Issn 2072-0297 Молодой учёный Международный научный журнал Выходит еженедельно №4 (138) / 2017 р е д а к ц и о н н а я к о л л е г и я : Главный редактор


Проблемы «сильной» аутентификации как набор ре-



Download 5,85 Mb.
Pdf ko'rish
bet78/112
Sana23.02.2022
Hajmi5,85 Mb.
#117770
1   ...   74   75   76   77   78   79   80   81   ...   112
Bog'liq
moluch 138 ch2 Jn3qGRj

Проблемы «сильной» аутентификации как набор ре-
комендаций
1) Видение процедуры аутентификации:
Под процедурой аутентификации подразумевается 
метод, по которому идентификационный номер переда-
ётся пользователю и каким образом сертификаты пере-
даются пользователям. Процесс аутентификации должен 
быть детально и качественно проанализирован на на-
личие уязвимостей. Лучший путь для решения этой про-
блемы — удаление человеческого фактора или сведение 
его к минимуму. Например, банковские сервисы пере-
дают конфиденциальную информацию с использованием 
робота (генератора речи по тексту или смс), исключая 
оператора.
2) «Место» аутентификации:
Очень часто алгоритм подтверждения подлинности 
пользователя расположен на серверах недоступных 
службе безопасности организации. Эти сервера, можно 
назвать местом аутентификации. Такие сервера должны 
быть детально обследованы.
Сам пользователь вводит пароль в web-форме браузера 
или мобильного телефона, поэтому пользовательский ин-
терфейс или устройство, с которого происходит аутенти-
фикация, также можно назвать местом аутентификации. В 
идеале, они также должны быть защищены.
На практике гораздо проще взломать web-форму вве-
дения логина и пароля в окне браузера, нежели алгоритм 
подтверждения подлинности на сервере с сервисом или 
базой данных.
3) Защита персональных идентификационных 
данных:
Данные участвующие в идентификации должны также 
являться конфиденциальными и к ним должны приме-
няться такие же средства защиты, которые применяются 
к хранению паролей.
Например, телефонный номер не может выступать па-
ролем, так как является публичной информацией. В ре-


190
«Молодой учёный» . № 4 (138)  . Январь 2017 г.
Информатика
альных системах иногда встречаются такие уязвимости, 
часто в корпоративных системах. [3]
4) Аутентификация как процесс:
Процесс «сильной» аутентификации подразуме-
вает под собой многофакторную и проблемы последней 
были перечислены ранее. Это отдельный класс задач, и 
«сильная» аутентификация наследует их.
5) Усталый пользователь:
Обременяя пользователя дополнительными мерами 
аутентификации, система рискует утомить его. Усталый 
пользователь может часто вводить неправильный па-
роль. Группа таких пользователей может создать шум 
для системы мониторинга атак. Меры предосторожности 
должны быть гибкими и адекватными, по мере возможно-
стей подстраиваться под каждого пользователя.
Например, в системах с аутентификацией по логину, 
паролю и смс-оповещению с одноразовым паролем, часто 
происходит задержка смс из-за проблем со связью, в ре-
зультате пользователь может несколько раз инициали-
зировать отправление смс, что вызовет подозрение у си-
стемы мониторинга атак, которая блокирует усталого 
пользователя.
Такие погрешности стоит учитывать, например, до-
бавив к варианту «выслать одноразовый пароль по-
вторно» вариант «мне ничего не пришло». Необходим ба-
ланс между удобством сервиса и его защищённостью.
Решение
Не всегда организации удаётся в одиночку справиться 
с некоторой проблемой или решить её достаточно ка-
чественно. В таких случаях фирмы часто объединятся в 
консорциумы (

Download 5,85 Mb.

Do'stlaringiz bilan baham:
1   ...   74   75   76   77   78   79   80   81   ...   112




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish