Bezpieczeństwo – Uwierzytelnianie

BEZPIECZEŃSTWO – UWIERZYTELNIANIE – Uwierzytelnianie jest procesem stwierdzania autentyczności, czyli wiarygodności, weryfikacji
tożsamości użytkownika. Użytkownicy mogą być uwierzytelniani na podstawie jednej lub kilku informacji.

Procedury uwierzytelniania dwustronnego Zakładamy, że użytkownik potrzebuje usług serwera.

Procedury uwierzytelniania dwustronnego Zakładamy, że użytkownik potrzebuje usług serwera. W procesie uwierzytelnienia dwustronnego (two-party authentication) uczestniczy klient i serwer. Uwierzytelnienie jednokierunkowe polega na sprawdzeniu tożsamości użytkownika. Nie jest sprawdzana tożsamość serwera. Polega na wysłaniu przez użytkownika żądania rejestracji, identyfikatora i hasła.  Uwierzytelnienie dwukierunkowe wymaga dodatkowo potwierdzenia tożsamości serwera, czyli musi on podać swoje hasło.

Hasła jednorazowe

Metoda haseł jednorazowych polega na jednorazowym wykorzystaniu wygenerowanego hasła.
Wobec tego kradzież hasła nie stanowi zagrożenia. Najczęściej są to liczby wygenerowane na stacji klienckiej i weryfikowane
na serwerze. Mogą one być również generowane na specjalnym serwerze. Można również wyposażyć użytkownika
w specjalną kartę. Przy pomocy klawiatury wprowadza on swój PIN. Procesor karty wylicza liczbę, która zostanie wyświetlona
a następnie wprowadzona przez użytkownika jako hasło. Serwer na podstawie podanego identyfikatora użytkownika
potrafi wygenerować taki sam kod i dzięki temu zweryfikować użytkownika.

Hasła dostępu do systemu

Hasła mogą zostać ukradzione z bazy haseł lub przechwycone podczas przesyłania poprzez sieć. Do odgadnięcia hasła
może być wykorzystywana metoda słownikowego łamania brutalnego. Polega ona na sprawdzeniu każdego słowa w
słowniku, czy nie jest hasłem. Wyniki eksperymentu mających na celu analizę słabości haseł pokazują jak łatwo odgadnąć
hasło dysponując informacją o użytkowniku, hasła powinny być trudne do odgadnięcia i ukradzenia.

Uwierzytelnianie z udziałem strony trzeciej

Występująca zaufana strona trzecia (trusted third-party) poświadcza tożsamość klienta i serwera. Jest nazywana
serwerem bezpieczeństwa. Jego zadaniem jest przechowywanie haseł wykorzystywanych podczas
weryfikacji użytkowników i serwerów.

]]>