Erreurs iTunes 

Comment s’effectue l’authentification des utilisateurs dans un point de vente ? En plus de la mémoire, les cartes à puce possèdent leur propre microprocesseur. Cela vous permet de mettre en œuvre diverses options pour les méthodes de protection par mot de passe, par exemple des mots de passe réutilisables, changeant dynamiquement.

Les deux principaux composants de la sécurité sont les processus d'authentification et d'autorisation. Authentification représente le processus d'identification de l'utilisateur, et autorisation- un processus qui se produit après le processus d'authentification pour vérifier si un utilisateur identifié donné est autorisé à accéder à une ressource spécifique.

Données d'identification

Vous pouvez identifier l'utilisateur qui exécute l'application en utilisant données d'identification. Classe Identité Windows vous permet de représenter un utilisateur Windows. En plus du compte Windows, vous pouvez également utiliser d'autres classes qui implémentent l'interface pour identifier l'utilisateur IIidentité. Cette interface vous permet d'accéder au nom d'utilisateur, ainsi qu'aux informations indiquant si l'utilisateur est authentifié et le type d'authentification utilisé.

Principal est un objet qui contient les données d'identification de l'utilisateur et les rôles auxquels il appartient. L'interface IPrincipal possède une propriété Identity qui renvoie un objet Ildentity et une méthode IsInRole qui peut être utilisée pour vérifier si un utilisateur est réellement membre d'un rôle particulier.

Un rôle est un ensemble d'utilisateurs qui ont égalité des droits accès et sert d'unité pour l'administration des utilisateurs. Les rôles peuvent être : Groupes Windows, et des ensembles de chaînes définis par le développeur lui-même.

Les classes principales suivantes sont disponibles dans .NET : WindowsPrincipal Et GénériquePrincipal. Cependant, en plus d'eux, vous pouvez également créer le vôtre cours spéciaux les principaux qui implémentent l’interface IPrincipal.

L'exemple suivant montre comment créer application console, qui accorde l'accès au principal, qui à son tour permet d'accéder au compte Windows sous-jacent.

Vous devrez d’abord importer les espaces de noms System.Security.Principal et System.Threading. Ensuite, vous devez spécifier que .NET doit automatiquement connecter le principal au compte Windows approprié car, pour des raisons de sécurité, .NET ne remplit pas automatiquement la propriété CurrentPrincipal du thread. Vous pouvez procéder comme suit :

Utilisation du système ; en utilisant System.Collections.Generic ; en utilisant System.Linq ; en utilisant System.Security.Principal ; en utilisant System.Threading ; espace de noms ConsoleApplication1 (class Program ( static void Main(string args) ( AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal); ) ) )

Pour accéder aux détails du compte Windows, vous pouvez utiliser la méthode WindowsIdentity.GetCurrent(), cependant, il est plus approprié dans les situations où le principal ne doit être accédé qu'une seule fois. Si vous avez besoin d'un accès multiple au principal, il est préférable d'utiliser la méthode SetPrincipalPolicy pour définir la stratégie afin que le thread actuel lui-même fournisse l'accès au principal. Cette méthode spécifie que le principal du thread actuel doit stocker Objet Windows Identité.

Toutes classes destinées à l'identification, similaire à Windows Identity, implémentez l’interface IIidentity. Cette interface possède trois propriétés (AuthenticationType, IsAuthenticated et Name) que toutes les classes d'identité dérivées doivent implémenter.

Ajouter code suivant Pour accéder aux propriétés d'un principal à partir d'un objet Thread :

WindowsPrincipal principal = (WindowsPrincipal)Thread.CurrentPrincipal ;

Identité WindowsIdentity = (WindowsIdentity)principial.Identity; compte:

Opportunité accès facile les informations sur les utilisateurs actuels et leurs rôles sont extrêmement utiles. Sur la base de ces informations, des décisions peuvent être prises quant aux actions à autoriser et à interdire. Possibilité d'utiliser des rôles et des groupes Utilisateurs Windows fournit avantage supplémentaire, car il permet l'administration moyens standards et, en règle générale, ne nécessite pas de modification du code si les rôles des utilisateurs changent. La section suivante traite des rôles plus en détail.

Sécurité déclarative basée sur les rôles

Sécurité basée sur les rôles particulièrement utile dans les situations où l’accès aux ressources est essentiel. Le secteur financier en est un bon exemple, où les rôles joués par les employés déterminent les informations auxquelles ils peuvent accéder et les actions qu'ils peuvent entreprendre.

La sécurité basée sur les rôles est idéale pour une utilisation avec les comptes Windows ou catalogue spécial utilisateurs pour contrôler l’accès aux ressources Web. Par exemple, un site Web ne peut fournir qu'aux utilisateurs non enregistrés accès limitéà son contenu, et abonnés payants- contre, accès supplémentaireà un contenu spécial.

À bien des égards, la technologie ASP.NET rend la sécurité basée sur les rôles plus processus simple, puisqu'il permet de placer la plupart de code sur le serveur. Par exemple, pour implémenter un service web nécessitant une procédure d'authentification, il suffit d'utiliser le sous-système d'identification Entrées Windows et écrivez la méthode Web pour vérifier d'abord si l'utilisateur est membre du groupe d'utilisateurs Windows approprié avant d'accorder l'accès à ses fonctionnalités.

Considérons le scénario d'application réseau interne, qui repose sur l'utilisation de comptes Windows. Supposons que le système comporte des groupes appelés Gestionnaires et Assistants, et que les utilisateurs sont affectés à ces groupes en fonction de leurs rôles dans l'organisation. De plus, l'application dispose d'une fonctionnalité qui permet d'afficher des informations sur les employés, qui ne doivent être accessibles qu'aux utilisateurs du groupe Managers. Bien sûr, vous pouvez facilement écrire du code pour vérifier si utilisateur actuel membre du groupe Managers, et s'il est autorisé à accéder à cette fonction.

Cependant, si vous souhaitez ultérieurement réorganiser les groupes de comptes et ajouter, par exemple, un groupe Personnel dont les membres doivent également pouvoir accéder aux informations sur les employés, un problème surviendra. Dans ce cas, vous devrez revoir tout le code à nouveau et le mettre à jour partout afin qu'il inclue les règles du nouveau groupe.

Une approche plus appropriée dans ce scénario consisterait à créer une autorisation par nom, telle que ReadEmployeeDetails, et à l'attribuer aux groupes selon les besoins. Si votre code vérifie l'autorisation ReadEmployeeDetails, mettre à jour votre application pour autoriser l'accès aux informations sur les employés et les membres du groupe Personnel est aussi simple que de créer un groupe, d'y placer les utilisateurs souhaités et de lui attribuer l'autorisation ReadEmployeeDetails.

Comme pour la protection d'accès au code, les requêtes de sécurité basées sur les rôles (telles que "l'utilisateur doit être dans le groupe Administrateurs") peuvent être implémentées soit de manière impérative en appelant la méthode IsInRole() depuis la classe IPrincipal, soit en utilisant des attributs. Les exigences d'autorisation peuvent être spécifiées de manière déclarative au niveau de la classe ou de la méthode à l'aide de l'attribut .

Utilisation du système ; en utilisant System.Security ; en utilisant System.Security.Principal ; en utilisant System.Security.Permissions ; espace de noms ConsoleApplication1 ( class Program ( static void Main(string args) ( AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal); try ( ShowMessage(); ) catch (SecurityException exception) ( Console.WriteLine("Exception " + exception.Message) ; ) enfin ( Console.ReadLine(); ) ) static void ShowMessage() ( Console.WriteLine("Le principal actuel est connecté localement et est membre du groupe Utilisateurs"); ) )

Lorsque vous exécutez cette application dans le contexte d'un utilisateur non membre groupe local Windows appelé Utilisateurs, la méthode ShowMessage() lèvera une exception.

Pour une application Web, le compte sous lequel le code ASP.NET s'exécute doit être membre de ce groupe. DANS applications réelles Vous devez éviter d'ajouter ce compte au groupe Administrateurs.

Chaque question d'examen peut avoir plusieurs réponses provenant de différents auteurs.

La réponse peut contenir du texte, des formules, des images. L'auteur de l'examen ou l'auteur de la réponse à l'examen peut supprimer ou modifier une question.

Identification Pour ce faire, l'utilisateur doit- indiquez votre « nom » (identifiant). De cette manière, il est vérifié si l'utilisateur qui s'enregistre fait partie des utilisateurs identifiés par le système. Et conformément à l'identifiant saisi, l'utilisateur se verra attribuer les droits d'accès appropriés.

Authentification

DANS cas général, non seulement les utilisateurs sont identifiés et authentifiés, mais également les autres sujets d'accès aux ressources.

L'ensemble des procédures d'identification et d'authentification est habituellement appelé procédure d'autorisation

La procédure d'autorisation revêt une importance capitale pour la protection informations informatiques, parce que toutes les politiques restrictives d'accès aux ressources sont mises en œuvre par rapport aux identifiants des utilisateurs. Autrement dit, en se connectant au système avec l'identifiant de quelqu'un d'autre, l'attaquant obtient les droits d'accès à la ressource de l'utilisateur dont l'identifiant lui a été présenté lors de la connexion au système.

Pour empêcher les utilisateurs illégaux de travailler avec le système, une procédure est requise pour que le système reconnaisse chaque utilisateur légitime (ou groupe d'utilisateurs). Pour ce faire, dans un endroit sécurisé, le système est obligé de stocker des informations permettant d'identifier l'utilisateur, et l'utilisateur, lors de sa connexion au système, lors de l'exécution de certaines actions, lors de l'accès aux ressources, est obligé de s'identifier, c'est-à-dire , indiquer l'identifiant qui lui est attribué dans ce système. Après avoir reçu un identifiant, le système l'authentifie, c'est-à-dire vérifie son contenu (authenticité) - s'il appartient à un ensemble d'identifiants. Si l’identification n’était pas complétée par l’authentification, l’identification elle-même perdrait tout sens. Il existe généralement une limite au nombre de tentatives pour présenter un identifiant incorrect. L'authentification des utilisateurs peut être basée sur les principes suivants :

  • sur présentation par l'utilisateur d'un mot de passe ;
  • sur l'utilisateur présentant la preuve qu'il dispose d'informations de clé secrète ;
  • sur les réponses à certaines questions du test ;
  • sur la présentation par l'utilisateur de quelques signes immuables qui lui sont inextricablement liés ;
  • en fournissant la preuve qu'il est dans certain endroit V certaine heure;
  • sur l'authentification de l'utilisateur par un tiers de confiance.

Les procédures d'authentification doivent être résistantes à la falsification, à la force brute et à la contrefaçon. Après avoir reconnu un utilisateur, le système doit savoir quels droits sont accordés à cet utilisateur, quelles informations il peut utiliser et comment (lire, écrire, modifier ou supprimer), quels programmes il peut exécuter, quelles ressources sont à sa disposition, etc. problèmes

de ce genre. Ce processus est appelé autorisation . Ainsi, la connexion de l'utilisateur comprend l'identification, l'authentification et l'autorisation. En cours travaux supplémentaires Parfois, une autorisation supplémentaire peut être nécessaire pour certaines actions.

Il existe différents mécanismes pour mettre en œuvre le contrôle d'accès. Par exemple, chaque ressource (ou composant) du système peut être associée à une liste de contrôle d'accès, qui spécifie les identifiants de tous les utilisateurs autorisés à accéder à cette ressource, et détermine également quel type d'accès est autorisé. Lorsqu'un utilisateur accède à une ressource spécifique, le système vérifie si de cette ressource liste de contrôle d'accès et, si elle existe, vérifie si cet utilisateur est autorisé à exploiter la ressource donnée dans le mode demandé. Un autre exemple de mise en œuvre d'un mécanisme d'autorisation utilisateur est un profil

utilisateur - une liste qui fait correspondre tous les identifiants d'utilisateur avec une liste d'objets auxquels un utilisateur donné est autorisé à accéder, indiquant le type d'accès. Une structure de données système peut être organisée, appelée matrice d'accès, qui est un tableau dont les colonnes correspondent aux identifiants de toutes les ressources système et les lignes correspondent aux identifiants de tous les utilisateurs enregistrés. A l'intersection de la ième colonne jème rangée Dans le tableau, l'administrateur système indique le type d'accès autorisé du propriétaire du i-ème identifiant à la j-ème ressource. Seules les personnes spéciales devraient avoir accès aux mécanismes d'autorisation programmes système, assurant la sécurité du système, ainsi que strictement cercle limité utilisateurs responsables de la sécurité du système. Les mécanismes en question doivent être soigneusement protégés contre tout accès accidentel ou intentionnel par des utilisateurs non autorisés. De nombreuses attaques contre systèmes d'informations visent spécifiquement à désactiver ou contourner les moyens de contrôle d'accès. Des actions similaires sont effectuées dans le système lors de l'authentification d'autres sujets d'interaction ( candidats), par exemple, des processus ou des programmes de candidature, avec un système (vérificateur). Contrairement à l'authentification du sujet de l'interaction, la procédure d'authentification de l'objet, établissant l'authenticité e-mail, compte bancaire, etc., vérifie le fait de propriété de cet objet le propriétaire de l’identifiant spécifié.

La réponse peut contenir du texte, des formules, des images. L'auteur de l'examen ou l'auteur de la réponse à l'examen peut supprimer ou modifier une question. est conçu pour que chaque utilisateur (groupe d'utilisateurs) compare la politique de restriction d'accès correspondante sur l'objet protégé.
Pour ce faire, l'utilisateur doit s'identifier - indiquer son « nom » (identifiant). De cette manière, il est vérifié si l'utilisateur qui s'enregistre fait partie des utilisateurs identifiés par le système. Et conformément à l'identifiant saisi, l'utilisateur se verra attribuer les droits d'accès appropriés.
Authentification destiné à contrôler la procédure d'identification. Pour ce faire, l'utilisateur doit saisir un mot de passe. L'exactitude du mot de passe saisi confirme la correspondance unique entre l'utilisateur inscrit et l'utilisateur identifié.
En général, non seulement les utilisateurs sont identifiés et authentifiés, mais également les autres sujets accédant aux ressources.
L'ensemble de la mise en œuvre des procédures d'identification et d'authentification est habituellement appelé procédure autorisation . Parfois, il n’est pas nécessaire d’identifier l’utilisateur, mais seule la procédure d’authentification suffit. Par exemple, cela se produit lorsque vous devez confirmer l'utilisateur actuel (déjà enregistré) lors de l'exécution d'actions nécessitant protection supplémentaire. À son tour, le contrôle d’identification n’est pas toujours requis, c’est-à-dire que dans certains cas l’authentification peut ne pas être effectuée.
La procédure d'autorisation est d'une importance capitale dans la protection des informations informatiques, car toutes les politiques restrictives d'accès aux ressources sont mises en œuvre par rapport aux identifiants des utilisateurs. Autrement dit, en se connectant au système avec l'identifiant de quelqu'un d'autre, l'attaquant obtient les droits d'accès à la ressource de l'utilisateur dont l'identifiant lui a été présenté lors de la connexion au système.
Exigences d'identification et d'authentification
Les exigences formalisées pour ces mécanismes de protection sont les suivantes :
. L'identification et l'authentification des sujets d'accès doivent être effectuées lors de la connexion au système à l'aide d'un identifiant (code) et d'un mot de passe permanent conditionnel d'au moins six caractères alphanumériques (pour les classes de sécurité 1G et 1B selon la classification AC)
. Le système de sécurité devrait exiger que les utilisateurs s'identifient lorsqu'ils demandent l'accès.
. Le système de sécurité doit vérifier l'authenticité de l'identification - effectuer l'authentification. Pour ce faire, il doit disposer des données d’identification et d’authentification nécessaires.
. Le système de sécurité doit empêcher l'accès aux ressources protégées aux utilisateurs non identifiés et aux utilisateurs dont l'authenticité de l'identification n'a pas été confirmée lors de l'authentification (pour la classe de sécurité 5 selon la classification SVT). Pour la classe de sécurité 3 selon la classification SVT, une exigence supplémentaire est introduite : le système de sécurité doit être capable de lier de manière fiable l'identification reçue à toutes les actions d'un utilisateur donné.
Hormis la limitation «...un mot de passe permanent sous condition d'une longueur d'au moins six caractères alphanumériques…» ces exigences ne formalisent en aucune manière les approches de mise en œuvre des mécanismes. protection par mot de passe. De plus, ces exigences ne précisent pas comment les mécanismes de protection par mot de passe doivent être mis en œuvre, ni n'imposent restrictions supplémentaires liés à l’augmentation de la résistance des mots de passe à la devinette. En particulier, ils ne réglementent pas l'utilisation médias externes informations de mot de passe - disquettes, cartes à puce, etc.
Exigences supplémentaires:
Il existe tout un groupe de menaces associées à une mise en œuvre incorrecte de la procédure d'autorisation dans les systèmes d'exploitation modernes, ainsi qu'à la présence d'erreurs dans la mise en œuvre des mécanismes de protection correspondants. Il convient donc d’envisager des mécanismes d’autorisation en vue de leur protection supplémentaire. En outre, les mécanismes d'identification et d'authentification sont les plus importants pour contrer l'accès non autorisé à l'information, ce qui signifie qu'ils doivent être pris en compte. options possibles leurs réserves.
De plus, dans le cadre de la déclaration approche systématiqueà la conception d'un système de sécurité, lors de l'élaboration de mécanismes d'autorisation, à la fois explicites et menaces cachées surmonter les défenses.
Autorisation en fonction du nombre et du type d'utilisateurs enregistrés
Qui devrait être perçu comme un attaquant potentiel/
1. Un utilisateur est enregistré dans le système
Cet utilisateur est à la fois utilisateur d’application et administrateur de sécurité. Voici la source menace potentielle n'est qu'un employé tiers de l'entreprise, et toute la tâche de protection se résume à contrôler l'accès à l'ordinateur (ou au système), c'est-à-dire à la protection par mot de passe.
Ce cas est dégénéré et nous ne l'examinerons pas davantage, car conformément aux exigences formalisées pour la protection des informations contre tout accès non autorisé, même lorsqu'elles sont protégées informations confidentielles censé présence obligatoire administrateur de sécurité.
2. Un administrateur de sécurité et un utilisateur de l'application
Le cas général d'un système avec un seul utilisateur d'application est celui où il y a un administrateur de sécurité et un seul utilisateur d'application dans le système. Les tâches de l'administrateur de sécurité incluent ici la limitation des droits de l'utilisateur de l'application pour accéder au système (administrateur de sécurité) et à d'autres ressources informatiques. En particulier, l'ensemble des tâches pouvant être résolues sur l'ordinateur, l'ensemble des appareils pouvant être connectés à l'ordinateur (par exemple, modem externe, imprimante, etc.), méthode de stockage des données traitées (par exemple, sur disquettes uniquement sous forme cryptée), etc.
DANS dans ce cas un attaquant potentiel en termes d'utilisation non autorisée des ressources d'un objet protégé peut être soit un employé tiers de l'entreprise, soit l'utilisateur de l'application lui-même. Notez que l'utilisateur de l'application peut ici agir comme un contrevenant conscient, ou devenir un « outil » dans le rôle d'un contrevenant tiers, par exemple en lançant un programme à la demande de quelqu'un).
3. L'administrateur de sécurité et plusieurs utilisateurs de l'application sont enregistrés dans le système
En plus de l'administrateur de sécurité, le système peut avoir plusieurs utilisateurs d'applications. Dans ce cas, plusieurs employés peuvent utiliser les ressources de l'ordinateur protégé, en décidant diverses tâches. Compte tenu de cela, les informations et autres ressources de l'objet protégé doivent être délimitées entre elles.
Dans ce cas, un utilisateur autorisé de l'application s'ajoute aux contrevenants potentiels, dont le but peut être l'accès aux informations stockées sur un objet protégé par un autre utilisateur.
Lorsque vous utilisez un ordinateur (en particulier poste de travail) dans le cadre d'un LAN, en plus des ressources locales de l'objet protégé, les ressources du réseau font l'objet d'une protection.
Dans ce cas, les droits d'accès aux serveurs peuvent être différenciés entre les utilisateurs, services réseau, ressources réseau divisées ( dossiers partagés et des appareils, par exemple, imprimantes réseau), etc.
Ici, un attaquant (un utilisateur autorisé) peut tenter d'obtenir le NSD pour ressource réseau, auquel il n'a pas accès, afin de procéder à une attaque contre lui depuis son poste de travail.
Recommandations pour l'autorisation de construire en fonction du type et du nombre d'utilisateurs enregistrés
La protection la plus simple à mettre en œuvre est la protection contre un employé tiers. Dans ce cas, toutes les mesures de protection sont attribuées à l'utilisation d'un mécanisme de connexion par mot de passe.
La simplicité réside dans le fait que, comme nous le verrons plus tard, dans ce cas, vous ne devez contrecarrer que les menaces évidentes pour surmonter la protection par mot de passe, contre laquelle il n'est pas difficile de se protéger.
Cependant, la principale menace réside dans les actions intentionnelles ou non intentionnelles d'un utilisateur autorisé qui a la capacité d'effectuer attaque sournoiseà la ressource protégée (par exemple, en exécutant un programme de votre propre conception).
Les mécanismes d'identification et d'authentification doivent permettre de contrer tous les attaquants potentiels, c'est-à-dire à la fois les tiers en relation avec l'objet protégé et les utilisateurs autorisés enregistrés sur l'ordinateur. En même temps nous parlons de sur les utilisateurs de l'application, car il est impossible de mettre en œuvre une quelconque protection contre l'accès non autorisé aux informations de la part de l'administrateur de sécurité, y compris même l'utilisation de mécanismes protection cryptographique(il pourra supprimer les informations avant qu'elles n'entrent dans le pilote de cryptage).
Cela dit, nous pouvons faire les conclusions suivantes:
1. En règle générale, ils sont enregistrés sur l'objet protégé, selon au moins, deux utilisateurs : un utilisateur de l'application et un administrateur de sécurité. Par conséquent, en tant qu'attaquant potentiel lors de la mise en œuvre de mécanismes de protection par mot de passe, dans le cas général, il convient de considérer non seulement un tiers en relation avec l'objet protégé, mais également un utilisateur autorisé qui, intentionnellement ou non, peut mener une attaque sur l'objet protégé. mécanisme de protection par mot de passe.
2. Lors de l'examen des attaques contre la protection par mot de passe, il convient de tenir compte du fait que par rapport à un tiers, qui peut être caractérisé par des menaces évidentes pour la protection par mot de passe, la protection contre les attaques d'un utilisateur autorisé est qualitativement plus difficile, car Des menaces cachées peuvent être réalisées contre eux.
Classification des problèmes résolus par les mécanismes d'identification et d'authentification (schéma)
Classification des tâches selon la finalité de l'objet protégé
La base de la classification des tâches résolues par les mécanismes de protection par mot de passe est la finalité de l'objet protégé (ordinateur). C'est en fonction de la finalité de l'objet que la liste des ressources protégées et des sources de menaces (attaquants potentiels) est déterminée.

Nous connaissons tous la procédure de connexion. propre compte sur un réseau social, un jeu en ligne ou un email : indiquez votre identifiant et votre mot de passe - nous avons accès à page personnelle. Dans RuNet et dans les systèmes localisés, cela est souvent appelé autorisation, ce qui point technique La vue est fondamentalement fausse : appuyer sur Entrée dans le formulaire de saisie lance deux complètement différents processus– authentification et autorisation. Lorsque des erreurs surviennent, il est nécessaire de bien comprendre à quel stade la panne se produit.

Naturellement, l'authentification et l'autorisation ne sont pas utilisées uniquement dans le processus d'accès aux comptes réseau. Systèmes automatisés, EDI, transfert de données, cartes bancaires en plastique, nous effectuons ces procédures automatiquement plus d'une fois par jour.

Dans les systèmes anglophones, il n'y a pas de confusion terminologique : l'utilisateur ne pense même pas à la différence entre authentification et autorisation, car les deux procédures sont cachées à ses yeux. Il est suggéré de « se connecter » – « se connecter, se connecter ».

Comparaison

Comment se déroule la procédure d'authentification ? Voici un certain utilisateur qui a décidé de lire le dernier spam dans son courrier électronique. boîte aux lettres. Il se rend sur le site Internet de la poste, lit des publicités et des actualités, mais aucune lettre ne lui est encore présentée - le système ne connaît ni son identité ni ses intentions. Lorsqu'il entrera son « nom d'utilisateur/qwerty » dans le formulaire de saisie de login et de mot de passe et soumettra ces informations, le processus d'authentification commencera. Le système vérifiera s'il existe un utilisateur portant le même nom et si le mot de passe saisi correspond à son compte. Dans de nombreux cas, la correspondance avec ces identifiants est suffisante, cependant, les services où la sécurité des données est une priorité peuvent également demander d'autres informations : la présence d'un certificat, adresse IP spécifique ou code supplémentaire vérification.

L'authentification réussie signifie que l'utilisateur est bien celui qu'il prétend être. Cependant, cela ne suffit pas pour lui donner accès aux données : le processus d'autorisation commence. Dans le cas d services postaux les clients ont des droits égaux : chacun d'eux peut consulter les lettres et les documents, les modifier et en créer de nouveaux. Mais dans réseaux sociaux ou sur les forums auxquels appartiennent les visiteurs certain groupe, et l'autorisation aide le système à déterminer ce qui est autorisé à Jupiter et ce qui n'est pas autorisé au taureau. Par exemple, vous n'avez pas le droit d'écrire des messages à un utilisateur qui vous a ajouté à la liste noire ; vous ne pouvez pas ajouter de liens vidéo aux messages tant que vous n'avez pas tapé un certain montant postes; vous pouvez voir des photos de la personne qui vous a ajouté comme « ami ». DANS systèmes locaux Le compte utilisateur peut ne pas avoir accès à certains programmes et il peut lui être interdit de modifier ou de copier des documents.

Pendant le processus d'autorisation, le propriétaire du compte ou du compte a le droit d'effectuer des actions spécifiques. Cela se produit non seulement lors de la connexion, mais également lors de toute tentative de manipulation de données. C'est la différence entre l'authentification et l'autorisation : la première est une procédure unique pour la session en cours, la seconde que l'utilisateur suit constamment avant de démarrer un processus.

Pour se souvenir de la différence entre authentification et autorisation, une analogie avec les complexes industriels fermés est généralement utile. Lors de l'entrée, le visiteur présente un identifiant (entrez le login et le mot de passe), et l'agent de sécurité vérifie dans la base de données si cette personne peut être admise. Si le document est authentique et que le nom figure sur la liste, l'entrée dans l'établissement est autorisée. Pour entrer dans le laboratoire, il faut un laissez-passer, pour le centre de presse - un autre, pour enlever les ordures - un troisième. Le service de sécurité vérifie le droit d'accès aux objets et autorise ou interdit au personnel certaines actions. C'est ainsi que s'effectue l'autorisation.

Le processus d'authentification est lancé par l'utilisateur lors de sa connexion au système : il fournit des données d'identification, qu'il s'agisse d'un couple login/mot de passe, d'une empreinte digitale, certificat installé, carte et son code PIN. Dans ce cas, des erreurs du côté du client sont possibles. L'autorisation est déclenchée automatiquement par le serveur si l'authentification est terminée avec succès et les actions de l'utilisateur sur ce processus n’influence pas.

Pour commencer, utilisons exemple simple depuis la vie quotidienne ce qui aidera à aperçu général comprendre en quoi l'autorisation diffère de l'authentification et de l'identification.

Lorsqu'un nouvel employé arrive au travail pour la première fois, il se présente à l'agent de sécurité à l'entrée et lui dit qu'il va désormais travailler ici - en tant que manager, par exemple. Alors il identifie lui-même - dit qui il est.

La sécurité ne le croit généralement pas sur parole et exige de fournir la preuve qu'il a réellement nouveau gérant et a le droit d'entrer dans les locaux du bureau. Présenter un laissez-passer avec photo et le comparer avec la liste des employés dont dispose le gardien résout le problème. L'employé a confirmé son authenticité - réussi authentification.

Enfin, la porte précieuse s'ouvre et le gardien permet à l'employé d'entrer par une certaine porte. Autorisation reçue - complétée autorisation.

DANS monde virtuel tout est presque comme dans la vraie vie. Seuls les noms des « personnages » changent. L'agent de sécurité est le serveur qui contrôle l'entrée du site. Et le manager venu travailler est un utilisateur qui souhaite accéder à son compte.

Il convient d'ajouter que la procédure sera répétée chaque jour, même si tous les gardiens connaissent le responsable de vue et de nom. C'est juste le travail de la sécurité. Le serveur aussi.

Ces trois concepts sont des étapes du même processus qui contrôle l’accès des utilisateurs à leurs comptes.

Pour effectuer toute action sur le site, le client doit « se présenter » au système. Identification de l'utilisateur - en lui fournissant les raisons pour lesquelles il accède à un site ou à un service. Généralement, les identifiants sont l'identifiant ou l'adresse e-mail renseigné lors de l'inscription. Si le serveur trouve dans sa base de données des données qui correspondent aux données spécifiées, le client est identifié.

La connexion est, bien sûr, merveilleuse. Mais où est la garantie qu'il a été saisi par la personne inscrite sur le site ? Pour enfin vérifier l'authenticité de l'utilisateur, le système effectue généralement une authentification.

Le plus souvent utilisé aujourd'hui authentification à deux facteurs, où le premier facteur est un mot de passe réutilisable standard. Mais le deuxième facteur peut être différent, selon les méthodes d'authentification utilisées dans ce cas :

  • mot de passe à usage unique ou code PIN ;
  • cartes magnétiques, cartes à puce, certificats signés numériquement ;
  • paramètres biométriques : voix, rétine, empreintes digitales.

Malgré le développement rapide méthodes biométriques authentification, il faut quand même reconnaître qu'ils ne sont pas très fiables lorsqu'ils utilisation à distance. Il n'est pas toujours possible de garantir le bon fonctionnement des appareils et des applications qui scannent la rétine ou les empreintes digitales. Il est impossible d'être sûr à 100 % que lors de la vérification, un moulage manuel ou une photographie du véritable propriétaire n'est pas utilisé. Pour l’instant, cette méthode ne peut être considérée comme fiable que s’il est possible de contrôler directement la procédure d’authentification. Par exemple, lorsque les salariés entrent dans l’entreprise méthodes biométriques assez fonctionnel.

Dans des conditions où l'inspecteur est éloigné de la personne inspectée, comme c'est le cas sur Internet, la méthode fonctionne beaucoup mieux. authentification à deux facteurs en utilisant des mots de passe à usage unique. Les moyens d'authentification sont très différents et vous pouvez toujours choisir celui qui vous convient le mieux dans chaque cas. Il peut s'agir d'une autorisation par SMS, de la génération de mots de passe à usage unique à l'aide de jetons matériels ou de l'utilisation de application spécialeà un smartphone - le choix appartient à l'utilisateur.

Cela peut être soit unidirectionnel - lorsque seul l'utilisateur prouve sa véracité au système, soit bidirectionnel - le serveur et le client confirment mutuellement leur authenticité à l'aide du système « demande-réponse ». Ce type de 2FA est utilisé dans le token Protectimus Ultra et permet, entre autres, d'éliminer le risque d'être exposé à des sites de phishing.

La dernière étape de la connexion d'un client à un compte est appelée autorisation. Selon que l'identification et l'authentification ont réussi, le serveur autorise ou non l'utilisateur à effectuer certaines actions sur le site.

Il existe une différence significative entre les termes « autorisation » et « authentification ». On peut souvent entendre ou lire l’expression « authentification à deux facteurs » sur Internet, mais à proprement parler, elle n’est pas correcte. Après tout, l'autorisation de l'utilisateur lui confère une autorité dans n'importe quel système, la réponse finale à la question : « Cette personne peut-elle être autorisée à accéder à telle ou telle information ou fonction ? Et en raison de son caractère unique, l’autorisation ne peut pas être à deux facteurs.

Cependant, afin d'éviter toute confusion inutile, cette différence n'est généralement pas soulignée et les deux concepts sont utilisés comme synonymes.

Une compréhension claire de ce que sont l'identification, l'authentification et l'autorisation vous permettra d'utiliser correctement les fonctions qu'elles représentent. Et la sécurité de l’ensemble d’Internet et de ses utilisateurs individuels n’en bénéficiera que.

Le système d'exploitation Windows 7 introduit une nouvelle génération de technologies de sécurité pour le bureau, parmi lesquelles l'authentification et l'autorisation. Certaines technologies visent à renforcer infrastructure générale Windows, et le reste pour aider à gérer le système et les données utilisateur.

Avant d'installer des mesures de sécurité efficaces dans Windows 7, telles que le partage de fichiers et de dossiers, il est important de comprendre les types de comptes d'utilisateurs utilisés lors de la configuration de la sécurité et comment protocole réseau authentifie et autorise les connexions des utilisateurs.

L'authentification est le processus utilisé pour confirmer l'identité d'un utilisateur lorsqu'il le contacte. système informatique ou des ressources système supplémentaires. En privé et en public réseaux informatiques(y compris Internet) l'authentification implique le plus souvent la vérification des informations d'identification de l'utilisateur ; c'est-à-dire le nom d'utilisateur et le mot de passe. Toutefois, pour les types de transactions critiques, telles que le traitement des paiements, l’authentification par nom d’utilisateur et mot de passe n’est pas suffisante car les mots de passe peuvent être volés ou piratés. Pour cette raison, la majeure partie des entreprises Internet, ainsi que de nombreuses autres transactions, utilisent désormais certificats numériques, qui sont délivrés et vérifiés par une autorité de certification.

L’authentification précède logiquement l’autorisation. L'autorisation permet au système de déterminer si un utilisateur autorisé peut accéder aux ressources système protégées et les mettre à jour. L'autorisation vous permet de définir un accès direct aux dossiers et fichiers, les heures d'accès, la quantité d'espace de stockage autorisé, etc.

  • Les modifications apportées aux ressources système sont initialement autorisées par l'administrateur système.
  • Lorsqu'un utilisateur tente d'accéder ou de mettre à jour ressource système l’autorisation d’agir est évaluée par le système ou l’application.

Cette dernière option permet à l'utilisateur d'accéder sans authentification ni autorisation. Il est utilisé lorsque vous souhaitez donner accès à des utilisateurs anonymes et non authentifiés. Cet accès est généralement très limité.

Processus d’autorisation et d’authentification.

Pour accéder aux fichiers sur le réseau, les utilisateurs doivent être authentifiés pour vérifier leur identité. Cela se fait pendant le processus de connexion au réseau. salle d'opération Système Windows 7 pour la connexion réseau dispose des méthodes d'authentification suivantes :

  • Kerberos version 5 : la méthode d'authentification principale pour les clients et les serveurs exécutant des systèmes d'exploitation Microsoft Windows. Il est utilisé pour authentifier les comptes d'utilisateurs et les comptes d'ordinateurs.
  • Windows NT LAN Manager (NTLM) : utilisé pour compatibilité ascendante Avec systèmes d'exploitation plus ancien que Windows 2000 et certaines applications. Il est moins flexible, efficace et sécurisé que Kerberos version 5.
  • Mappage de certificat : généralement utilisé pour l'authentification de connexion en combinaison avec une carte à puce. Le certificat stocké sur la carte à puce est associé au compte utilisateur. Un lecteur de carte à puce est utilisé pour lire les cartes à puce et authentifier l'utilisateur.

Nouvelles fonctionnalités d'authentification dans Windows 7.

Un certain nombre d'améliorations liées aux processus de connexion et d'authentification des utilisateurs ont été ajoutées dans Windows Vista®. Ces améliorations ont augmenté ensemble de base fonctionnalités d'authentification pour garantir meilleure sécurité et la contrôlabilité. Dans Windows 7, Microsoft poursuit les améliorations initiées dans Windows Vista en proposant les nouvelles fonctionnalités d'authentification suivantes :

  • Cartes à puce
  • Biométrie
  • Intégration de la personnalité sur Internet.

Cartes à puce.

L'utilisation de cartes à puce est la méthode d'authentification la plus courante. Pour encourager les organisations et les utilisateurs à adopter les cartes à puce, Windows 7 propose de nouvelles fonctionnalités facilitant leur utilisation et leur déploiement. Ces nouvelles fonctionnalités vous permettent d'utiliser des cartes à puce pour effectuer diverses tâches, notamment :

  • Cartes à puce Branchez et Jouer
  • Vérification de l'identité personnelle (PIV), norme du National Institute of Standards and Technology (NIST)
  • Prise en charge de la connexion par carte à puce Kerberos.
  • Chiffrement de lecteur BitLocker
  • Documents et courrier électronique
  • Utiliser avec des applications métiers.

Biométrie.

La biométrie est une technologie de plus en plus populaire qui fournit accès facile aux systèmes, services et ressources. Pour identifier de manière unique une personne, la biométrie utilise la mesure de ses caractéristiques immuables. caractéristiques physiques. Les empreintes digitales sont l’une des caractéristiques biométriques les plus couramment utilisées.

Jusqu'à présent, il n'y avait pas prise en charge standard dispositifs biométriques. Pour résoudre ce problème, Windows 7 introduit le Windows Biometric Framework (WBF). WBF fournit nouvel ensemble composants prenant en charge la prise d’empreintes digitales à l’aide de dispositifs biométriques. Ces composants augmentent la sécurité des utilisateurs.

Windows Biometric Framework facilite la configuration et la gestion par les utilisateurs et les administrateurs dispositifs biométriques sur ordinateur local ou dans le domaine.

Intégration de la personnalité sur Internet.

La gestion de compte est une stratégie de sécurité. Pour activer ou désactiver l'authentification certains ordinateurs ou tous les ordinateurs que vous gérez en ligne utilisent la stratégie de groupe.

Intégration identification en ligne Vous pouvez gérer la stratégie de groupe. Stratégie configurée comme : «  Sécurité du réseau: Autoriser cet ordinateur à utiliser l'ID en ligne lors de la demande d'identification PKU2U » contrôle la capacité de l'ID en ligne à authentifier cet ordinateur à l'aide du protocole PKU2U. Ce paramètre de stratégie n’affecte pas la capacité des comptes de domaine ou des comptes d’utilisateurs locaux à se connecter à cet ordinateur.



Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer