Каналы утечки конфиденциальной информации. Механизмы защиты компьютерной сети предприятия

Эталон может храниться  как в «чистом» виде, так и в  качестве результата некоторого преобразования запрошенной информации. Например, при регистрации пользователя в  системе с биометрической аутентификацией  после запроса отпечатка пальца выполняется его свертка в  кодовое значение, заивсящее от основных параметров отпечатка пальца. Впоследствии, при аутентификации пользователя выполняется  аналогичное преобразование, результат  которого сравнивается с кодовым  значением. Ясно, что хранение отпечатка  непосредственно в виде изображения  потребовало бы существенно больших  объемов памяти для эталонов, а  также затруднило бы сравнение образцов и увеличило бы время аутентификации. 
Стоит сказать и о том, что в большинстве случаев аутентификационная информация не должна храниться в открытом виде и из соображений безопасности – например, эталонные образцы паролей хранятся в модуле аутентификации либо в зашифрованном виде, либо в виде хэш-значений. 
Аутентификация может быть как односторонней (сервер проверяет пользователя на предмет последующего предоставления доступа или отказа в нем), так и взаимной (взаимная проверка подлинности неких участников информационного обмена). 
Кроме того, для повышения стойкости аутентификации (т.е. усложнения кому-либо возможности аутентифицироваться под чужим именем) часто используют несколько методов аутентификации одновременно. Наиболее частые примеры: одновременное использование смарт-карты + ее PIN-кода (Personal Identification Number – в данном случае играет роль пароля для доступа к информации, хранящейся на смарт-карте) или пароля + отпечатка пальца. Аутентификация на основе одновременного предъявления аутентификационной информации двух видов называется двухфакторной. Существуют примеры и трехфакторной аутентификации, определяемой аналогичным образом. 
Рассмотрим наиболее показательные примеры использования аутентификационной информации каждого из перечисленных выше типов.

Парольная аутентификация

В настоящее время  парольная аутентификация является наиболее распространенной, прежде всего, благодаря своему единственному  достоинству – простоте использования. 
Однако, парольная аутентификация имеет множество недостатков:

В отличие от случайно формируемых криптографических  ключей (которые, например, может содержать  уникальный предмет, используемый для  аутентификации), пароли пользователя бывает возможно подобрать из-за достаточно небрежного отношения большинства  пользователей к формированию пароля. Часто встречаются случаи выбора пользователями легко предугадываемых  паролей, например:

пароль эквивалентен идентификатору (имени) пользователя (или  имени пользователя, записанному  в обратном порядке, или легко  формируется из имени пользователя и т.д.);

паролем является слово  или фраза какого-либо языка; такие  пароли могут быть подобраны за ограниченное время путем «словарной атаки» - перебора всех слов согласно словарю, содержащему все слова и общеупотребительные  фразы используемого языка;

достаточно часто  пользователи применяют короткие пароли, которые взламываются методом «грубой  силы», т.е. простым перебором всех возможных вариантов.

Существуют и свободно доступны различные утилиты подбора  паролей, в том числе, специализированные для конкретных широко распространенных программных средств.

 
       Пароль может быть получен путем  применения насилия к его владельцу.

Пароль может быть подсмотрен или перехвачен при вводе.

Аутентификация с  помощью уникального предмета

В большинстве случаев  аутентификация с помощью уникального  предмета обеспечивает более серьезную  защиту, чем парольная аутентификация. 
Предметы, используемые для аутентификации, можно условно разделить на следующие две группы:

«Пассивные» предметы, которые содержат аутентификационную информацию (например, некий случайно генерируемый пароль) и передают ее в модуль аутентификации по требованию. При этом, аутентификационная информация может храниться в предмете как  в открытом (примеры: магнитные карты, смарт-карты с открытой памятью, электронные таблетки Touch Memory), так  и в защищенном виде (смарт-карты  с защищенной памятью, USB-токены). В  последнем случае требуется ввод PIN-кода для доступа к хранящимся данным, что автоматически превращает предмет в средство двухфакторной  аутентификации.

«Активные» предметы, которые обладают достаточными вычислительными  ресурсами и способны активно  участвовать в процессе аутентификации (примеры: микропроцессорные смарт-карты  и USB-токены). Эта возможность особенно интересна при удаленной аутентификации пользователя, поскольку на основе таких предметов можно обеспечить строгую аутентификацию. Под этим термином скрывается такой вид аутентификации, при котором секретная информация, позволяющая проверить подлинность пользователя, не передается в открытом виде

Аутентификация с  помощью уникальных предметов обладает и рядом недостатков:

Предмет может быть похищен или отнят у пользователя.

В большинстве случаев  требуется специальное оборудование для работы с предметами.

Теоретически возможно изготовление копии или эмулятора  предмета.

Биометрическая аутентификация

Биометрическая аутентификация основана на уникальности ряда характеристик  человека. Наиболее часто для аутентификации используются следующие характеристики:

Отпечатки пальцев.

Узор радужной оболочки глаза и структура сетчатки глаза.

Черты лица.

Форма кисти руки.

Параметры голоса.

Схема кровеносных  сосудов лица.

Форма и способ подписи.

В процессе биометрической аутентификации эталонный и предъявленный  пользователем образцы сравнивают с некоторой погрешностью, которая  определяется и устанавливается  заранее. Погрешность подбирается  для установления оптимального соотношения  двух основных характеристик используемого  средства биометрической аутентификации:

FAR (False Accept Rate) – коэффициент  ложного принятия (т.е. некто успешно  прошел аутентификацию под именем  легального пользователя).

FRR (False Reject Rate) – коэффициент  ложного отказа (т.е. легальный  пользователь системы не прошел  аутентификацию).

Электронная подпись (ЭП) - это реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном  документе с момента формирования ЭП и проверить принадлежность подписи  владельцу сертификата ключа  ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого  ключа ЭП. В постановлении Совета Министров Республики Беларусь даётся такое определение понятия "электронная  цифровая подпись": электронная цифровая подпись – это последовательность символов, являющаяся реквизитом электронного документа и предназначенная  для подтверждения целостности  и подлинности электронного документа. Средство электронной цифровой подписи – программное, программно-аппаратное или техническое средство, реализующее одну или несколько следующих функций: выработку электронной цифровой подписи, проверку электронной цифровой подписи, создание личного ключа подписи или открытого ключа