Identifikasi dan otentikasi: konsep dasar

2024 Pengarang: Howard Calhoun | [email protected]. Terakhir diubah: 2023-12-17 10:31

Identifikasi dan otentikasi adalah dasar dari perangkat lunak dan perangkat keamanan perangkat keras modern, karena layanan lain terutama dirancang untuk melayani entitas ini. Konsep-konsep ini mewakili semacam garis pertahanan pertama yang menjamin keamanan ruang informasi organisasi.

Apa ini?

Identifikasi dan otentikasi memiliki fungsi yang berbeda. Yang pertama memberi subjek (pengguna atau proses yang bertindak atas nama mereka) kesempatan untuk memberikan nama mereka sendiri. Dengan bantuan otentikasi, pihak kedua akhirnya yakin bahwa subjek benar-benar adalah siapa yang dia klaim. Identifikasi dan otentikasi sering diganti dengan frasa "pesan nama" dan "otentikasi" sebagai sinonim.

Mereka sendiri dibagi menjadi beberapa varietas. Selanjutnya, kita akan melihat apa itu identifikasi dan otentikasi dan apa itu.

Otentikasi

Konsep ini menyediakan dua jenis: satu sisi, ketika klienharus terlebih dahulu membuktikan keasliannya ke server, dan dua arah, yaitu ketika sedang dilakukan konfirmasi timbal balik. Contoh standar tentang bagaimana identifikasi dan otentikasi pengguna standar dilakukan adalah prosedur untuk masuk ke sistem tertentu. Dengan demikian, tipe yang berbeda dapat digunakan pada objek yang berbeda.

Dalam lingkungan jaringan di mana identifikasi dan otentikasi pengguna dilakukan pada sisi yang tersebar secara geografis, layanan yang dimaksud berbeda dalam dua aspek utama:

• yang bertindak sebagai autentikator;
• bagaimana tepatnya pertukaran data otentikasi dan identifikasi diatur dan bagaimana perlindungannya.

Untuk membuktikan identitasnya, subjek harus menunjukkan salah satu entitas berikut:

• informasi tertentu yang dia ketahui (nomor pribadi, kata sandi, kunci kriptografi khusus, dll.);
• barang tertentu yang dia miliki (kartu pribadi atau perangkat lain dengan tujuan serupa);
• hal tertentu yang merupakan elemen dari dirinya sendiri (sidik jari, suara, dan alat biometrik lainnya untuk mengidentifikasi dan mengautentikasi pengguna).

Fitur Sistem

Dalam lingkungan jaringan terbuka, para pihak tidak memiliki rute tepercaya, yang berarti bahwa, secara umum, informasi yang dikirimkan oleh subjek pada akhirnya mungkin tidak cocok dengan informasi yang diterima dan digunakansaat mengautentikasi. Diperlukan untuk memastikan keamanan mendengarkan aktif dan pasif jaringan, yaitu perlindungan dari koreksi, intersepsi, atau pemutaran berbagai data. Pilihan untuk mentransmisikan kata sandi dalam teks biasa tidak memuaskan, dan dengan cara yang sama, enkripsi kata sandi tidak dapat menyelamatkan hari, karena mereka tidak memberikan perlindungan terhadap reproduksi. Itulah mengapa protokol otentikasi yang lebih kompleks digunakan saat ini.

Identifikasi yang andal sulit bukan hanya karena berbagai ancaman online, tetapi juga karena berbagai alasan lainnya. Pertama-tama, hampir semua entitas otentikasi dapat dicuri, dipalsukan, atau disimpulkan. Ada juga kontradiksi tertentu antara keandalan sistem yang digunakan, di satu sisi, dan kenyamanan administrator sistem atau pengguna, di sisi lain. Oleh karena itu, untuk alasan keamanan, pengguna diharuskan untuk memasukkan kembali informasi otentikasinya dengan frekuensi tertentu (karena beberapa orang mungkin sudah duduk di tempatnya), dan ini tidak hanya menimbulkan masalah tambahan, tetapi juga secara signifikan meningkatkan kemungkinan bahwa seseorang dapat memata-matai memasukkan informasi. Antara lain, keandalan alat pelindung sangat mempengaruhi biayanya.

Sistem identifikasi dan otentikasi modern mendukung konsep sistem masuk tunggal ke jaringan, yang terutama memungkinkan Anda memenuhi persyaratan dalam hal kenyamanan pengguna. Jika jaringan perusahaan standar memiliki banyak layanan informasi,memberikan kemungkinan pengobatan independen, maka pengenalan berulang data pribadi menjadi terlalu berat. Saat ini, penggunaan single sign-on belum bisa dikatakan normal, karena solusi dominan belum terbentuk.

Dengan demikian, banyak yang mencoba mencari kompromi antara keterjangkauan, kenyamanan, dan keandalan sarana yang menyediakan identifikasi / otentikasi. Otorisasi pengguna dalam hal ini dilakukan sesuai dengan aturan individu.

Perhatian khusus harus diberikan pada fakta bahwa layanan yang digunakan dapat dipilih sebagai objek serangan ketersediaan. Jika sistem dikonfigurasi sedemikian rupa sehingga setelah sejumlah upaya yang gagal, kemampuan untuk masuk diblokir, maka dalam kasus ini, penyerang dapat menghentikan pekerjaan pengguna legal hanya dengan beberapa penekanan tombol.

Otentikasi kata sandi

Keuntungan utama dari sistem seperti itu adalah sangat sederhana dan familiar bagi kebanyakan orang. Kata sandi telah digunakan oleh sistem operasi dan layanan lain untuk waktu yang lama, dan bila digunakan dengan benar, kata sandi memberikan tingkat keamanan yang cukup dapat diterima untuk sebagian besar organisasi. Tetapi di sisi lain, dalam hal kumpulan karakteristik total, sistem seperti itu mewakili cara terlemah yang dengannya identifikasi/otentikasi dapat dilakukan. Otorisasi dalam hal ini menjadi sangat sederhana, karena kata sandi harusmudah diingat, tetapi pada saat yang sama kombinasi sederhana tidak sulit ditebak, terutama jika seseorang mengetahui preferensi pengguna tertentu.

Terkadang kata sandi, pada prinsipnya, tidak dirahasiakan, karena memiliki nilai standar yang ditentukan dalam dokumentasi tertentu, dan tidak selalu setelah sistem diinstal, mereka diubah.

Saat memasukkan kata sandi, Anda dapat melihat, dan dalam beberapa kasus orang bahkan menggunakan perangkat optik khusus.

Pengguna, subjek utama identifikasi dan otentikasi, sering kali dapat berbagi kata sandi dengan rekan kerja agar mereka dapat mengubah kepemilikan untuk waktu tertentu. Secara teori, dalam situasi seperti itu akan lebih baik menggunakan kontrol akses khusus, tetapi dalam praktiknya ini tidak digunakan oleh siapa pun. Dan jika dua orang mengetahui kata sandinya, itu sangat meningkatkan kemungkinan bahwa orang lain pada akhirnya akan mengetahuinya.

Bagaimana cara memperbaikinya?

Ada beberapa cara bagaimana identifikasi dan otentikasi dapat diamankan. Komponen pemrosesan informasi dapat mengamankan dirinya sendiri sebagai berikut:

• Pengenaan berbagai batasan teknis. Paling sering, aturan ditetapkan untuk panjang kata sandi, serta konten karakter tertentu di dalamnya.
• Mengelola kedaluwarsa kata sandi, yaitu kebutuhan untuk mengubahnya secara berkala.
• Membatasi akses ke file kata sandi utama.
• Dengan membatasi jumlah total percobaan gagal yang tersedia saat login. Terimakasih untukDalam hal ini, penyerang hanya boleh melakukan tindakan sebelum melakukan identifikasi dan otentikasi, karena metode brute-force tidak dapat digunakan.
• Pra-pelatihan pengguna.
• Menggunakan perangkat lunak pembuat kata sandi khusus yang memungkinkan Anda membuat kombinasi yang merdu dan cukup mudah diingat.

Semua tindakan ini dapat digunakan dalam kasus apa pun, bahkan jika cara otentikasi lain digunakan bersama dengan kata sandi.

Sandi Sekali Pakai

Opsi yang dibahas di atas dapat digunakan kembali, dan jika kombinasi terungkap, penyerang mendapat kesempatan untuk melakukan operasi tertentu atas nama pengguna. Itulah sebabnya kata sandi satu kali digunakan sebagai cara yang lebih kuat, tahan terhadap kemungkinan mendengarkan jaringan pasif, berkat sistem identifikasi dan otentikasi menjadi jauh lebih aman, meskipun tidak senyaman ini.

Saat ini, salah satu perangkat lunak pembuat kata sandi satu kali yang paling populer adalah sistem yang disebut S/KEY, dirilis oleh Bellcore. Konsep dasar dari sistem ini adalah bahwa ada fungsi tertentu F yang diketahui oleh pengguna dan server otentikasi. Berikut ini adalah kunci rahasia K, yang hanya diketahui oleh pengguna tertentu.

Selama administrasi awal pengguna, fungsi ini digunakan untuk kuncibeberapa kali, setelah itu hasilnya disimpan di server. Di masa depan, prosedur otentikasi terlihat seperti ini:

1. Sebuah nomor masuk ke sistem pengguna dari server, yaitu 1 kurang dari berapa kali fungsi tersebut digunakan untuk kunci.
2. Pengguna menggunakan fungsi tersebut ke kunci rahasia yang tersedia beberapa kali yang telah diatur di paragraf pertama, setelah itu hasilnya dikirim melalui jaringan langsung ke server otentikasi.
3. Server menggunakan fungsi ini ke nilai yang diterima, setelah itu hasilnya dibandingkan dengan nilai yang disimpan sebelumnya. Jika hasilnya cocok, maka pengguna diautentikasi dan server menyimpan nilai baru, lalu mengurangi penghitung satu per satu.

Dalam praktiknya, penerapan teknologi ini memiliki struktur yang sedikit lebih kompleks, tetapi saat ini tidak begitu penting. Karena fungsinya tidak dapat diubah, bahkan jika kata sandi dicegat atau akses tidak sah ke server otentikasi diperoleh, itu tidak memberikan kemampuan untuk mendapatkan kunci rahasia dan dengan cara apa pun memprediksi seperti apa kata sandi satu kali berikutnya secara spesifik.

Di Rusia, portal negara khusus digunakan sebagai layanan terpadu - "Sistem Identifikasi / Otentikasi Terpadu" ("ESIA").

Pendekatan lain untuk sistem otentikasi yang kuat adalah dengan membuat kata sandi baru dalam interval pendek, yang juga diimplementasikan melaluipenggunaan program khusus atau berbagai kartu pintar. Dalam hal ini, server otentikasi harus menerima algoritma pembuatan kata sandi yang sesuai, serta parameter tertentu yang terkait dengannya, dan di samping itu, juga harus ada sinkronisasi jam server dan klien.

Kerberos

Server otentikasi Kerberos pertama kali muncul pada pertengahan 90-an abad lalu, tetapi sejak itu telah menerima sejumlah besar perubahan mendasar. Saat ini, komponen individual dari sistem ini hadir di hampir setiap sistem operasi modern.

Tujuan utama layanan ini adalah untuk memecahkan masalah berikut: ada jaringan tertentu yang tidak terlindungi, dan berbagai subjek terkonsentrasi di simpulnya dalam bentuk pengguna, serta sistem perangkat lunak server dan klien. Setiap subjek tersebut memiliki kunci rahasia individu, dan agar subjek C memiliki kesempatan untuk membuktikan keasliannya sendiri kepada subjek S, yang tanpanya dia tidak akan melayaninya, dia tidak hanya perlu menyebutkan namanya sendiri, tetapi juga untuk menunjukkan bahwa dia mengetahui kunci rahasia tertentu. Pada saat yang sama, C tidak memiliki kesempatan untuk hanya mengirim kunci rahasianya ke S, karena, pertama-tama, jaringan terbuka, dan selain itu, S tidak tahu, dan, pada prinsipnya, tidak boleh mengetahuinya. Dalam situasi seperti itu, teknik yang kurang langsung digunakan untuk menunjukkan pengetahuan tentang informasi ini.

Identifikasi/otentikasi elektronik melalui sistem Kerberos menyediakannyagunakan sebagai pihak ketiga tepercaya yang memiliki informasi tentang kunci rahasia objek yang dilayani dan, jika perlu, membantu mereka dalam melakukan otentikasi berpasangan.

Dengan demikian, klien pertama-tama mengirim permintaan ke sistem, yang berisi informasi yang diperlukan tentang dia, serta tentang layanan yang diminta. Setelah itu, Kerberos memberinya semacam tiket, yang dienkripsi dengan kunci rahasia server, serta salinan beberapa data darinya, yang dienkripsi dengan kunci klien. Dalam kasus kecocokan, ditetapkan bahwa klien mendekripsi informasi yang ditujukan untuknya, yaitu, ia dapat menunjukkan bahwa ia benar-benar mengetahui kunci rahasia. Ini menunjukkan bahwa klien adalah persis seperti yang dia klaim.

Perhatian khusus di sini harus diberikan pada fakta bahwa transfer kunci rahasia tidak dilakukan melalui jaringan, dan digunakan secara eksklusif untuk enkripsi.

Otentikasi biometrik

Biometrik melibatkan kombinasi cara otomatis untuk mengidentifikasi/mengotentikasi orang berdasarkan karakteristik perilaku atau fisiologis mereka. Sarana otentikasi dan identifikasi fisik termasuk verifikasi retina dan kornea mata, sidik jari, geometri wajah dan tangan, dan informasi pribadi lainnya. Karakteristik perilaku termasuk gaya bekerja dengan keyboard dan dinamika tanda tangan. Gabunganmetode adalah analisis berbagai fitur suara seseorang, serta pengenalan ucapannya.

Sistem identifikasi/otentikasi dan enkripsi seperti itu banyak digunakan di banyak negara di seluruh dunia, tetapi untuk waktu yang lama mereka sangat mahal dan sulit digunakan. Baru-baru ini, permintaan akan produk biometrik telah meningkat secara signifikan karena perkembangan e-commerce, karena, dari sudut pandang pengguna, jauh lebih nyaman untuk menampilkan diri daripada mengingat beberapa informasi. Dengan demikian, permintaan menciptakan pasokan, sehingga produk yang relatif murah mulai muncul di pasar, yang terutama berfokus pada pengenalan sidik jari.

Dalam sebagian besar kasus, biometrik digunakan dalam kombinasi dengan autentikator lain seperti kartu pintar. Seringkali, otentikasi biometrik hanyalah garis pertahanan pertama dan bertindak sebagai sarana untuk mengaktifkan kartu pintar yang mencakup berbagai rahasia kriptografi. Saat menggunakan teknologi ini, template biometrik disimpan pada kartu yang sama.

Aktivitas di bidang biometrik cukup tinggi. Konsorsium yang sesuai sudah ada, dan pekerjaan juga cukup aktif dilakukan untuk menstandardisasi berbagai aspek teknologi. Hari ini Anda dapat melihat banyak artikel iklan di mana teknologi biometrik disajikan sebagai sarana ideal untuk meningkatkan keamanan dan pada saat yang sama dapat diakses oleh masyarakat umum.massa.

ESIA

Sistem Identifikasi dan Otentikasi ("ESIA") adalah layanan khusus yang dibuat untuk memastikan pelaksanaan berbagai tugas terkait verifikasi identitas pelamar dan peserta dalam interaksi antardepartemen dalam hal penyediaan setiap layanan kota atau negara bagian dalam bentuk elektronik.

Untuk mendapatkan akses ke "Portal Tunggal Instansi Pemerintah", serta sistem informasi lain dari infrastruktur e-government saat ini, Anda harus terlebih dahulu mendaftarkan akun dan, sebagai hasilnya, terima PES.

Level

Portal sistem identifikasi dan otentikasi terpadu menyediakan tiga tingkat akun utama untuk individu:

• Sederhana. Untuk mendaftarkannya, Anda hanya perlu menunjukkan nama belakang dan nama depan Anda, serta beberapa saluran komunikasi tertentu dalam bentuk alamat email atau ponsel. Ini adalah tingkat primer, di mana seseorang hanya memiliki akses ke daftar terbatas berbagai layanan publik, serta kemampuan sistem informasi yang ada.
• Standar. Untuk mendapatkannya, Anda harus terlebih dahulu mengeluarkan akun yang disederhanakan, dan kemudian juga memberikan data tambahan, termasuk informasi dari paspor dan nomor akun pribadi individu asuransi. Informasi yang ditentukan secara otomatis diperiksa melalui sistem informasiDana Pensiun, serta Layanan Migrasi Federal, dan jika pemeriksaan berhasil, akun ditransfer ke tingkat standar, yang membuka daftar panjang layanan publik kepada pengguna.
• Dikonfirmasi. Untuk mendapatkan tingkat akun ini, sistem identifikasi dan otentikasi terpadu mengharuskan pengguna untuk memiliki akun standar, serta verifikasi identitas, yang dilakukan melalui kunjungan pribadi ke cabang layanan resmi atau dengan memperoleh kode aktivasi melalui surat tercatat. Jika verifikasi identitas berhasil, akun akan pindah ke level baru, dan pengguna akan memiliki akses ke daftar lengkap layanan pemerintah yang diperlukan.

Meskipun prosedurnya mungkin tampak cukup rumit, pada kenyataannya, Anda dapat mengetahui daftar lengkap data yang diperlukan langsung di situs web resmi, jadi pendaftaran lengkap sangat mungkin dilakukan dalam beberapa hari.