Uwierzytelnianie Przekierowano ze strony: Authentication ang. authentication

Uwierzytelnianie (niepoprawnie autentykacja) – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych.

Spis treści

Podstawy

  • Definicje pojęć uwierzytelnienie i autoryzacja znajdują się w podstawowej normie kryptograficznej ISO/IEC CD 9798-1, do której odwołują się algorytmy uwierzytelniania i autoryzacji.
  • Uwierzytelnienie następuje po identyfikacji, czyli zadeklarowaniu swojej tożsamości przez użytkownika (np. przez podanie loginu). Zadeklarowana, ale jeszcze niezweryfikowana, tożsamość jest potwierdzana w procesie uwierzytelnienia (np. przez podanie hasła).
  • Uwierzytelnianie odbywa się w oparciu o tzw. wiedzę uwierzytelniającego się podmiotu (potocznie: „co wiesz”). Wiedzą tą może być hasło (np. login i hasło, do tej pory wykorzystywane są do logowania się do systemów operacyjnych komputerów i serwisów internetowych).
  • Coraz częściej systemy i serwisy internetowe oferują uwierzytelnianie dwuetapowe, czyli oprócz loginu należy posiadać wiedzę o dwóch czynnikach uwierzytelniających. Przykładem może być platforma gier Battle.net i usługa poczty Gmail, w której możemy włączyć weryfikację dwuetapową. W Gmail kod weryfikacyjny otrzymujemy przez SMS lub przez specjalną aplikację Google Authenticator generującą kody na telefonie.
  • Z uwierzytelnianiem związane jest pojęcie serwera uwierzytelniania.
  • Uwierzytelnianie często ma miejsce przed procesem autoryzacji.


Uwierzytelnianie dwuetapowe

"Co masz"

Rozwój kryptografii i metod uwierzytelnienia doprowadził do rozszerzenia uwierzytelnienia o posiadany element uwierzytelniania (np. token/klucz, czyli tzw. „co masz”). Jest to system spotykany na przykład w bankach – podajemy numer wygenerowany przez token i PIN. Jeśli ktoś podsłucha hasło to i tak nie będzie mógł wygenerować kolejnego numeru identycznego z naszym tokenem. Jeśli ktoś skradnie nasz token to i tak nie zna hasła. Musiałby podsłuchać hasło i skraść token, co jest już dużo trudniejsze i mniej prawdopodobne.Przykłady:
  • Oparte na dowodzie posiadania klucza prywatnego z użyciem kryptografii asymetrycznej (klucze w SSH, certyfikaty). Serwer dysponuje kluczem publicznym klienta. Za pomocą tego klucza, szyfruje pakiet danych i wysyła klientowi. Jeśli ten potrafi rozszyfrować, to znaczy, że dysponuje kluczem prywatnym, czyli że jest tym, za kogo się podaje. Często klucz prywatny znajduje się na karcie elektronicznej, która jest zabezpieczona pinem.
  • Hasła jednorazowe
  • Tokeny

"Kim jesteś"

Zabezpieczenie biometryczne (np. odcisk palca, potocznie: „kim jesteś”), jednak z kryptograficznego punktu widzenia jest to odmiana zabezpieczenia „co masz”.

  • Oparte na biometrycznych cechach człowieka (np. odciski palców, kształt dłoni, wygląd tęczówki oka, rysy twarzy, głos), które pobierane są przez odpowiedni czytnik i porównywane z bazą danych.


Zobacz też

Bibliografia

Uwierzytelnianie na Wikipedia pl

Authentication na Wikipedia en
ostatnia modyfikacja 27 października 2015 r.