Журнал "Information Security/ Информационная безопасность" #2, 2023
Второй важный признак аутентифи- цирующих данных – их тиражируемость : возможность параллельного использо- вания данных разными субъектами или разными объектами аутентификации. Тиражируемость между субъектами аутентификации Аппаратный идентификатор условно считается некопируемым, то есть одно- временно он может находиться только у одного пользователя. Поэтому, хотя он может быть передан легальным субъектом постороннему лицу, он все же является нетиражируемым , так как одновременно им может воспользоваться один субъект. Пароль же может быть назначен любо- му числу субъектов (именно так обычно происходит с паролями user, student, admin и аналогичными), поэтому он тира- жируемый . Тиражируемость между объектами аутентификации Важно и то, что в одном или несколь- ких объектах аутентификации этому субъекту сопоставлены эти данные. Причем тиражируемыми между объ- ектами аутентификации могут быть дан- ные, нетиражируемые между субъектами и даже неотделимые от субъекта. Старо как мир бесконечно нарушаемое правило – не регистрировать в разных ресурсах один и тот же пароль. Однако когда в разных ресурсах регистрируется одно и то же лицо (в прямом физическом смысле – face), ситуация даже хуже, ведь пароль в случае компрометации поменять существенно легче, чем лицо. Надо заметить, что тиражируемые данные – это данные, которые могут быть растиражированы, а не обязательно уже растиражированные. Но то, что может быть растиражировано, будет растиражировано, если это хоть кому- нибудь нужно. Значит, для всех тиражи- руемых данных в системах должны при- ниматься какие-то меры, препятствую- щие их тиражированию. Нетиражируемыми между объектами аутентификации могут быть, по-види- мому, только динамические аутенти- фицирующие данные. В отношении любых статических данных должны применяться какие-то механизмы, ограничивающие возможность исполь- зования одних и тех же данных в разных системах. Одновременно данные характери- зуются какой-то зависимостью и от субъекта, и от объекта. Это можно визуализировать в виде табл. 3 и попро- бовать сопоставить получившимся ячейкам фактически использующиеся данные. Так станет очевидно, каких классов быть не может, а далее будет возможно проанализировать, какие данные использовать решительно неце- лесообразно. Все ячейки заполнены только в строке ассоциированных с субъектом нетира- жируемых между субъектами данных: именно этот тип аутентифицирующих данных фактически наиболее популярен, так как в условиях защищенной корпо- ративной системы позволяет без значи- тельных сложностей реализовать под- систему аутентификации, соответствую- щую всем распространенным моделям угроз. Таблица позволяет сделать еще целый ряд наблюдений, которые растянулись бы еще на одну статью, но на изложен- ном видно, что характеризовать аутен- тифицирующие данные по предложен- ным признакам полезнее, чем по фак- торам, так как из факторов не следует ничего о том, что делать безопаснику, а из предложенных характеристик – следует. Список литературы 1. Комаров А. Современные методы аутентификации: токен и это все о нем..! // T-Comm. 2008. № 6. С. 13--16. 2. Стрельцов А. А. Обеспечение информационной безопасности России. Теоретические и методологические осно- вы. М.: МЦНМО, 2002. 296 с. 3. Конявский В.А., Гадасин В.А. Осно- вы понимания феномена электронного обмена информацией. Минск: Беллит- фонд (серия "Библиотека журнала "УЗИ"), 2004. 327 c. l • 35 Безопасный удаленный доступ www.itsec.ru Таблица 3. Пересечение классов аутентифицирующих данных по отношению к объекту и к субъекту аутентификации: примеры данных Ваше мнение и вопросы присылайте по адресу is@groteck.ru Сравниваемые тиражируемые между O Сравниваемые не тиражируемые между O Проверяемые не тира- жируемые между O Ассоциированные тиражируемые между S Человек Пароль, контрольные вопросы Одноразовый пароль, талончик в очереди Нет Техническое средство Имя файла, компьютера, пр. Лицензионный ключ на ПО, зависящий от данных лицензи- руемого ПО и системы, для которой оно лицензируется Нет Ассоциированные не тиражируемые между S Человек Аппаратный идентификатор, номерок в гардеробе, гостевая карта СКУД Токен аутентификации (Token- Based Authentication) Атрибутный сертификат, ЭП, OTP (устройство, генерирующее однора- зовые пароли) Техническое средство Серийный номер наложенного СЗИ (при условии, что S аутентификации является не СЗИ, а СВТ) Лицензионный ключ на ПО, зависящий от данных лицензи- руемого ПО и СВТ в рамках этой системы Криптографическое рукопожатие Неотделимые тиражируемые Человек ФИО, биологические параметры, характеризующие класс, а не инди- видуума (цвет кожи, рост, вес, пр.) Нет Нет Техническое средство Фрагмент кода программы, сигнатура Нет Нет Неотделимые не тиражируемые Человек Статические биометрические данные Нет Динамическая (интерак- тивная) биометрия Техническое средство Заводской серийный номер устрой- ства (того, которое является S аутентификации или неотделимого от него), контрольные суммы Нет ЭП поставщика
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw