Способы безпарольной авторизации
хотелось бы обсудить альтернативные способы авторизации под безпарольной я имею ввиду отказ от традиционной схемы логин-пароль
1) биометрия —
на мой взгляд слишком дорого в реализации
2) токены (таблетки,USB)
тут ничего не смогу сказать :(
3) одноразовые пароли (skey, карточки ...)
удобно, но могут "подсмотреть"
4) что еще ?
давайте поговорим о плюсах и минусах этих схем
Ссылки
[link1] http://www.infosecurity.ru/_gazeta/content/040316/article1.html
AFAIK токены это самое лучшее, пароль дальше токена никогда никуда не уходит, следовательно скопировать его очень сложно (невозможно?), также плюсами пунктов 2 и 3 является их материальность, а уж с обычными ключами пользователи умеют обращаться намного лучше чем с паролями.
Токены и смарт-карты не неуязвимы, существуют атаки, направленные на извлечение закрытого ключа из невзламываемого криптомодуля. По этой причине на недавней RSA Conference 2004 компании RSADSI и Майкрософт предложили способ аутентификации SecurID. Будет реализован во втором сервис-паке к ХР. Использует комбинацию из перманентного пароля и генерируемого в смарт-карте или программно skey — пароля сеансового. Это раз.
RFID — радиочастотные идентификационные модули от той же RSADSI. Используются сегодня как опознавательные маячки, позволяющие безошибочно идентифицировать объект, к которому прикреплены. Объектом может быть и человек. Есть, правда, предположения, что такая технология может легко использоваться для тотальной слежки за всем и вся, но, опять же, на RSA Conference в этом году RSADSI представила и контрмеру — небольшую заглушку, "забивающую" и искажающую сигнал RFID так, что идентифицировать его становится невозможно. В общем, технология, как отметил в форуме, по-моему, Maxi, как бы сочетает в себе и биометрию, и принцип действия смарт-карт.
Самым надёжным на сегодня считается механизм трёхфакторной идентификации: по паролю (его субъект знает), по смарт-карте (её субъект имеет) и по биометрическим данным (которые и есть сам субъект). Схемы, реализующие названные механизмы по отдельности, относительно легко скомпрометировать. В комплексе — практически невозможно.
SATtva, спасибо, очень интересно
а если рассмотреть всё вышеназванное в практической плоскости. Для работы с usb токенами и с таблетками есть PAM модули для linux, в win эти артефакты тоже поддерживаються. C остальным — проблема.
Вот неплохая обзорная статья о методиках аутентификации в компьютерных системах, как раз по теме дискуссии.
http://www.infosecurity.ru/_ga.....040316/article1.html[link1]
* Использовали на практике трехфакторную систему аутентификации: токен+ пин-код на него+биометрический отпечаток пальца – интересное решение, но несколько паронояльное :) И единственное в России (СНГ).
* токены – широко распространенное в России средство беспарольной аутентификации, прежде всего используется в больших PKI решениях на предприятиях. Это Microsoft PKI, Baltimore (Betrusted), RSA Keon, Entrust... Ну и PGP как младший брат таких систем, тоже можно применять :)
Чисто биометрические методы тоже широко используются: именно для аутетификации, а не только для идентификации: используется связка – учетная запись ассоциируется с конкретной учетной запись в домене либо NDS.
Под Линукс также имеются модули для аутентификации через PAM.
Вообще тема достаточно обширна... В России проводятся конференции, где можно все это показать – обсудить. В больших системных интеграторах (как в нашем, в частности) имеются стенды, где можно все это увидеть, при желании и покупательских способностях :)
Отдельный пласт Single-sign-on...
Если можно с этого места по подробнее. Просто схема или ссылка на таковую.
Классификация атак на смарт-карты и довольно подробное описание атак со взломом можно найти в этой статье — http://www.win.tue.nl/~henkvt/Invasive_attacks.pdf. Авторы — сотрудники GemPlus, так что компетентность их в этом вопросе, полагаю, весьма высока.
Материалы по другим методикам взлома, прежде всего, по логическим атакам, можете самостоятельно в Сети найти.