Выбираем и настраиваем сетевую аутентификацию. Аутентификация – что это

Сергей Панасенко ,
к. т. н., начальник отдела разработки ПО фирмы "Анкад"
[email protected]

Типы аутентификации

Как известно, практически в любых компьютерных системах существует необходимость аутентификации. В ходе этой процедуры компьютерная система проверяет, действительно ли пользователь тот, за кого себя выдает. Для того, чтобы получить доступ к компьютеру, в Интернет, к системе удаленного управления банковским счетом и т. д., пользователю необходимо убедительно доказать компьютерной системе, что "он есть та самая персона", а не кто-либо еще. Для этого он должен предъявить системе некую аутентификационную информацию, на основании которой модуль аутентификации данной системы выносит решение о предоставлении ему доступа к требуемому ресурсу (доступ разрешен/нет).

В настоящее время для такой проверки применяется информация трех видов.

Первый - уникальная последовательность символов , которую пользователь должен знать для успешного прохождения аутентификации. Простейший пример - парольная аутентификация, для которой достаточно ввести в систему свой идентификатор (например, логин) и пароль.

Второй вид информации - уникальное содержимое или уникальные характеристики предмета. Простейший пример - ключ от любого замка. В случае же компьютерной аутентификации в этом качестве выступают любые внешние носители информации: смарт-карты, электронные таблетки iButton, USB-токены и т. д.

И, наконец, третий вид аутентификации - по биометрической информации , которая неотъемлема от пользователя. Это может быть отпечаток пальца, рисунок радужной оболочки глаза, форма лица, параметры голоса и т. д.

Очень часто комбинируют несколько видов информации, по которой проводится аутентификация. Типичный пример: аутентификационная информация хранится на смарт-карте, для доступа к которой нужно ввести пароль (PIN-код). Такая аутентификация называется двухфакторной . Существуют реальные системы и с трехфакторной аутентификацией.

В ряде случаев требуется и взаимная аутентификация - когда оба участника информационного обмена проверяют друг друга. Например, перед передачей удаленному серверу каких-либо важных данных пользователь должен убедиться, что это именно тот сервер, который ему необходим.

Удаленная аутентификация

В случае удаленной аутентификации (скажем, пользователь намерен получить доступ к удаленному почтовому серверу для проверки своей электронной почты) существует проблема передачи аутентификационной информации по недоверенным каналам связи (через Интернет или локальную сеть). Чтобы сохранить в тайне уникальную информацию, при пересылке по таким каналам используется множество протоколов аутентификации. Рассмотрим некоторые из них, наиболее характерные для различных применений.

Доступ по паролю

Простейший протокол аутентификации - доступ по паролю (Password Access Protocol, PAP): вся информация о пользователе (логин и пароль) передается по сети в открытом виде (рис. 1). Полученный сервером пароль сравнивается с эталонным паролем данного пользователя, который хранится на сервере. В целях безопасности на сервере чаще хранятся не пароли в открытом виде, а их хэш-значения (о хэшировании см. , "BYTE/Россия" № 1"2004).

Данная схема имеет весьма существенный недостаток: любой злоумышленник, способный перехватывать сетевые пакеты, может получить пароль пользователя с помощью простейшего анализатора пакетов типа sniffer. А получив его, злоумышленник легко пройдет аутентификацию под именем владельца пароля.

По сети в процессе аутентификации может передаваться не просто пароль, а результат его преобразования - скажем, тот же хэш пароля. К сожалению, это не устраняет описанный выше недостаток - злоумышленник с тем же успехом может перехватить хэш пароля и применять его впоследствии.

Недостатком данной схемы аутентификации можно считать и то, что любой потенциальный пользователь системы должен предварительно зарегистрироваться в ней - как минимум ввести свой пароль для последующей аутентификации. А описанные ниже более сложные протоколы аутентификации типа "запрос-ответ" позволяют в принципе расширить систему на неограниченное количество пользователей без их предварительной регистрации.

Запрос-ответ

В семейство протоколов, называемых обычно по процедуре проверки "запрос-ответ", входит несколько протоколов, которые позволяют выполнить аутентификацию пользователя без передачи информации по сети. К протоколам семейства "запрос-ответ" относится, например, один из наиболее распространенных - протокол CHAP (Challenge-Handshake Authentication Protocol).

Процедура проверки включает как минимум четыре шага (рис. 2):

пользователь посылает серверу запрос на доступ, включающий его логин;
сервер генерирует случайное число и отправляет его пользователю;
пользователь шифрует полученное случайное число симметричным алгоритмом шифрования на своем уникальном ключе (см. , "BYTE/Россия" № 8"2003), результат зашифрования отправляется серверу;
сервер расшифровывает полученную информацию на том же ключе и сравнивает с исходным случайным числом. При совпадении чисел пользователь считается успешно аутентифицированным, поскольку признается владельцем уникального секретного ключа.

Аутентифицирующей информацией в данном случае служит ключ, на котором выполняется шифрование случайного числа. Как видно из схемы обмена, данный ключ никогда не передается по сети, а лишь участвует в вычислениях, что составляет несомненное преимущество протоколов данного семейства.

Основной недостаток подобных систем аутентификации - необходимость иметь на локальном компьютере клиентский модуль, выполняющий шифрование. Это означает, что, в отличие от протокола PAP, для удаленного доступа к требуемому серверу годится только ограниченное число компьютеров, оснащенных таким клиентским модулем.

Однако в качестве клиентского компьютера может выступать и смарт-карта либо аналогичное "носимое" устройство, обладающее достаточной вычислительной мощностью, например, мобильный телефон. В таком случае теоретически допустима аутентификация и получение доступа к серверу с любого компьютера, оснащенного устройством чтения смарт-карт, с мобильного телефона или КПК.

Протоколы типа "запрос-ответ" легко "расширяются" до схемы взаимной аутентификации (рис. 3). В этом случае в запросе на аутентификацию пользователь (шаг 1) посылает свое случайное число (N1). Сервер на шаге 2, помимо своего случайного числа (N2), должен отправить еще и число N1, зашифрованное соответствующим ключом. Тогда перед выполнением шага 3 пользователь расшифровывает его и проверяет: совпадение расшифрованного числа с N1 указывает, что сервер обладает требуемым секретным ключом, т. е. это именно тот сервер, который нужен пользователю. Такая процедура аутентификации часто называется рукопожатием.

Как видно, аутентификация будет успешна только в том случае, если пользователь предварительно зарегистрировался на данном сервере и каким-либо образом обменялся с ним секретным ключом.

Заметим, что вместо симметричного шифрования в протоколах данного семейства может применяться и асимметричное шифрование, и электронная цифровая подпись. В таких случаях схему аутентификации легко расширить на неограниченное число пользователей, достаточно применить цифровые сертификаты в рамках инфраструктуры открытых ключей (см. , "BYTE/Россия" № 7"2004).

Протокол Kerberos

Протокол Kerberos, достаточно гибкий и имеющий возможности тонкой настройки под конкретные применения, существует в нескольких версиях. Мы рассмотрим упрощенный механизм аутентификации, реализованный с помощью протокола Kerberos версии 5 (рис. 4):

Прежде всего стоит сказать, что при использовании Kerberos нельзя напрямую получить доступ к какому-либо целевому серверу. Чтобы запустить собственно процедуру аутентификации, необходимо обратиться к специальному серверу аутентификации с запросом, содержащим логин пользователя. Если сервер не находит автора запроса в своей базе данных, запрос отклоняется. В противном случае сервер аутентификации формирует случайный ключ, который будет использоваться для шифрования сеансов связи пользователя с еще одним специальным сервером системы: сервером предоставления билетов (Ticket-Granting Server, TGS). Данный случайный ключ (обозначим его Ku-tgs) сервер аутентификации зашифровывает на ключе пользователя (Kuser) и отправляет последнему. Дополнительная копия ключа Ku-tgs с рядом дополнительных параметров (называемая билетом) также отправляется пользователю зашифрованной на специальном ключе для связи серверов аутентификации и TGS (Ktgs). Пользователь не может расшифровать билет, который необходим для передачи серверу TGS на следующем шаге аутентификации.

Следующее действие пользователя - запрос к TGS, содержащий логин пользователя, имя сервера, к которому требуется получить доступ, и тот самый билет для TGS. Кроме того, в запросе всегда присутствует метка текущего времени, зашифрованная на ключе Ku-tgs. Метка времени нужна для предотвращения атак, выполняемых повтором перехваченных предыдущих запросов к серверу. Подчеркнем, что системное время всех компьютеров, участвующих в аутентификации по протоколу Kerberos, должно быть строго синхронизировано.

В случае успешной проверки билета сервер TGS генерирует еще один случайный ключ для шифрования сеансов связи между пользователем, желающим получить доступ, и целевым сервером (Ku-serv). Этот ключ шифруется на ключе Kuser и отправляется пользователю. Кроме того, аналогично шагу 2, копия ключа Ku-serv и необходимые целевому серверу параметры аутентификации (билет для доступа к целевому серверу) посылаются пользователю еще и в зашифрованном виде (на ключе для связи TGS и целевого сервера - Kserv).

Теперь пользователь должен послать целевому серверу полученный на предыдущем шаге билет, а также метку времени, зашифрованную на ключе Ku-serv. После успешной проверки билета пользователь наконец-то считается аутентифицированным и может обмениваться информацией с целевым сервером. Ключ Ku-serv, уникальный для данного сеанса связи, часто применяется и для шифрования пересылаемых в этом сеансе данных.

В любой системе может быть несколько целевых серверов. Если пользователю необходим доступ к нескольким из них, он снова формирует запросы к серверу TGS - столько раз, сколько серверов нужно ему для работы. Сервер TGS генерирует для каждого из таких запросов новый случайный ключ Ku-serv, т. е. все сессии связи с различными целевыми серверами защищены при помощи разных ключей.

Процедура аутентификации по протоколу Kerberos выглядит достаточно сложной. Однако не стоит забывать, что все запросы и зашифровывание их нужными ключами автоматически выполняет ПО, установленное на локальном компьютере пользователя. Вместе с тем необходимость установки достаточно сложного клиентского ПО - несомненный недостаток данного протокола. Впрочем, сегодня поддержка Kerberos встроена в наиболее распространенные ОС семейства Windows, начиная с Windows 2000, что нивелирует данный недостаток.

Второй недостаток - необходимость в нескольких специальных серверах (доступ к целевому серверу обеспечивают как минимум еще два, сервер аутентификации и TGS). Однако в системах с небольшим числом пользователей все три сервера (аутентификации, TGS и целевой) могут физически совмещаться на одном компьютере.

Вместе с тем следует подчеркнуть, что сервер аутентификации и TGS должны быть надежно защищены от несанкционированного доступа злоумышленников. Теоретически злоумышленник, получивший доступ к TGS или серверу аутентификации, способен вмешаться в процесс генерации случайных ключей или получить ключи всех пользователей и, следовательно, инициировать сеансы связи с любым целевым сервером от имени любого легального пользователя.

* * *

Выбор того или иного протокола зависит в первую очередь от важности информации, доступ к которой предоставляется по результатам аутентификации. Другой критерий - удобство использования. И здесь, как и везде, полезно соблюдать разумный баланс. Иногда, если нет особых требований к секретности процедуры аутентификации, вместо надежного (но непростого в реализации) протокола типа Kerberos лучше использовать "элементарный" парольный протокол РАР, простота и удобство применения которого часто перевешивают все его недостатки.

Сетевая аутентификация - это то, с чем ежедневно сталкивается большое количество пользователей интернета. Некоторые люди не знают о том, что означает данный термин, а многие даже не подозревают о его существовании. Практически все юзеры всемирной паутины начинают рабочий день с того, что проходят процесс аутентификации. Она нужна при посещении почты, социальных сетей, форумов и прочего.

Пользователи сталкиваются с аутентификацией каждый день, сами того не подозревая.

Аутентификация - это процедура, с помощью которой происходит проверка пользовательских данных, например, при посещении того или иного ресурса глобальной сети. Она производит сверку данных, хранящихся на веб-портале, с теми, которые указывает юзер. После того как аутентификация будет пройдена, вы получите доступ к той или иной информации (например, своему почтовому ящику). Это основа любой системы, которая реализована на программном уровне. Зачастую указанный термин утилизирует более простые значения, такие как:

авторизация;
проверка подлинности.

Чтобы пройти аутентификацию, необходимо ввести логин и пароль для вашей учётной записи. В зависимости от ресурса, они могут иметь существенные отличия друг от друга. Если эксплуатировать идентичные данные на различных сайтах, то вы подвергнете себя опасности кражи вашей персональной информации злоумышленниками. В некоторых случаях указанные сведения могут выдаваться автоматически для каждого пользователя. Чтобы ввести нужные данные, как правило, используется специальная форма на ресурсе глобальной сети или в определённом приложении. После введения нужной информации, они будут отправлены на сервер для сравнения с теми, которые имеются в базе. Если они совпали, то вы получите доступ к закрытой части сайта. Введя неправильные данные, веб-ресурс сообщит об ошибке. Проверьте их правильность и введите ещё раз.

Какую сетевую идентификацию выбрать

Многие задумываются над тем, какую сетевую идентификацию выбрать, ведь их существует несколько типов. Для начала нужно определиться с любой из них. На основе полученных сведений каждый решает самостоятельно, на каком варианте остановиться. Одним из самых новых стандартов сетевой аутентификации является IEEE 802.1х. Он получил широкую поддержку практически у всех девелоперов оборудования и разработчиков программного обеспечения. Этот стандарт поддерживает 2 метода аутентификации: открытую и с использованием пароля (ключа). В случае с открытым методом одна станция может подключиться к другой без необходимости авторизации. Если вас не устраивает это, то необходимо утилизировать метод с использованием ключа. В случае с последним вариантом пароль шифруется одним из методов:

WPA-персональная;
WPA2-персональная.

Наиболее подходящий вариант можно установить на любом роутере.

Переходим к настройкам маршрутизатора

Даже неподготовленный пользователь без проблем произведёт все необходимые конфигурации. Чтобы начать настройку прибора, необходимо подключить его к персональному компьютеру при помощи кабеля. Если это действие выполнено, то откройте любой веб-обозреватель и в адресной строке наберите http://192.168.0.1, затем нажмите Enter. Указанный адрес подходит практически для любого девайса, но более точную информацию можно прочитать в инструкции. Кстати, это действие как раз и является аутентификацией, после прохождения которой вы получаете доступ к закрытой информации вашего роутера. Вы увидите запрос на вход в интерфейс, который поможет выполнить необходимые настройки . Если логин и пароль никто не менял, то по умолчанию практически во всех моделях от различных компоновщиков используется слово admin в обоих полях. Купленный маршрутизатор имеет открытую беспроводную сеть, так что к ней могут подключиться все желающие. В том случае, если вас это не устраивает, её необходимо защитить.

Защищаем беспроводную сеть

В различных моделях названия меню и подменю могут отличаться. Для начала нужно зайти в меню роутера и выбрать настройку беспроводной сети Wi-Fi. Указываем имя сети. Его будут видеть все беспроводные устройства, которые необходимо подключить к прибору. Далее нам необходимо выбрать один из методов шифрования, список которых приведён выше. Мы рекомендуем эксплуатировать WPA2-PSK. Указанный режим является одним из самых надёжных и универсальных. В соответствующем поле нужно вписать придуманный вами ключ. Он будет использоваться для

В настоящее время для такой проверки применяется информация трех видов.

Удаленная аутентификация

Доступ по паролю

Рисунок 1 - Схема протокола PAP

Запрос-ответ

Процедура проверки включает как минимум четыре шага (рис. 2):

· пользователь посылает серверу запрос на доступ, включающий его логин;
· сервер генерирует случайное число и отправляет его пользователю;
· пользователь шифрует полученное случайное число симметричным алгоритмом шифрования на своем уникальном ключе, результат зашифрования отправляется серверу;
· сервер расшифровывает полученную информацию на том же ключе и сравнивает с исходным случайным числом. При совпадении чисел пользователь считается успешно аутентифицированным, поскольку признается владельцем уникального секретного ключа.

Рисунок 2 - Схема протокола аутентификации типа "запрос-ответ".

Рисунок 3 - Схема протокола взаимной аутентификации

Протокол Kerberos

Рисунок 4 - Схема протокола Kerberos

Прежде всего, стоит сказать, что при использовании Kerberos нельзя напрямую получить доступ к какому-либо целевому серверу. Чтобы запустить собственно процедуру аутентификации, необходимо обратиться к специальному серверу аутентификации с запросом, содержащим логин пользователя. Если сервер не находит автора запроса в своей базе данных, запрос отклоняется. В противном случае сервер аутентификации формирует случайный ключ, который будет использоваться для шифрования сеансов связи пользователя с еще одним специальным сервером системы: сервером предоставления билетов (Ticket-Granting Server, TGS). Данный случайный ключ (обозначим его Ku-tgs) сервер аутентификации зашифровывает на ключе пользователя (Kuser) и отправляет последнему. Дополнительная копия ключа Ku-tgs с рядом дополнительных параметров (называемая билетом) также отправляется пользователю зашифрованной на специальном ключе для связи серверов аутентификации и TGS (Ktgs). Пользователь не может расшифровать билет, который необходим для передачи серверу TGS на следующем шаге аутентификации.

Всплывающее окно с заголовком Требуется аутентификация , которое требует ввести имя пользователя и пароль, часто является признаком заражения компьютера рекламным вирусом.

Окно «Требуется аутентификация»

Требуется аутентификация — Что это

Чаще всего всплывающие окно с сообщением «Требуется аутентификация» в Гугл Хроме, Мозилла Файрфоксе, Опере или Интернет Эксплорере, является признаком заражения вашего компьютера рекламным вирусом. Сразу после проникновения на ПК и активирования, этот зловред начинает вставлять небольшой скрипт или скрытый фрейм в каждый открываемый вами сайт. Как результат огромное количество рекламы на просматриваемых страницах или появление всплывающего окна «Требуется аутентификация», с помощью которого авторы рекламного вируса могут собирать ваши личные данные или блокировать доступ к тому или иному открываемому вами сайту.

Другие симптомы заражения зловредом, который показывает предупреждение «Требуется аутентификация»

Рекламные баннеры интегрированы в сайты на которых вы точно знаете рекламы не должно быть
Разнообразные случайные слова и фразы вставлены в ссылки
Браузер показывает небольшие окна, которые рекомендуют обновить флеш плеер или другое программное обеспечение
Неизвестные вам программы сами появились на компьютере

Почему сообщение «Требуется аутентификация» стало появляться на вашем компьютере

Как бы это не казалось странным, но вероятнее всего на ваш компьютер попала программа или вирус, созданные для демонстрации рекламы. При попадании в систему этот зловред будет открыть сотни различных рекламных сайтов и перенаправлять вас на разнообразные обманные и вводящие в заблуждение весб-странички.

Поэтому нужно всегда очень внимательны относиться к тому, что вы собираетесь загрузить с Интернета! После запуска скачанной программы, на этапе установки, внимательно читайте все сообщения. Не спешите нажимать кнопку Agree или Согласен в окне, в котором приведено пользовательское соглашение. Обязательно внимательно прочитайте его. Старайтесь при установке любых программ выбирать пункт Advanced(Custom), то есть полностью контролировать, что и куда будет инсталлировано. Таким образом вы сможете избежать проникновение на ПК потенциально ненужных и рекламных программ. И главное, никогда не устанавливаете то, чему не доверяете!

Способы очистки вашего компьютера

Как удалить «Требуется аутентификация» из Хрома, Файрфокса и Интернет эксплорера

Следующая инструкция — это пошаговое руководство, которое нужно выполнять шаг за шагом. Если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь к этой статье или создав новую тему на нашем .

1. Удалить «Требуется аутентификация» из Chrome, Firefox и Internet Explorer, используя AdwCleaner

AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу AdwCleaner кликнув по следующей ссылке.

Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.

В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу, сайты подобные «Требуется аутентификация», а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.

Выполнив эту инструкцию, ваш компьютер должен быть полностью вылечен от всплывающих окошек с сообщением «Требуется аутентификация» в Google Chrome, Mozilla Firefox, Internet Explorer и Microsoft Edge. К сожалению, авторы вредоносных программ постоянно их обновляют, затрудняя лечение компьютера. Поэтому, в случае если эта инструкция вам не помогла, значит вы заразились новой версией зловреда «Требуется аутентификация» и тогда лучший вариант — обратиться на наш .

Для того чтобы в будущем больше не заразить компьютер, пожалуйста следуйте трём небольшим советам

При установке новых программ на свой компьютер, всегда читайте правила их использования, а так же все сообщения, которые программа будет вам показывать. Старайтесь не производить инсталляцию с настройками по-умолчанию!
Держите антивирусные и антиспайварные программы обновлёнными до последних версий. Так же обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows.
Если вы используете Java, Adobe Acrobat Reader, Adobe Flash Player, то обязательно их обновляйте вовремя.

Что такое аутентификация? Это процедура, во время которой проверяются данные на их соответствие настоящим. Происходит верификация и сравниваются вводимые данные с той информацией, которая указана в базе. Проверка подлинности может осуществляться по цифровой подписи. Еще один способ сверяет контрольную сумму файла со значением, указанным автором.

В процессе опознавания участвуют 5 элементов. Вот их список:

субъект;
характеристика;
владелец системы;
механизм аутентификации;
механизм управления доступом.

Под субъектом рассматривается человек, который пытается авторизоваться. Он знает код аутентификации, это его характеристики. Механизм распознавания проверяет пароль, а механизм управления доступом - это процесс, который впускает пользователя. Если введенные данные не совпадают, значит аутентификация не прошла.

Как работают элементы легко понять на примере снятия денег в банкомате. Субъект - это человек, который хочет получить деньги, характеристика - это его банковская карта и персональный ID. Владелец - это непосредственно сам банк, который для проверки данных использует собственный механизм аутентификации. Анализируется карта и идентификатор клиента банка, а также введенный пароль и пин-код. В том случае, если все сходится, пользователь получает разрешение на выполнение банковских действий. Это есть технология управления доступом. В итоге владелец успешно снимает нужную сумму денег, если пин и пароль верны.

Электронная подпись

Существует несколько видов :

обычная электронная подпись;
профессиональная подпись;
неквалифицированная.

Квалифицированную подпись можно отличить по тому, что у нее есть сертификат, где указан ключ для проверки. Она получается в результате криптографического преобразования информации и позволяет определить владельца документа. Также он помогает обнаружить любые изменения в документе (даже если они были произведены после проверки).

Неквалифицированная подпись определяет человека по ключу, с ее помощью можно отслеживать любые изменения. Основное отличие от предыдущего варианта в отсутствии сертификата и подтверждения со стороны закона.

Простая электронная подпись создана посредством использования кодов и паролей, она идентифицирует определенное лицо.

Многоразовые пароли

Процесс использование многоразовых паролей выглядит так:

запрашивается доступ, вводятся данные для доступа;
эти данные обрабатываются на сервисе, они сравниваются;
если все совпадает, то система пропускает на следующую страницу, в противном случае субъект возвращается к первому шагу и повторяет свои действия.

Эталонный пароль хранится на сервере, как правило, без криптографических преобразований. Получив к нему доступ, легко добраться до конфиденциальной информации.

По ГОСТу 28147-89, необходимо использовать 256 битный ключ. Это сочетание знаков подбирается при использовании генератора псевдослучайных чисел. Распространенная ошибка, по которой многих пользователей взламывают, это использование слов из словаря. Если такой код долго не меняется, злоумышленник его подбирает простым перебором.

Одноразовые пароли

Часто используются в двухэтапной аутентификации. Преимущества этого вида паролей перед многоразовыми в том, что злоумышленнику сложней пробраться в систему. Суть метода One Time Password в том, что для осуществления входа каждый раз требуется новый код. Существуют три технологии:

Генерация псевдослучайных чисел.
Система единого времени. Этот метод основан на генерации случайных чисел в течение определенного времени. Когда субъект запрашивает доступ, ему нужно ввести пин-код и случайное число. Происходит сопоставление этих данных с информацией, которая хранится в базе.
Единая база паролей для человека и системы. Каждый пароль может использоваться только один раз и его сложно перехватить.

Аутентификация по SMS

Этот способ обеспечивает эффективную защиту от взлома. Он предусматривает использование одноразового кода. Главное преимущество в том, что верификационный ключ отсылается по другому каналу. Что такое аутентификация по СМС? Понять это можно на примере того, как происходит этот процесс:

Человек вводит свое имя и пароль аутентификации.
Получает на указанный номер телефона аутентификационный ключ в виде текстового сообщения.
Вводит его в соответствующее поле.
Программа проверяет сходство.

Иногда безопасность усиливают требованием ввода пин-кода. Этот способ распространен в банковских операциях, когда необходимо обеспечить клиенту банка безопасность.

Биометрия

Один из способов, который практически на 100% защищает пользователя от перехвата его пароля и потери данных, это использование биометрии. Он обеспечивает идентификацию пользователя по его уникальным характеристикам. Следующий список содержит наиболее используемые биометрический атрибуты:

Отпечатки пальцев. Сканер для идентификации человека по следам пальцев имеет небольшой размер, прост в использовании.
Когда просканировать отпечатки пальцев невозможно, анализируют геометрию руки. Биологическая повторяемость этого способа намного больше предыдущего, но все равно крайне мала и составляет всего 2%.
Сетчатка глаза - очень эффективное средство идентификации личности. Это наиболее точный вариант, который используется в современных
Используя конденсаторный микрофон и звуковую плату, можно проанализировать голос собеседника и установить его личность. Вероятность ошибки - не более 5%. Верификация по голосу производится по телефонным каналам связи.
Отслеживание скорости ввода текста на клавиатуре редко используется для идентификации личности, но помогает отфильтровать результаты.
Контроль рукописной подписи. Анализируется совокупность символов, написанных от руки. Для идентификации человека используется графические планшеты дигитайзеры.

Биометрическая проверка - относительно новое направление, оно применяется в интеллектуальных расчетных карточках. Способ будет использован в магазинах нового формата, которые не предусматривают прямую оплату картой или наличными.

Что такое аутентификация по биометрическим признакам легко понять на следующих примерах. Для совершения покупки клиенту необходимо приложить палец на сканер. Другой вариант предусматривает спектральный анализ лица покупателя. Он заходит в магазин, камера его фотографирует, при выходе из магазина деньги снимаются прямо с его баланса. Покупка осуществляется без использования каких-либо платежных инструментов.

Местоположение

Что такое аутентификация по местоположению? Способ используется в связке с другими методами установления личности человека. Это один из распространенных способов во время аутентификации при подключении wi-fi. Самые популярные способы опознавания по географическому положению:

место выхода в интернет.

По местонахождению невозможно доказать подлинность удаленного пользователя, но поможет избежать взлома. Например, пользователю приходит сообщение о том, что в аккаунт заходят с непривычного места. Теперь человек может контролировать ситуацию: заблокировать учетную запись или разрешить доступ. Датчик GPS отправляет многократные сигналы, благодаря чему местоположение пользователя определяется достаточно точно.

Второй способ напоминает первый, но механизм основан не на использовании спутников, а на точках беспроводной связи.

Многофакторная аутентификация

В способе сочетается несколько факторов. Это значительно увеличивает защищенность системы. Примером тому может послужить продвинутая защита в некоторых ноутбуках. Требуется ввод кода, отслеживается местоположение, используется двухэтапная аутентификация. Если что-то не сходится, личность идентифицируется с помощью кода подтверждения, который приходит на мобильный телефон.

что делать

Ошибки возникают как при входе на сайт, так и при подключении к Wi-Fi. На примере идентификации в беспроводной сети можно понять, что проблемы в основном появляются в двух случаях:

несоответствие типа шифрования;
неправильно введенный ключ.

Если человек неправильно вводит связку логин-пароль, он получает сообщение “Нет данных для вашей аутентификации” или другой текст. Обязательно текст будет похожим по смыслу на приведенный. Если пользователь уверен в том, что его логин и ключ соответствует настоящим, нужно искать проблему в типе шифрования. Этот параметр настраивается непосредственно в настройках маршрутизатора.