Защищенная регистрация
Защищенная регистрация
Концепция регистрации пользователя для доступа к приложению широко известна. Обычно этот процесс заключается в том, что пользователь вводит информацию, которая его идентифицирует (имя или ID пользователя) и аутентифицирует (пароль или другая секретная информация). Процесс регистрации предполагает, что никто, кроме законного пользователя, не знает аутентифицирующую его информацию, и обеспечивает защищенный доступ пользователя к определенному приложению.
Проблемы безопасности, возникающие при регистрации, также хорошо известны. Если приложение, требующее регистрации, удалено от пользователя (находится, например, на другом компьютере), то пароли, передаваемые по незащищенной сети, становятся объектом перехвата. Даже зашифрованные пароли не защищены от атак воспроизведения (replay attacks), когда они могут быть скопированы и использованы позднее для имитации аутентичности. Более того, общеизвестно, что пользователи редко выбирают "хорошие" пароли (достаточной длины и непредсказуемости), как правило, не запоминают их без записывания и не меняют своевременно, когда этого требует локальная политика безопасности.
Инфраструктура безопасности может решить некоторые из этих проблем. Поддержка безопасности подразумевает, что событие регистрации для инфраструктуры происходит локально (на устройстве, посредством которого пользователь физически осуществляет взаимодействие) и что корректный результат регистрации, когда необходимо, защищенно распространяется на удаленное приложение. Рис. 1.2 иллюстрирует этот процесс [44].
Рис. 1.2. защищенная регистрация
Таким образом, для удаленной регистрации пользователей могут использоваться механизмы сильной аутентификации, при этом отпадает необходимость в передаче паролей по сети. Развертывание инфраструктуры безопасности полностью не исключает применение паролей, но решает серьезную проблему передачи паролей по ненадежным и незащищенным сетям.