веб-приложений имеют низкий уровень защищенности, и за весь 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми
Download 178.82 Kb.
|
Документ Microsoft Word (2)
|
На сегодняшний день в мире идет стремительное развитие IT-технологий, создаются автоматизированные приложения в различных сферах жизнедеятельности человека: государственные услуги, медицинские учреждения, банковский сектор. Работа этих приложений невозможна без системы безопасности и контроля доступа, то есть системы аутентификации. Зачастую разработанная система контроля доступа не обеспечивает заявленных свойств безопасности. Даже во многих крупных международных компаниях не уделяют пристального внимания корректной разработке системы безопасности сервиса. Чаще всего это связано с тем, что требования к безопасности учитываются не на этапе создания технического задания, а на этапе разработки, поэтому не все механизмы защиты могут быть реализованы. Однако в последнее время проектирование средств безопасности происходит до этапа разработки сервиса. Например, по исследованиям компании Positive Technologies в 2018 году был сделан вывод о том, что большинство веб-приложений имеют низкий уровень защищенности, и за весь 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми, то есть были направлены непосредственно на получение финансовой выгоды [12]. А по исследованиям открытого проекта обеспечения безопасности веб-приложений OWASP в 2017, как и в 2013 году, угроза системе аутентификации находится на втором месте в списке наиболее критических угроз безопасности для веб-приложений [8]. А когда сервис подвергается рискам, то он может понести материальные потери. Корректное функционирование приложений невозможно без аутентификации сторон, поэтому в приложениях используют различные механизмы аутентификации, но они не всегда являются гарантом защиты. Один из механизмов защиты приложения связан с использованием надежных систем аутентификации и авторизации. Первым этапом взаимодействия является этап аутентификации,то есть предоставления субъектом аутентификационных данных, например, логин и пароль. Если данные верны, то система аутентификации и авторизации генерирует идентификатор сессии и отправляет на клиентскую часть, как изображено на рисунке 1. Рисунок 1 - Аутентификация с верными аутентификационные данными. Если аутентификационные данные неверны, то система аутентификации авторизации возвращает ответ с ошибкой на клиентскую часть, что изображено на рисунке 2. Рисунок 2 - Аутентификация с неверными аутентификационными данными. 1.1.2 Обмен данными Следующим этапом взаимодействия с системой является этап обмена данными между клиентской и серверной частью. К каждому запросу на серверную часть клиентская часть прикрепляет идентификатор сессии, а серверная часть его проверяет, и, если идентификатор действителен, то система аутентификации и авторизации предоставляет доступ к контроллерам серверной части. Схема работы изображена на рисунке 3. Рисунок 3 - Обмен данными с верным идентификатором сессии. Если идентификатор не действителен, то доступ не предоставляется, и система аутентификации и авторизации возвращает ответ с ошибкой на клиентскую часть, что представлено на рисунке 4. 1.1.3 Выход из системы Третьим этапом является этап выхода из системы, когда субъект инициирует запрос на выход, прикрепляя свой идентификатор сессии, а система аутентификации и авторизации производит удаление идентификатора из списка действительных идентификаторов. 1.2 Способы аутентификации 1.2.1 Однофакторная аутентификация Аутентификацияпользователя – это проверка, действительно ли проверяемый пользователь является тем, за кого он себя выдает. Различные методы аутентификации необходимы во всех системах ограничения и разграничения доступа к данным. Для корректной аутентификации пользователя необходимо, чтобы пользователь предъявил аутентификационную информацию – некую уникальную информацию, которой должен обладать только он и никто иной. Существует три основных фактора аутентификационной информации: Факторзнания.Это означает, что только авторизованный субъект обладает тайными сведениями, например, знание долговременного пароля или Факторвладения.Субъект обладает предметом или устройством, которое позволяет аутентифицировать субъекта и которым не обладает никто другой, например, личная печать или пластиковая карта для доступа. Факторсвойствасубъекта. Здесь главную роль играет сам субъект, то есть только он сам как физический предмет обладает свойствами, необходимыми для аутентификации, например, отпечаток пальца или сетчатка глаза. Однофакторная аутентификация– аутентификация, в процессе которой используется один из ранее представленных факторов. 1.2.2 Многофакторная аутентификация Для современных решений аутентификации недостаточно проверки лишь одного фактора, так как доступ к нему может заполучить злоумышленник. Поэтому в реализации применяют механизмы многофакторной аутентификации или многофакторного контроля доступа [5], когда используют сразу несколько факторов аутентификации. При использовании нескольких факторов аутентификации уменьшается вероятность успешного прохождения атаки на систему аутентификации злоумышленником. Проводя аналогию с теорией вероятности, которая гласит, что вероятность нескольких независимых событий равна произведению вероятностей этих событий, можно полагать, что вероятность получения злоумышленником доступа ко всем используемым в системе факторам аутентификации есть произведение вероятностей получения доступа к каждому из факторов по отдельности, тем самым значительно уменьшается вероятность прохождения атаки на систему. При реализации каждого из факторов нужно учитывать как уровень риска, так и затраты на его реализацию. Например, для реализации фактора владения в виде аппаратного токена [15] потребуются большие вложения в систему аутентификации для обеспечения каждого субъекта таким устройством. В большинстве случаев по принципу разумной достаточности это нецелесообразно. В таблице 1 сопоставлено наличие факторов аутентификации уровню защищенности, а также пример реализации аутентификации. Таблица 1 - Примеры реализации способов аутентификации
Download 178.82 Kb. Do'stlaringiz bilan baham: 
|