Віртуальний кабінет інформатики

Урок 7

Тема уроку: Основні захисні механізми які реалізуються в рамках різних заходів. Ідентифікація та аутендифікація користувачів

Ви, настільки звикли щодня користуватися кількома десятками вебсервісів і мобільних додатків, що реєстрація у новому обліковому записі не викликає жодної секунди сумнівів, якщо потрібен доступ до якихось нових послуг. Для цього необхідно подбати про особисту безпеку: захист від зловмисників, які прагнуть викрасти особисті дані або отримати доступ до рахунків. Вирішується це питання за допомогою управління доступом клієнтів або співробітників до ресурсу, залежно від їхньої ролі. І це управління базується на трьох китах: ідентифікація, аутентифікація та авторизація.

Ідентифікація

ЯК НЕ ПЕРЕПЛУТАТИ ТЕРМІНИ

Фактично, за цими термінами ховаються звичні для користувача дії, коли при його спробі увійти до свого облікового запису на будь-якому ресурсі система робить запит про його дані. Але насправді — це три різні за своєю суттю процедури, які неухильно йдуть одна за одною і мають різні ступені захисту від кібератак. Розберемося, чим відрізняються ці процеси, які тут можуть виникати вразливості та як їх уникати.

Ідентифікація

Під час першої реєстрації на майданчику кожному користувачеві надається ідентифікатор або ID, призначається роль користувача в системі. І коли користувач намагається увійти до облікового запису, ініціюється ідентифікація — процес перевірки наявності облікового запису та ролі користувача. Ось як може виглядати ID в Google-сервісах:

Також, крім ID, ідентифікаторами є імена, поштові акаунти, паролі, PIN-коди, штрих-коди, сертифікати та інші значення, що дозволяють зіставити відповідність даних об’єкту.

Ідентифікація онлайн знайома всім користувачам інтернету: її проходять щоразу, коли реєструються на якомусь сервісі або вводять дані для входу до облікового запису.

Також існує анонімна ідентифікація користувача, на підставі його IP наприклад. Вона проводиться для підтвердження того, що користувачеві з конкретного регіону можна переглядати сторінки сайту. Але якщо користувачеві потрібно буде вчинити цільову дію на цьому сайті (залишити коментар, зробити покупку), то реєстрації йому не уникнути.

Співвідносячи ідентифікацію з процесами офлайн, її можна порівняти, наприклад, з перевіркою фото у паспорті: чи відповідає фото, яке є у паспорті, його власнику чи ні, або зіставлення відбитка пальця з особистістю.

Автентифікація

Після того як система визначила, що користувач у системі присутній, вона запитує доказ того, що користувач є тим, за кого себе видає. Тобто автентифікація – це процедура перевірки справжності особи, яка намагається увійти до облікового запису. Зазвичай така перевірка здійснюється за допомогою криптографічних способів передачі зашифрованої інформації від сервера до користувача і у зворотному напрямку.

Автентифікація буває двоетапною або двофакторною. У цій статті ми розповідали, чим вони відрізняються. Також поширеною є багатофакторна автентифікація (MFA).

Автентифікацію також розрізняють за факторами та способами.

Фактори автентифікації:

щось відоме лише вам (паролі, коди, секретні фрази);
щось, що належить вам (телефони, ПК, планшети, токени, ключі безпеки);
щось, що є частиною вас самих — біометрія (відбиток пальця, голос, сітківка ока).

Кожен фактор під час налаштування перевіряється на належність; наприклад, якщо користувач вказує як контакт свою пошту або телефон, то має підтвердити доступ до них:

для пошти — перейти за одноразовим посиланням, що має обмежений термін дії;
для телефону — ввести одноразовий пароль.

Так само перевіряється фізичний пристрій: наприклад, потрібно натиснути кнопку на екрані смартфона «Так, це я», або торкнутися датчика на ключі безпеки, підтвердивши фізичну присутність.

Способи автентифікації:

електронно-цифрові підписи (простий, некваліфікований, кваліфікований);
паролі (одноразові — ОТР, багаторазові — незашифровані або зашифровані);
SMS-повідомлення (одноразовий ключ);
біометрична автентифікація (відбиток пальця чи долоні, сітківка ока, контури обличчя, голос).

Автентифікація онлайн напевно знайома всім користувачам, які працювали з онлайн-банкінгом: щоразу, коли вам треба увійти до свого облікового запису, ви маєте ввести одноразовий пароль, котрий система надсилає на ваш телефон у SMS-повідомленні, або підтвердити свою особистість в інший запропонований спосіб.

Співвідносячи автентифікацію з процесами офлайн, її можна порівняти, наприклад, з можливістю увійти до квартири за наявності ключа.

Авторизація

Нарешті, коли перевірку (автентифікацію) пройдено, користувачеві надаються певні можливості: доступ до якоїсь інформації, можливість здійснювати оплату тощо. Тобто авторизація — це надання певних прав користувачеві, а також підтвердження цих прав під час їх реалізації.

Авторизацію онлайн наочно видно на прикладі можливостей робити якісь дії у блозі або на форумі:

права нового користувача – тільки коментувати;

права авторів чи користувачів зі стажем — коментувати та надсилати на редагування свої пости, створювати нові гілки;

права редактора чи модератора — мати можливість керувати обліковими записами інших авторів (користувачів), додавати та знімати з публікації матеріали.

Співвідносячи авторизацію з процесами офлайн, її можна порівняти, наприклад, із правами на майно: якщо ви власник, можете здавати його в оренду, продавати тощо, а якщо орендар, то лише обмежено використовувати.

ВРАЗЛИВОСТІ ІДЕНТИФІКАЦІЇ

ID часто вказується в особистому кабінеті та у посиланні користувача. У цьому випадку зловмисник може зареєструватися, авторизуватися та спробувати потрапити в інші облікові записи, змінюючи цифри у своєму посиланні. Розробники обов’язково повинні перевіряти цю вразливість і закривати доступ або, наприклад, замінювати простий цифровий ідентифікатор набором різноманітних символів, щоб ускладнити зловмиснику підбір логінів.

Інтернет-магазин може мати гібридну структуру, тобто частково перебувати у хмарі (про це ми розповідали минулого разу), або збирати облікові записи з різних сервісів; отже, розробникам потрібно враховувати особливості кожної системи та закривати вразливості.

ВРАЗЛИВОСТІ АВТЕНТИФІКАЦІЇ

На жаль, практично всі способи автентифікації зловмисники можуть оминути:

паролі можуть підібрати, зламати чи вкрасти;
поштові та SMS-паролі можуть перехопити;
біометричну автентифікацію варто скомпрометувати один раз і нею вже не можна буде користуватися як ключем; особливо легко шахраям вдається підробити голос (достатньо один раз зателефонувати власнику, записати його голос, а вже потім змоделювати фрази) або контури обличчя (деякі застарілі або неякісні програми можуть не відрізняти справжнє обличчя від фото).

Однак є методи, які хакерам зламати справді важко:

ЕЦП, якщо, звичайно, ви зберігаєте його на захищеному токені, а не на ПК, де його можуть вкрасти за допомогою вірусів або отримавши фізичний доступ до пристрою;
ключі безпеки, якщо вони мають належну сертифікацію та якість, наприклад, ключі YubiKey, виробництва Швеції та США.

ДОМАШНЄ ЗАВДАННЯ:

1. Вкажіть переваги і недоліки біометричної системи захисту даних

2. Чому біометричні системи захисту інформації є найбільш надійними?

3. Як ви думаєте, які недоліки ідентифікації людей за характеристиками голосу? Наведіть приклади застосування даного методу ідентифікації.

4. Чому райдужка краще за інших біометрічних технологій?

5. Вкажіть проблеми ідентифікації особистості по обличчю.

Завдання 1. Знайти означення та пояснити термін “двоетапна аутентифікація»

Завдання 2. За матеріалами Інтернету підготуйте повідомлення “Як придумати надійний пароль і де його зберігати”. Розмісіть роботу на Google-диску, наддайте доступ, для перегляду і редагування викладачу і одногрупникам. Перегляньте проектну роботу своїх одногрупників.

Здійсніть перевірку пароля на сайті Перевірка пароля - Zillya! https://zillya.ua/ru/check-password.
Зробити конспект по презентації, знайти означення та пояснити термін “двоетапна аутентифікація»
За матеріалами Інтернету підготуйте бюлетень “Як придумати надійний пароль і де його зберігати”.