​ веб-приложений имеют низкий уровень защищенности, и за весь 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми


Download 178.82 Kb.
bet2/3
Sana28.09.2023
Hajmi178.82 Kb.
#1689055
1   2   3
Bog'liq
Документ Microsoft Word (2)

Секрет

Факторы

Затраты на

Уровень




аутентификации

реализацию

защищенности

Долговременный

Фактор знания

Очень

Низкий

пароль




низкие




Одноразовый пароль,

Фактор владения

Средние

Средний

полученный по SMS










Долговременный

Фактор знания и

Средние

Высокий

пароль и одноразовый

фактор владения







пароль, полученный










по SMS










Отпечаток пальца

Фактор свойства

Высокие

Высокий




субъекта







Отпечаток пальца и

Фактор владения и

Высокие

Очень

одноразовый пароль,

фактор свойства




высокий

полученный по SMS

субъекта







Примерами реализации фактора владения может являться одноразовый пароль, полученный по SMS на мобильное устройство или по email. Также для генерации одноразовых паролей используется алгоритм защищенной аутентификации TOTP(Time-based One-Time Password Algorithm) [13] – алгоритм односторонней аутентификации, в котором генерация одноразового пароля происходит на основе времени, при этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами, например, 30 секунд. Такое решение может быть разработано с помощью приложения Google Authenticator[4].


1.2.3 Сравнение способов аутентификации

Анализ способов аутентификации, приведенный в таблице 1, позволяет сравнивать выбор способа по уровню защищенности и по затратам на реализацию. Одним из наиболее безопасных решений является использование аппаратного криптографического токена или аутентификации по биометрическим данным (по отпечатку пальца, по сетчатке глаза). Однако реализация некоторых решений этого класса связана с высоким уровнем затрат и не получила широкого распространения. Самым высоконадежным и одновременно низко затратным способом аутентификации, используемым в веб-приложениях является аутентификация с помощью комбинации


долговременного и одноразового паролей.


1.3 Типы идентификаторов
1.3.1 Cookie
После успешного прохождения аутентификации на клиентскую часть отправляется идентификатор сессии клиента – фрагмент данных. Клиентская часть в каждом запросе на сервер будет отправлять идентификатор для аутентификации и авторизации в системе.
Одним из типов идентификатора является Cookie [14] - небольшой фрагмент данных, отправленный сервером и хранимый на компьютере пользователя. Клиент (веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных серверу в составе HTTP-запроса. Применяется для сохранения данных на стороне пользователя, в том числе аутентификационных данных.
Cookie каждого аутентифицированного субъекта сохраняются на серверной части системы (обычно в базе данных) и проверяются на соответствие при поступлении запроса. При неправильной настройке аутентификация с помощью Cookie имеет следующие недостатки:
1. Подвержены атаке XSS [9]: если система имеет XSS-уязвимость, то злоумышленник сможет украсть Cookie.
2. Подвержены атаке CSRF [11]: злоумышленник может инициировать действия от имени пользователя, не крадя Cookie.
1.3.2 Токен
Токен - фрагмент данных, который создаётся сервером и передаётся
клиенту, который в дальнейшем использует данный токен для подтверждения своей личности. Токен может содержать данные о субъекте, которые могут быть зашифрованы, а также криптографическую подпись сервера для проверки целостности. Данный подход имеет следующие недостатки:

1. Подвержен атаке XSS.


1.3.3 Сравнение типов идентификаторов
При реализации идентификатора типа токен в него могут быть записаны вспомогательные данные, как для клиентской части, так и для серверной. Однако, на клиентской части токен сохраняется в не защищенном хранилище в браузере, когда Cookie могут быть защищены от чтения из клиентской части приложения специальными флагами, что снижает риск утечки идентификатора,
и в то же время исключает возможность добавления в идентификатор дополнительных данных.

Download 178.82 Kb.

Do'stlaringiz bilan baham:
1   2   3




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling