et l'authentification et ce qu'elles sont.

Authentification

Ce concept prévoit deux types: unilatéral, lorsque le clientdoit d'abord prouver son authenticité au serveur, et dans les deux sens, c'est-à-dire lors de la confirmation mutuelle. Un exemple standard de la manière dont l'identification et l'authentification standard de l'utilisateur sont effectuées est la procédure de connexion à un système particulier. Ainsi, différents types peuvent être utilisés dans différents objets.

Dans un environnement réseau où l'identification et l'authentification des utilisateurs sont effectuées sur des côtés géographiquement dispersés, le service en question diffère par deux aspects principaux:

• qui agit comme un authentificateur;
• comment exactement l'échange de données d'authentification et d'identification a été organisé et comment il est protégé.

Pour prouver son identité, le sujet doit présenter l'une des entités suivantes:

• certaines informations qu'il connaît (numéro personnel, mot de passe, clé cryptographique spéciale, etc.);
• certaine chose qu'il possède (carte personnelle ou autre appareil ayant un but similaire);
• une certaine chose qui est un élément en soi (empreintes digitales, voix et autres moyens biométriques d'identification et d'authentification des utilisateurs).

Caractéristiques du système

Dans un environnement de réseau ouvert, les parties n'ont pas de route de confiance, ce qui signifie qu'en général, les informations transmises par le sujet peuvent finalement ne pas correspondre aux informations reçues et utiliséeslors de l'authentification. Il est nécessaire pour assurer la sécurité de l'écoute active et passive du réseau, c'est-à-dire la protection contre la correction, l'interception ou la lecture de diverses données. L'option de transmission des mots de passe en clair n'est pas satisfaisante, et de la même manière, le cryptage des mots de passe ne peut pas sauver la mise, car ils n'offrent pas de protection contre la reproduction. C'est pourquoi des protocoles d'authentification plus complexes sont utilisés aujourd'hui.

Une identification fiable est difficile non seulement à cause de diverses menaces en ligne, mais aussi pour diverses autres raisons. Tout d'abord, presque toutes les entités d'authentification peuvent être volées, falsifiées ou déduites. Il existe également une certaine contradiction entre la fiabilité du système utilisé, d'une part, et la commodité de l'administrateur ou de l'utilisateur du système, d'autre part. Ainsi, pour des raisons de sécurité, il est nécessaire de demander à l'utilisateur de ressaisir ses informations d'authentification avec une certaine fréquence (puisqu'une autre personne peut déjà être assise à sa place), et cela crée non seulement des problèmes supplémentaires, mais augmente également considérablement le chance que quelqu'un puisse espionner la saisie d'informations. Entre autres choses, la fiabilité de l'équipement de protection affecte considérablement son coût.

Les systèmes modernes d'identification et d'authentification prennent en charge le concept de connexion unique au réseau, qui permet principalement de répondre aux exigences en termes de confort d'utilisation. Si un réseau d'entreprise standard comporte de nombreux services d'information,prévoyant la possibilité d'un traitement indépendant, l'introduction répétée de données à caractère personnel devient alors trop onéreuse. Pour le moment, on ne peut pas encore dire que l'utilisation de l'authentification unique est considérée comme normale, car les solutions dominantes ne se sont pas encore formées.

Ainsi, beaucoup essaient de trouver un compromis entre l'abordabilité, la commodité et la fiabilité des moyens d'identification/d'authentification. L'autorisation des utilisateurs dans ce cas est effectuée selon des règles individuelles.

Une attention particulière doit être portée au fait que le service utilisé peut être choisi comme objet d'une attaque de disponibilité. Si le système est configuré de telle manière qu'après un certain nombre de tentatives infructueuses, la possibilité d'entrer est bloquée, alors dans ce cas, les attaquants peuvent arrêter le travail des utilisateurs légaux en quelques frappes.

Authentification par mot de passe

Le principal avantage d'un tel système est qu'il est extrêmement simple et familier à la plupart. Les mots de passe sont utilisés depuis longtemps par les systèmes d'exploitation et d'autres services, et lorsqu'ils sont utilisés correctement, ils offrent un niveau de sécurité tout à fait acceptable pour la plupart des organisations. Mais d'un autre côté, en termes de l'ensemble total de caractéristiques, de tels systèmes représentent le moyen le plus faible par lequel l'identification/l'authentification peut être effectuée. L'autorisation dans ce cas devient assez simple, puisque les mots de passe doivent êtremémorables, mais en même temps, les combinaisons simples ne sont pas difficiles à deviner, surtout si une personne connaît les préférences d'un utilisateur particulier.

Il arrive parfois que les mots de passe, en principe, ne soient pas gardés secrets, car ils ont des valeurs assez standard spécifiées dans certaines documentations, et pas toujours après l'installation du système, ils sont changés.

Lors de la saisie du mot de passe, vous pouvez voir, et dans certains cas, les gens utilisent même des appareils optiques spécialisés.

Les utilisateurs, principaux sujets d'identification et d'authentification, peuvent souvent partager des mots de passe avec des collègues afin qu'ils changent de propriétaire pendant un certain temps. En théorie, dans de telles situations, il serait préférable d'utiliser des contrôles d'accès spéciaux, mais en pratique, personne ne l'utilise. Et si deux personnes connaissent le mot de passe, cela augmente considérablement les chances que d'autres le découvrent éventuellement.

Comment résoudre ce problème ?

Il existe plusieurs moyens de sécuriser l'identification et l'authentification. Le composant de traitement de l'information peut se sécuriser comme suit:

• L'imposition de diverses restrictions techniques. Le plus souvent, des règles sont définies pour la longueur du mot de passe, ainsi que pour le contenu de certains caractères qu'il contient.
• Gérer l'expiration des mots de passe, c'est-à-dire la nécessité de les changer périodiquement.
• Restriction de l'accès au fichier de mot de passe principal.
• En limitant le nombre total de tentatives infructueuses disponibles à la connexion. Grâce àDans ce cas, les attaquants ne doivent effectuer des actions qu'avant de procéder à l'identification et à l'authentification, car la méthode de la force brute ne peut pas être utilisée.
• Pré-formation des utilisateurs.
• Utiliser un logiciel de génération de mots de passe spécialisé qui vous permet de créer des combinaisons suffisamment euphoniques et mémorables.

Toutes ces mesures peuvent être utilisées dans tous les cas, même si d'autres moyens d'authentification sont utilisés en plus des mots de passe.

Mot de passe à usage unique

Les options décrites ci-dessus sont réutilisables, et si la combinaison est révélée, l'attaquant a la possibilité d'effectuer certaines opérations au nom de l'utilisateur. C'est pourquoi les mots de passe à usage unique sont utilisés comme un moyen plus fort, résistant à la possibilité d'écoute passive du réseau, grâce auquel le système d'identification et d'authentification devient beaucoup plus sûr, mais pas aussi pratique.

À l'heure actuelle, l'un des générateurs de mots de passe à usage unique les plus populaires est un système appelé S/KEY, publié par Bellcore. Le concept de base de ce système est qu'il existe une certaine fonction F qui est connue à la fois de l'utilisateur et du serveur d'authentification. Voici la clé secrète K, qui n'est connue que d'un certain utilisateur.

Lors de l'administration initiale de l'utilisateur, cette fonction est utilisée pour la cléun certain nombre de fois, après quoi le résultat est enregistré sur le serveur. À l'avenir, la procédure d'authentification ressemblera à ceci:

1. Un nombre arrive au système utilisateur à partir du serveur, qui est 1 de moins que le nombre de fois où la fonction est utilisée pour la clé.
2. L'utilisateur utilise la fonction pour la clé secrète disponible le nombre de fois qui a été défini dans le premier paragraphe, après quoi le résultat est envoyé via le réseau directement au serveur d'authentification.
3. Server utilise cette fonction pour la valeur reçue, après quoi le résultat est comparé à la valeur précédemment enregistrée. Si les résultats correspondent, l'utilisateur est authentifié et le serveur enregistre la nouvelle valeur, puis décrémente le compteur de un.

En pratique, la mise en œuvre de cette technologie a une structure un peu plus complexe, mais pour le moment ce n'est pas si important. Étant donné que la fonction est irréversible, même si le mot de passe est intercepté ou si un accès non autorisé au serveur d'authentification est obtenu, il ne permet pas d'obtenir une clé secrète et de prédire en aucune manière à quoi ressemblera spécifiquement le prochain mot de passe à usage unique.

En Russie, un portail d'État spécial est utilisé comme service unifié - le "Système unifié d'identification/d'authentification" ("ESIA").

Une autre approche d'un système d'authentification forte consiste à générer un nouveau mot de passe à intervalles rapprochés, également mis en œuvre viautilisation de programmes spécialisés ou de diverses cartes à puce. Dans ce cas, le serveur d'authentification doit accepter l'algorithme de génération de mot de passe approprié, ainsi que certains paramètres qui lui sont associés, et en plus, il doit également y avoir une synchronisation des horloges du serveur et du client.

Kerberos

Le serveur d'authentification Kerberos est apparu pour la première fois au milieu des années 90 du siècle dernier, mais depuis lors, il a déjà subi un grand nombre de changements fondamentaux. À l'heure actuelle, des composants individuels de ce système sont présents dans presque tous les systèmes d'exploitation modernes.

L'objectif principal de ce service est de résoudre le problème suivant: il existe un certain réseau non protégé et divers sujets sont concentrés dans ses nœuds sous la forme d'utilisateurs, ainsi que de systèmes logiciels serveur et client. Chacun de ces sujets a une clé secrète individuelle, et pour que le sujet C ait la possibilité de prouver sa propre authenticité au sujet S, sans quoi il ne le servira tout simplement pas, il devra non seulement se nommer, mais aussi pour montrer qu'il connaît un certain La clé secrète. Dans le même temps, C n'a pas la possibilité d'envoyer simplement sa clé secrète à S, puisque, tout d'abord, le réseau est ouvert, et en plus, S ne le sait pas, et, en principe, ne devrait pas le savoir. Dans une telle situation, une technique moins simple est utilisée pour démontrer la connaissance de ces informations.

L'identification/authentification électronique via le système Kerberos le prévoitutiliser en tant que tiers de confiance qui dispose d'informations sur les clés secrètes des objets servis et, si nécessaire, les aide à effectuer une authentification par paires.

Ainsi, le client envoie d'abord une demande au système, qui contient les informations nécessaires à son sujet, ainsi que sur le service demandé. Après cela, Kerberos lui fournit une sorte de ticket, qui est crypté avec la clé secrète du serveur, ainsi qu'une copie de certaines de ses données, qui est cryptée avec la clé du client. En cas de concordance, il est établi que le client a décrypté les informations qui lui sont destinées, c'est-à-dire qu'il a pu démontrer qu'il connaît bien la clé secrète. Cela suggère que le client est exactement celui qu'il prétend être.

Une attention particulière doit être portée ici au fait que le transfert des clés secrètes n'a pas été effectué sur le réseau et qu'elles ont été utilisées exclusivement pour le chiffrement.

Authentification biométrique

La biométrie implique une combinaison de moyens automatisés d'identification/d'authentification des personnes en fonction de leurs caractéristiques comportementales ou physiologiques. Les moyens physiques d'authentification et d'identification comprennent la vérification de la rétine et de la cornée des yeux, des empreintes digitales, de la géométrie du visage et des mains et d'autres informations personnelles. Les caractéristiques comportementales incluent le style de travail avec le clavier et la dynamique de la signature. CombinéLes méthodes sont l'analyse de diverses caractéristiques de la voix d'une personne, ainsi que la reconnaissance de son discours.

De tels systèmes d'identification/d'authentification et de cryptage sont largement utilisés dans de nombreux pays du monde, mais ils ont longtemps été extrêmement coûteux et difficiles à utiliser. Récemment, la demande de produits biométriques a considérablement augmenté en raison du développement du commerce électronique, car, du point de vue de l'utilisateur, il est beaucoup plus pratique de se présenter que de mémoriser certaines informations. En conséquence, la demande crée l'offre, de sorte que des produits relativement peu coûteux ont commencé à apparaître sur le marché, principalement axés sur la reconnaissance des empreintes digitales.

Dans la grande majorité des cas, la biométrie est utilisée en combinaison avec d'autres authentificateurs comme les cartes à puce. Souvent, l'authentification biométrique n'est que la première ligne de défense et agit comme un moyen d'activer des cartes à puce qui incluent divers secrets cryptographiques. Lors de l'utilisation de cette technologie, le modèle biométrique est stocké sur la même carte.

L'activité dans le domaine de la biométrie est assez élevée. Un consortium approprié existe déjà et des travaux sont également menés assez activement pour normaliser divers aspects de la technologie. Aujourd'hui, vous pouvez voir beaucoup d'articles publicitaires dans lesquels les technologies biométriques sont présentées comme un moyen idéal d'augmenter la sécurité et en même temps accessible au grand public.les masses.

EIES

Le système d'identification et d'authentification ("ESIA") est un service spécial créé afin d'assurer la mise en œuvre de diverses tâches liées à la vérification de l'identité des demandeurs et des participants à l'interaction interministérielle dans le cas de la fourniture de tous les services municipaux ou étatiques sous forme électronique.

Afin d'accéder au "Portail unique des agences gouvernementales", ainsi qu'à tout autre système d'information de l'infrastructure de l'administration en ligne actuelle, vous devrez d'abord créer un compte et, par conséquent, recevez un PES.

Niveaux

Le portail du système unifié d'identification et d'authentification prévoit trois niveaux principaux de comptes pour les particuliers:

• Simplifié. Pour l'enregistrer, il vous suffit d'indiquer votre nom et prénom, ainsi qu'un canal de communication spécifique sous la forme d'une adresse e-mail ou d'un téléphone portable. Il s'agit du niveau primaire, par lequel une personne n'a accès qu'à une liste limitée de divers services publics, ainsi qu'aux capacités des systèmes d'information existants.
• Standard. Pour l'obtenir, vous devez d'abord émettre un compte simplifié, puis fournir également des données supplémentaires, notamment les informations du passeport et le numéro du compte personnel de l'assurance. Les informations spécifiées sont automatiquement vérifiées via les systèmes d'informationCaisse de pensions, ainsi que le Service fédéral des migrations, et si la vérification réussit, le compte est transféré au niveau standard, ce qui ouvre une liste étendue de services publics à l'utilisateur.
• Confirmé. Pour obtenir ce niveau de compte, le système unifié d'identification et d'authentification exige que les utilisateurs aient un compte standard, ainsi qu'une vérification d'identité, qui est effectuée par une visite personnelle dans une succursale de service autorisée ou en obtenant un code d'activation par courrier recommandé. Si la vérification d'identité réussit, le compte passera à un nouveau niveau et l'utilisateur aura accès à la liste complète des services gouvernementaux nécessaires.

Malgré le fait que les procédures peuvent sembler assez compliquées, en fait, vous pouvez vous familiariser avec la liste complète des données nécessaires directement sur le site officiel, donc une inscription complète est tout à fait possible en quelques jours.