Недостатки и достоинства методов аутентификации: пароли

У каждого из методов аутентификации есть собственные недостатки и достоинства. Чтобы устранить имеющиеся недостатки, в компьютерных системах всё чаще используют комбинации разных методов. Можно использовать смарт-карту, выполненную в виде предмета, снабженного уникальным содержимым (криптографическим ключом, например). А для доступа к этому содержимому необходимо будет ввести некий Pin–код. Таким образом, пользователь может получить доступ в систему только в том случае, если у его есть нужная смарт-карта, и он знает уникальную последовательность вводимого кода. По числу параметров, которые подвергаются проверке, такая аутентификация носит имя двухфакторной.

Привести пример двухфакторной аутентификации в реальной жизни не так-то просто. Впрочем, примером является всё тот же паспорт, в котором имеется фотография его владельца, которую можно отнести к биометрическим данным, и уникальные сведения о нем. Зато в любимых с детства сказках примеров подобной аутентификации великое множество. Достаточно вспомнить Золушку, которую для принца сначала отыскали по потерянной ею на балу хрустальной туфельке, а уж потом принц опознал её, взглянув в лицо. Другим, не менее известным, примером является то, каким именно образом Коза-мать получала доступ в свою избушку. Чтобы отзыв был положительным, она должна была спеть конкретную песню, которую знали её козлята, и продемонстрировать при этом мелодичный голос. Применение пароля и биометрических данных налицо.

Итак, если говорить о недостатках и достоинствах представленных методов, то вот они:

Пароль

Все простейшие системы аутентификации используют именно парольный принцип. При этом пользователю достаточно просто знать пароль и правильно ввести его, чтобы получить беспрепятственный доступ к ресурсу, который ему нужен. Поэтому парольная аутентификация является наиболее часто используемой.

Единственным достоинством этого метода является его простота. Этот фактор и то, что метод пароля используется очень давно, появившись раньше, чем все прочие методы, позволяет применять его в большом количестве разнообразных компьютерных программ.

Достоинства этого метода на этом завершились, зато его недостатки перечислить гораздо сложнее.

• Пользователи, благодаря собственной неискушенности, часто применяют пароли, которые можно легко и просто угадать. Чаще всего используется пароль в виде производной от идентификатора клиента. Иногда это и сам идентификатор, что очень предсказуемо. Пользователи берут в качестве пароля кличку своей собаки, имя собственного созданного сайта, название хоккейной команды, за которую болеют, фразу, которая является часто употребимой. Вскрыть подобный пароль умелому злоумышленнику не составляет труда. Есть список общеупотребимых фраз, слов и словосочетаний. Такие списки публикуются в общедоступной литературе, которую читают не только законопослушные граждане. Слишком короткие пароли легко подобрать.
• Пароль может быть попросту перехвачен или подсмотрен в процессе его ввода.
• Пароль можно просто выбить из владельца. Ведь иногда для получения доступа к важным сведениям могут применить и насилие.
• Самый простой способ узнать у пользователя его пароль – это притвориться администратором системы и связаться с пользователем. Тот сам легко и непринужденно откроет лже-администратору все свои секреты. Фишинг – последнее достижение лиходеев на этом поприще. Пользователь обманным путём завлекается на веб-страницу, которая является полной имитацией известной ему страницы разработанного сайта его банка, например. На этой странице он сам вводит все данные своей кредитной карты, чем и открывает мошенникам полный доступ к финансовым средствами, которые на ней находятся. Кстати, для предотвращения неприятностей такого рода и существует взаимная аутентификация, когда не только сервер убеждается в подлинности пользователя, который хочет получить доступ, но и пользователь имеет возможность удостовериться в том, что сервер, на который он попал, является именно тем, куда он и хотел отправиться.

Технический прогресс не остановился и в отношении парольной аутентификации. Простота и удобство применения пароля – факторы, которые играют заметную роль, и их наличие хотелось бы сохранить. Поэтому попытки организовать на основе пароля сильную аутентификацию и по сей день не прекращаются.

Разработаны пароли, которые генерируются при помощи специальных программ и аппаратуры. Она неуязвимы для таких вариантов подбора, как словарные атаки. В результате этих усилий возникают очень сложные пароли, которые невозможно разгадать и… запомнить. Пользователи попросту записывают их на бумажку, которую прикрепляет на монитор. О какой секретности может идти речь?

Есть специальные системы, которые обладают особым порядком включения пароля, если пользователь вводит его под принуждением. При этом пользователь применяет определенный пароль, если входит в систему не под давлением. Если же он вынужден войти в систему в силу ряда внешних обстоятельств, он вводит другой пароль, который ему выдается именно на такой случай. Модуль аутентификации получает сигнал о том, что пользователя принуждают к доступу в систему. Существуют специальные программы прозрачного шифрования, которые в этом случае показывают пользователю дезинформацию, которую он сам для такого случая сформировал.

Такая система делает работу под паролем безопаснее, но лишает её единственного преимущества – простоты и доступности.