Erinevad autentimisviisid

Аутентификация с именем пользователя и паролем

Имя пользователя и пароль являются одним из наиболее распространенных методов проверки подлинности. Интернет – это широко распространенная возможность зарегистрировать себя как пользователя в сети, а затем войти в среду, аутентифицировав себя.

Логин и пароль можно использовать как на компьютере, так и на смарт-устройстве. Часто это выглядит следующим образом, когда вы в первый раз регистрируетесь, у пользователя спрашивают идентифицирующию его информацию, по которой его можно будет узнать в дальнейшем. Здесь для инфосистемы важней всего имя пользователя (которое должно быть уникальным в этой системе) и пароль. Вся другая информация, которую запрашивают о вас, является дополнительной информацией. В данный момент для  пользователя важен его адрес электронной почты, который является важным каналом для передачи информации, в случае если пользователь забыл имя пользователя и / или пароле для входа в эту среду.

Аутентификация с именем пользователя и паролем

Источник

Тут может возникнуть вопрос: как онлайн-среда узнаёт, что это действительно вы? На самом деле при аутентификации с именем пользователя и паролем  и не знает. Система имеет информацию о том, что тот, кто входит в систему с этим именем пользователя и паролем, является лицом, которое утверждает, что оно вошло в систему, при условии, что пароль и имя пользователя сохранены в секрете. Но при регистрации пользователь может не захотеть раскрыть свою истинную личность. В Интернете часто случается, что пользователь предъявляет дигитальную идентичность, чья достоверность не была проверена.

Каковы самые распространенные недостатки при аутентификации с именем пользователя и паролем в Интернете?

Ошибки пользователя:

  • Пользователи используют слишком простые пароли, которые можно легко угадать с помощью простых попыток.

  • Пользователи сохраняют пароли в памяти веб-браузеров и оставляют устройство не заблокировав его.

  • Пользователи пишут пароли и оставляют их в местах, где их могут увидеть другие.

  • Пользователи делятся паролем с другими пользователями.

  • Пользователи используют одни и те же пароли в разных веб-средах.

  • Пользователь не скрывает пароль при вводе (опасность просмотра или съемки).

  • Пользователь регистрируется на веб-странице, которая не имеет защищённый адрес https (риск прослушивания сетевого трафика).

  • Программное обеспечение на компьютере пользователя не обновлено (риск заражения вредоносным ПО).

  • На компьютере пользователя нет антивирусного программного обеспечения (риск заражения вредоносным ПО).

  • Пользователь не проверяет, на какой веб-странице он входит со своими данными (риск стать жертвой фишинга и ввести пароль на странице, аналогичной с исходной).

  • Мнение пользователя, что его дигитальная идентификация не имеет для него важного значения.

  • Мнение пользователя, что у него нет важной и личной дигитальной информации, при потере, повреждении или публикации которой, ему будет нанесен ущерб.

Слабые стороны информационной системы:

  • Программное обеспечение веб-сервера, содержит дыры в безопасности.

  • Программное обеспечение веб-сервера не настроено правильно.

  • Код программы для определенной веб-страницы содержит ошибки безопасности.

  • Недостаточно мер безопасности.

Каковы наиболее распространенные угрозы при использовании идентификации с именем пользователя и паролем?

Риски для пользователя:

  • Отслеживание того, как пользователь вводит пароль.

  • Отслеживание интернет-трафика пользователя и получение паролей.

  • На компьютере пользователя может быть установлен считыватель клавиш, который отправляет данные пользователей и пароли злоумышленникам.

  • Простой пароль узнают путем подбора.

Риски для поставщика услуг:

  • Атака веб-служб в попытках найти слабые места и узнать важную секретную информацию (учётные записи  пользователей, пароли, адреса электронной почты)

Какова мотивация злоумышленников?

  • Получить деньги (вымогательство).

  • Получите важную информацию, которую можно продать.

  • Получить уважение и  известность, среди злоумышленников

  • Совершать следующие преступления, используя ложные удостоверения личности и собранные ресурсы.

  • Просто ради шутки.

Каковы потенциальные потери при реализации рисков?

Пользователю

  • Пользователь больше не может получить доступ к своей учетной записи.

  • Информация в учетной записи пользователя повреждена, искажена или зашифрована.

  • Информация об учетной записи пользователя будет удалена.

  • Информация в учетной записи пользователя будет раскрыта.

  • Информация на учетной записи пользователя используется для вымогательства (финансовые потери).

  • Возможный ущерб репутации пользователя.

Поставщику услуг:

  • Временные затраты на решение проблем.

  • Мониторинг затрат и контроль ресурсов.

  • Возможный ущерб репутации.

  • Возможные финансовые потери.

  • Банкротство.

Заключение

Для входа в систему наиболее важных  услуг недостаточно имени пользователя и пароля. Необходимо использовать по крайней мере двойную аутентификацию.

Наиболее важными услугами следует считать:

  • учетные записи связанные с государством, банками и деньгами;

  • учетные записи, содержащие конфиденциальные личные данные (включая медицинские записи);

  • учетные записи электронной почты (личные, рабочие), на которые вы можете заказать напоминания пароля для других веб-сред;

  • учетные записи социальных сетей (Facebook, Google+, Twitter, LinkedIn);

  • учетные записи услуг, с помощью которых входите в  другие веб-службы (Google, Facebook, Apple, Microsoft).

Eelmine
Järgmine