Анализ известных ошибок в реализации функций аутентификации для систем уровня предприятия
Введение:
Сегодня информационные технологии стали неотъемлемой частью всех сфер деятельности человека. Вместе с развитием технологий увеличиваются и количество злоумышленных действий над информацией. Поскольку в информационных системах хранится и обрабатывается большой объем информации ограниченного доступа, вопрос обеспечения безопасности этой информации стоит очень остро.
C помощью информационных систем решается множество задач, что привело к разнородности информационных систем и информации, которая в них хранится. Очень важно обеспечить информационную безопасность любой информационной системы.
Обеспечение информационной безопасности информационной системы означает организацию комплексной системы защиты доступа к конфиденциальной информации системы, чтобы исключить попытки несанкционированного доступа (НСД) к данным. Поэтому в современных информационных системах перед началом работы с системой пользователь должен пройти идентификацию, аутентификацию и авторизацию. Идентификация: субъект сообщает информацию о себе, идентифицируя себя (имя и др.). Аутентификация: система проверяет, действительно ли субъект тот, за кого себя выдает. Авторизация: система проверяет права пользователя на доступ к ресурсам.
Содержание:
Введение…………………………………………………………………………...3
Что такое аутентификация?……………………………………………………....4
Системы аутентификации уровня предприятия………………………………...4
Анализ уязвимостей в системах аутентификации по многоразовым паролям…………………………………………………………………………….5
Анализ уязвимостей в системах аутентификации по одноразовым паролям..12
Анализ уязвимостей в системах аутентификации по смарт картам………….17
Анализ уязвимостей в системах биометрической аутентификации………….23
Заключение……………………………………………………………………….29
Список источников………………………………………………………………30
Список источников:
URL: https://habr.com/ru/company/dataart/blog/262817/ (дата обращения: 05.05.2022).
URL: https://www.aladdinrd.ru/company/pressroom/news/uazvimosti_parolnoj_
autentifikacii_desevo_horoso_ne_byvaet (дата обращения: 05.05.2022).
URL: https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems#part2 (дата обращения: 05.05.2022).
URL: https://portswigger.net/web-security/authentication/password-based (дата обращения: 05.05.2022).
URL: https://portswigger.net/web-security/authentication/multi-factor(дата обращения: 07.05.2022).
URL: https://www.bytemag.ru/articles/detail.php?ID=9101 (дата обращения: 07.05.2022).
URL: https://www.parallels.com/blogs/ras/smart-card-authentication/ (дата обращения: 07.05.2022).
URL: http://www.rusnauka.com/10_NPE_2009/Informatica/44170.doc.htm (дата обращения: 07.05.2022).
URL: https://www.onespan.com/ru/topics/strong-authentication (дата обращения: 08.05.2022).
URL: https://www.onespan.com/ru/topics/biometriceskaja-autentifikacija (дата обращения: 08.05.2022).
URL: https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authentication-systems#part2 (дата обращения: 08.05.2022).
Принципы работы и уязвимости биометрических систем аутентификации / И. П. Пересыпкин, Л. Е. Мартынова, К. Е. Назарова [и др.]. — Текст : непосредственный // Молодой ученый. — 2016. — № 30 (134). — С. 86-88. — URL: https://moluch.ru/archive/134/37699/ (дата обращения: 08.05.2022).
Имена пользователей и пароли были основной мерой безопасности на протяжении десятилетий, но уже не сейчас. Несколько известных взломов крупных финансовых и коммерческих учреждений привели к тому, что миллионы комбинаций имени пользователя и пароля были украдены и выставлены на продажу в Dark Web. Объедините это с тенденцией повторять пароли для нескольких учетных записей, и масштаб уязвимости станет более очевидным.
Системы биометрической аутентификации менее подвержены этой уязвимости, поскольку биометрические данные пользователя уникальны. Злоумышленнику очень сложно мошеннически воспроизвести сканирование отпечатка пальца или лица человека, если оно выполняется надежными решениями с сильным обнаружением живучести/подделки, и все же для аутентификации соответствующего пользователя требуется всего мгновение. Из-за этого, биометрия считается более удобной, чем пароли и безопаснее.