Аутентификация по многоразовым паролям

Использование одного пароля несколько раз. Учетные записи пользователей операционных систем включают в себя службу аутентификации, которая может хранить простейший идентификатор (login) и пароль (password) пользователя в своей базе данных. При попытке логического входа в сеть пользователь набирает свой пароль, который поступает в службу аутентификации.

По итогам сравнения пары login/password с эталонным значением из базы данных учетных записей пользователей пользователь может успешно пройти процедуру простейшей аутентификации и авторизоваться в информационной системе. 

Процедуру простой аутентификации пользователя в сети можно представить следующим образом. При попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись. Из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права на ресурсы сети, которые определены для его статуса системой авторизации.

 

В схеме простой аутентификации передача пароля и идентификатора пользователя может производиться следующими способами:

 

  • в незашифрованном виде. Например, согласно протоколу парольной аутентификации PAP (Password Authentication Protocol) пароли передаются по линии связи в открытой незащищенной форме;

 

  • в защищенном виде. Все передаваемые данные (идентификатор и пароль пользователя, случайное число и метки времени) защищены посредством шифрования или однонаправленной функции.

 

Очевидно, что вариант аутентификации с передачей пароля пользователя в незашифрованном виде не гарантирует даже минимального уровня безопасности, так как процесс подвержен многочисленным атакам и легко компрометируется. Чтобы защитить пароль (см. рис. 7.1), его нужно зашифровать перед пересылкой по незащищенному каналу. Для этого в схему включены средства шифрования (ЕК) и расшифрования (DК), управляемые разделяемым секретным ключом К. Проверка подлинности пользователя основана на сравнении присланного пользователем пароля РА и исходного значения РА’, хранящегося в сервере аутентификации. Если значения РА и РА’ совпадают, то пароль РА считается подлинным, а пользователь А – законным.

 

Схемы организации простой аутентификации различаются не только методами передачи паролей, но и видами их хранения и проверки. Наиболее распространенный способ – хранение паролей пользователей в открытом виде в системных файлах, причем на эти файлы устанавливаются атрибуты защиты от чтения и записи (например, при помощи описания соответствующих привилегий в списках контроля доступа операционной системы). Система сопоставляет введенный пользователем пароль с хранящейся в файле паролей записью. В этом случае не используются криптографические механизмы, такие как шифрование или однонаправленные функции. Очевидным недостатком данного способа является возможность получения злоумышленником в системе привилегий администратора, включая права доступа к системным файлам, и в частности к файлу паролей.

 

Системы простой аутентификации на основе многоразовых паролей имеют пониженную стойкость, поскольку в них выбор аутентифицирующей информации происходит из относительно небольшого множества осмысленных слов.

 

Источники:

  1. http://libraryno.ru/7-2-1-autentifikaciya-na-osnove-mnogorazovyh-paroley-shcelkunova/

 

 

 

 

Процедуру простой аутентификации пользователя в сети можно представить следующим образом (рис. 7.1). При попытке логического входа в сеть пользователь набирает на клавиатуре компьютера свои идентификатор и пароль. Эти данные поступают для обработки на сервер аутентификации. В базе данных, хранящейся на сервере аутентификации, по идентификатору пользователя находится соответствующая запись. Из нее извлекается пароль и сравнивается с тем паролем, который ввел пользователь. Если они совпали, то аутентификация прошла успешно, пользователь получает легальный статус и те права на ресурсы сети, которые определены для его статуса системой авторизации.