СРАВНЕНИЕ МЕТОДОВ АУТЕНТИФИКАЦИИ НА ВЕБ-РЕСУРСАХ Текст научной статьи по специальности «Компьютерные и информационные науки»

 СРАВНЕНИЕ МЕТОДОВ АУТЕНТИФИКАЦИИ

НА ВЕБ-РЕСУРСАХ

А. Ш. Баракова1,2, О. А. Усатова 2,3

1

Казахский национальный университет имени Аль-Фараби

050040, Алматы, Республика Казахстан

2Институт информационных и вычислительных технологий

050010, Алматы, Республика Казахстан

3Алматинский университет энергетики и телекоммуникаций

050013, Республика Казахстан, г. Алматы

УДК 004-9

DOI: 10.24412/cl-35066-023-1-03-09

В наши дни веб‐ресурсы хранят и обрабатывают много ценной информации. Конфиденци-

альные данные и личные страницы должны быть защищены в соответствии с бизнес-про-

цессами. Чтобы реализовать это требование и ограничить количество людей, имеющих до-

ступ к ресурсам с ограниченным доступом, вам необходимо настроить надлежащую аутен-

тификацию на веб-сайте. К сожалению, аутентификация часто реализуется неправильно,

что приводит к утечке информации. Часто веб-сайты защищены только паролем и исполь-

зуют другие простые методы. В статье рассматриваются различные варианты сравнения ме-

тоды аутентификации, использующие как простые, так и продвинутые подходы, включая

криптографию и биометрию. Более того, авторы приводят сравнительный анализ различных

параметров подхода. Анализируются удобство использования, производительность, без-

опасность и другие особенности методов. Найдены наиболее удобные в использовании, про-

стые в реализации и наиболее безопасные методы. Делается вывод о наиболее подходящих

областях применения каждого метода на ресурсе World Wide Web. Возможные комбинации

подходов и тенденция их дальнейшего внедрения также обсуждаются. Для проверки выво-

дов проведен анализ отечественных и зарубежных литературных источников, научных ста-

тей и публикаций по нашей теме. Этот путь должен основываться на совершенствовании и

унификации существующих подходов и разработке новых оригинальных алгоритмов. В ре-

зультате делается вывод о том, что дальнейшие улучшения в тенденциях происходят в об-

ласти гибридных систем.

Ключевые слова: веб-ресурсы, криптография, аутентификация, патенты, биометрия,

динамические пароли, пароли доступа, токен.

Введение

В работе обсуждаются современные методы веб-аутентификации. Целью данного ис-

следования является сравнительный анализ существующих методов, подтверждающих до-

ступность. Этот вопрос актуален, поскольку наиболее распространенные в настоящее время

подходы и алгоритмы, такие как аутентификация по паролю, недостаточно безопасны [1].

Для обеспечения конфиденциальности информации необходимо ограничить доступ к

ней. Для достижения этих целей обычно используются процедуры идентификации и аутен-

тификации.

Идентификация – это процедура распознавания субъекта по его идентификатору. Иден-

тичность равнозначна привязке к знанию конкретной части данных.

4 Проблемы оптимизации сложных систем – 2023

Аутентификация (подтверждение) – это процедура проверки, является ли субъект тем

человеком, за которого он пытается себя выдать.

Как правило, аутентификация основана на секретной информации. Таким образом,

идентификация – это просто поиск идентификатора в базе данных пользователя, тогда как

аутентификация – это проверка соответствия между субъектом и идентификатором. Чтобы

подтвердить свою личность, субъект должен предъявить нечто, называемое фактором аутен-

тификации.

Существует четыре основных фактора аутентификации:

1) У субъекта есть что-то (жетон, документ, другая материальная вещь и т. д.);

2) Субъект что-то знает (пароль, логин, ответ на вопрос и т. д.);

3) Субъект обладает определенной

биологической особенностью (отпеча-

ток пальца, структура ДНК и т. д.);

4) Субъект находится в определен-

ном местоположении (IP-адрес, дру-

гие данные о местоположении и т. д.).

1 Аутентификация во Всемирной

паутине

Существует значительное количе-

ство различных методов и способов

подтверждения доступа на всемирная

компьютерная сеть. Общий алгоритм

аутентификации, включая алгоритмы

многофакторной аутентификации, мо-

жет быть сведен к следующей после-

довательности действий (рис. 1): поль-

Рис. 1 – Процедура аутентификации пользователя зователь вводит предварительно вы-

данный идентификатор, система проверяет соответствие введенного идентификатора сохра-

ненному в пределах допустимого количества попыток и затем переходит непосредственно

к процедуре аутентификации. Если введенные и сохраненные данные совпадают, пользова-

тель получает доступ права, в противном случае он получит уведомление об ошибке [3] Се-

годня аутентификация по паролю является наиболее распространенным методом, главным

образом из-за главного преимущества - простоты приложения. Однако аутентификация по

паролю имеет много недостатков. В настоящее время существует множество других мето-

дов, которые пытаются заменить его. Процедуры аутентификации во Всемирной паутине

позволяют ограничить доступ к веб-ресурсу от спама и автоматических посещений [2], а

также контролировать поведение пользователей на веб-сайте

2 Метод аутентификации

Мы выделяем несколько основных групп методов сравнительного анализа. Следует от-

метить, что каждая группа может иметь различные реализации, которые отличаются друг от

друга конкретными характеристиками, а также сильными и слабыми сторонами. В данном

исследовании сравнение проводится исключительно в рамках группы заданных усреднен-

ных параметров, поскольку сравнение конкретных реализаций не имеет никакой практиче-

ской ценности из-за быстрых изменений и устаревания таких решений. Однако

А. Ш. Бар акова, О. А. Усатова 5

характеристики и тенденции групп, как правило, остаются неизменными. Нет никаких со-

мнений в том, что самым популярным и простым методом является аутентификация по па-

ролю. Он используется в социальных сетях, платежных системах, на форумах и веб-ресур-

сах, содержащих персональные данные. Пароль означает специальную кодовую фразу или

набор фраз для каждого ресурса. Развитием этого метода является создание графических

паролей, основанных на вводе определенного нетекстового контента. Преимущества этих

методов заключаются в упрощении запоминания таких элементов кода. Следующая

группа – это методы, которые используют одноразовые динамический пароль, например

GrIDsure [3]. Они требуют дополнительных действий пользователя, но усиливают защиту

от атак, основанных на повторении пароля. Обычно используемыми методами также явля-

ются методы, основанные на аутентификации через сторонний ресурс или децентрализован-

ную аутентификацию, например, OpenID [4] и OAuth [5]. Токены – это следующая категория

методов, которая включает в себя механизмы аутентификации с использованием сторонних

программных и аппаратных токенов. Методы многофакторной аутентификации представ-

ляют собой отдельную категорию, к которой относятся, например, устройства с кодом под-

тверждения по SMS [6]. Отдельно выделяются криптографические методы аутентификации,

включая способы от использования сертификатов до стеганографических подходов [7]. По-

следняя категория включает в себя методы биометрической аутентификации на веб-ресурсе,

например, голосовое подтверждение или методы, основанные на характеристиках пользо-

вательского ввода

3 Сравнительные характеристики рассматриваемых подходов

Сравнение проводится по трем основным группам характеристик: простота приложе-

ния, сложность реализации и решения для обеспечения безопасности. В табл . 1–3 и на рис. 1

обозначены наихудшие эксплуатационные характеристики, 2 – средние, 3 – высокие. Пер-

вая группа включает в себя несколько препятствий, связанных с запоминанием значения

кода, необходимостью использования вспомогательных устройств, выполнением дополни-

тельных действий, а также сложностью разработки метода, средним временем аутентифи-

кации, частотой ошибок и сложностью восстановления аутентификатора в случае его потери

(см. табл. 1).

Таблица 1 – Сравнение методов аутентификации в зависимости от простоты приложения

для пользователя

Вспоми- Вспомога- Дейст- Лег- Время Ошибки Восста-

нание тельное вия кость новление

устройство

Пароли 1 3 2 3 3 2 3

Сторонний источник 2 3 3 3 3 3 2

Графические пароли 1 1 2 3 3 2 3

Динамические 1 3 2 3 3 2 2

пароли

Токены 3 1 1 2 2 3 1

Многомерный 1 1 1 2 2 2 1

Криптография 3 1 1 1 1 2 1

Биометрия 3 3 2 2 2 2 1

6 Проблемы оптимизации сложных систем – 2023

Таблица 2 – Сравнение методов аутентификации по простоте реализации для пользователя

Доступность Стоимость Серверная среда Клиентская среда

Пароли 3 3 3 3

Сторонний источник 3 3 1 3

Графические пароли 1 3 1 3

Динамические пароли 2 3 2 2

Токены 1 1 1 2

Многомерный 2 2 2 2

Криптография 1 1 1 2

Биометрия 1 1 1 1

Таблица 3. Сравнение методов аутентификации в рамках обеспечения

безопасности передаваемых данных

Атаки грубой Наблюдение Косвенный Фишинг Кража

силой взлом

Пароли 1 1 1 1 3

Сторонний источник 2 2 3 3 3

Графические пароли 1 1 2 2 3

Динамические 2 3 2 2 3

пароли

Токены 3 3 3 3 2

Многомерный 1 1 3 3 2

Криптография 3 3 3 3 3

Биометрия 3 3 1 1 3

Общие характеристики применения:

– Запоминание означает, что пользователь должен запомнить специальную информа-

цию, чтобы получить доступ к системе. При использовании биометрии нет необходимости

в информации или пароле, в то время как для динамических паролей приходится запоминать

много информации для каждого веб-ресурса;

– Вспомогательное устройство – это характеристика, которая демонстрирует, что вы

должны хранить специальное устройство или токен для выполнения процедуры аутентифи-

кации. Например, для использования пароля устройство не требуется, в то время как для

криптографии обычно требуется аппаратный токен;

– Выполнение действия – это характеристика, которая иллюстрирует необходимость

выполнения дополнительных действий для получения доступа к веб-сайту, таких как набор

текста, вставка токена или генерация временного одноразового пароля;

– Легкость – это простота технологии, понимание этапов использования и действий на

случай ошибки;

– Время – количество временных ресурсов, затрачиваемых на процесс аутентификации.

Если вам нужно ввести всего несколько букв, то процесс прост. Однако некоторые методы

требуют сложных действий, регистрации, ввода капчи и даже вычислений.

– Восстановление означает сложность смены аутентификатора. Эта процедура важна,

если вы забыли пароль от своей учетной записи или потеряли токен. Некоторые методы

аутентификации требуют простых действий, например сгенерировать новый секретный код

и подтвердить свою личность по другому каналу (телефон, учетная запись электронной

А. Ш. Бар акова, О. А. Усатова 7

почты). Некоторые методы требуют сложных действий (купите новый аппаратный токен,

покажите свои документы или ответьте на вопросы оператора).

Общие характеристики сложности реализации:

– Доступность информации означает обеспечение того, чтобы пользователи могли по-

лучить доступ к аутентифицированному – услуги связи, когда они в них нуждаются, и по-

лучают дальнейший доступ;

– Стоимость включает внедрение, эксплуатацию, ремонт и техническое обслуживание

компонента аутентификации и связанных с ним компьютерных систем;

– Серверная среда и клиентская среда определяют требования, сложность внедрения и

поддержку системы и связанных с ней сервисов. Некоторые из методов могут быть реали-

зованы без сложного окружения, например для них может потребоваться только плагин для

веб-фреймворка. Тем не менее некоторые методы требуют использования сторонних ресур-

сов, установки плагинов, поддержки новых протоколов и стандартов и даже дорогостоящих

программных систем;

– Собственность означает, что вы можете использовать этот метод для любых целей без

необходимости платить кому-либо еще. Если технология открыта и вам не нужно покупать

никаких лицензий, то это также минимизирует стоимость системы. Характеристики без-

опасности включают устойчивость системы к различным видам атак. Мы анализируем

наиболее распространенные из них и сравниваем методы аутентификации по их стойкости.

Общие характеристики безопасности:

– При атаке методом перебора используется автоматизированное программное обеспе-

чение для генерации большого количества последовательных предположений относительно

значения желаемых данных;

– Атака с целью наблюдения может быть осуществлена либо с более близкого расстоя-

ния, если смотреть непосредственно через плечо жертвы, либо с более дальнего расстояния,

используя бинокль или камеры и другие устройства;

– Косвенный взлом – это процедура, при которой пользователь полагается на доверен-

ную третью сторону, которая может подвергнуться атаке;

– Фишинг – это попытка получить конфиденциальную информацию, такую как имена

пользователей, пароли, данные кредитной карты (и, косвенно, деньги), часто по злонаме-

ренным причинам, маскируя заслуживающее доверия лицо в электронных сообщениях;

– Кража означает, что схема использует физический объект для аутентификации, кото-

рый может быть украден и использован для дальнейшей аутентификации другого лица.

Стоит отметить, что мы проанализировали различные реальные схемы и методы с прак-

тической реализацией, и этот сравнительный анализ основан на средней оценке этих систем.

Некоторые из них могут иметь разные метки и значения. Информация в табл. 1–3 иллю-

стрирует текущее общее состояние характеристик. Вторая группа включает характеристики

доступности метода, затрат и требуемых улучшений для серверной и клиентской архитек-

туры, а также собственный метод (см. табл. 2). Третья группа фокусируется на устойчивости

метода к атакам методом грубой силы, целевому и нецелевому мониторингу, атакам путем

косвенного взлома, фишинговым атакам и краже (см. табл. 3).

4 Результаты

Очевидно, что аутентификация по паролю является наиболее простой в реализации, но

в то же время она небезопасна и требует запоминания паролей. Сторонние методы

8 Проблемы оптимизации сложных систем – 2023

аутентификации очень удобны для пользователей, но требуют сложных настроек сервера

[8]. Более того, их безопасность зависит от безопасности поставщика услуг. Графические и

динамические пароли позволяют несколько повысить защиту от различных типов угроз, од-

нако предъявляют дополнительные требования к серверам и усложняет использование поль-

зователями клиенты. Методы защиты с помощью токенов относительно безопасны, но они

требуют аппаратных настроек, а также часто являются проприетарными и стоят дорого.

Двухфакторная аутентификация через мобильное устройство немного снижает удобство ис-

пользования, но резко повышает безопасность.

Сравнение методов аутентификации на веб-ресурсах с несколькими типами атак. Од-

нако это требует дополнительных действий от пользователей и приводит к необходимости

усовершенствования сложной серверной архитектуры.

Криптография и биометрия являются наиболее безопасными подходами, но они непро-

сты в использовании и имеют худшую сложность реализации, чем другие методы [9].

Заключение

В результате был сделан вывод о том, что тема методов веб-аутентификации является

актуальной. Сделан вывод о наиболее перспективных областях применения методов аутен-

тификации. Наиболее удобной в использовании является сторонняя аутентификация, самой

простой в реализации является аутентификация по паролю, а наиболее безопасными мето-

дами являются криптография и биометрия.

Мы наблюдали увеличение числа запатентованных зарубежных методов и исследова-

ний. Было принято во внимание, что количество отечественных разработок относительно

невелико, что указывает на высокую перспективу дальнейших исследований. Из-за ограни-

чений в функциональных методах аутентификации в будущем их разработка может быть

основана на реализации криптографических подходов. Это приводит к высокому спросу на

разработку новых методов, основанных на сочетании различных подходов, и разработку

оригинальных алгоритмов с использованием криптографии.

Список литературы

1. Бонно Дж. и др. Поиски замены паролей: основа для сравнительной оценки схем веб-

аутентификации // Труды симпозиума IEEE по безопасности и конфиденциальности-2012.

2. Менщиков А. А., Гатчин Ю. А. Методы обнаружения для автоматизированного сбора

данных на веб-ресурсах // Кибернет. Программа. 2015. № 5. С. 136– 157.

3. Сетевая аутентификация. Режим доступа: https://safenet.gemalto.com/multi-factor

аутентификация/аутентификаторы/grid-аутентификация бесплатно. Дата обращения

20.07.2023.

4. Лю З., Гупта Б. Исследование защищенной полнофункциональной веб-разработки //

Материалы 34-й Международной конференции по компьютерам и их приложениям. 2019.

Т. 58. С. 317–324. doi: 10.29007/jpj6.

5. Этельберт О., Могаддам Ф. Ф., Видер П., Яхьяпур Р. A JSON Аутентификация на ос-

нове токенов и схема управления доступом для облачных SaaS-приложений // Труды 5-й

Междунар. конф. IEEE 2017 по будущему интернету вещей и облаку (FiCloud), Прага, 2017.

С. 47–53. doi: 10.1109/FiCloud.2017.29.

А. Ш. Баракова1,2, О. А. Усатова 2,3 9

6. Хонг Н., Ким М., Джун М., Кан Дж. Исследование схемы аутентификации пользова-

телей на основе JWT и оценки API с использованием IMEI в среде "умного дома" // Журнал

устойчивого развития. 2017. Т. 9, № 7.

7. Джонс М., Брэдли Дж., Сакимура Н. Веб-токен JSON (JWT) RFC 7519. URL:

http://www.rfc-editor.org/rfc/rfc7519.txt.

8. Юань X., Боркор Э., Бил С., Х. Ю. Извлечение соответствующих шаблонов атак

CAPEC для разработки защищенного программного обеспечения // Материалы 9-й Ежегод-

ной конференции по исследованию кибербезопасности и информационной безопасности

(CISR '14), ACM. 2014. С. 33–36. doi: https://doi.org/10.1145/2602087.2602092.

9. Яноки Л. В., Левендовский Дж., Эклер П. Анализ механизмов отзыва веб-токенов

JSON // Международный журнал распределенных сенсорных сетей. 2018. Т. 14. doi:

https://doi.org/10.1177/1550147718801535.

Баракова Алия Шаризатовна – докторант

Казахского национального университета им . Аль-Фараби; Институт информационных и

вычислительных технологий;email: balia_79@mail.ru;

Усатова Ольга Александровна –

PhD Алматинского университета энергетики и телекоммуникаций,Институт

информационных и вычислительных технологий, email: uoa_olga@mail.ru