Что такое аутентификация: методы и элементы

2016

SMS-пароли признаны небезопасными

Национальный Институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил летом 2016 года предварительную версию будущего Digital Authentication Guideline (документа, который установит новые нормы и правила в отношении цифровых методов аутентификации): механизм SMS OTP изначально для аутентификации не предназначался и не может считаться полноценным фактором аутентификации.

В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации может являться «недопустимым» и «небезопасным» (секция документа 5.1.3.2).

Основные опасения экспертов Национального института стандартов и технологий сводятся к тому, что номер телефона может быть привязан к VoIP-сервису, кроме того, злоумышленники могут попробовать убедить поставщика услуг в том, что номер телефона изменился, и подобные уловки нужно сделать невозможными.

Хотя документ рекомендует производителям использовать в своих приложениях токены и криптографические идентификаторы, авторы поправок также отмечают, что смартфон или другое мобильное устройство всегда могут быть украдены, или могут временно находиться в руках другого человека» — говорится в документе NIST.

Механизмов компрометации SMS паролей существует достаточно много, и они уже были неоднократно использованы в основном для похищения денежных средств клиентов российских банков. Достаточно перечислить лишь несколько методов взлома SMS паролей:

  • Замена SIM карты с использованием поддельных документов
  • Использование уязвимостей в протоколе OSS-7
  • Переадресация вызовов у оператора мобильной связи
  • Ложные базовые станции
  • Специализированные троянские программы для смартфонов, перехватывающие SMS пароли

Еще одним методом может считаться взлом шлюза между банком и оператором связи.

То обстоятельство, что механизм SMS-паролей используется всеми банками, открывает для хакеров широкие перспективы. Очевидно, что написав один раз троян для смартфона, его можно использовать для атаки на все российские банки, при его (трояна) минимальной кастомизации.

При этом можно предсказать, что первыми «под раздачу» будут попадать крупные банки – большая клиентская база последних позволяет мошенникам рассчитывать на весомый результат даже при небольших остатках на счетах клиентов.

Одноразовые пароли через SMS

  • задержки в доставке
  • возможность перехвата на уровне канала связи или ввода в систему
  • возможность перехвата на уровне оператора мобильной связи
  • возможность переоформления сим-карты клиента на мошенника по поддельной доверенности (и перехвата SMS)
  • возможность направления клиенту SMS-сообщений с подменного номера
  • рост операционных затрат пропорционально клиентской базе

Одноразовые пароли через PUSH

  • негарантированная доставка
  • прямой запрет Apple//Microsoft на использование для передачи конфиденциальной информации
  • предназначение – только информирование

Исследователи продемонстрировали простую атаку для обхода двухфакторной аутентификации

Ученые из Амстердамского свободного университета Радхеш Кришнан Конот (Radhesh Krishnan Konoth), Виктор ван дер Вен (Victor van der Veen) и Герберт Бос (Herbert Bos) продемонстрировали практическую атаку на двухфакторную аутентификацию с использованием мобильного устройства. Исследователи продемонстрировали атаку «Человек в браузере» (Man-in-the-Browser) против смартфонов на базе Android и iOS.

Проблема с двухфакторной аутентификацией возникла из-за увеличения популярности смартфонов и желания владельцев синхронизировать данные между различными девайсами. Двухфакторная аутентификация полагается на принцип физического разделения устройств для защиты от вредоносного ПО. Однако синхронизация данных делает подобную сегментацию абсолютно бесполезной.

Исследователи продемонстрировали атаку с использованием установки уязвимого приложения через Google Play. Им удалось успешно обойти проверку Google Bouncer и активировать приложение для перехвата одноразовых паролей.

Для атаки на iOS исследователи использовали новую возможность OS X под названием Continuity, позволяющую синхронизировать SMS-сообщения между iPhone и Mac. Если этот функционал активирован, злоумышленнику достаточно иметь доступ к компьютеру, чтобы прочитать все SMS сообщения.

Согласно исследователям, приложение для хищения одноразовых паролей было добавлено в Google Play 8 июля 2015 года и оставалось доступно для пользователей в течение двух месяцев, до выхода видео с демонстрацией атаки.

Компания Apple была уведомлена 30 ноября 2015 года, однако исследователи не получили ответ.

Какие существуют виды двухфакторной аутентификации?

Скорее всего Вы уже ни один раз сталкивались с двухэтапной проверкой, например, когда пытались зайти на страницу в социальной сети с другого компьютера или телефона и в этот момент, сервис подозревая о сомнительной активности, запрашивал у Вас проверочный код, который был отправлен на телефон. Это лишь одна из форм представления 2FA, а в целом они более многогранны и могут быть реализованы, как:

  • имя пользователя и пароль + наличие специального ПИН-кода из SMS-сообщения, электронной почты или мобильного приложения — данный вариант самый простой по реализации и самый популярный среди других;
  • имя пользователя и пароль + фотография – это означает, что при попытке входа делается фотография с помощью веб-камеры и отправляется на доверенное устройство (мобильный телефон, планшет, ноутбук). Все, что остается – на втором устройстве подтвердить подлинность сделанной фотографии или отклонить, тем самым заблокировав доступ для злоумышленника;
  • имя пользователя и пароль + визуальная метка – в случае, если отсутствует веб-камера на компьютере или нет желания себя фотографировать, можно пройти двухфакторную аутентификацию другим способом. Визуальная метка – формирует уникальный визуальный код, который вычисляется по определенному алгоритму и отображается у пользователя на двух устройствах одновременно, позволяя пройти аутентификацию путем проверки подлинности кодов;
  • имя пользователя и пароль + биометрика (отпечаток пальца, геометрия руки, сетчатка или радужная оболочка глаза, лицо, голос) – при получении доступа к системе, отправляется уведомление на соответствующее устройство, где от пользователя потребуется предоставить необходимый биометрический параметр;
  • имя пользователя и пароль + аппаратное устройство (USB-накопитель, смарт-карта, токен, ключ) – для прохождения двухфакторной аутентификации потребуется вставить в персональный компьютер ключ доступа, или приложить карту к специальному считывателю, или же синхронизировать токен, например, через Bluetooth. В качестве примера, можно выделить такие электронные ключи, как USB-токены и смарт-карты JaCarta PKI от российского разработчика «Аладдин Р.Д.», которые и предназначены для двухфакторной аутентификации пользователей;
  • имя пользователя и пароль + метаданные – аутентификация пользователя осуществляет только при соответствии всех необходимых параметров. В частности учитывается, местоположение посредством GPS. Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема аутентификации, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Также может учитываться время, например, выполнить вход в систему можно в период с 8:00 до 9:00, в иное время – доступ заблокирован. Как альтернатива — полная привязка к операционной системе и компонентам устройства, т. е. фиксируется IP-адрес и устройство (операционная система, программы и т. д.).

Нарушение кибербезопасности и хакерские атаки чаще всего происходят через Интернет, поэтому двухэтапная верификация делает подобные атаки менее опасными. Даже если злоумышленник получит данные от учетной записи, маловероятно, что он сможет получить второй фактор аутентификации.

Защиты

Взаимная аутентификация является важным фактором в схемах передачи, поскольку она может защитить схему от враждебных атак, в частности:

  • Атака « человек посередине»: атаки « человек посередине» (MITM) — это когда третья сторона желает подслушать или перехватить сообщение, а иногда и изменить предполагаемое сообщение для получателя. Обе стороны открыто получают сообщения без проверки отправителя, поэтому они не понимают, что злоумышленник вставил себя в линию связи. Взаимная аутентификация может предотвратить атаки MITM, потому что и отправитель, и получатель проверяют друг друга перед отправкой им своих ключей сообщений, поэтому, если одна из сторон не проверена на предмет того, кем они являются, сеанс завершится.
  • Атаки с воспроизведением: атака с воспроизведением похожа на атаку MITM, при которой более старые сообщения воспроизводятся вне контекста, чтобы обмануть сервер. Однако это не работает против схем, использующих взаимную аутентификацию, потому что отметки времени являются фактором проверки, который используется в протоколах. Если изменение времени больше, чем максимально допустимая задержка времени, сеанс будет прерван. Точно так же сообщения могут включать в себя случайно сгенерированный номер, чтобы отслеживать, когда сообщение было отправлено.
  • Атаки с использованием спуфинга: атаки с использованием спуфинга основаны на использовании ложных данных, чтобы выдать себя за другого пользователя, чтобы получить доступ к серверу или быть идентифицированным как кто-то другой. Взаимная аутентификация может предотвратить атаки спуфинга, поскольку сервер также аутентифицирует пользователя и проверяет, что у них есть правильный сеансовый ключ, прежде чем разрешать дальнейшее взаимодействие и доступ.
  • Атаки имитации: когда каждая сторона аутентифицирует другую, они отправляют друг другу сертификат, который только другая сторона знает, как расшифровать, подтверждая себя как надежный источник. Таким образом, злоумышленники не могут использовать атаки олицетворения, потому что у них нет правильного сертификата, чтобы действовать, как если бы они были другой стороной.

Взаимная аутентификация также обеспечивает целостность информации, потому что, если стороны подтверждают, что они являются правильным источником, полученная информация также является надежной.

2013: Двухфакторная аутентификация мобильных транзакций

Ученые из корпорации IBM разработали и представили в октябре 2013 года новую мобильную технологию защиты с помощью аутентификации на основе стандарта беспроводной связи малого радиуса действия (near-field communication, NFC). Технология обеспечивает дополнительный уровень защиты доступа в корпоративную сеть или частное облако при проведении транзакций посредством мобильных устройств, поддерживающих NFC, и бесконтактных смарт-карт.

Согласно результатам отчета исследовательской компании ABI Research, в 2014 г. количество используемых устройств с функцией NFC превысит 500 миллионов. Эти данные, а также тот факт, что к 2017 г. 1 млрд. мобильных пользователей будет совершать банковские транзакции с помощью своих устройств*, подтверждают растущий риск утери данных в связи с мошеннической деятельностью.

Для решения этой проблемы сотрудники лаборатории IBM в Цюрихе, которые также создали операционную систему, обеспечивающую функционирование и безопасность сотен миллионов смарт-карт, разработали дополнительный уровень защиты мобильных транзакций, подразумевающий двухфакторную аутентификацию.

Многие пользователи уже применяют двухфакторную аутентификацию при работе на компьютере, к примеру, вводя не только пароль, но и код подтверждения, полученный в SMS-сообщении. Ученые из IBM применили тот же принцип при обработке номера персональной идентификации (PIN-кода) и использовании бесконтактной смарт-карты. Смарт-карта может быть выпущена банком для обслуживания в банкоматах или работодателем в качестве удостоверения сотрудника.

Как работает технология

Пользователь держит смарт-карту вблизи NFC-считывателя своего мобильного устройства. После ввода PIN-кода карта генерирует одноразовый код, затем направляя его серверу посредством мобильного устройства.

Технология IBM основывается на абонентском шифровании передачи данных между смарт-картой и сервером по стандарту Advanced Encryption Standard (AES), одобренному Национальным институтом стандартов и технологий (NIST). Современные мобильные технологии, представленные на рынке, требуют наличия у пользователя, к примеру, генератора случайных паролей, что не всегда удобно и в некоторых случаях менее надежно.

Результаты нового исследования IBM Institute for Business Value, проведенного среди «мобильных» предприятий, подтвердили, что организации осознают важность обеспечения высокого уровня безопасности мобильных транзакций. По итогам опроса специалистов, безопасность находится на втором месте в списке наиболее сложных задач предприятия.

Облегченные схемы против защищенных схем

Хотя упрощенные схемы и схемы безопасности не исключают друг друга, добавление этапа взаимной аутентификации к протоколам передачи данных часто может увеличить время выполнения и вычислительные затраты. Это может стать проблемой для сетевых систем, которые не могут обрабатывать большие объемы данных или тех, которые постоянно должны обновляться для получения новых данных в реальном времени (например, отслеживания местоположения, данных о состоянии здоровья в реальном времени).

Таким образом, становится желательной характеристикой многих схем взаимной аутентификации иметь легкие свойства (например, иметь низкий объем памяти), чтобы приспособиться к системе, в которой хранится много данных. Многие системы реализуют облачные вычисления, который обеспечивает быстрый доступ к большим объемам данных, но иногда большие объемы данных могут замедлить обмен данными. Даже с краевым облачные вычисления, что быстрее, чем обычные облачные вычисления, из-за большей близости между сервером и пользователем, Облегченные схемы обеспечивают большую скорость при управлении большими объемами данных. Одним из решений, позволяющих сохранить упрощенные схемы во время процесса взаимной аутентификации, является ограничение количества биты используется во время общения.

Приложения, которые полагаются исключительно на от устройства к устройству (D2D) связь, при которой несколько устройств могут связываться локально в непосредственной близости, удаляет стороннюю сеть. Это, в свою очередь, может ускорить время общения

Однако аутентификация по-прежнему происходит по незащищенным каналам, поэтому исследователи считают, что по-прежнему важно обеспечить взаимную аутентификацию, чтобы сохранить безопасную схему

Схемы могут принести в жертву лучшее время выполнения или стоимость хранения при обеспечении взаимной аутентификации с целью защиты конфиденциальных данных.

Резюме

Основные выводы

Начиная с 2017 года резко возрос процент использования строгой аутентификации. Те, кто не использует строгую аутентификацию, недооценивают свой риск для бизнеса и клиентов. Тем не менее, пароли находятся на пути «в могилу». Развивающаяся нормативно-правовая среда обещает ускорить внедрение строгой аутентификации для потребительских приложений. Создание надёжной основы аутентификации позволяет компаниям сместить акцент с удовлетворения нормативных требований на удовлетворение потребностей клиентов. При выборе метода корпоративной аутентификации внутри предприятия требования регуляторов уже не являются значимым фактором. В эпоху фишинга злоумышленники могут использовать корпоративную электронную почту для мошенничества,Google усилил свою защиту внедрив строгую аутентификацию.

Рекомендации

Внедряйте строгую аутентификацию для мобильных и онлайн приложений. Готовьтесь к закату одноразовых паролей (OTP). Используйте строгую аутентификацию в качестве маркетингового инструмента для повышения доверия клиентов

Проведите тщательную инвентаризацию и оценку важности корпоративных данных и защитите их в соответствии с важностью. нет, правда, в отчёте так и написано “low-risk”, очень странно, что они недооценивают важность этой информацииИспользуйте строгую аутентификацию на предприятии

Биометрия

Биометрия использует для аутентификации такие данные, как отпечатки пальцев или сканирование лица. Этот метод стал очень популярным у пользователей после того, как компания Apple реализовала Touch ID и Face ID в своих устройствах. Что выгодно отличает биометрию от других способов авторизации, так это то, что она основана на идентификации того, чем пользователь, по сути, является.

К примеру, отпечатки пальцев нельзя украсть или взломать как другие методы аутентификации. Кроме этого, биометрия предлагает более приятный пользовательский опыт, позволяя авторизовываться гораздо быстрее и удобнее. В настоящее время многие технические гиганты предлагают биометрические решения для авторизации. Например, Microsoft Hello для настольных компьютеров имеет функции распознания отпечатков пальцев и лиц пользователей. Компания планирует сделать Microsoft Hello совместимым с гораздо большим количеством устройств в будущем.

Рисунок 2. Биометрические средства контроля доступа

Однако и биометрия имеет свои недостатки. Многие современные биометрические системы все еще имеют проблемы с точностью распознования, а также являются довольно дорогим удовольствием. Биометрия также уязвима для действий киберпреступников. Проведенные японскими специалистами в прошлом году исследования показали, что некоторые биометрические данные можно подделать с помощью фотографий с высоким разрешением.

Также важно отметить, что инфраструктура, поддерживающая биометрию, за последние годы была децентрализована, чтобы избежать наличия центральной базы данных биометрической информации, которая может быть похищена киберпреступниками. В результате весь процесс аутентификации фактически сводится к обмену закрытым и публичным ключом, это значит, что украв ключ, злоумышленник украдет и личность пользователя, без надобности подделывать биометрические данные

Учитывая все эти факторы риска, неудивительно, что Национальный институт стандартов и технологий рекомендует не использовать биометрию в качестве единственного метода аутентификации.

Рекомендации

  1. ^
  2. ^
  3. ^
  4. Чен, Чи-Тунг, Чэн-Чи Ли и Юон-Чан Линь. 2020. «Эффективный и безопасный протокол соглашения ключей для трехсторонней взаимной аутентификации для WSN в средах IoT». Plos One 15 (4). DOI: 10.1371 / journal.pone.0232277.
  5. ^
  6. Амин, Рухул, Ск Хафизул Ислам, Панди Виджаякумар, Мухаммад Хуррам Хан и Виктор Чанг. 2017. «Надежная и эффективная взаимная аутентификация на основе билинейных пар и проверка сеансового ключа при незащищенной связи». Мультимедийные инструменты и приложения 77 (9): 11041–66. doi 10.1007 / s11042-017-4996-z.
  7. ^
  8. ^
  9. ^
  10. ^
  11. ^ Мелки, Рим, Хасан Н. Нура и Али Чехаб. 2019. «Облегченный протокол многофакторной взаимной аутентификации для устройств Интернета вещей». Международный журнал информационной безопасности 19 (6): 679–94. DOI: 10.1007 / s10207-019-00484-5.
  12. ^
  13. ^
  14. ^
  15. ^
  16. ^
  17. ^

Этапы процесса и проверка

Схемы, которые имеют этап взаимной аутентификации, могут использовать разные методы шифрования, связи и проверки, но все они имеют одну общую черту: каждый объект, участвующий в обмене данными, проверяется. Если Алиса хочет общаться с Боб, они оба будут аутентифицировать друг друга и проверять, что это тот, с кем они ожидают общаться, прежде чем будут переданы какие-либо данные или сообщения. Процесс взаимной аутентификации, при котором происходит обмен идентификаторами пользователей, может быть реализован следующим образом:

  1. Алиса отправляет Бобу сообщение, чтобы показать, что Алиса является действующим пользователем.
  2. Боб проверяет сообщение:
    1. Боб проверяет формат и отметку времени. Если либо неверно, либо недействительно, сеанс прерывается.
    2. Затем сообщение расшифровывается с использованием секретного ключа Боба и идентификатора Алисы.
      1. Боб проверяет, соответствует ли сообщение действительному пользователю. В противном случае сеанс прерывается.
  3. Боб отправляет Алисе сообщение, чтобы показать, что Боб является действующим пользователем.
  4. Алиса проверяет сообщение:
    1. Алиса проверяет формат и метку времени. Если либо неверно, либо недействительно, сеанс прерывается.
    2. Затем сообщение расшифровывается с использованием секретного ключа Алисы и идентификатора Боба.
      1. Алиса проверяет, соответствует ли сообщение допустимому пользователю. В противном случае сеанс прерывается.
  5. На этом этапе проверяется, что обе стороны являются теми, кем они являются, и безопасны для общения друг с другом. Наконец, Алиса и Боб создадут общий секретный ключ, чтобы продолжить безопасный обмен данными.

Чтобы убедиться, что взаимная аутентификация прошла успешно, Логика Берроуза-Абади-Нидхема (Логика BAN) — это хорошо известный и широко применяемый метод, поскольку он проверяет, что сообщение пришло от надежного объекта. Логика BAN сначала предполагает, что объекту нельзя доверять, а затем проверяет его законность.

Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.

Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.

Чем это опасно?

Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.

Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.

Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.

Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.

Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.

Безопасность

По мнению сторонников, многофакторная аутентификация может значительно снизить количество онлайн кража личных данных и другие онлайн мошенничество, потому что пароля жертвы больше не будет достаточно, чтобы дать вору постоянный доступ к их информации. Однако многие подходы к многофакторной аутентификации остаются уязвимыми для фишинг,человек-в-браузере, и Атаки посредника. Двухфакторная аутентификация в веб-приложениях особенно подвержена фишинговым атакам, особенно в SMS и электронной почте, и в ответ многие эксперты советуют пользователям никому не сообщать свои коды подтверждения., и многие поставщики веб-приложений отправят уведомление в электронное письмо или SMS, содержащее код.

Многофакторная аутентификация может быть неэффективной от современных угроз, таких как сканирование банкоматов, фишинг и вредоносное ПО.

В мае 2017 года немецкий оператор мобильной связи O2 Telefónica подтвердил, что киберпреступники использовали SS7 уязвимости для обхода двухэтапной аутентификации на основе SMS для несанкционированного снятия средств с банковских счетов пользователей. Преступники в первую очередь зараженный компьютеры владельца счета в попытке украсть учетные данные и номера телефонов их банковских счетов. Затем злоумышленники приобрели доступ к поддельному оператору связи и настроили перенаправление телефонного номера жертвы на подконтрольный им телефон. Наконец, злоумышленники вошли в онлайн-банковские счета жертв и потребовали вывести деньги со счетов на счета, принадлежащие преступникам. СМС-коды доступа направлялись на подконтрольные злоумышленникам телефонные номера, и преступники переводили деньги.

Схемы на основе паролей

В схемах взаимной аутентификации, требующих ввода пароля пользователем как части процесса проверки, существует более высокая уязвимость для хакеры потому что пароль создан человеком, а не сертификатом, созданным компьютером. Хотя приложения могут просто требовать от пользователей использования сгенерированного компьютером пароля, людям неудобно его запоминать. Пользовательские пароли и возможность изменить свой пароль важны для того, чтобы сделать приложение удобным для пользователя, так много схем работают, чтобы приспособить характеристику. Исследователи отмечают, что протокол на основе паролей с взаимной аутентификацией важен, поскольку идентификационные данные пользователей и пароли по-прежнему защищены, поскольку сообщения доступны для чтения только двум вовлеченным сторонам.

Однако отрицательным аспектом аутентификации на основе пароля является то, что таблицы паролей могут занимать много места в памяти. Один из способов обойтись без большого объема памяти во время схемы аутентификации на основе пароля — реализовать одноразовые пароли (OTP), который представляет собой пароль, отправляемый пользователю по SMS или электронной почте. Одноразовые пароли чувствительны ко времени, что означает, что их срок действия истечет через определенное время, и что память не нужно хранить.

Многофакторная аутентификация

В последнее время все больше схем имеют более высокий уровень аутентификации, чем схемы на основе пароля. Хотя аутентификация на основе пароля считается «однофакторной аутентификацией», начинают применяться схемы. интеллектуальная карточка (двухфакторный) или схемы аутентификации на основе биометрических данных (трехфакторная). Смарт-карты проще реализовать и легко аутентифицировать, но все же есть риск взлома.Биометрия стали более популярными по сравнению со схемами на основе паролей, потому что при использовании биометрии сложнее копировать или угадывать ключи сеанса, но зашифровать зашумленные данные может быть сложно. Из-за этих рисков и ограничений безопасности схемы могут по-прежнему использовать взаимную аутентификацию независимо от того, сколько факторов аутентификации добавлено.

Облегченные схемы против защищенных схем

Хотя упрощенные схемы и схемы безопасности не исключают друг друга, добавление этапа взаимной аутентификации к протоколам передачи данных часто может увеличить время выполнения и вычислительные затраты. Это может стать проблемой для сетевых систем, которые не могут обрабатывать большие объемы данных или тех, которые постоянно должны обновляться для получения новых данных в реальном времени (например, отслеживания местоположения, данных о состоянии здоровья в реальном времени).

Таким образом, становится желательной характеристикой многих схем взаимной аутентификации иметь легкие свойства (например, иметь низкий объем памяти), чтобы приспособиться к системе, в которой хранится много данных. Многие системы реализуют облачные вычисления, который обеспечивает быстрый доступ к большим объемам данных, но иногда большие объемы данных могут замедлить обмен данными. Даже с краевым облачные вычисления, что быстрее, чем обычные облачные вычисления, из-за большей близости между сервером и пользователем, Облегченные схемы обеспечивают большую скорость при управлении большими объемами данных. Одним из решений, позволяющих сохранить упрощенные схемы во время процесса взаимной аутентификации, является ограничение количества биты используется во время общения.

Приложения, которые полагаются исключительно на от устройства к устройству (D2D) связь, при которой несколько устройств могут связываться локально в непосредственной близости, удаляет стороннюю сеть. Это, в свою очередь, может ускорить время общения

Однако аутентификация по-прежнему происходит по незащищенным каналам, поэтому исследователи считают, что по-прежнему важно обеспечить взаимную аутентификацию, чтобы сохранить безопасную схему

Схемы могут принести в жертву лучшее время выполнения или стоимость хранения при обеспечении взаимной аутентификации с целью защиты конфиденциальных данных.

Что документируется в разделе аутентификации

В документации API не нужно подробно объяснять внешним пользователям, как работает аутентификация. Отсутствие объяснений внутренних процессов аутентификации, является лучшей практикой, поскольку хакерам будет сложнее злоупотреблять API.

Тем не менее нужно объяснить необходимую информацию:

  • как получить API ключ;
  • как пройти аутентификацию запроса;
  • сообщения об ошибках, связанных с неверной аутентификацией;
  • чувствительность информации аутентификации;
  • период действия токена доступа (авторизации).

Если есть открытый и закрытый ключи, нужно объяснить, где следует использовать каждый ключ, и отметить, что закрытые ключи не должны использоваться совместно. Если разные уровни лицензий предоставляют разный доступ к вызовам API, эти уровни лицензирования должны быть явно указаны в разделе авторизации или в другом месте.

Поскольку раздел API ключей важен, и нужен разработчикам до того, как они начнут использовать API, этот раздел должен быть в начале руководства.

Похожие записи:

Регистрация и вход в личный кабинет яндекс деньги Payeer кошелек Курс chia network к доллару Обзор видеокарты amd radeon rx 570 Default ThumbnailBtc/usdt — биткоин tether Лучшие биткоин кошельки в 2021 году. рейтинг bitcoin кошельков на русском языке