Následující kapitola diskutuje autentifikační mechanismy, seskupené do kategorií podle způsobů jmenovaných v úvodu předešlé kapitoly.
Biometrie je porovnávání anatomické, fyziologické a behaviorální charakteristiky osoby.
Biometrické autentifikační mechanizmy spadají do dvou základních kategorií:
Biometrické technologie je složité mezi sebou porovnávat. Každá z nich má různý rozsah přesnosti, spolehlivosti a použitelnosti. I přes těžkosti při jejich vzájemném porovnávání však je možno definovat, jakou váhu má přesnost proti použitelnosti apod. V případě použitelnosti je jednoduchou biometrickou metodou například rozpoznávání tváře. Naopak metody, které vyžadují natočení některé části těla k senzoru (rozpoznávání sítnice), a tedy jsou méně komfortní pro použití, dokážou produkovat mnohem přesnější výsledky.
Testování biometrie je komplikovaný proces, který vyžaduje objektivní porovnání. Biometrická autentifikace proto není jednoduchý proces typu ano/ne, ale zahrnuje komplikovanou statistickou analýzu údajů, získaných ze senzorů v reálném čase.
Na světě existuje několik soukromých i veřejných testovacích laboratoří, které prosazují nastavení standardů této oblasti, jako například National Institutes of Standards and technology (NIST) nebo The International Biometric Group [6].
V tomto případě jde o generování náhodných sekvencí znaků nebo čísel, které jsou nazývané heslem (pokud jde o slovo), PINem (pokud jde o číselné vyjádření) nebo tzv. frází (passphrase; pokud jde o více jako jedno slovo). Hesla však mohou mít podobu sémantického tvaru.
Typy hesel:
Idea grafické autentifikace je založená na vizuální paměti uživatele. Vědecké studie poukazují na fakt, že lidská bytost má obrovské a prakticky neomezené možnosti pamatovat si obrázky [9].
Grafické kódy si získávají na popularitě hlavně v případě mobilních technologií, např. pro odblokování mobilního telefonu. Existují dva hlavní principy:
Autentifikace může být založená na něčem, co uživatel vlastní. Tímto objektem je tzv. token. Dobrým příkladem tokenu je SecureID od RSA Security na Obr. 4.3 [15]
Token prostřednictvím šifrovací funkce, která kombinuje zámek a tajný klíč, vytváří numerický kód, zobrazovaný na LCD displeji. Na autentifikaci použije vlastník SecureID zobrazené číslo. Autentifikační server taktéž pozná tajemství uložené v uživatelově tokenu, stejně jako i čas a den. Na základě těchto znalostí autentifikační server vykoná stejnou šifrovací funkci. Pro úspěšnou autentifikaci se propočítaná hodnota musí shodovat s hodnotou, kterou vložil uživatel.
Jiným příkladem je autentifikační token, který disponuje USB (Universal Serial Bus) rozhraním. Takovýto typ tokenu typicky obsahuje soukromý klíč, veřejný klíč a certifikát vydaný certifikační autoritou. Bezpečnostní systém vyšle tokenu tzv. výzvu (challenge), čímž se ověří správnost soukromého klíče. V dalším kroku systém ověří proti databázi, zda jméno na certifikátu koresponduje s autorizovanou identitou, které je umožněn vstup.
Tokeny mohou být poskytované ve formě software nebo hardware.
Nevýhodou hardwarového tokenu je potřeba mít ho u sebe vždy, je-li potřeba autentifikovat se vůči systému a je samozřejmě potřeba nosit u sebe všechny tokeny, pokud uživatel disponuje více přístupy.
Softwarové tokeny tyto problémy řeší uložením klíčů na osobní zařízení, jako je například přenosný počítač (laptop). V tomto případě může uživatel přistupovat do systému jen ze zařízení, na kterém se tokeny nacházejí. Kromě jiného je použití softwarových tokenů zranitelné na kompromitovaném zařízení, kde se nacházejí.