Internetová autentizace

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 7. dubna 2019; kontroly vyžadují 8 úprav .

Autentizace  - ověření uživatelem předloženého identifikátoru. Při přístupu k takovým internetovým službám, jako jsou:

Pozitivním výsledkem autentizace (kromě navázání důvěryhodných vztahů a vygenerování klíče relace) je autorizace uživatele, tedy udělení přístupových práv ke zdrojům definovaným pro plnění jeho úkolů.

Metody autentizace

V závislosti na důležitosti zdroje lze pro přístup k němu použít různé metody ověřování:

typ zdroje Technologie ověřování
Pro přístup k informačním systémům obsahujícím informace, jejichž zpřístupnění nemá zásadní důsledky, je vyžadována autentizace. Minimálním požadavkem pro autentizaci je použití opakovaně použitelných hesel.
Přístup k informacím, jejichž neoprávněná úprava, zveřejnění nebo zničení způsobuje značné škody. Vyžaduje použití jednorázových hesel a přístup ke všem ostatním typům zdrojů vyžaduje použití silného ověření.
Přístup k důvěrným informacím informačních systémů. Vyžaduje použití vzájemné silné autentizace.

Klasifikace autentizačních metod

V závislosti na stupni důvěryhodného vztahu, struktuře, síťových vlastnostech a vzdálenosti objektu může být ověření jednosměrné nebo vzájemné. Existuje také jednofaktorová a silná (kryptografická) autentizace. Z jednofaktorových systémů jsou v současnosti nejrozšířenější systémy ověřování heslem. Uživatel má ID a heslo , tj. tajné informace známé pouze uživateli (a případně systému), které se používají k ověření. V závislosti na implementaci systému může být heslo jednorázové nebo opakovaně použitelné. Zvažme hlavní metody autentizace podle principu zvyšující se složitosti.

Základní autentizace

U tohoto typu autentizace je uživatelské jméno a heslo zahrnuto do webového požadavku ( HTTP POST nebo HTTP GET ). Každý, kdo zachytí paket, snadno zjistí tajnou informaci. I když omezený obsah není příliš důležitý, je nejlepší tuto metodu nepoužívat, protože uživatel může používat stejné heslo na více webových stránkách . Průzkumy Sophos ukazují, že 41 % uživatelů v letech 2006 a 2009 používá pouze jedno heslo pro všechny své online aktivity, ať už jde o webové stránky banky nebo místní fórum [1] [2] . Mezi nevýhody autentizace heslem je také třeba poznamenat nízkou úroveň zabezpečení - heslo lze nahlédnout, uhodnout, vyzvednout, nahlásit neoprávněným osobám atd.

Autentizace Digest

Jedná se o autentizaci, při které je heslo uživatele přenášeno v hašované podobě. Zdá se, že z hlediska úrovně důvěrnosti hesla se tento typ příliš neliší od předchozího, protože útočníkovi je jedno, zda jde skutečně o skutečné heslo nebo jen o hash z něj: když zprávu zachytil, stále získá přístup ke koncovému bodu. To ale není tak úplně pravda – heslo je vždy hašováno s přidáním libovolného znakového řetězce, který se pro každé spojení generuje znovu. Při každém připojení se tedy vygeneruje nový hash hesla a jeho zachycení nebude fungovat. Autentizace Digest je podporována všemi oblíbenými servery a prohlížeči .

HTTPS

Protokol HTTPS umožňuje šifrovat všechna data přenášená mezi prohlížečem a serverem, nejen uživatelská jména a hesla. HTTPS (založené na zabezpečení TLS ) by se mělo používat, když uživatelé musí zadávat citlivé osobní údaje, jako je adresa, číslo kreditní karty nebo bankovní údaje. Využití tohoto protokolu je však výrazné[ kolik? ] zpomaluje rychlost přístupu.

Ověření prezentace digitálního certifikátu

Autentizační mechanismy využívající digitální certifikáty obvykle používají protokol výzvy a odpovědi. Autentizační server odešle uživateli sekvenci znaků, tzv. výzvu. Odpovědí je požadavek ověřovacího serveru podepsaný soukromým klíčem uživatele. Autentizace pomocí veřejného klíče se používá jako bezpečný autentizační mechanismus v protokolech, jako je SSL , a může být také použita jako jedna z metod ověřování v rámci protokolů Kerberos a RADIUS .

Ověření souborů cookie

Mnoho různých webů používá soubory cookie jako prostředek ověřování , mezi které patří chaty, fóra, hry. Pokud lze soubor cookie ukrást, můžete se jeho zfalšováním ověřit jako jiný uživatel. V případě, že jsou vstupní data špatně filtrována nebo nejsou filtrována vůbec, krádež cookies není příliš obtížná [3] . K nějakému zlepšení situace se používá ochrana podle IP adresy , to znamená, že cookies relace jsou spojeny s IP adresou, ze které byl uživatel v systému původně autorizován. IP adresu však lze podvrhnout pomocí IP spoofingu , takže se nelze spolehnout ani na ochranu IP adresy . V současnosti většina prohlížečů [4] používá cookies s příznakem HTTPonly [5] , který skriptům brání v přístupu k cookies.

Decentralizovaná autentizace

Jednou z hlavních nevýhod takových systémů je, že hackování umožňuje přístup k mnoha službám najednou.

OpenID

Jedná se o otevřený decentralizovaný systém autentizace uživatelů. OpenID umožňuje uživateli mít jedno přihlašovací jméno a heslo pro různé webové stránky . Bezpečnost je zajištěna podepisováním zpráv. Přenos klíče pro digitální podpis je založen na použití algoritmu Diffie-Hellman , možný je i přenos dat přes HTTPS . Možná zranitelnost OpenID :

Ověření OpenID nyní aktivně používají a poskytují takoví giganti jako BBC [6] , Google [7] , IBM , Microsoft [8] MySpace , PayPal , VeriSign , Yandex a Yahoo! [9] [10] [11]

openauth

Používá se k ověřování uživatelů AOL na webových stránkách [12] . Umožňuje jim používat služby AOL , stejně jako jakékoli další nadřazené služby. Umožňuje autentizaci na stránkách mimo AOL , aniž byste museli na každém webu vytvářet nového uživatele. Protokol funguje podobným způsobem jako OpenID [13] . Byla také přijata další bezpečnostní opatření:

OAuth

OAuth umožňuje uživateli umožnit jedné internetové službě přístup k uživatelským datům na jiné internetové službě [14] . Protokol se používá v systémech jako Twitter [15] , Google [16] ( Google podporuje i hybridní protokol, který kombinuje OpenID a OAuth )

Sledování autentizace uživatelem

Bezpečnost uživatelů na internetu v mnoha ohledech závisí na chování samotných uživatelů. Google například zobrazuje, ze které IP adresy jsou povoleny uživatelské relace, zaznamenává autorizaci a také vám umožňuje provést následující nastavení:

Často je uživateli sděleno, z jaké IP adresy byl naposledy autentizován.

Vícefaktorové ověřování

Pro zvýšení bezpečnosti v praxi se používá několik autentizačních faktorů najednou. Je však důležité pochopit, že ne každá kombinace několika metod je vícefaktorovou autentizací. Používají se různé faktory:

Jedna z dosud nejspolehlivějších metod vícefaktorové autentizace je založena na použití osobních hardwarových zařízení – tokenů . Token je v podstatě čipová karta nebo USB klíč. Tokeny vám umožňují generovat a ukládat šifrovací klíče, čímž poskytují silnou autentizaci.

Používání klasických „opakovaně použitelných“ hesel je vážnou zranitelností při práci z cizích počítačů, například v internetové kavárně . To přimělo přední výrobce na trhu autentizace k vytvoření hardwarových generátorů jednorázových hesel . Taková zařízení generují další heslo buď podle plánu (například každých 30 sekund) nebo na vyžádání (stisknutím tlačítka). Každé takové heslo lze použít pouze jednou. Ověření správnosti zadané hodnoty na straně serveru kontroluje speciální autentizační server, který programově vypočítává aktuální hodnotu jednorázového hesla. Pro zachování principu dvoufaktorové autentizace zadává uživatel kromě hodnoty generované zařízením i trvalé heslo.

Poznámky

  1. Volba hesla zaměstnance ohrožuje obchodní data,  odhaluje průzkum Sophos . www.sophos.com . Získáno 3. prosince 2021. Archivováno z originálu dne 7. září 2009.
  2. Bezpečnost ohrožena, protože jedna třetina surfujících přiznává, že používá stejné heslo pro všechny webové stránky,  uvádí Sophos . www.sophos.com . Získáno 3. prosince 2021. Archivováno z originálu dne 8. srpna 2021.
  3. Archivovaná kopie (odkaz není dostupný) . Získáno 9. listopadu 2009. Archivováno z originálu 23. listopadu 2009.   Jak ukrást soubory cookie pomocí XSS.
  4. Prohlížeče podporující pouze HTTP . OWASP. Získáno 4. ledna 2009. Archivováno z originálu 26. prosince 2008.
  5. Microsoft, Zmírnění skriptování mezi weby pomocí souborů cookie pouze pro HTTP Archivováno 13. srpna 2011.
  6. BBC se připojuje k OpenID Foundation 2008-04-22 . Získáno 9. listopadu 2009. Archivováno z originálu dne 16. října 2008.
  7. Google nabízí OpenID přihlášení přes Blogger 2008-01-18 . Získáno 9. listopadu 2009. Archivováno z originálu 16. listopadu 2009.
  8. Microsoft bude podporovat OpenID 2007-02-06 . Získáno 9. listopadu 2009. Archivováno z originálu 24. července 2008.
  9. Jak získám OpenID? . Získáno 9. listopadu 2009. Archivováno z originálu 1. srpna 2009.
  10. Technologičtí lídři se připojili k OpenID Foundation a propagovali otevřenou správu identit na webu . Získáno 9. listopadu 2009. Archivováno z originálu 10. února 2008.
  11. OpenID Foundation – Google, IBM, Microsoft, VeriSign a Yahoo Archivováno 24. března 2008.
  12. Otevřená autentizace AOL archivována 24. listopadu 2009.
  13. http://www.gregsmind.com/preso/presentations/OpenAuthMashup5.ppt  (odkaz dolů)
  14. OAuth-OpenID: Štěkáte na špatný strom, pokud si myslíte, že jsou to samé . Získáno 9. listopadu 2009. Archivováno z originálu 2. prosince 2009.
  15. Twitter API Wiki / OAuth FAQ (odkaz není k dispozici) . Získáno 9. listopadu 2009. Archivováno z originálu 13. srpna 2009. 
  16. OAuth pro webové aplikace – Autentizace a autorizace pro Google API – Google Code . Získáno 9. listopadu 2009. Archivováno z originálu 8. listopadu 2009.
  17. Detekce podezřelé aktivity na vašem účtu . Získáno 9. listopadu 2009. Archivováno z originálu 9. února 2010.