ECDL moduł1-Tożsamość Autoryzacja
Uwierzytelnianie, Autoryzacja
Tożsamość – bycie tym samym człowiekiem (tą samą osobą), bycie sobą, bycie tym za kogo się podajemy. Dokumentem stwierdzającym tożsamość jest dokument tożsamości [1].
Uwierzytelnianie (ang. authentication, niepoprawnie autentykacja) – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych. Uwierzytelnienie następuje po identyfikacji, czyli zadeklarowaniu swojej tożsamości przez użytkownika (np. przez podanie loginu). Zadeklarowana, ale jeszcze niezweryfikowana, tożsamość jest potwierdzana w procesie uwierzytelnienia (np. przez podanie hasła).
Często spotykane metody uwierzytelniania:
- Hasła statyczne.
- Oparte o dowód posiadania klucza prywatnego z użyciem kryptografii asymetrycznej (klucze w SSH, certyfikaty). Serwer dysponuje kluczem publicznym klienta. Za pomocą tego klucza, szyfruje pakiet danych i wysyła klientowi. Jeśli ten potrafi rozszyfrować, to znaczy, że dysponuje kluczem prywatnym, czyli że jest tym, za kogo się podaje.
- Hasła jednorazowe.
- Tokeny.
- Oparte o biometryczne cechy człowieka (np. odciski palców, kształt dłoni, wygląd tęczówki oka), które pobierane są przez odpowiedni czytnik i porównywane z bazą danych.
Uwierzytelnianie często ma miejsce przed procesem autoryzacji [2].
Najprościej ujmując uwierzytelnienie to sprawdzeniu tożsamości użytkownika.
Autoryzacja (ang.) authorization, także kontrola dostępu (ang.) access control – funkcja bezpieczeństwa, która potwierdza, czy dany podmiot jest uprawniony do korzystania z żądanego zasobu. Dla określenia uprawnień danego podmiotu konieczne jest najpierw stwierdzenie jego tożsamości, dlatego w typowym zastosowaniu autoryzacja następuje dopiero po potwierdzeniu tożsamości podmiotu za pomocą identyfikacji i uwierzytelnienia.
Najprościej ujmując autoryzacja to sprawdzenie czy użytkownik ma prawo dostępu do usług czy zasobów.
Autoryzacja może przybierać bardzo różne formy, w zależności od konkretnego zastosowania.
- System operacyjny sprawdza uprawnienia zalogowanego (uwierzytelnionego) użytkownika do pliku na podstawie jego atrybutów w systemie plików.
- Użytkownik bankowości internetowej, który zalogował się (uwierzytelnił) za pomocą loginu i hasła autoryzuje przelew za pomocą podpisu cyfrowego składanego za pomocą hasła jednorazowego.
- ZUS uwierzytelnia deklaracje płatników za pomocą podpisu elektronicznego (planowano także autoryzację prawa osób do reprezentowania poszczególnych podmiotów za pomocą certyfikatów atrybutów)
- Zapora sieciowa równocześnie uwierzytelnia i autoryzuje dostęp do portu serwera na podstawie adresu IP klienta [3].
Zabezpieczanie hasłem - dobre praktyki
- Hasła nie udostępniamy nikomu.
- Nie używamy tego samego hasła. Jeśli masz na kilku kontach to samo hasło (poczta, gadu-gadu, allegro, facebook, nasza-klasa, bank) to zmniejszasz tym samym zabezpieczenie tym kont.
- Hasła należy okresowo zmieniać (w sieci istnieją programy szpiegujące, które potrafią przechwytywać hasła).
- Hasło nie może być krótkie oraz zawierać wyłącznie liter alfabetu, nie może być słownikowe (np. wakacje). Istnieją programy łamiące hasła metodą słownikową (podkładają wszystkie możliwe słowa ze słownika).
- Nigdy w haśle nie używaj swojego imienia, imienia żony, męża, dzieci, pasa, chomika, daty urodzenie, ślubu, liczb związanych z wiekiem, słów kojarzących się z Tobą, twoimi zainteresowaniami.
- Hasło musi mieć odpowiednią długość, musi zawierać małe i duże litery, cyfry oraz pozostałe znaki dostępne na klawiaturze (nie złamie się takiego hasła metodą słownikową ewentualnie metodą brute-force, która to jednak wymaga dużo czasu oraz nieudolnego administratora serwera).
- Istnieją generatory trudnych haseł, ale problem w tym, że hasło 1!we.?UsGniY76.496q może być trudne do zapamiętania. Może to spowodować,że część pracowników zapisze hasło na kartce i przyklei do monitora. Skutek takiego działania będzie odwrotny od zamierzonego.