Identificación y autenticación: conceptos básicos

2024 Autor: Howard Calhoun | [email protected]. Última modificación: 2023-12-17 10:24

La identificación y la autenticación son la base de las modernas herramientas de seguridad de software y hardware, ya que cualquier otro servicio está diseñado principalmente para servir a estas entidades. Estos conceptos representan una especie de primera línea de defensa que garantiza la seguridad del espacio de información de la organización.

¿Qué es esto?

La identificación y la autenticación tienen funciones diferentes. El primero le da al sujeto (el usuario o proceso que actúa en su nombre) la oportunidad de proporcionar su propio nombre. Con la ayuda de la autenticación, la segunda parte finalmente se convence de que el sujeto es realmente quien dice ser. La identificación y la autenticación a menudo se reemplazan por las frases "mensaje de nombre" y "autenticación" como sinónimos.

Ellos mismos se dividen en varias variedades. A continuación, veremos qué son la identificación y la autenticación y cuáles son.

Autenticación

Este concepto contempla dos tipos: unilateral, cuando el clienteprimero debe acreditar su autenticidad ante el servidor, y de doble vía, es decir, cuando se está realizando la confirmación mutua. Un ejemplo estándar de cómo se lleva a cabo la identificación y autenticación estándar de usuarios es el procedimiento para iniciar sesión en un sistema en particular. Por lo tanto, se pueden usar diferentes tipos en diferentes objetos.

En un entorno de red en el que la identificación y la autenticación del usuario se llevan a cabo en lados dispersos geográficamente, el servicio en cuestión difiere en dos aspectos principales:

• que actúa como autenticador;
• cómo se organizó exactamente el intercambio de datos de autenticación e identificación y cómo se protege.

Para acreditar su identidad, el sujeto deberá presentar alguna de las siguientes entidades:

• cierta información que conoce (número personal, contraseña, clave criptográfica especial, etc.);
• cierta cosa que posee (tarjeta personal o algún otro dispositivo con un propósito similar);
• algo que es un elemento en sí mismo (huellas dactilares, voz y otros medios biométricos para identificar y autenticar a los usuarios).

Características del sistema

En un entorno de red abierta, las partes no tienen una ruta confiable, lo que significa que, en general, la información transmitida por el sujeto puede no coincidir con la información recibida y utilizadaal autenticar. Se requiere para garantizar la seguridad de la escucha activa y pasiva de la red, es decir, la protección contra la corrección, interceptación o reproducción de varios datos. La opción de transmitir contraseñas en texto sin formato es insatisfactoria, y de la misma manera, el cifrado de contraseñas no puede salvar el día, ya que no brindan protección contra la reproducción. Es por eso que hoy en día se utilizan protocolos de autenticación más complejos.

La identificación confiable es difícil no solo debido a varias amenazas en línea, sino también por una variedad de otras razones. En primer lugar, casi cualquier entidad de autenticación puede ser robada, falsificada o inferida. También existe una cierta contradicción entre la fiabilidad del sistema utilizado, por un lado, y la comodidad del administrador o usuario del sistema, por el otro. Por lo tanto, por razones de seguridad, se requiere solicitar al usuario que vuelva a ingresar su información de autenticación con cierta frecuencia (ya que es posible que otra persona ya esté sentada en su lugar), y esto no solo crea problemas adicionales, sino que también aumenta significativamente la posibilidad de que alguien pueda espiar al ingresar información. Entre otras cosas, la confiabilidad del equipo de protección afecta significativamente su costo.

Los modernos sistemas de identificación y autenticación admiten el concepto de inicio de sesión único en la red, lo que le permite principalmente cumplir con los requisitos en términos de comodidad del usuario. Si una red corporativa estándar tiene muchos servicios de información,previendo la posibilidad de un tratamiento independiente, entonces la introducción repetida de datos personales se vuelve demasiado onerosa. Por el momento, todavía no se puede decir que el uso del inicio de sesión único se considere normal, ya que las soluciones dominantes aún no se han formado.

Por lo tanto, muchos están tratando de encontrar un compromiso entre asequibilidad, conveniencia y confiabilidad de los medios que brindan identificación/autenticación. La autorización de los usuarios en este caso se lleva a cabo de acuerdo con las reglas individuales.

Se debe prestar especial atención a que el servicio utilizado pueda ser elegido como objeto de un ataque de disponibilidad. Si el sistema está configurado de tal manera que después de una cierta cantidad de intentos fallidos, la capacidad de ingresar se bloquea, entonces, en este caso, los atacantes pueden detener el trabajo de los usuarios legales con solo presionar unas pocas teclas.

Autenticación de contraseña

La principal ventaja de este sistema es que es extremadamente simple y familiar para la mayoría. Los sistemas operativos y otros servicios han utilizado contraseñas durante mucho tiempo y, cuando se usan correctamente, brindan un nivel de seguridad bastante aceptable para la mayoría de las organizaciones. Pero por otro lado, en términos del conjunto total de características, dichos sistemas representan el medio más débil por el cual se puede llevar a cabo la identificación/autenticación. La autorización en este caso se vuelve bastante simple, ya que las contraseñas deben sermemorable, pero al mismo tiempo las combinaciones simples no son difíciles de adivinar, especialmente si una persona conoce las preferencias de un usuario en particular.

A veces sucede que las contraseñas, en principio, no se mantienen en secreto, ya que tienen valores bastante estándar especificados en cierta documentación, y no siempre después de instalar el sistema, se cambian.

Al ingresar la contraseña, puede ver y, en algunos casos, las personas incluso usan dispositivos ópticos especializados.

Los usuarios, los principales sujetos de identificación y autenticación, a menudo pueden compartir contraseñas con colegas para que cambien de propietario durante un tiempo determinado. En teoría, en tales situaciones lo mejor sería utilizar controles de acceso especiales, pero en la práctica nadie los utiliza. Y si dos personas conocen la contraseña, aumenta considerablemente las posibilidades de que otros finalmente la descubran.

¿Cómo solucionar esto?

Hay varios medios para asegurar la identificación y la autenticación. El componente de procesamiento de información puede protegerse de la siguiente manera:

• La imposición de diversas restricciones técnicas. La mayoría de las veces, se establecen reglas para la longitud de la contraseña, así como el contenido de ciertos caracteres.
• Gestionar la caducidad de las contraseñas, es decir, la necesidad de cambiarlas periódicamente.
• Restringiendo el acceso al archivo principal de contraseñas.
• Al limitar el número total de intentos fallidos disponibles al iniciar sesión. Gracias aEn este caso, los atacantes solo deben realizar acciones antes de realizar la identificación y la autenticación, ya que no se puede utilizar el método de fuerza bruta.
• Pre-entrenamiento de usuarios.
• Uso de un software generador de contraseñas especializado que le permite crear combinaciones lo suficientemente eufónicas y memorables.

Todas estas medidas se pueden utilizar en cualquier caso, incluso si se utilizan otros medios de autenticación junto con las contraseñas.

Contraseñas de un solo uso

Las opciones discutidas anteriormente son reutilizables, y si se revela la combinación, el atacante tiene la oportunidad de realizar ciertas operaciones en nombre del usuario. Es por eso que las contraseñas de un solo uso se utilizan como un medio más fuerte, resistente a la posibilidad de escucha pasiva de la red, gracias a lo cual el sistema de identificación y autenticación se vuelve mucho más seguro, aunque no tan conveniente.

En este momento, uno de los generadores de contraseñas de un solo uso de software más populares es un sistema llamado S/KEY, lanzado por Bellcore. El concepto básico de este sistema es que existe una cierta función F que es conocida tanto por el usuario como por el servidor de autenticación. La siguiente es la clave secreta K, que solo es conocida por un determinado usuario.

Durante la administración inicial del usuario, esta función se utiliza para la teclaun cierto número de veces, después de lo cual el resultado se guarda en el servidor. En el futuro, el procedimiento de autenticación se verá así:

1. Un número llega al sistema del usuario desde el servidor, que es 1 menos que el número de veces que se usa la función para la tecla.
2. El usuario utiliza la función para la clave secreta disponible la cantidad de veces que se estableció en el primer párrafo, después de lo cual el resultado se envía a través de la red directamente al servidor de autenticación.
3. Server usa esta función para el valor recibido, después de lo cual el resultado se compara con el valor guardado previamente. Si los resultados coinciden, el usuario se autentica y el servidor guarda el nuevo valor, luego disminuye el contador en uno.

En la práctica, la implementación de esta tecnología tiene una estructura un poco más compleja, pero por el momento no es tan importante. Dado que la función es irreversible, incluso si se intercepta la contraseña o se obtiene un acceso no autorizado al servidor de autenticación, no brinda la capacidad de obtener una clave secreta y de ninguna manera predecir cómo será específicamente la próxima contraseña de un solo uso.

En Rusia, se utiliza un portal estatal especial como servicio unificado: el "Sistema de identificación/autenticación unificado" ("ESIA").

Otro enfoque para un sistema de autenticación fuerte es tener una nueva contraseña generada a intervalos cortos, que también se implementa a través deuso de programas especializados o varias tarjetas inteligentes. En este caso, el servidor de autenticación debe aceptar el algoritmo de generación de contraseña adecuado, así como ciertos parámetros asociados a él, y además, también debe haber sincronización del reloj del servidor y del cliente.

Kerberos

El servidor de autenticación Kerberos apareció por primera vez a mediados de los años 90 del siglo pasado, pero desde entonces ya ha recibido una gran cantidad de cambios fundamentales. Por el momento, los componentes individuales de este sistema están presentes en casi todos los sistemas operativos modernos.

El objetivo principal de este servicio es resolver el siguiente problema: existe una cierta red desprotegida y varios temas se concentran en sus nodos en forma de usuarios, así como sistemas de software de servidor y cliente. Cada uno de estos sujetos tiene una clave secreta individual, y para que el sujeto C tenga la oportunidad de demostrar su propia autenticidad al sujeto S, sin la cual simplemente no le servirá, necesitará no solo nombrarse a sí mismo, sino también para demostrar que conoce cierta La clave secreta. Al mismo tiempo, C no tiene la oportunidad de simplemente enviar su clave secreta a S, ya que, en primer lugar, la red está abierta y, además, S no lo sabe y, en principio, no debería saberlo. En tal situación, se utiliza una técnica menos directa para demostrar el conocimiento de esta información.

La identificación/autenticación electrónica a través del sistema Kerberos lo prevéusar como un tercero de confianza que tiene información sobre las claves secretas de los objetos servidos y, si es necesario, los ayuda a realizar la autenticación por pares.

Así, el cliente primero envía una solicitud al sistema, que contiene la información necesaria sobre él, así como sobre el servicio solicitado. Después de eso, Kerberos le proporciona una especie de ticket, que se cifra con la clave secreta del servidor, así como una copia de algunos de los datos del mismo, que se cifra con la clave del cliente. En caso de coincidencia, se establece que el cliente descifró la información destinada a él, es decir, pudo demostrar que realmente conoce la clave secreta. Esto sugiere que el cliente es exactamente quien dice ser.

Se debe prestar especial atención al hecho de que la transferencia de claves secretas no se realizó a través de la red, y se utilizaron exclusivamente para el cifrado.

Autenticación biométrica

La biometría implica una combinación de medios automatizados para identificar/autenticar personas en función de sus características fisiológicas o de comportamiento. Los medios físicos de autenticación e identificación incluyen la verificación de la retina y la córnea de los ojos, las huellas dactilares, la geometría de la cara y la mano, y otra información personal. Las características de comportamiento incluyen el estilo de trabajar con el teclado y la dinámica de la firma. ConjuntoLos métodos son el análisis de varias características de la voz de una persona, así como el reconocimiento de su discurso.

Tales sistemas de identificación/autenticación y encriptación se usan ampliamente en muchos países del mundo, pero durante mucho tiempo fueron extremadamente costosos y difíciles de usar. Recientemente, la demanda de productos biométricos se ha incrementado significativamente debido al desarrollo del comercio electrónico, ya que, desde el punto de vista del usuario, es mucho más conveniente presentarse que memorizar alguna información. En consecuencia, la demanda crea oferta, por lo que comenzaron a aparecer en el mercado productos relativamente económicos, que se centran principalmente en el reconocimiento de huellas dactilares.

En la gran mayoría de los casos, la biometría se usa en combinación con otros autenticadores como tarjetas inteligentes. A menudo, la autenticación biométrica es solo la primera línea de defensa y actúa como un medio para activar tarjetas inteligentes que incluyen varios secretos criptográficos. Al utilizar esta tecnología, la plantilla biométrica se almacena en la misma tarjeta.

La actividad en el campo de la biometría es bastante alta. Ya existe un consorcio apropiado, y también se está trabajando muy activamente para estandarizar varios aspectos de la tecnología. Hoy en día se pueden ver una gran cantidad de artículos publicitarios en los que se presentan las tecnologías biométricas como un medio ideal para aumentar la seguridad y al mismo tiempo accesible al público en general.las masas.

ESIA

El Sistema de Identificación y Autenticación ("ESIA") es un servicio especial creado para garantizar la implementación de diversas tareas relacionadas con la verificación de la identidad de los solicitantes y participantes en la interacción interdepartamental en el caso de la provisión de cualquier servicio municipal o estatal en formato electrónico.

Para poder acceder al "Portal Único de las Agencias Gubernamentales", así como a cualquier otro sistema de información de la infraestructura del gobierno electrónico actual, primero deberá registrar una cuenta y, como resultado, recibe un PES.

Niveles

El portal del sistema unificado de identificación y autenticación prevé tres niveles principales de cuentas para particulares:

• Simplificado. Para darlo de alta solo tienes que indicar tu apellido y nombre, así como algún canal de comunicación específico en forma de dirección de correo electrónico o teléfono móvil. Este es el nivel primario, a través del cual una persona tiene acceso solo a una lista limitada de varios servicios públicos, así como a las capacidades de los sistemas de información existentes.
• Estándar. Para obtenerlo, primero debe emitir una cuenta simplificada y luego también proporcionar datos adicionales, incluida la información del pasaporte y el número de la cuenta personal individual del seguro. La información especificada se verifica automáticamente a través de los sistemas de información. Caja de Pensiones, así como el Servicio Federal de Migración, y si la verificación es exitosa, la cuenta se transfiere al nivel estándar, lo que abre una lista ampliada de servicios públicos para el usuario.
• Confirmado. Para obtener este nivel de cuenta, el sistema unificado de identificación y autenticación requiere que los usuarios tengan una cuenta estándar, así como la verificación de identidad, la cual se realiza a través de una visita personal a una sucursal de servicio autorizada o mediante la obtención de un código de activación por correo certificado. En caso de que la verificación de identidad sea exitosa, la cuenta pasará a un nuevo nivel y el usuario tendrá acceso a la lista completa de servicios gubernamentales necesarios.

A pesar de que los procedimientos pueden parecer bastante complicados, de hecho, puede familiarizarse con la lista completa de datos necesarios directamente en el sitio web oficial, por lo que es posible realizar un registro completo en unos pocos días.