Аутентифікація з використанням фізичного об'єкта

Удосконалювання безпеки паролів

Додавання випадкових чисел до файлу паролів захищає систему від зломщиків, що намагаються заздалегідь скласти великий список зашифрованих паролів, і в такий спосіб зламати кілька паролів відразу. Однак даний метод неспроможний допомогти в тому випадку, коли пароль легко відгадати, наприклад якщо користувач David використає пароль David. Зломщик може просто спробувати відгадати паролі один за іншим. Навчання користувачів у даній області може допомогти, але воно рідко проводиться. Крім навчання користувачів може використатися допомога комп'ютера. На деяких системах установлюється програма, що формує випадкові, легко вимовні безглузді слова, такі як fatally, garbungy або bipitty, які можуть використатися як паролі (бажано з використанням прописних символів і спеціальних символів, доданих усередину). Програма, викликувана користувачем для установки або зміни пароля, може також видати попередження при виборі слабкого пароля. Серед вимог програми до пароля можуть бути, наприклад, що випливають:

1. Пароль повинен містити як мінімум сім символів.

2. Пароль повинен містити як рядкові, так і прописні символи.

3. Пароль повинен містити як мінімум одну цифру або спеціальний символ.

4. Пароль не повинен являти собою слово, що втримується в словнику, власне ім'я й т.д.

 

Схема аутентифікації «виклик-відгук»

Ще один варіант ідеї паролів полягає в тім, що для кожного нового користувача створюється довгий список питань і відповідей, що зберігається на сервері в надійному виді (наприклад, у зашифрованому виді). Питання повинні вибиратися так, щоб користувачеві не потрібно було їх записувати. Приклади можливих питань:

1. Як кличуть сестру Марка?

2. На якій вулиці була ваша початкова школа?

3. Що викладала Світлана Петрівна?

При реєстрації сервер задає одне із цих питань, вибираючи його зі списку випадковим образом, і перевіряє відповідь. Однак щоб така схема могла працювати, буде потрібно велика кількість пар питань і відповідей.

Інший варіант називається «виклик-відгук». Він працює в такий спосіб. Користувач вибирає алгоритм, що ідентифікує його як користувача, наприклад х2. Коли користувач входить у систему, сервер посилає йому якесь випадкове число, наприклад 7. У відповідь користувач посилає серверу 49. Алгоритм може відрізнятися ранком і ввечері, у різні дні тижня й т.д.

Другий метод аутентифікації користувачів полягає в перевірці деякого фізичного об'єкта, що є в користувача, а не інформації, що він знає. Наприклад, протягом сторіч застосовувалися металеві дверні ключі. Сьогодні цим фізичним об'єктом часто є пластикова карта, що вставляє в спеціальний пристрій читання, підключене до термінала або комп'ютера. Як правило, користувач повинен не тільки вставити карту, але також увести пароль, щоб запобігти використанню загубленої або украденої карти. Із цього погляду використання банкомата (ATM, Automatic Teller Machine) починається з того, що користувач реєструється на комп'ютері банку з вилученого термінала (банкомата) за допомогою пластикової карти й пароля. Сьогодні в більшості країн застосовується PIN-код (PIN, Personal Identification Number - особистий ідентифікаційний номер), що складається всього з 4 цифр, що дозволяє уникнути необхідності установки повної клавіатури на банкомати.

Існує два різновиди пластикових карт, що зберігають інформацію: магнітні карти й карти із процесором. Магнітні карти містять близько 140 байт інформації, записаної на магнітній стрічці, приклеєної до пластику. Ця інформація може бути лічена терміналом і передана на центральний комп'ютер. Часто ці дані містять пароль користувача (наприклад, його PIN-код), так що термінал може сам перевірити дійсність користувача без допомоги головного комп'ютера. Як правило, пароль шифрується ключем, відомим тільки банку. Ці карти коштують від 10 до 50 центів, залежно від наявності голограми й тиражу. Застосовувати магнітні карти для ідентифікації ризиковано, тому що пристрою читання й запису цих карт дешеві й широко поширені.

Карти, що містять у собі мікросхеми, у свою чергу, підрозділяються на дві категорії: карти, що зберігають інформацію, і смарт-карты (smart card - «розумна» карта). Карти, що зберігають інформацію, містять невелика кількість пам'яті (як правило, менш 1 Кбайт), що використає технологію EEPROM (Electrically Erasable Programmable Read-Only Memory - стира электрически програмувальне ПЗУ). На такій карті немає центрального процесора, значення, що зберігає тому, повинне змінюватися зовнішнім центральним процесором (у пристрої, що зчитує). Такі карти виробляються мільйонами за ціною біля одного долара за штуку й широко застосовуються, наприклад, як телефонні карти, гроші

Смарт-карты можуть використатися для зберігання грошей, як і карти, що зберігають дані, але в порівнянні із цим видом карт смарт-карты мають значно кращі характеристики в плані безпеки й універсальності. Ці карти можна зарядити грішми в банкомату або будинку по телефоні за допомогою спеціального пристрою, що поставляє банком. Пізніше, наприклад, у магазині, користувач може дозволити зняти з карти певну грошову суму (надрукувавши YES), у результаті чого карта посилає невелике шифроване повідомлення продавцеві. Потім продавець може передати це повідомлення в банк, щоб одержати зазначену в ньому суму.