Koszt rozwiązań komercyjnych uwierzytelniania dwustopniowego jest często wysokie i umieszczanie urządzeń identyfikacyjnych i zarządzania go jest trudne. Można jednak tworzyć własne rozwiązanie do uwierzytelniania dwudniowego za pomocą adresu IP użytkownika, plik "Lighthouse" lub certyfikat cyfrowy.
Różne rozwiązania komercyjne zapewniają ochronę stron internetowych, które wykraczają poza tradycyjne metody uwierzytelniania przy użyciu jednego czynnika (tj. Kombinacje nazwy użytkownika i hasła). Jako drugi czynnik można wybrać lokalizację geograficzną, zachowanie użytkownika, żądania z obrazami, a także bardziej znane karty inteligentne, urządzenia i odciski palców. Dodatkowe informacje na temat dwóch czynnych rozwiązań komercyjnych można znaleźć w artykułach wymienionych w "LIGITURY DODATKOWEJ".
Ale rozwiązania handlowe nie są jedyną opcją. Procedura uwierzytelniania dwu współczynnika można przygotować niezależnie. W tym artykule proponuje pewne zalecenia dotyczące projektu uwierzytelniania dwustopniatej dla aplikacji internetowych, a także dostarczają przykłady tekstu źródłowego, na podstawie którego można rozpocząć własny projekt.
Przegląd kontroli dwu współczynnika
Wróćmy do krótkiego przeglądu uwierzytelniania dwuczynnikowego, tj. Wykorzystanie dwóch różnych form identyfikacji potencjalnych użytkowników. Możesz zweryfikować autentyczność przy użyciu trzech form:
Coś sławnego;
Niektóre cechy użytkownika;
Coś, co jest dostępne w użytkowniku.
Większość aplikacji używa tylko jednej z tych form, zwykle pierwszy. Nazwa użytkownika i hasło są znane dane.
Ten poziom bezpieczeństwa jest dość dopuszczalny dla większości węzłów internetowych i aplikacji. Jednakże, biorąc pod uwagę znaczny wzrost liczby kradzieży danych osobowych i innych rodzajów oszustwów sieciowych, uwierzytelnianie dwustopniowe wprowadza się na niektórych węzłach internetowych. Zgodnie z nowym prawodawstwie, od 2007 r. Wszystkie zakłady bankowe elektroniczne powinny stosować kontrolę dwustopniatej. Wkrótce te wymagania mogą być dystrybuowane do witryn rekrutacyjnych, medycznych, rządowych i innych stron, w których można uzyskać dostęp do danych osobowych.
Jak wspomniano powyżej, istnieje wiele produktów komercyjnych dla kontroli dwu współczynnika. Ich ceny są najbardziej różne, chociaż poziom początkowy jest dość wysoki. Nie każda firma ma środki na duże rozwiązanie. A niektóre firmy używają wysoce wyspecjalizowanych programów, które są słabo kompatybilne z produktami handlowymi. W każdym razie przydatne jest myśleć o swoim własnym rozwiązaniu dwukolorowym. Zalecenia podane w tym artykule pomogą osiągnąć prawidłowy sposób projektowania.
Adres IP aplikacji
W artykule "Chroń witrynę przed atakami", opublikowany w., Krótki opis aplikacji adresu IP jest podane dla dodatkowej identyfikacji użytkownika. Ta metoda odnosi się do kategorii "Niektóre cechy użytkownika". W wielu rozwiązaniach komercyjnych stosuje się cechy biologiczne (na przykład, odciski palców lub wzorzec IRIS). Dzięki zmniejszeniu kosztów programów sprzętu i poprawy, ta opcja stała się bardziej praktyczna, ale ceny są nadal dość wysokie.
Ponadto niektórzy użytkownicy użytkownicy do przechowywania ich danych biometrycznych w firmie. To jedna rzecz, jeśli ktoś ankiety stwierdza liczbę kart ubezpieczeń społecznych i całkiem inny - kradzież palców!
Użyj rozwiązania na podstawie kodu programu, jest łatwiejsze i tańsze. Oczywiście jego dokładność jest gorsza od rozwiązań fizycznych, ale dla wielu aplikacji zapewnia wystarczającą dokładność. Każdy użytkownik ma adres IP, który może być używany jako drugi współczynnik weryfikacji.
Esencja metody zmniejsza się do faktu, że podczas próby zarejestrowania adres IP użytkownika jest wyodrębniony z dzienników serwera WWW lub innego źródła. Adres jest następnie poddany jednej lub większej liczbie czeków. W przypadku sukcesu i jeśli nazwa rejestracji i hasło są poprawne, użytkownik jest wyposażony w dostęp. Jeśli użytkownik nie przekazuje tego poziomu weryfikacji, żądanie zostanie odrzucone lub wysłane do głębszego poziomu analizy. W szczególności użytkownik może zostać poproszony o dodatkowe pytania osobiste (na przykład, aby zadzwonić do nazwy matki matki) lub proponuje się skontaktować się z autoryzowanym przedstawicielem do zadania.
Istnieje kilka sposobów na zweryfikowanie adresu IP, z których każdy zapewnia określony poziom niezawodności podczas identyfikowania użytkownika. Najprostszym testem jest porównanie adresu IP użytkownika z listą znanych niechcianych adresów poza obszarem serwisowym. Na przykład, jeśli użytkownicy znajdują się głównie w jednym kraju, możesz porównać z listą niechcianych adresów poza tym krajem. Biorąc pod uwagę, że znaczna część prób kradzieży danych osobowych wpływa spoza konkretnego kraju, blokujące niebezpieczne adresy poza kraj z pewnością zapobiegnie dużej liczbie prób oszustwa.
Uzyskaj listy niebezpiecznych adresów, nie będą trudne. Lista list bloków Boba na stronie http://www.unixhub.com/block.html rozpoczyna się od bloków adresów w Azji, Ameryce Łacińskiej i Krajach Karaibów. Porównanie z nim może być przydatne, jeśli firma nie ma użytkowników w tych regionach. Należy zauważyć, że na liście otrzymanych z bezpłatnych węzłów niektóre zmiany są wymagane, aby nie blokować przydatnych witryn. Listy handlowe charakteryzują się wyższą dokładnością, taką jak MaxMind pod adresem http://www.maxmind.com. Listing 1 przedstawia próbkę pseudokodu do wdrożenia tego podejścia.
Jednakże, jeśli niepowtarzalnie blokujesz użytkowników według regionu lub potrzebujesz wyższej selektywności, możesz nagrać adres IP użytkownika podczas rejestracji podczas pierwszej wizyty, pod warunkiem, że proces rejestracji ma narzędzia do weryfikacji użytkownika. W szczególności możesz zaoferować użytkownikowi odpowiedzieć na jedno lub dwa pytania (na przykład, poproś o wymień numer szkoły, w którym studiował) lub poprosić o wprowadzenie kodu rejestracyjnego, wcześniej przeniesiony przez e-mail. Po odebraniu adresu IP można użyć tego adresu do oceny kolejnych prób rejestracji.
Jeśli wszyscy użytkownicy będą uzyskać dostęp tylko z witryn korporacyjnych z dobrze znanymi i stacjonarnymi adresami IP, bardzo skuteczną metodą jest mecz z listą wcześniej zatwierdzonych adresów. Jednocześnie użytkownicy z nieznanymi witrynami tracą prawa dostępu. Jeśli jednak użytkownicy odwołują się do witryn, których adresy są nieznane z góry, na przykład z domu, gdzie zazwyczaj nie ma statycznego adresu IP, dokładność definicji gwałtownie się zmniejsza.
Mniej wiarygodnym rozwiązaniem jest porównanie "rozmytych" adresów IP. Strona główna Użytkownicy dostawcy internetowi przypisują adresy IP z zakresu należącego do nich, zwykle podsieci klasy C lub B. Dlatego możesz używać tylko dwóch pierwszych lub trzech oscylacji adresów IP. Na przykład, jeśli adres jest zarejestrowany 192.168.1.1 dla Użytkownika, a następnie może być konieczne otrzymanie adresów od 192.168.1.1 do 192.168.254.254. Podejście to jest związane z pewnym ryzykiem ataku przez atakującego, który wykorzystuje usługi tego samego dostawcy, ale mimo to daje dobre wyniki.
Ponadto użytkownicy mogą być sprawdzane za pomocą adresów IP, aby określić ich lokalizację. Konieczne jest, aby kupić komercyjną bazę danych zawierającą wszystkie znane obszary adresów IP i ich przybliżoną lokalizację, na przykład z takiej firmy jako MAXMIND lub GEOBYTES (http://www.geobites.com). Jeśli zarejestrowaną lokalizacją użytkownika jest Houston, a następnie spróbuje skontaktować się z witrynami Rumunii lub nawet z Nowego Jorku, możesz odmówić lub przynajmniej wykonywać głębszy czek. Ta metoda rozwiązuje problem zmiany adresu bloku adresowego. Jednak atakujący pozostaje szansą na dostęp z miejsca, w którym są zarejestrowani użytkownicy.
Możesz wykonać uwierzytelnianie z podwójnym drugim czynnikiem, począwszy od wyjątku wszystkich adresów IP pasujących do listy blokady lub porównanie z listy "białą". Jeśli zostanie zastosowana lista "biała" i nie ma adresu IP, użytkownik można zadawać dodatkowe pytanie. Jeśli adres IP zostanie ostatecznie zatwierdzony, użytkownik może zostać poproszony o dodanie bieżącego adresu IP do białej listy (użytkownicy powinni być wyjaśnione, że tylko adresy regularnie używanych komputerów można dodać do listy). Listing 2 przedstawia pseudokodę do porównania z listą listy blokady i "białej" listy.
Uwierzytelnianie Korzystanie z adresów IP nie jest odpowiedni dla tych przypadków, gdy wielu użytkowników mobilnych zwróć się do witryny z pokoi hotelowych i innych miejsc w kraju i za granicą, stale zmieniając adresy IP, dostawców Internetu i lokalizacji. Dla takich użytkowników nie można zastosować listy zabronionych adresów IP. Użytkownicy tych nie znajdą się na liście dopuszczalnych adresów IP. Jednak nadal mogą odpowiedzieć na pytanie testowe podczas uwierzytelniania.
Aby zapewnić bardziej niezawodną ochronę dla "wędrujących użytkowników", można pogłębić czek, biorąc pod uwagę wersję przeglądarki (co z reguły, zmiany rzadko), system operacyjny, a nawet adres MAC karty sieciowej. Jednak podczas korzystania z takich metod zazwyczaj musisz uruchomić specjalny program na kliencie, aby uzyskać dostęp do niezbędnych parametrów. Prawdziwe, adresy MAC i wersje przeglądarki oraz system operacyjny mogą być sfałszowane, a ta metoda ochrony nie jest niezawodna.
Używanie "latarni morskich" i certyfikatów
Alternatywną opcją jest użycie jednej z pozostałych dwóch form weryfikacji: "Coś, co ma użytkownika". Systemy kontroli sprzętu Poproś o specjalne urządzenie. W niezależnie zaprojektowanych systemach oprogramowania można użyć plików "Lighthouses" lub certyfikat przechowywany w komputerach użytkownika. Podejście to podobne do certyfikatów bezpieczeństwa na stronach internetowych e-commerce, które upewniają się, że informacje o zamówieniu są przenoszone do żądanego miejsca.
Najprostszym sposobem zastosowania plików "Latarno-Lighthouse". Wiele firm korzystających z nich do śledzenia kluczy sesji i innych informacji dla użytkowników. Konieczne jest tylko utworzenie stałego pliku "Latarnia morska" i zapisz ją na komputerze użytkownika, aby zidentyfikować w przyszłości. Nie można ograniczać się do prostego pliku "Latarnia morska" i szyfruj część pliku, aby oszusta jest trudniejsza do jej udawania.
Wyższe poziomy bezpieczeństwa zapewniają certyfikaty cyfrowe. Wymagają pewnego przygotowania od użytkownika: Certyfikat musi zostać utworzony w firmie lub otrzymać od Urzędu Certyfikatu, CA). Ostatnia metoda jest bardziej niezawodna, aby sfałszować certyfikat zewnętrzny jest trudniejszy. Jednak obecne koszty utrzymania certyfikatu są porównywalne z kosztem rozwiązania dwustopniowego na podstawie urządzeń identyfikacyjnych.
Oczywiście, "Latarnie" pliki i certyfikaty mają zastosowanie tylko na komputerach domowych pracowników i innych komputerów zarejestrowanych w systemie uwierzytelniania. Potrzebujesz alternatywnej metody identyfikacji użytkowników pracujących z komputerami, które nie należą do nich. Jedną z tych metod jest kwestia kontroli wymienione powyżej i wymienione na liście 2. Jednak uważaj, czy dostęp do ważnych wniosków z publicznie dostępnych komputerów jest uzasadnione, biorąc pod uwagę zagrożenie z programów, które rejestrujące naciśnięcia klawiszy na klawiszach, oprogramowaniu szpiegującym i innym złośliwym programy.
Artykuł omawia dwa sposoby zorganizowania prostego uwierzytelniania dwustopniowego dla aplikacji internetowych: jeden za pomocą "jakichkolwiek charakterystyki użytkownika" (adres IP), drugi z użyciem "czegoś, co ma użytkownika" ("Latarno-lighteze" lub certyfikaty). Należy pamiętać, że rozwiązania te nie zapewniają bardzo wysokiego poziomu bezpieczeństwa wymaganych, na przykład w sektorze finansowym, dla którego sprzęt jest bardziej odpowiedni. Ale decyzje podane w artykule są doskonale połączone z innymi metodami dla bardziej niezawodnej ochrony sieci korporacyjnych i witryn e-commerce.
Paul Hensarling. ([Chroniony e-mail]) - analityk na temat bezpieczeństwa w firmie konsultingowej. Ma certyfikat CSSA;
Tony Haulett. ([Chroniony e-mail]) - Prezes Sieci Security Services Services Consulting Firm. Certyfikaty CISSP i CSNA
Będziesz potrzebować
- Karta biblioteczna
- dostęp do Internetu
- Możliwość pracy z katalogami biblioteki
- Możliwość pracy z usługami wyszukiwania internetowego
Instrukcja
Dowiedz się, z którymi mamy do czynienia - z faktem lub oceną, z którymi stoimy, gdy odbieramy nowe informacje, jest faktami. Fakt jest nazywany informacjami już testowanymi w celu niezawodności. Te informacje, które nie zostały sprawdzone lub nie można sprawdzić, fakt nie jest. Fakty mogą być liczbami, datami, nazwami, wydarzeniami. Wszystko, co można dotknąć, zmierzyć, listę, potwierdzić. Fakty zapewniają różne źródła - instytuty badawcze, agencje socjologiczne, agencje statystyczne itp. Najważniejsze jest to, że wyróżnia fakt ocenę - obiektywność. Ocena zawsze wyraża czyjeś pozycję subiektywną, emocjonalną postawę, wzywając niektóre działania. Fakt nie daje żadnej oceny, nic nie nazywa.
Sprawdź źródła informacji, z którymi stoimy, są źródłami informacji. Nie wszystkie fakty, które możemy sprawdzić samodzielnie, więc nasza wiedza jest w dużej mierze oparta na zaufaniu do źródeł. Jak sprawdzić źródło informacji? Wiadomo, że kryterium prawdy jest praktyką, innymi słowy, jest prawdziwa tylko, z tym, co możemy rozwiązać konkretne zadanie. Informacje muszą być skuteczne. Wydajność ta odzwierciedla liczbę osób, które pomyślnie zastosowały te informacje. Im więcej osób ufają źródło, odnosić się do niego, tym droższe dostarczone informacje.
Porównaj źródła informacji dla szczęścia, popularność i autorytet źródła nie są jeszcze gwarancją niezawodności. Jednym ze znaków wiarygodnych informacji jest jego spójność. Każdy fakt musi zostać potwierdzony przez wyniki niezależnych badań, tj. Musi powtórzyć. Niezależni badacze muszą przyjść do tych samych wniosków. Losowe, pojedyncze informacje powinny być traktowane z wielką ostrożnością. Im większe te same informacje otrzymane z różnych źródeł, informacje są droższe.
Sprawdź reputację informacji źródłowych, jest to, że źródło jest zawsze odpowiedzialne za dostarczone fakty. Ta odpowiedzialność jest nie tylko moralna i moralna, ale także prawdziwa. Aby zapewnić wątpliwe dane z organizacji, mogą stracić swoje środki do życia. Utrata czytelników, kara lub nawet więzienia - konsekwencje dla kłamców mogą być najpoważniejsze. Organizacje stałe chronią reputację i nigdy nie ryzykują, publikowanie niewiarygodnych informacji. Przeczytaj historię organizacji, dowiedz się nazwy swoich liderów, przeczytaj recenzje czytelników i opinii ekspertów.
Dowiedz się o autorze źródła informacji o informacjach, ostatecznie jest przekazywany przez ludzi. Jeśli informacje powodują wątpliwości, sprawdź, kto jest autorem. Czytaj inne dzieła autora, ucz się jego biografii, czy ma dyplom naukowy, który pozycja ma doświadczenie posiada w tej dziedzinie i oczywiście, do kogo. Jeśli nie można wiedzieć o autorze, nie zaleca się zaufania do wątpliwych informacji.
Dokładność jest tym, co pokazuje jakość informacji, odzwierciedla jego kompletność i dokładność. Ma takie znaki jako zrozumiałość mowy pisemnej i ustnej, brak fałszywych lub w dowolny sposób zniekształconych informacji, niewielka możliwość błędnego wykorzystania jednostek informacyjnych, w tym liter, symboli, bitów, numerów. Dokładność informacji jest również oceniana bezpośrednio, a jego źródło w skali (na przykład "przeważnie wiarygodne", "niezawodne w całości", "stosunkowo niezawodne", a następnie - do "zawodnego, bardzo niezawodnego" lub "status nie jest zdefiniowany" ).
Co to znaczy?
Dokładność charakteryzuje niezapompendowalność informacji. Wpłynęło to nie tylko autentyczność informacji, ale także adekwatności metod, które zostały uzyskane.
Niewłaściwość może oznaczać celowe przygotowanie danych jako false. Istnieją przypadki, w których niewiarygodne informacje są w wyniku dostarczania informacji charakteryzujących się dokładnością. Dzieje się tak, gdy podczas ich przygotowania stopień zawodności informacji jest już znany z adresatem. Ogólnie obserwuje się następujący wzór: Im wyższa ilość danych źródłowych, tym wyższa dokładność informacji.
Adekwatność informacji
Tak więc niezawodność jest bezpośrednio związana z adekwatnością informacji, jego pełni i obiektywności. Ta nieruchomość ma bardzo poważne znaczenie, głównie w przypadku aplikacji danych do tworzenia dowolnych rozwiązań. Informacje, które różnią się w niepełnosprawności prowadzą do takich decyzji, które będą miały negatywne konsekwencje w zakresie układu społecznego, sytuacji politycznej lub sytuacji gospodarczej.
Więc pod uwagę bardziej szczegółowo pojęcie dokładności informacji.
Definiowanie koncepcji niezawodnych i niewiarygodnych informacji
Informacje są niewiarygodne, jeśli nie odpowiada rzeczywistej pozycji rzeczy, zawiera takie dane dotyczące zjawisk, procesów lub zdarzeń, co w zasadzie nigdy nie istniały, ale informacje o nich różnią się od tego, co dzieje się w rzeczywistości, jest zniekształcona lub charakteryzuje się niekompletnością.
Możliwe jest zadzwonić do takich informacji, które nie powodują absolutnie bez wątpienia, jest prawdziwe, prawdziwe. Obejmuje takie informacje, które w przypadku, w przypadku, które mogą być potwierdzone przez procedury prawidłowe z prawnego punktu widzenia, gdy stosuje się różne dokumenty lub opinie ekspertów, świadkowie mogą być zaproszeni itd. Ponadto dane można uznać za wiarygodne, jeśli oni koniecznie odnoszą się do źródła. Jednak w tym przypadku problem określenia niezawodności źródła samej informacji.
Rodzaje źródeł informacji
Źródła informacji mogą być:
Osoby, które dzięki ich autorytetowi lub przepisowi mają dostęp do takich informacji, które są zainteresowane różnymi rodzajami mediów;
Różne dokumenty;
Prawdziwy średnie (na przykład, miejski, przedmiotowy materiał, który jest naturalnym siedliskiem, naturalnym);
Wirtualne środowisko;
Wydrukowane publikacje, które mają wyjście, tj. Podręczniki, książki, encyklopedie lub artykuły w czasopiśmie;
Strony internetowe w Internecie, portale, strony, które mogą być również oparte na mediach.
Niewątpliwie jeden z najbardziej renomowanych i bezpiecznych źródeł są jednak dokumenty, są one one uważane za jedynie wtedy, gdy istnieje możliwość ich audytu prawnego. Charakteryzują się one całą pełnią informacji. 
Kompetentny i niekompetentny
Oprócz podziału na wiarygodne i niewiarygodne, źródła mogą być również kompetentne i niekompetentne.
Najczęściej reprezentowane takie źródła informacji jak autoryzowane przez oficjalne struktury mocy. Przede wszystkim agencje rządowe muszą zapewnić obywatelom najbardziej obiektywne i dokładne informacje. Jednak nawet informacje o służbie prasowej rządu mogą być kute, a nie ma gwarancji, że informacje nie są niezawodne z źródła państwa. Dlatego uzyskanie informacji - nie oznacza to ufać mu bezwarunkowo.
Link do źródła
Dlatego dokładność informacji można określić przez odniesienie do obecnego źródła. Jeśli ten ostatni ma uprawnienia w dowolnym polu lub specjalizuje się w określonym obszarze, jest kompetentny.
Ale obecność odniesienia nie powinna zawsze być obowiązkowa, ponieważ zdarza się, że potwierdzenie jest uzyskiwane bezpośrednio w procesie prezentacji informacji. Zdarza się, gdy autor informacji jest specjalistą, czyli osoba jest dość właściwa w danym obszarze. W tym przypadku najczęściej nie możesz wątpić, że informacje będą niezawodne.
W przytłaczającej większości, nienazwane źródła przyczyniają się do spadku niezawodności materiału, zwłaszcza gdy artykuł przedstawia negatywne wiadomości, które czytelnik nie był wcześniej znany. Ludzie zainteresowali się głównie źródłem takich informacji.
Najlepsze jest najlepsze informacje, które odnosi się do źródeł, które mają pewne uprawnienia, takie jak oficjalny status, różne agencje statystyczne, instytuty badawcze itp.
Wtedy łatwiej jest sprawdzić dokładność informacji.
Metody widżetów.
Ponieważ tylko informacje, które skorelowane z rzeczywistością są niezawodne, bardzo ważne jest sprawdzenie uzyskanych danych i określenia ich stopnia niezawodności. Jeśli wykorzystamy taką umiejętność, możesz uniknąć różnych dezynfekujących pułapek. Aby to zrobić, przede wszystkim konieczne, aby ujawnić, jakiego rodzaju ładunku semantycznego jest uzyskane informacje: czynnik lub szacowany.
Kontrola dokładności informacji jest niezwykle ważna. Fakty są tym, z czym osoba stoi przede wszystkim, gdy otrzymuje nowe informacje. Nazywane są już testowane dla niezawodności. Jeśli informacje nie zostały sprawdzone lub nie można tego zrobić, to nie zawiera faktów. Obejmują one liczby, wydarzenia, nazwy, daty. Również fakt jest tym, co można zmierzyć, potwierdzić, dotknąć lub listę. Najczęściej, możliwość ich prezentacji jest dostępna w instytutach socjologicznych i badawczych, agencji specjalizujących się w statystykach itp Główną cechą, która wyróżnia fakt i ocenę dokładności informacji jest obiektywność pierwszego. Ocena jest zawsze odzwierciedleniem kogoś, kto ma subiektywny wygląd lub związek emocjonalny, a także wzywa do pewnych działań.
Wynagrodzenie źródeł informacji i ich porównania
Ponadto ważne jest, aby otrzymywać informacje, aby odróżnić swoje źródła. Ponieważ przytłaczająca liczba faktów jest prawie możliwa do sprawdzenia, dokładność uzyskanych danych jest rozpatrywana z pozycji ufności na Źródła pod warunkiem ich. Jak sprawdzić źródło informacji? Głównym czynnikiem określającym prawdę jest praktyka lub co działa jako asystent w wykonywaniu określonego zadania. Dominującym kryterium wszelkich informacji opowiada również jego skuteczności, która pokazuje liczbę osób, które zastosowały te informacje. Im wyższa jest, tym bardziej zaufanie zostanie przetestowane do uzyskanych danych, a ich dokładność jest wyższa. Jest to podstawowa zasada niezawodności informacji. 
Porównanie źródeł
Ponadto będzie to dość przydatne do porównywania źródeł ze sobą, ponieważ takie cechy jak wiarygodność i popularność, nie dają pełnych gwarancji niezawodności. Dlatego jego konsystencja jest kolejnym ważnym znakiem informacji. Każdy fakt otrzymany ze źródła musi być udowodnione przez wyniki niezależnych badań, które powinny być powtarzane. Jeśli powtarzana analiza przychodzi do identycznych wniosków, oznacza to, że informacje są naprawdę spójne. Sugeruje to, że informacje o pojedynczej naturze, losowej wielkiej pewności siebie nie zasługują na siebie.
Stopień niezawodności
Obserwuje się następującą proporcję: im większa liczba podobnych informacji uzyskanych z różnych źródeł, tym wyższy ich stopień wiarygodności informacji. Każde źródło jest odpowiedzialne za fakty zapewnione nie tylko z punktu widzenia moralności i moralności, ale także z punktu widzenia prawdziwego. Jeśli jakakolwiek organizacja zapewnia dane z wątpliwego pochodzenia, może łatwo stracić reputację, a czasem nawet fundusze, które zapewniają jego istnienie. Ponadto możliwe jest nie tylko do stracenia beneficjentów, ale nawet zostać ukarani w formie grzywny lub uwięzienia. Dlatego źródła ciała stałego, mające pewne uprawnienia, nie będą miały takie ryzyko ich reputacji, publikowanie niewiarygodnych informacji.
Jak zrobić, jeśli źródło informacji staje się konkretną osobą?
Istnieją takie sytuacje, gdy źródło informacji nie staje się organizacją, ale pewną osobą. W takich przypadkach konieczne jest nauczenie się jak najwięcej informacji na temat tego autora do ustalenia, w jakim stopniu musisz zaufać informacje otrzymane od niego. Możesz upewnić się, że możesz upewnić się, że znasz inne dzieła autora, ze swoimi źródłami (jeśli istnieją), lub dowiedz się, czy ma wolność mowy, to znaczy, może dostarczyć takich informacji.
Kryterium to jest określone przez istnienie stopnia naukowego lub należytego doświadczenia w określonej kuli, a także stanowisku, który zajmuje. W przeciwnym razie informacje mogą być bezużyteczne, a nawet szkody. Jeśli nie możesz sprawdzić w żaden sposób dokładności informacji, można je natychmiast uznać za bez znaczenia. Podczas wyszukiwania informacji, przede wszystkim konieczne jest jasno formułowanie problemu, który wymaga zgody, że zmniejszy możliwość dezinformacji.
Jeśli informacje są anonimowe, a następnie do dokładności informacji, w żadnym przypadku nie można leczyć. Wszelkie informacje powinny mieć swój autor i wzmacniają reputację. Najcenniejszą zasadą są te dane, których źródłem jest doświadczoną osobą, a nie losową.
1.1 Podstawowe koncepcje i koncepcje
Przy każdym obiekcie systemu komputerowego (COP) niektóre informacje są podłączone jednoznacznie identyfikując go. Może być liczbą ciąg znaków, algorytm, Definiowanie tego obiektu. Te informacje są nazywane identyfikator obiektu. Jeśli obiekt ma określony identyfikator, zarejestrowany w sieci, nazywany jest uzasadnionym obiektem (prawnym); Pozostałe obiekty odnoszą się do nielegalnego (nielegalne).
Identyfikacja Obiekt jest jednym z funkcji podsystemu zabezpieczającego. Ta funkcja jest wykonywana głównie, gdy obiekt próbuje wejść do sieci. Jeśli procedura identyfikacji zostanie zakończona pomyślnie, obiekt ten jest uważany za legalny dla tej sieci.
Następny krok - uwierzytelnianie obiektu. (Uwierzytelnianie obiektu). Procedura ta ustanawia, czy ten obiekt jest dokładnie tym, co się stwierdzi.
Po zidentyfikowaniu obiektu i potwierdzone przez jego autentyczność, możliwe jest ustalenie jego zakresu i dostępnych zasobów. Taka procedura jest nazywana zapewnienie mocy (autoryzacja).
Wymienione trzy procedury inicjalizacji są procedurami ochrony i należą do jednego obiektu gliniarza.
Po ochronie kanałów transmisji danych uwierzytelnianie (uwierzytelnianie) obiektów oznacza wzajemne uwierzytelnienie obiektów wiązania między sobą przez linie komunikacyjne. Procedura uwierzytelniania jest zwykle prowadzona na początku sesji podczas ustanowienia połączenia abonentów. (Termin "połączenie" wskazuje na połączenie logiczne (potencjalnie dwustronne) między dwoma obiektami sieciowymi. Celem tej procedury jest zapewnienie pewności, że połączenie jest ustalone z obiektem prawnym, a wszystkie informacje osiągną docelowe.
Po ustaleniu połączenia konieczne jest zapewnienie spełnienia wymagań podczas przekazywania wiadomości:
a) odbiorca musi być pewny siebie w autentyczności źródła danych;
b) odbiorca musi być pewny siebie w autentyczności przesyłanych danych;
c) nadawca musi mieć pewność, aby dostarczyć dane do odbiorcy;
D) nadawca musi być pewny siebie w autentyczności dostarczanych danych.
Aby spełnić wymagania (a) i (b) środki ochrony podpis cyfrowy . Aby spełnić wymagania (C) i (D), nadawca musi otrzymać powiadomienie o dostawie z Certyfikowana poczta (certyfikowana poczta). Środki obrony w takiej procedurze jest podpis cyfrowy komunikatu odpowiedzi potwierdzenia, co z kolei jest dowodem przekazywania wiadomości źródłowej.
Jeśli te cztery wymagania są wdrażane w glinie, gwarantuje, że chronią dane, gdy są one przesyłane przez kanał komunikacyjny, a funkcja ochrony, zwana funkcją potwierdzenia programu (bezsporności). W tym przypadku nadawca nie może zaprzeczyć faktu o wysłaniu wiadomości ani jej treści, a odbiorca nie może zaprzeczyć faktu do uzyskania wiadomości ani autentyczności jej treści.
1.2 Identyfikacja i mechanizmy uwierzytelniania użytkownika
Przed uzyskaniem dostępu do gliniarza użytkownik musi się zidentyfikować, a następnie narzędzia ochrony sieci muszą potwierdzić autentyczność tego użytkownika, tj. Sprawdź, czy ten użytkownik jest prawdziwy, dla którego się daje. Składniki mechanizmu ochrony użytkowników prawnych są umieszczane na komputerze roboczym, do którego użytkownik jest podłączony przez jego terminal (lub w inny sposób). Dlatego procedury identyfikacji, potwierdzenie autentyczności i upodmiotowania są wykonywane na początku sesji na lokalnym komputerze roboczym.
Gdy użytkownik zaczyna pracować w glinie, używając terminala, system żąda jego nazwy i numer identyfikacyjny. W zależności od odpowiedzi użytkownika system komputerowy prowadzi identyfikację. System sprawdza następnie, czy użytkownik jest ważny, dla którego daje. W tym celu prosi o to hasło. Hasło jest tylko jednym ze sposobów potwierdzenia uwierzytelniania użytkownika.
Wymieniamy możliwe sposoby potwierdzenia autentyczności.
Predefiniowane informacje do dyspozycji użytkownika: hasło, osobisty numer identyfikacyjny, porozumienie w sprawie stosowania specjalnych zakodowanych fraz.
Elementy sprzętowe, które są do dyspozycji użytkownika: klucze, karty magnetyczne, mikrocytum itp.
Charakterystyczne cechy osobiste użytkownika: odciski palców, rysunek oczu siatkówki, barwa głosowa itp.
Charakterystyczne techniki i cechy zachowania użytkownika w czasie rzeczywistym: cechy głośników i styl pracy na klawiaturze, techniki pracy z manipulatorem itp.
Umiejętności i znajomość użytkownika ze względu na edukację, kulturę, szkolenia, edukację, nawyki itp.
Zastosuj hasło, aby potwierdzić autentyczność użytkownika. Tradycyjnie każdy legalny użytkownik systemu komputerowego otrzymuje numer identyfikacyjny i / lub hasło. Na początku sesji pracy na terminalu użytkownik określa swój numer identyfikacyjny (ID użytkownika), który następnie żąda hasła z użytkownika.
Najprostszą metodą potwierdzenia uwierzytelniania za pomocą hasła opiera się na porównaniu hasła reprezentowanego przez użytkownika z wartością początkową zapisaną w centrum komputera. Ponieważ hasło powinno być tajne, należy ją zaszyfrować przed wysyłką na niezabezpieczonym kanale. Jeśli wartości użytkownika i system pokrywa się, hasło jest uważane za prawdziwe, a użytkownik jest legalny.
Jeśli ktoś, kto nie ma uprawnień do zalogowania się, dowiaduje się w jakikolwiek sposób hasła i numer identyfikacyjny użytkownika prawnego, otrzyma dostęp do systemu.
Czasami odbiorca nie może ujawniać początkowej formy otwartej hasła. W takim przypadku nadawca musi wysłać zamiast otwartego formularza hasła Wyświetlanie hasła uzyskanego za pomocą funkcji jednostronnej A (*) Hasło. Ta transformacja powinna zagwarantować niemożność ujawniania hasła przez przeciwnika zgodnie z jego wyświetlaczem, ponieważ wróg jest napotkany na nierozwiązywalny zadanie numeryczne.
Na przykład funkcja A (*) może być zdefiniowana w następujący sposób:
gdzie r - wysyłanie hasła;
Identyfikator nadawcy;
Procedura EP - procedura szyfrowania wykonana przy użyciu hasła p jako klawisza.
Takie funkcje są szczególnie wygodne, jeśli długość hasła i długość klucza jest taka sama. W takim przypadku potwierdzenie autentyczności przy użyciu hasła polega na wysłaniu do odbiorcy mapowania A (P) i porównania go z wstępnie obliczonym i przechowywanym odpowiednikiem A "(P).
W praktyce hasła składają się tylko z kilku liter, aby umożliwić użytkownikom ich zapamiętanie. Krótkie hasła są narażone na atak pełen wszystkich opcji. Aby zapobiec takim ataku, funkcja A (P) jest określona inaczej, a mianowicie:
t (p) \u003d e p xor k (id),
gdzie i identyfikator odpowiednio kluczowy i identyfikator nadawcy.
Oczywiście wartość A (P) jest obliczana z wyprzedzeniem i przechowywana w formularzu A "(P) w tabeli identyfikacyjnej na odbiorcy. Uwierzytelnianie składa się z porównania dwóch par hasła A (PA) i A" (P A) ) i rozpoznawanie hasła Hasło RA, jeśli te mapowania są równe. Oczywiście każdy, kto dostaje dostęp do tabeli identyfikacyjnych, może nielegalnie zmienić jego zawartość bez obawy, że te działania zostaną wykryte.
Cognizance of Data jako autentyczne i właściwości systemów, które mają być w stanie zapewnić autentyczność danych.
Autentyczność danych oznacza, że \u200b\u200bzostały one stworzone przez uczestników prawnych w procesie informacyjnym i nie były poddawane losowym lub celowym zniekształceniu.
Uwierzytelnianie (uwierzytelnianie)
Procedura weryfikacji autentyczności danych i przedmiotów interakcji informacyjnych.
Blok, blok kryptograficzny, blok kryptograficzny)
Część danych jest ustalona dla danej wielkości farmy kryptalnej przekształconej przez nią przez cykl jego działania.
Komputerowa niemożność, niezdolność do obliczeniowa
Niemożność spełnienia pewnej konwersji danych za pomocą obecnie lub przeznaczonych do wystąpienia w nie bardzo oddzielonym przyszłym obliczu w rozsądnym czasie.
Obliczalnie nieodwracalna funkcja (funkcja jednokierunkowa)
Funkcja, łatwo obliczona w kierunku do przodu, przy jednoczesnym określeniu wartości jej argumentu ze znaną wartością samej funkcji jest niepraktyczny obliczeniowo.
Obliczanie wartości odwrotnej dla dobrze zaprojektowanej obliczeniowej funkcji nieodwracalnej funkcji jest niemożliwe bardziej wydajnie niż biust przez wielokrotność możliwych wartości jego argumentu.
Synonim: funkcja jednostronna.
Gamma (gamma)
Pseudo losowa sekwencja numeryczna wytwarzana przez określony algorytm i używany do szyfrowania otwartych danych i szyfrowania deszyfrowania.
Hamming
Proces nałożenia zgodnie z określonym prawem gamma CIFRA na otwartych danych do szyfrowania.
Deszyfrowanie
Uzyskanie otwartych danych na zaszyfrowaniu w warunkach, gdy algorytm deszyfrowania nie jest całkowicie (wraz ze wszystkimi tajnymi parametrami) znane i deszyfrowania nie może być wykonywane w zwykły sposób.
Proces konwersji otwartych danych na szyfrowany z szyfą.
Intruz (intruz)
Ochrona systemów informacyjnych i magazynowych z imponujących fałszywych danych.
Imitovstavka.
Segment informacji o stałej długości uzyskanej zgodnie z określoną zasadą z otwartego danych i tajnego klucza i dodano do danych, aby zapewnić Imitobackers.
Proces informacyjny, interakcja informacyjna
Proces interakcji między dwoma lub więcej przedmiotami, celem i główną zawartością jest zmiana informacji dostępnych dla co najmniej jednego z nich.
Klucz, klucz kryptograficzny (klucz, klucz kryptograficzny)
Specyficzna wartość tajna zestawu parametrów algorytmu kryptograficznego, co zapewnia wybór jednej transformacji z zestawu możliwych dla tego algorytmu transformacji.
Kod uwierzytelniania (kod uwierzytelniania)
Stały kod długości generowany z danych przy użyciu funkcji nieodwracalnej obliczeniowej w celu wykrycia faktu zmian danych zapisanych lub przesyłanych przez kanał danych.
Kryptanaliza (kryptanaliza)
Słowo używane przez amatorów zamiast standardowego terminu szyfrowania, co zapewnia w nich pełne lamerzy. Te kryptografy nigdy nie używają tego słowa, a także jego instrumentów pochodnych "wymiannych", "wymienianych danych", "dyskupowy" itp.
Cryptographer (Cryptographer)
Algorytm konwersji danych, która jest potajemnie lub częściowo lub przy użyciu tajnych parametrów podczas pracy.
Cryptograficzny jest zwykle przypisywany algorytmom, które nie są obiektywne w sensie powyższej definicji, ale pracując z nimi w jednym łańcuchu technologicznym transformacji danych, gdy użycie jednego z nich nie ma sensu bez użycia drugiego. Przykłady są algorytmami do testowania podpisu cyfrowego i szyfrowania w asymetrycznym podpisie i szyfrowaniu kryptosystemy, odpowiednio - nie są tajemnicze i nie stosowane w działaniu tajnych parametrów, ale mimo to uważa się również za kryptograficzne, ponieważ są one używane w jednym łańcuchu technologicznym razem z odpowiednimi algorytmami formacji podpisu cyfrowego lub deszyfrowania.
Transformacja kryptograficzna
Oddział wiedzy, którego celem jest studiowanie i tworzenie transformacji kryptograficznych i algorytmów.
Obecnie dwa sektory kryptografii są wyraźnie wyróżnione: klasyczna lub tradycyjna kryptografia i "nowoczesna" kryptografia.
Cryptology (Cryptology)
Nauka, badający transformacje kryptograficzne, obejmuje dwa kierunki - kryptografia i kryptoanalizę.
Cryptosystem, system kryptograficzny (kryptosystem, system kryptograficzny)
Niezażny zestaw parametrów asymetrycznego systemu kryptograficznego, konieczne i wystarczające do przeprowadzenia indywidualnych transformacji kryptograficznych.
Otwórz tekst (zwykły tekst)
Grafika danych niezaszyfrowanych.
Mieszanie (zamieszanie)
Właściwość konwersji szyfrowania komplikuje relację między elementami danych, co utrudnia przywrócenie połączeń funkcjonalnych i statystycznych między otwartym tekstem, kluczem i szyfrowym.
Zasada Kirchhoffa
Zasada konstruowania algorytmów kryptograficznych, zgodnie z którym tylko pewny zestaw ich parametrów (klucz) posiada w tajemnicy, a wszystko inne może być otwarte bez zmniejszenia rezystancji algorytmu poniżej dopuszczalnej wartości. Po raz pierwszy sformułowano w dziełach holenderskiego kryptografu Kirchhoffa na liście wymagań dla praktycznych szyfrów, a jedyną z całej liście "żył" do naszych dni powiązanych z nazwą autora.
Protokół protokołu Cryptograficznych (protokół kryptograficzny)
Zestaw zasad regulujących stosowanie transformacji kryptograficznych i algorytmów w procesach informacyjnych.
Wdrożenie kluczy (Kluczowy Esteuling)
Algorytm, który umożliwia uzyskanie stosunkowo krótkiego klucza szyfrowania okrągłego klawisza.
Randomizacja (randomizacja)
Konwertowanie danych źródłowych przed lub podczas szyfrowania przy użyciu generatora numerów pseudo-losowych, mających na celu ukrywanie obecności identycznych bloków danych.
Dyfuzja
Dystrybucja wpływu jednego otwartego znaku tekstowego na wielu znakach szyfertowych, a także rozprzestrzenianie się efektu jednego klucza elementu na wielu znakach szyfertowych.
Deszyfrowanie (deszyfrowanie)
Proces konwersji zaszyfrowanych danych na otwarty przez szyfr
W kółko)
Tajny element uzyskany z klucza Kryptoalgorytm i stosowany przez szyfę Fayastel i podobnych kryptoalorgorytmów na jednej rundzie szyfrowania.
Tajemnica (tajemnica)
Właściwość danych do znanego i dostępny tylko do tego samego kręgu przedmiotów, których są przeznaczone, a właściwość kryptosystemu w celu zapewnienia tajemnicy danych chronionych.
Tajny klucz (tajny klucz)
Zestaw tajnych parametrów jednej z algorytmów asymetrycznego kryptosystemu.
Firestel Network (Feistel Network)
Sekcja Cryptography Studiowanie i rozwijanie asymetrycznych systemów kryptograficznych
Synonimy: Dwukierunkowa kryptografia, otwarta kluczowa kryptografia.
SIŁA)
Składnik aktywny, uczestnik procesu interakcji informacji, może być użytkownikiem (osobą), urządzeniem lub procesem komputerowym.
