id: Гость   вход   регистрация
текущее время 02:05 29/03/2024
Автор темы: paranoid ant, тема открыта 13/03/2004 23:04 Печать
http://www.pgpru.com/Форум/Криптография/СпособыБезпарольнойАвторизации
создать
просмотр
ссылки

Способы безпарольной авторизации


хотелось бы обсудить альтернативные способы авторизации под безпарольной я имею ввиду отказ от традиционной схемы логин-пароль


1) биометрия —


на мой взгляд слишком дорого в реализации


2) токены (таблетки, USB)


тут ничего не смогу сказать :(


3) одноразовые пароли (skey, карточки ...)


удобно, но могут "подсмотреть"


4) что еще ?


давайте поговорим о плюсах и минусах этих схем


 
Комментарии
— Wizzard (15/03/2004 10:09)   профиль/связь   <#>
комментариев: 31   документов: 8   редакций: 0
AFAIK токены это самое лучшее, пароль дальше токена никогда никуда не уходит, следовательно скопировать его очень сложно (невозможно?), также плюсами пунктов 2 и 3 является их материальность, а уж с обычными ключами пользователи умеют обращаться намного лучше чем с паролями.
— SATtva (15/03/2004 12:51)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Токены и смарт-карты не неуязвимы, существуют атаки, направленные на извлечение закрытого ключа из невзламываемого криптомодуля. По этой причине на недавней RSA Conference 2004 компании RSADSI и Майкрософт предложили способ аутентификации SecurID. Будет реализован во втором сервис-паке к ХР. Использует комбинацию из перманентного пароля и генерируемого в смарт-карте или программно skey — пароля сеансового. Это раз.

RFID — радиочастотные идентификационные модули от той же RSADSI. Используются сегодня как опознавательные маячки, позволяющие безошибочно идентифицировать объект, к которому прикреплены. Объектом может быть и человек. Есть, правда, предположения, что такая технология может легко использоваться для тотальной слежки за всем и вся, но, опять же, на RSA Conference в этом году RSADSI представила и контрмеру — небольшую заглушку, "забивающую" и искажающую сигнал RFID так, что идентифицировать его становится невозможно. В общем, технология, как отметил в форуме, по-моему, Maxi, как бы сочетает в себе и биометрию, и принцип действия смарт-карт.

Самым надёжным на сегодня считается механизм трёхфакторной идентификации: по паролю (его субъект знает), по смарт-карте (её субъект имеет) и по биометрическим данным (которые и есть сам субъект). Схемы, реализующие названные механизмы по отдельности, относительно легко скомпрометировать. В комплексе — практически невозможно.
— paranoid ant (15/03/2004 15:05)   <#>
SATtva, спасибо, очень интересно

а если рассмотреть всё вышеназванное в практической плоскости. Для работы с usb токенами и с таблетками есть PAM модули для linux, в win эти артефакты тоже поддерживаються. C остальным — проблема.
— SATtva (18/03/2004 16:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот неплохая обзорная статья о методиках аутентификации в компьютерных системах, как раз по теме дискуссии.
http://www.infosecurity.ru/_ga.....040316/article1.html
— Гость (19/04/2004 17:09)   <#>
* Использовали на практике трехфакторную систему аутентификации: токен+ пин-код на него+биометрический отпечаток пальца – интересное решение, но несколько паронояльное :) И единственное в России (СНГ).
* токены – широко распространенное в России средство беспарольной аутентификации, прежде всего используется в больших PKI решениях на предприятиях. Это Microsoft PKI, Baltimore (Betrusted), RSA Keon, Entrust... Ну и PGP как младший брат таких систем, тоже можно применять :)
Чисто биометрические методы тоже широко используются: именно для аутетификации, а не только для идентификации: используется связка – учетная запись ассоциируется с конкретной учетной запись в домене либо NDS.
Под Линукс также имеются модули для аутентификации через PAM.
Вообще тема достаточно обширна... В России проводятся конференции, где можно все это показать – обсудить. В больших системных интеграторах (как в нашем, в частности) имеются стенды, где можно все это увидеть, при желании и покупательских способностях :)
Отдельный пласт Single-sign-on...
— serzh (20/04/2004 20:57)   профиль/связь   <#>
комментариев: 232   документов: 17   редакций: 99
SATtva:
Токены и смарт-карты не неуязвимы, существуют атаки, направленные на извлечение закрытого ключа из невзламываемого криптомодуля.

Если можно с этого места по подробнее. Просто схема или ссылка на таковую.
— SATtva (27/04/2004 12:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Классификация атак на смарт-карты и довольно подробное описание атак со взломом можно найти в этой статье — filehttp://www.win.tue.nl/~henkvt/Invasive_attacks.pdf. Авторы — сотрудники GemPlus, так что компетентность их в этом вопросе, полагаю, весьма высока.

Материалы по другим методикам взлома, прежде всего, по логическим атакам, можете самостоятельно в Сети найти.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3