5 Autentifikácia
5.1 Typy autentifikačných mechanizmov

Nasledovná kapitola diskutuje o autentifikačných mechanizmoch, zoskupených do kategórií podľa spôsobov vymenovaných v úvode predošlej kapitoly.

Biometrics - charakteristika používateľa

Biometria je porovnávanie anatomickej, fyziologickej a behaviorálnej charakteristiky osoby.

Biometrické autentifikačné mechanizmy spadajú do dvoch základných kategórií:

  • Behaviorálna biometria - založená napr. na pohyboch používateľa pri manipulácii s myšou počítača, latencii alebo dynamike úderov do klávesnice alebo dynamike podpisu.
  • Fyziologická charakteristika - založená na odtlačkoch prstov, hlasu, zreničky alebo sietnice, rysovej charakteristike tváre, ruky alebo geometrii prstov alebo dokonca tvaru ucha.

Biometrické technológie je zložité medzi sebou porovnávať. Každá z nich má rôzny rozsah presnosti, spoľahlivosti a použiteľnosti. Aj napriek ťažkosti ich vzájomne porovnať však vieme povedať, akú váhu má presnosť verzus použiteľnosť a pod. V prípade použiteľnosti je jednoduchou biometrickou metódou napríklad rozpoznávanie tváre. Naopak metódy, ktoré vyžadujú nastavenie niektorej časti tela ku senzoru (rozpoznávanie sietnice), a teda sú menej komfortné na použitie, dokážu produkovať oveľa presnejšie výsledky.

Testovanie biometrie je komplikovaný proces, ktorý vyžaduje objektívne porovnanie. Biometrická autentifikácia preto nie je jednoduchý proces typu áno/nie, ale zahŕňa komplikovanú štatistickú analýzu údajov, získaných zo senzorov v reálnom čase.

Na svete exituje niekoľko súkromných aj verejných testovacích laboratórií, ktoré presadzujú nastavenie štandardov tejto oblasti, ako napríklad National Institutes of Standards and technology (NIST) alebo The International Biometric Group [6].

Memometrics - znalosť niečoho

V tomto prípade ide o generovanie náhodných sekvencií znakov alebo čísel, ktoré sú nazývané heslom (ak ide o slovo), PINom (ak ide o číselné vyjadrenie) alebo tzv. frázu ( passphrase; ak ide o viac ako jedno slovo). Heslá však môžu mať je podobu sémantického tvaru.

Typy hesiel:

image
Fig. 4.2 – Základné princípy sémantických hesiel

Cognometrics - rozpoznanie niečoho používateľom

Idea grafickej autentifikácie je založená na vizuálnej pamäti používateľa. Vedecké štúdie poukazujú na fakt, že ľudská bytosť má obrovské a prakticky neobmedzené možnosti pamätať si obrázky [9].

Grafické kódy si získavajú na popularite hlavne v prípade mobilných technológií, napr. pre odblokovanie mobilného telefónu. Existujú dva hlavné princípy:

  • Grafické kódy založené na rozpoznávaní - používateľ vyberie cieľový obrázok z pomedzi množstva rušivých elementov v scéne. Pri tomto prístupe, ktorý je čisto založený na vizuálnej pamäti, sa využíva schopnosť rozpoznať predtým videný objekt medzi množstvom ostatných.
  • Grafické kódy založené na pozícii - používateľ pri tomto prístupe musí nakresliť obrazec, zvyčajne do mriežky, kde sa vyžaduje vizuálno-priestorová pamäť a presný pohyb.

Vlastníctvo

Autentifikácia môže byť založená na niečom, čo používateľ vlastní. Týmto objektom je tzv. token. Dobrým príkladom tokenu je SecureID od RSA Security na Fig. 4.3. [15]

image
Fig. 4.3 – Príklad tokenu: Bezpečnostné ID – RSA Security

Token prostredníctvom šifrovacej funkcie, ktorá kombinuje zámok a tajný kľúč, vytvára numerický kód, zobrazovaný na LCD displeji. Na autentifikáciu použije vlastník SecureID zobrazené číslo. Autentifikačný server taktiež pozná tajomstvo uložené v používateľovom tokene, rovnako ako aj čas a deň. Na základe týchto znalostí autentifikačný server vykoná rovnakú šifrovaciu funkciu. Pre úspešnú autentifikáciu sa prepočítaná hodnota musí zhodovať s hodnotou, ktorú vložil používateľ.

Iným príkladom je autentifikačný token, ktorý disponuje USB (Universal Serial Bus) rozhraním. Takýto typ tokenu typicky obsahuje súkromný kľúč, verejný kľúč a certifikát vydaný certifikačnou autoritou. Bezpečnostný systém vyšle tokenu tzv. výzvu (challenge), čím sa overí správnosť súkromného kľúča. V ďalšom kroku systém voči databáze overí, či meno na certifikáte korešponduje s autorizovanou identitou, ktorej je umožnený vstup.

Tokeny môžu byť poskytované vo forme softvéru (software - SW) alebo hardvéru (hardware - HW).

Nevýhodou hardvérového tokenu je potreba mať ho pri sebe vždy, keď je potrebné autentifikovať sa voči systému a samozrejme potreba nosiť pri sebe všetky tokeny, ak používateľ disponuje viacerými prístupmi.

Softvérové tokeny tieto problémy riešia uložením kľúčov na osobné zariadenie, ako je napríklad prenosný počítač (laptop). V tomto prípade môže používateľ pristupovať do systému iba zo zariadenia, na ktorom sa tokeny nachádzajú. Okrem iného je použitie softvérových tokenov zraniteľné na kompromitovanie zariadenia, kde sa nachádzajú.