Подтверждение подлинности пользователя в процессе аутентификации

Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как пользователь, так и информационная система. Следует отметить, что информационная система обычно располагает не самим секретным элементом, но некоторой информацией о нем, на основании которой принимается решение об адекватности пользователя идентификатору.


Для подтверждения своей подлинности пользователь может предъявлять системе разные сущности. В зависимости от предъявляемых пользователем сущностей процессы аутентификации могут быть разделены на следующие категории:
- на основе знания чего-либо. Примерами могут служить пароль, персональный идентификационный код PIN (Personal Identification Number), а также секретные и открытые ключи, знание которых демонстрируется в протоколах типа "запрос-ответ";
- на основе обладания чем-либо. Обычно это магнитные карты, смарт-карты, сертификаты и устройства touch memory;
- на основе каких-либо неотъемлемых характеристик. Эта категория включает методы, базирующиеся на проверке биометрических характеристик пользователя (голос, радужная оболочка и сетчатка глаза, отпечатки пальцев, геометрия ладони и др.). Аутентификация на основе биометрических характеристик применяется для контроля доступа в помещения или к какой-либо технике.

Поясним введенные понятия на конкретном примере: для киевского предприятия "РПП №1", которое оказывает услуги монтажа / обслуживания / ремонта различного типа кранов и грузовых подъемников, была внедрена система контроля доступа в офисное здание предприятия с использованием смарт-карт и PIN-кода. Перед началом интерактивного сеанса работы большинство операционных систем запрашивают у пользователя его имя и пароль. Введенное пользователем имя является идентификатором пользователя, а его пароль - аутентификатором. Операционная система обычно хранит не сам пароль, а его хэш-значение, обеспечивая тем самым практическую невозможность восстановления пароля по хэш-значению. Строго говоря, в таких операционных системах как UNIX или VMS, идентификатором пользователя является число, задаваемое при создании учетной записи пользователя, а имя пользователя является лишь уникальным атрибутом учетной записи.


Использование пары "имя пользователя-пароль" для пользователей является наиболее распространенным, но не единственным методом аутентификации. На самом деле существует немного принципиально разных методов аутентификации. Один класс методов аутентификации основывается на том, что аутентифицируемый субъект должен иметь некоторый секретный элемент (пароль, секретный ключ или специальный аутентификационный токен). Другой класс методов аутентификации применим только для аутентификации людей. Он основывается на использовании для верификации уникальных физических свойств самого человека (отпечатки пальцев, форма кисти руки, голос, радужная оболочка глаза). У каждого класса методов есть как достоинства, так и недостатки.