Uwierzytelnianie - Polski Serwis Naukowy

Uwierzytelnianie (ang. authentication, niepoprawnie autentykacja) – proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby, urządzenia lub usługi biorącej udział w wymianie danych.

Definicje terminów uwierzytelnienie i autoryzacja znajdują się w podstawowej normie kryptograficznej: ISO/IEC CD 9798-1, do której odwołują się algorytmy uwierzytelniania i autoryzacji.

Uwierzytelnienie następuje po identyfikacji, czyli zadeklarowaniu swojej tożsamości przez użytkownika (np. przez podanie loginu). Zadeklarowana, ale jeszcze niezweryfikowana, tożsamość jest potwierdzana w procesie uwierzytelnienia (np. przez podanie hasła).

Autoryzacja (ang. authorization, także kontrola dostępu, ang. access control) funkcja bezpieczeństwa, która potwierdza, czy dany podmiot jest uprawniony do korzystania z żądanego zasobu.

Certyfikat klucza publicznego – informacja o kluczu publicznym podmiotu, która dzięki podpisaniu przez zaufaną trzecią stronę jest niemożliwa do podrobienia.

Pierwotnie uwierzytelnianie odbywało się w oparciu o tzw. wiedzę uwierzytelniającego się podmiotu (potocznie: „co wiesz”). Wiedzą tą było hasło (np. login i hasło, do tej pory wykorzystywane do logowania się do systemów operacyjnych komputerów i serwisów internetowych).

Rozwój kryptografii i metod uwierzytelnienia doprowadził do rozszerzenia uwierzytelnienia o posiadany element uwierzytelniania (np. token/klucz, czyli tzw. „co masz”). Jest to system spotykany na przykład w bankach – podajemy numer wygenerowany przez token i PIN. Jeśli ktoś podsłucha hasło to i tak nie będzie mógł wygenerować kolejnego numeru identycznego z naszym tokenem. Jeśli ktoś skradnie nasz token to i tak nie zna hasła. Musiałby podsłuchać hasło i skraść token, co jest już dużo trudniejsze i mniej prawdopodobne.

Międzynarodowa Organizacja Policji Kryminalnych "Interpol" określa przestępczość komputerową jako przestępczość w zakresie czynów skierowanych przeciwko systemowi komputerowemu i czynów dokonanych przy użyciu komputera jako narzędzia.

Kryptografia klucza publicznego (nazywana również kryptografią asymetryczną) to rodzaj kryptografii, w którym używa się zestawów dwu lub więcej powiązanych ze sobą kluczy, umożliwiających wykonywanie różnych czynności kryptograficznych. Jeden z kluczy może być udostępniony publicznie bez utraty bezpieczeństwa danych zabezpieczanych tym kryptosystemem.

Ostatnio wprowadzane jest zabezpieczenie biometryczne (np. odcisk palca, potocznie: „kim jesteś”), jednak z kryptograficznego punktu widzenia jest to odmiana zabezpieczenia „co masz”.

Często spotykane metody uwierzytelniania:

Hasła statyczne.

Oparte na dowodzie posiadania klucza prywatnego z użyciem kryptografii asymetrycznej (klucze w SSH, certyfikaty). Serwer dysponuje kluczem publicznym klienta. Za pomocą tego klucza, szyfruje pakiet danych i wysyła klientowi. Jeśli ten potrafi rozszyfrować, to znaczy, że dysponuje kluczem prywatnym, czyli że jest tym, za kogo się podaje.

Hasła jednorazowe.

Tokeny.

Oparte na biometrycznych cechach człowieka (np. odciski palców, kształt dłoni, wygląd tęczówki oka), które pobierane są przez odpowiedni czytnik i porównywane z bazą danych.

Z uwierzytelnianiem związane jest pojęcie serwera uwierzytelniania.

Szyfr (inaczej kryptograficzny algorytm szyfrujący) – jest to funkcja matematyczna wykorzystywana do szyfrowania tekstu jawnego lub jego deszyfrowania. Zazwyczaj jedna funkcja wykorzystywana jest do szyfrowania, a inna do deszyfrowania wiadomości. Wiadomość przed zaszyfrowaniem nazywana jest tekstem jawnym, zaś wiadomość zaszyfrowaną nazywamy szyfrogramem. Proces zamiany tekstu jawnego na szyfrogram nazywamy szyfrowaniem.

Login (z ang.) - słowo stosowane do określenia identyfikatora używanego w systemach komputerowych. Login jest ciągiem znaków przypisanych użytkownikowi bądź programowi. Do loginu zwykle przypisane są prawa, jakie ma dany użytkownik bądź program działający w systemie.

Uwierzytelnianie często ma miejsce przed procesem autoryzacji.

Zobacz też

Autoryzacja

Przestępczość komputerowa