Аутентификация на межсетевом экране. Методы аутентификации. Прозрачная и непрозрачная аутентификация.

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого он себя выдает.

Как правило, используется принцип, получивший название "что он знает" - т.е. пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации:

Имя/пароль

Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов

Одноразовые пароли

Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.

Электронные сертификаты

Они используют шифрование с открытыми ключами

Биометрическая Биометрическая аутентификация основана на уникальности определенных антропометрических характеристик человека. В области информационных технологий термин биометрия применяется в значении технологии идентификации личности. Биометрическая защита эффективнее чем такие методы как, использование смарт-карт, паролей, PIN-кодов. Чаще всего используются: Настройки голоса. Узор радужной оболочки глаза и карта сетчатки глаза. Черты лица. Форма ладони. Отпечатки пальцев. Форма и способ подписи.

Единый вход (прозрачная авторизация) - возможность зарегистрированным пользователям (логин, пароль) на Вашем сайте при переходе в сообщество автоматически авторизоваться в нем.
Единый вход (прозрачная авторизация) и про ее безопасность.
Безопасность прозрачной авторизации для вас обеспечивается тем, что вы сами решаете, какие данные нам предоставляются.
Пользователь идентифицируется нами по cookie, которая должна задаваться с вашей стороны. Имя cookie может быть любым значение, просто некоторый ключ обозначающий текущую сессию пользователя. Она может быть никак не связана с вашей кукой авторизации, потому что она не обязана нести никакой смысловой нагрузки, это просто идентификатор сессии пользователя.
Зачем он нужен? Чтобы запросив вас и указав этот номер, вы могли бы предоставить нам информацию об этом пользователе.
Обязательных параметров всего 2:
1) любой идентификатор пользователя (что угодно, лишь бы для этого пользователя оно было одинаковым, это может быть id в базе или скажем хеш от логина, тогда мы не сможем узнать логин либо еще какие-либо данные, но сможем в следующий раз понять что это опять он)
2) и как его называть, т.е. ник в нашей системе.
Желательно также передавать его email чтобы мы могли оповещать его и ссылку на аватар, чтобы собственно показать его.

Таким образом мы не знаем идентификатор сессии пользователя, не знаем его логин, пароль или еще какие-либо данные, мы никак не можем использовать его аккаунт в вашей системе.