Identyfikacja użytkownika
ITpedia
Do uwierzytelniania użytkownika stosuje się programowe lub układowe karty uwierzytelniające, przygotowujące odzewy na wezwania kryptograficzne wydawane z serwera ochrony. Po zainicjowaniu logowania do sieci i po podaniu swojego identyfikatora i hasła otrzymuje się w odpowiedzi ciąg cyfr. Jeżeli użytkownik ma układową kartę uwierzytelniającą, wprowadza do niej ten ciąg cyfr i swój numer identyfikacyjny - PIN (Personal Identification Number). Karta, stosując tajny algorytm i klucz, tworzy coś, co jest w istocie jednorazowym, niepowtarzalnym hasłem sesyjnym, i następnie wyświetla je na ekranie LCD. To sesyjne hasło wprowadza się następnie do komputera i jeśli spełnia ono oczekiwania serwera ochrony, uzyskuje się dostęp do sieci.
Stosowanie układowych kart uwierzytelniających może być kłopotliwe, głównie dlatego, że trzeba obsługiwać dwa urządzenia wejścia: klawiaturę komputera i klawiaturę numeryczną karty, jak również dwa urządzenia wyświetlające: monitor komputera i wyświetlacz LCD karty.
Karty programowe są często wygodniejsze, ponieważ są to w istocie moduły programowe pracujące w drugim planie; obsługując je niekoniecznie trzeba wprowadzać coś więcej poza hasłem i numerem PIN. Programowa karta uwierzytelniająca odpowiada na wezwania kryptograficzne przesyłane z serwera ochrony (uwierzytelniania).
Pomimo że karty uwierzytelniające są produktami zaawansowanej technologii, są na tyle bezpieczne, na ile są chronione same i wprowadzane do nich hasło i PIN. Jeżeli używane są z przestrzeganiem elementarnych zasad bezpieczeństwa (nieujawnianie wprowadzanych haseł i PIN), to zapewniają bardzo dobre, matematycznie uzasadnione, zabezpieczenie użytkownika i informacji oraz zasobów sieciowych.
Niezawodną metodą identyfikacji jest porównywanie indywidualnych cech biometrycznych, takich jak odciski palców, głos lub obraz twarzy, z danymi wzorcowymi osób upoważnionych. Wzorce te są trudne do podrobienia lub skopiowania. Właściwe miejsce zastosowania metod opartych na danych biometrycznych to ochrona zasobów, do których dostęp mają tylko nieliczne osoby.
Wymiana informacji z karty uwierzytelniającej lub biometrycznej pomiędzy serwerem i klientem jest obsługiwana przez standardy SSO, takie jak RADIUS (Remote Authentication Dial-In User Service), TACACS (Terminal Access Control Access Control System) i Kerberos.
Serwer potwierdzający autentyczność w standardach RADIUS czy TACACS obsługuje zazwyczaj żądania wydawane przez oprogramowanie uwierzytelniające klienta, zainstalowanego na bramie lub punkcie wejściowym do sieci. Serwer ochrony (uwierzytelniający) utrzymuje bazę danych zawierającą identyfikatory, hasła, PINy i prywatne klucze użytkowników, używane w procedurze dopuszczania lub blokowania dostępu do sieci.
W przypadku kontroli dostępu do aplikacji wewnętrznych w sieciach korporacyjnych stosuje się takie techniki SSO, jak: Kerberos Open Software Foundation, Distributed Computing Environment, Secure European System for Applications in a Multivendor Environment lub Distributed Authentication Security Service. Standardy te pozwalają na wykonywanie procedury logowania spójnej dla wszystkich aplikacji, serwerów i baz danych.
