אימות זהות
אימות (באנגלית: Authentication) הוא מושג באבטחת מידע וקריפטוגרפיה ומשמעו פעולה שנועדה לאשר תקפות פיסת מידע שישות כלשהי טוענת לאמיתותה[1]. האימות כרוך לרוב בצורה אחת או יותר של אמצעי זיהוי כמו תעודה מזהה, בדיקת הרשאה או בדיקת אותנטיות אתר אינטרנט באמצעות תעודת מפתח ציבורי. אימות יכול להיות גם תיארוך ממצא ארכאולוגי, אישור בעלות על נכס או יצירה או אישור שמוצר עומד בהבטחות היצרן המופיעות על האריזה או בתעודת האחריות.
אימות מתחלק לשלוש קטגוריות עיקריות[2]:
- ידיעה. משהו שהטוען יודע (כגון סיסמה, מספר זיהוי אישי או מענה על אתגר).
- שייכות. משהו ברשותו או בבעלותו של הטוען (כגון תעודה מזהה, כרטיס מגנטי, אסימון אבטחה או טלפון נייד עליו מותקן יישומון אבטחה).
- זהות. זיהוי ביומטרי של הטוען. ישנם שני סוגים של זיהוי ביומטרי: תכונה פיזית של הטוען (כמו חתימת יד, טביעת אצבע, זיהוי פנים, סריקת רשתית או דגימת DNA), או פעולה של הטוען (כגון זיהוי קול, זיהוי כתב יד או דינמיקת הקשה (אנ')).
פעולת אימות אלקטרונית שמתבצעת בהיקף רחב החל מהרבע האחרון של המאה העשרים היא זו המשמשת למשיכת כספים ממכשיר בנק אוטומטי. לזיהוי המושך משמש שילוב של שני אמצעים: כרטיס מגנטי שעליו מוטבע זיהוי של המושך, והקשה של סיסמה הידועה רק למושך. גנבה של רק אחד משני אמצעים אלה אינה מאפשרת התחזות.
אימות רב-שלבי
[עריכת קוד מקור | עריכה]- ערך מורחב – אימות רב-שלבי
כאשר רמת הודאות הנחוצה עבור האימות נמוכה, נהוג להסתפק באמצעי זיהוי אחד בלבד. לדוגמה, בשעון נוכחות משתמשים בדרך כלל בכרטיס מגנטי בלבד עבור האימות. בכניסה לאתרי אינטרנט רבים, ובכלל זה ויקיפדיה, די בהקלדת זיהוי משתמש וסיסמה, ואין צורך באמצעי זיהוי פיזי. אך כאשר נחוץ אימות ברמת ודאות גבוהה יותר, ניתן להשתמש באימות רב-שלבי שבו משלבים מספר אמצעי אימות השייכים לשתיים או יותר מהקטגוריות המנויות. לדוגמה, בהתחברות לחשבון גוגל ניתן להשתמש באימות דו שלבי הדורש מהמשתמש להקליד סיסמה (קטגוריית ידיעה) ובנוסף להפגין ידיעת מספר אקראי שנוצר באמצעות אפליקציית אבטחה (קטגוריית שייכות).
אימות על ידי סיסמה
[עריכת קוד מקור | עריכה]אמצעי האימות הנפוץ ביותר הוא אימות על ידי סיסמה[3]. היתרון בשימוש בסיסמאות הוא שהן זולות וניתנות להפצה בקלות. מנגד, ישנם מספר חסרונות בשימוש בסיסמאות:
- לעיתים קרובות ניתן להשיג את סיסמת המשתמש על ידי שימוש בהנדסה חברתית.
- כאשר ישנו מכשיר המגיע עם סיסמת ברירת מחדל, משתמשים רבים משאירים אותה כסיסמה קבועה.
- משתמשים רבים מגדירים את אותה סיסמה עבור שירותים שונים. במקרה כזה אם תוקף השיג את הסיסמה בשירות אחד, הוא יכול להתחבר גם לשאר השירותים.
בעיה נוספת הכרוכה בשימוש בסיסמאות היא אחסון הסיסמאות. כאשר מאחסנים את הסיסמאות בקובץ אחד נוצרת לנו בעיה של נקודת כשל יחידה (אנ'). ניתן לפתור זאת על ידי שימוש בגיבוב ו"ניפוח סיסמה (salting)[4].
אימות ביומטרי
[עריכת קוד מקור | עריכה]- ערך מורחב – זיהוי ביומטרי
על מנת להשתמש במאפיין ביומטרי לאימות זהות, על המאפיין לעמוד במספר תנאים[5]:
- אוניברסליות. המאפיין צריך להיות משהו אוניברסלי שיש לכולם. לדוגמה, צבע שיער הוא מאפיין שאינו אוניברסלי משום שלאנשים קירחים אין שיער.
- ייחודיות. המאפיין צריך להיות ייחודי לכל משתמש. לדוגמה, סוג דם הוא מאפיין שאינו ייחודי משום שלאנשים רבים יש את אותו סוג דם.
- קביעות. המאפיין צריך להיות קבוע לאורך זמן. לדוגמה, משקלו של המשתמש אינו מאפיין קבוע, משום שהוא משתנה לאורך זמן.
- מדידות. המאפיין צריך להיות מדיד.
היתרון באימות ביומטרי הוא שהמאפיין המשמש לאימות נמצא כל הזמן על המשתמש. מנגד, ישנם מספר חסרונות[6]:
- אימות ביומטרי מסובך ויקר בהשוואה לשיטות אימות אחרות.
- מאפיינים ביומטריים המשמשים לאימות אינם ניתנים להחלפה. אם תוקף הצליח לזייפם, אין למשתמש אפשרות לשנות אותם.
- המדידות של המאפיינים הביומטריים משתנות בעקבות תנאים חיצוניים, ולכן צריך לקבוע גבול שבו הזיהוי יחזיר תשובה חיובית גם כאשר המדידה רחוקה מהמדידות השמורות במערכת. אם יוגדר גבול רחב, הדבר יגרום לזיהוי שגוי. אך מנגד אם יוגדר גבול צר, הזיהוי יחזיר מדי פעם תשובה שלילית גם עבור המשתמש.
ראו גם
[עריכת קוד מקור | עריכה]קישורים חיצוניים
[עריכת קוד מקור | עריכה]הערות שוליים
[עריכת קוד מקור | עריכה]- ^ RFC 4949 (עמ' 25)
- ^ Stallings, William and Brown, Lawrie, Computer Security: Principles and Practice, USA: Prentice Hall Press, 2014, עמ' 75
- ^ Stallings, William and Brown, Lawrie, Computer Security: Principles and Practice, USA: Prentice Hall Press, 2014, עמ' 78-80
- ^ Stallings, William and Brown, Lawrie, Computer Security: Principles and Practice, USA: Prentice Hall Press, 2014, עמ' 80
- ^ Anil K. Jain, Biometric Recognition: Overview and Recent Advances, Berlin, Heidelberg: Springer Berlin Heidelberg, עמ' 13–19, ISBN 978-3-540-76724-4
- ^ Stallings, William and Brown, Lawrie, Computer Security: Principles and Practice, USA: Prentice Hall Press, 2014, עמ' 96-99, 105