Hüpikaken pealkirjaga Vajalik autentimine teade, mis nõuab kasutajanime ja parooli sisestamist, on sageli märk sellest, et teie arvuti on nakatunud reklaamvaraviirusega.

Autentimise nõutav aken

Nõutav autentimine – mis see on?

Kõige sagedamini on Google Chrome'is, Mozilla Firefoxis, Operas või Internet Exploreris ilmuv hüpikaken teatega „Vajalik autentimine“ märk sellest, et teie arvuti on nakatunud reklaamvaraviirusega. Kohe pärast teie arvutisse imbumist ja selle aktiveerimist hakkab see pahavara igale teie avatavale veebisaidile sisestama väikese skripti või peidetud raami. Selle tulemusena kuvatakse teie vaadatavatel lehtedel tohutul hulgal reklaame või ilmub hüpikaken "Nõutav on autentimine", millega autorid reklaami viirus võib koguda teie isikuandmeid või blokeerida juurdepääsu teie avatud saidile.

Muud pahavaraga nakatumise sümptomid, mis näitavad hoiatust „Nõutav on autentimine”.

• Reklaamibännerid on integreeritud saitidele, kus teate kindlalt, et reklaami ei tohiks olla
• Erinevad juhuslikud sõnad ja fraasid, mis on linkidesse sisestatud
• Brauser näitab väikesed aknad kes soovitavad värskendada teie flash-mängijat või muud tarkvara
• Teile tundmatud programmid ilmusid teie arvutisse iseenesest.

Miks hakkab teie arvutisse ilmuma teade "Autentimine on vajalik"?

Nii kummaline kui see ka ei tundu, on teie arvuti tõenäoliselt nakatunud reklaami kuvamiseks loodud programmi või viirusega. Süsteemi sisenedes avab see pahavara sadu erinevaid reklaamisaite ja suunab teid erinevatele petlikele ja eksitavatele veebilehtedele.

Seetõttu peaksite alati olema väga ettevaatlik selle suhtes, mida kavatsete Internetist alla laadida! Pärast allalaaditud programmi käivitamist lugege installimisetapis hoolikalt läbi kõik sõnumid. Ärge kiirustage klõpsama aknas nuppu Nõustun või Nõustun kasutusleping. Lugege see kindlasti hoolikalt läbi. Mis tahes programmi installimisel proovige valida suvand Täpsem (kohandatud), see tähendab, et teil on täielik kontroll selle üle, mida ja kuhu installitakse. Nii saate vältida potentsiaalselt mittevajalikke ja reklaamiprogrammid. Ja mis kõige tähtsam, ärge kunagi installige midagi, mida te ei usalda!

Arvuti puhastamise viisid

Kuidas eemaldada Chrome'ist, Firefoxist ja Internet Explorerist "Nõutav autentimine".

Järgmine juhis on samm-sammult juhend mida tuleb samm-sammult järgida. Kui te ei saa midagi teha, PEATAGE, küsige selle artikliga abi või looge a uus teema meie peal.

1. Eemaldage AdwCleaneri abil Chrome'ist, Firefoxist ja Internet Explorerist „Autentimine on nõutav”

AdwCleaner on väike programm, mis ei vaja teie arvutisse installimist ja on loodud spetsiaalselt reklaamvara leidmiseks ja eemaldamiseks ning potentsiaalselt mittevajalikud programmid. See utiliit ei ole viirusetõrjega vastuolus, nii et saate seda ohutult kasutada. Desinstallige oma viirusetõrjeprogramm pole vaja.

Laadi alla Programm AdwCleaner klõpsates järgmisel lingil.

Installeri sulgemiseks ja vaikesätete kasutamiseks klõpsake nuppu Jäta vahele või valikute uurimiseks klõpsake nuppu Alusta AdGuardi programmid ja muutke vaikeseadeid.

Enamikul juhtudel standardseaded piisab ja midagi pole vaja muuta. Iga kord, kui arvuti käivitate, käivitub AdGuard automaatselt ja blokeerib hüpikaknad, saidid, nagu "Nõutav autentimine", aga ka muud pahatahtlikud või eksitavad veebilehed. Programmi kõigi funktsioonidega tutvumiseks või selle sätete muutmiseks peate lihtsalt topeltklõpsama teie töölaual asuval AdGuardi ikoonil.

Järgides neid juhiseid, peaks teie arvuti täielikult vabanema hüpikakendest, millel on teade "Vajalik autentimine". Google Chrome, Mozilla Firefox, Internet Explorer Ja Microsoft Edge. Kahjuks autorid pahavara Neid uuendatakse pidevalt, mis muudab arvuti töötlemise keeruliseks. Seega, kui need juhised teid ei aidanud, tähendab see, et olete nakatunud uus versioon pahavara "Vajalik autentimine" ja seejärel parim variant- võtke meiega ühendust.

Et vältida arvuti nakatamist tulevikus, järgige kolme väikest nõuannet

• Uute programmide arvutisse installimisel lugege alati nende kasutamise reegleid ja kõiki sõnumeid, mida programm teile kuvab. Proovige mitte installida vaikeseadetega!
• Hoidke viiruse- ja nuhkvaratõrjeprogrammid uusimate versioonideni värskendatuna. Pange tähele ka seda, et teil on automaatne Windowsi värskendus ja see on kõik saadaolevad värskendused juba paigaldatud. Kui te pole kindel, peate saidi külastama Windows Update, kus nad ütlevad teile, kuidas ja mida tuleb Windowsis värskendada.
• Kui kasutate Java, Adobe Acrobat Reader, Adobe Flash Player, värskendage neid kindlasti õigeaegselt.

Kindlasti puutub iga arvutisüsteemide kasutaja (ja mitte ainult) pidevalt kokku autentimise mõistega. Peab ütlema, et mitte kõik ei mõista selgelt selle termini tähendust, ajades seda pidevalt teistega segamini. IN üldises mõttes autentimine on väga lai mõiste, mis võib sisaldada kombinatsiooni mõnest teisest terminist, mis kirjeldab täiendavaid protsesse. Süvenemata tehnilised üksikasjad, vaatame, mis see on.

Autentimise kontseptsioon

Selle kontseptsiooni üldine määratlus on millegi autentsuse kontrollimine. Sisuliselt on autentimine protsess, mis võimaldab määrata objekti või subjekti vastavust mõnele varem salvestatud unikaalsele andmele või tunnusele. Teisisõnu, süsteemil on teatud omadused, mis nõuavad kinnitust, et pääseda juurde selle põhi- või peidetud funktsioonid. Pange tähele, et see on protsess. Seda ei tohiks mingil juhul segi ajada tuvastamisega (mis on üks komponendid autentimisprotsess) ja autoriseerimine.

Lisaks eristatakse ühesuunalist ja vastastikust autentimist, mis põhineb kaasaegsed meetodid krüptograafia (andmete krüpteerimine). Vastastikuse autentimise lihtsaim näide oleks näiteks kasutajate kahesuunaline lisamine sõpradeks mõnel saidil sotsiaalvõrgustikud, kui mõlemad pooled nõuavad toimingu kinnitust.

Identifitseerimine

Niisiis. Identifitseerimine, seoses arvutitehnoloogia, on teatud objekti või näiteks kasutaja äratundmine eelnevalt loodud identifikaatori järgi (näiteks sisselogimine, ees- ja perekonnanimi, passiandmed, isikukood jne). Seda identifikaatorit, muide, kasutatakse hiljem autentimisprotseduuri ajal.

Autoriseerimine

Autoriseerimine on kõige vähem lihtne viis teatud funktsioonidele või ressurssidele juurdepääsu võimaldamiseks erinevaid süsteeme sisestades näiteks kasutajanime ja parooli. IN antud juhul mõistete erinevus seisneb selles, et autoriseerimisel antakse kasutajale vaid teatud õigused, autentimine on aga täpselt sama sisselogimise ja parooli võrdlemine süsteemis endas registreeritud andmetega, mille järel pääseb ligi täiustatud või peidetud funktsioonidele. sama Interneti-ressurss või tarkvaratoode(autoriseerimiskoodi kasutamine).

Tõenäoliselt on paljud kokku puutunud olukorraga, kus faili ei saa veebisaidilt alla laadida ilma ressursi volituseta. Just pärast autoriseerimist järgneb autentimisprotsess, mis sellise võimaluse avab.

Miks on autentimist vaja?

Valdkonnad, kus autentimisprotsesse kasutatakse, on väga erinevad. Protsess ise võimaldab teil kaitsta mis tahes süsteemi volitamata juurdepääsu või soovimatute elementide sissetoomise eest. Näiteks autentimist kasutatakse kontrollimisel laialdaselt meilid avaliku võtmega ja digiallkiri, kui võrrelda kontrollsummad failid jne.

Vaatame kõige elementaarsemaid autentimise tüüpe.

Autentimise tüübid

Nagu eespool mainitud, kasutatakse autentimist kõige laialdasemalt arvutimaailm. Lihtsaima näite kirjeldamiseks kasutati autoriseerimise näidet konkreetsele saidile sisenemisel. Peamised autentimise tüübid sellega siiski ei piirdu.

Üks peamisi valdkondi, kus seda protsessi kasutatakse, on Interneti-ühenduse loomine. Kas saab juhtmega ühendus või WiFi autentimine – vahet pole. Mõlemal juhul autentimisprotsessid praktiliselt ei erine.

Lisaks võrgule juurdepääsuks sisselogimise või parooli kasutamisele on spetsiaalne tarkvara moodulid teostama nii-öelda ühenduse seaduslikkuse kontrolli. WiFi autentimine või juhtmega ühendus hõlmab mitte ainult paroolide ja sisselogimiste võrdlemist. Kõik on palju keerulisem. Kõigepealt kontrollitakse arvuti, sülearvuti või mobiilividina IP-aadressi.

Kuid olukord on selline, et saate oma IP-d süsteemis muuta, nagu öeldakse, lihtsalt. Iga kasutaja, kes on sellega enam-vähem kursis, saab sellise protseduuri läbi viia mõne sekundiga. Veelgi enam, tänapäeval leiate Internetist tohutul hulgal programme, mis muudavad automaatselt välist IP-d.

Aga siis algab lõbus. Sees selles etapis autentimine on ka vahend arvuti või sülearvuti MAC-aadressi kontrollimiseks. Ilmselt pole vaja seletada, et iga MAC-aadress on iseenesest unikaalne ja maailmas lihtsalt pole kahte identset. See võimaldab meil kindlaks teha ühenduse ja võrgule juurdepääsu seaduslikkuse.

Mõnel juhul võib ilmneda autentimisviga. Selle põhjuseks võib olla vale autoriseerimine või mittevastavus eelnevalt määratletud ID-ga. Harva, kuid siiski on olukordi, kus protsessi ei saa süsteemi enda vigade tõttu lõpule viia.

Kõige tavalisem autentimisviga on võrguühenduse kasutamisel, kuid see kehtib peamiselt ainult vale sisestus paroolid.

Kui me räägime muudest valdkondadest, siis biomeetria puhul on selline protsess kõige nõudlikum. Täpselt nii biomeetrilised süsteemid autentimised on tänapäeval ühed kõige usaldusväärsemad. Levinumad meetodid on sõrmejälgede skannimine, mida nüüd leidub isegi samade sülearvutite lukustussüsteemides või mobiilseadmed ja võrkkesta skaneerimine. Seda tehnoloogiat on kasutatud rohkem kui kõrgel tasemel, pakkudes näiteks juurdepääsu salajastele dokumentidele jne.

Selliste süsteemide töökindlust selgitatakse üsna lihtsalt. Lõppude lõpuks, kui vaadata, siis pole maailmas kahte inimest, kelle sõrmejäljed või võrkkesta struktuur täielikult ühtiks. Nii et see meetod annab maksimaalne kaitse volitamata juurdepääsu osas. Lisaks võib sama biomeetrilist passi nimetada vahendiks seaduskuuleka kodaniku kontrollimiseks olemasoleva tunnuse (sõrmejälje) abil ja selle (nagu ka passi enda andmete) võrdlemiseks ühtses andmebaasis saadaolevaga.

Sel juhul tundub kasutaja autentimine võimalikult usaldusväärne (kui muidugi mitte arvestada dokumendi võltsimist, kuigi see on üsna keeruline ja aeganõudev protseduur).

Järeldus

Loodetavasti saab ülaltoodust selgeks, mis on autentimisprotsess. Noh, nagu näeme, võib rakendusvaldkondi olla palju ja täielikult erinevad valdkonnad elu ja

Selles artiklis vaatleme mõningaid kõige levinumaid autentimisvigade näiteid seadmete kasutamisel operatsioonisüsteemi Android WiFi-võrkudega. Esmapilgul ei saa selles asjas midagi keerulist olla, sest sellel OS-il põhinevate telefonide ja tahvelarvutite liides on erakordselt sõbralik ka kõige suurematele kogenematud kasutajad, kuid ta suudab ka üllatada.

Lisaks on selline tõrge üsna tavaline nähtus ja selleks, et mitte hätta sattuda, tuleks kõigepealt tutvuda allpool toodud teabega ja võib-olla laheneb ühenduse probleem lihtsalt ja märkamatult. Kõigepealt peate mõistma, mis on autentimine ja WiFi tehnoloogiaüldiselt. Selle mõistmine annab teile võimaluse ilma kellegi abita ja lisakulud lahendada selle protokolliga seotud igapäevaseid probleeme.

Autentimine. Mis see on ja miks?

Tihti ilmub autentimise ajal teie telefoni ekraanile väärtusliku „Ühendatud“ asemel teade „Salvestatud, WPA/WPA2 kaitse“ või „Autentimisprobleem“.

Mis ta on?

See on spetsiaalne kaitsetehnoloogia, mis ei võimalda juurdepääsu teie isiklikule või töövõrk kutsumata kasutajad, kes kasutaksid teie Interneti-kanalit ja raiskaksid liiklust. Peate selle eest maksma. Jah, ja punkti suur tegevusraadius WiFi-ühendus, võimaldab sellega ühenduse luua mitte ainult inimestele, kelle jaoks see loodi, vaid ka ründajatele. Niisiis, selle vältimiseks volitamata ühendus ning nõuab kvaliteetset andmete krüptimise ja autentimise tehnoloogiat, millel on väike häkkimise ja parooli äraarvamise tõenäosus. Seetõttu peate võrguga ühenduse loomiseks kõige sagedamini sisestama parooli. Teie vajadustele vastava autentimisandmete krüptimise meetodi saate valida ruuteri või pääsupunkti seadetes, millega teie seade on ühendatud. Tänapäeval on kõige levinum autentimismeetod WPA-PSK/WPA2.

Siin on kaks peamist valikut:

• Esimesel juhul sisestavad kõik abonendid võrguga ühenduse loomisel sama võtme, igale kasutajale antakse isiklik juurdepääsuvõti, mis koosneb peamiselt ladina tähestiku numbritest ja tähtedest.
• Teist tüüpi krüptimist kasutatakse peamiselt ettevõtetes suurenenud tase võrgu kaitsmine, kus ühendub teatud arv kasutajaid, on tõesti oluline turvaline kassa autentsus.

Kui meil on ühendusega probleeme, on enne toimingu tegemist soovitatav kasutada tõestatud meetodit, mis enam kui pooltel juhtudel lahendab kõik probleemid, sealhulgas autentimisvead - taaskäivitage ruuter.

Veel üks kõige rohkem tõhusaid viise Autentimisvea lahendus, kuna selle võib sageli põhjustada teie kodus asuva ruuteri kahjustatud püsivara, on selle püsivara värskendamine uusim versioon. Seda on rangelt soovitatav värskendada tootja ametlikul veebisaidil. Samuti on soovitatav omada ruuteri konfiguratsiooniga failist salvestatud koopia ja kui teil seda pole, siis ärge olge laisk seda oma arvutisse tegema, et te ei peaks selle seadeid uuesti valima. Lisaks on parem veenduda, et teie võrk pole peidetud, st lihtsalt kontrollige seadetes, kas ruut "Peidetud SSID" on märgitud ja kas traadita võrgu nimi on kirjutatud võrgu SSID ladina keeles.

Autentimisviga. Miks see tekib?

Tegelikult on ainult kaks peamist probleemi, mille tõttu teie telefon ei pruugi ühendust luua WiFi võrgud. Kuid ärge unustage, et lisaks allpool näidatud vigadele sarnased probleemid põhjuseks võib olla ruuteri enda rike või võrguseadete konflikt. See on eraldi teema aruteluks.

1. Valitud krüpteerimistüüp ei ühti kasutatavaga.
2. Viga võtme sisestamisel

Enamik probleeme traadita võrkudega ühenduse loomisel on tingitud vigadest võtme sisestamisel. Sellistel puhkudel on soovitatav telefoni ühenduseseadetesse sisestatud parool üle kontrollida ja kui see ei aita, minge arvutiga ruuteri seadetesse, asendades pääsuklahvi otse sellel. Tasub meeles pidada, et võti saab koosneda ainult sellest Ladina tähed. Kui see ei aita, peaks üks alltoodud meetoditest kindlasti aitama.

Probleemi lahendamiseks vaadake videot:

Autentimisvigade tõrkeotsing

Mitte iga kasutaja ei kujuta ette, kuidas seaded välja näevad WiFi ruuter arvuti kasutamisest ja ühenduse probleemide lahendamisest, rääkimata nende tekkimise põhjustest. Seetõttu kirjeldatakse allpool teist võimalust probleemide lahendamiseks, kuid ruuteri poolel ja sellega ühendatud arvutit, mitte telefoni kasutades.

1. Seadete kontrollimiseks peate minema ruuteri sätetesse. Selleks avage mis tahes brauser ja sisestage aadressiriba IP-aadress 192.168.0.1 või 192.168.1.1. See sõltub kasutatavast ruuteri mudelist. Pärast seda sisestage ilmuvas aknas oma kasutajanimi ja parool. Kui te pole neid muutnud, leiate vajalikud sisselogimisandmed ruuterilt endalt või juhistest.
2. Järgmisena peaksite minema traadita võrgu režiimi seadetesse ja "b/g/n" asemel, mis on enamasti vaikeseade, muutma "b/g", misjärel salvestate kõik tehtud muudatused.
3. Kui kõik eelmised manipulatsioonid ei andnud konkreetset tulemust, siis on mõttekas muuta krüpteerimistüüpi WPA/WPA2 kontrollimisel, kui valiti mõni muu meetod, või vastupidi - lihtsustada WEP-ile, mis, kuigi aegunud, salvestab mõnikord olukord, kui muud meetodid osutuvad ebatõhusaks. Pärast seda proovige oma telefonist uuesti võrguga ühendust luua ja sisestage kinnituse läbimiseks võti uuesti.

Loetletud nüansside tundmine aitab teil toime tulla tõrkega, mis esineb paljudes seadmetes, olenemata klassist ja maksumusest, töötades erinevate traadita võrgud ja mõista ka seadmise põhimõtet traadita ruuterid ja pääsupunktid.

Sergei Panasenko,
Ph.D., Ankadi tarkvaraarenduse osakonna juhataja
[e-postiga kaitstud]

Autentimise tüübid

Nagu teate, on peaaegu igas arvutisüsteemis vajadus autentimise järele. Selle protseduuri käigus kontrollib arvutisüsteem, kas kasutaja on see, kes ta väidab end olevat. Et pääseda juurde arvutile, Internetile, süsteemile kaugjuhtimispult pangakonto jne, peab kasutaja veenvalt tõestama arvutisüsteem et "ta on seesama inimene" ja mitte keegi teine. Selleks peab ta andma süsteemile mõningase autentimisinfo, mille alusel selle süsteemi autentimismoodul teeb otsuse talle juurdepääsu võimaldamise kohta vajalikule ressursile (juurdepääs on lubatud/ei ole).

Praegu kasutatakse selliseks kontrollimiseks kolme tüüpi teavet.

Esiteks - ainulaadne tähemärkide jada, mida kasutaja peab edukaks autentimiseks teadma. Lihtsaim näide- parooliga autentimine, mille jaoks piisab oma identifikaatori (näiteks sisselogimise) ja parooli sisestamisest süsteemi.

Teist tüüpi teave on ainulaadne sisu või ainulaadsed omadused teema. Lihtsaim näide on mis tahes luku võti. Arvuti autentimise korral mis tahes välist meediat teave: kiipkaardid, iButtoni elektroonilised tahvelarvutid, USB-märgid jne.

Ja lõpuks, kolmas autentimistüüp on by biomeetriline teave, mis on kasutaja jaoks lahutamatu. See võib olla sõrmejälg, vikerkesta muster, näo kuju, hääleparameetrid jne.

Väga sageli kasutatakse autentimiseks mitut tüüpi teavet. Tüüpiline näide: Autentimisteave salvestatakse kiipkaardile, millele juurdepääsuks on vaja parooli (PIN-koodi). Seda autentimist nimetatakse kahefaktoriline. Neid on tõelised süsteemid ja kolmefaktorilise autentimisega.

Mõnel juhul on vajalik ka vastastikune autentimine – kui mõlemad osalejad teabevahetus kontrollige üksteist. Näiteks enne üleviimist kaugserver kõik olulised andmed, peab kasutaja veenduma, et see on just see server, mida ta vajab.

Kaugautentimine

Kaugautentimise korral (oletame, et kasutaja kavatseb kaugjuhtimispuldile juurde pääseda meiliserver et kontrollida oma meili) on probleem autentimisinfo edastamisel ebausaldusväärsete sidekanalite kaudu (Interneti või kohalik võrk). Unikaalse teabe salajas hoidmiseks kasutatakse selliste kanalite kaudu saatmisel mitut autentimisprotokolli. Vaatame mõnda neist, mis on erinevate rakenduste jaoks kõige tüüpilisemad.

Juurdepääs parooliga

Lihtsaim autentimisprotokoll on juurdepääs paroolile. Juurdepääsuprotokoll, PAP): kogu kasutajateave (sisselogimine ja parool) edastatakse üle võrgu selge tekstina (joonis 1). Serverisse saadud parooli võrreldakse antud kasutaja viiteparooliga, mis salvestatakse serverisse. Turvalisuse huvides paroole sageli serverisse ei salvestata. avatud vorm, ja nende räsiväärtused (räsimise kohta vt "BYTE/Russia" nr 1 "2004).

Sellel skeemil on väga märkimisväärne puudus: iga ründaja, kes on võimeline pealtkuulama võrgupaketid, saab lihtsa nuusutaja-tüüpi paketianalüsaatori abil hankida kasutaja parooli. Ja olles selle kätte saanud, saab ründaja hõlpsasti hakkama autentitakse parooli omaniku nime all.

Autentimisprotsessi käigus ei saa üle võrgu edastada mitte ainult parooli, vaid ka selle ümberkujundamise tulemust – näiteks sama parooliräsi. Kahjuks ei kõrvalda see ülalkirjeldatud puudust – ründaja võib sama lihtsalt parooliräsi vahele jätta ja seda hiljem kasutada.

Selle autentimisskeemi puuduseks on see, et mis tahes potentsiaalne kasutaja süsteem peab esmalt selles registreeruma – vähemalt sisestama oma parooli järgnevaks autentimiseks. Ja allpool kirjeldatud keerukamad väljakutse-vastuse autentimisprotokollid võimaldavad põhimõtteliselt laiendada süsteemi piiramatule arvule kasutajatele ilma nende eelneva registreerimiseta.

Taotlus-vastus

Protokollide perekond, millele tavaliselt viidatakse väljakutse-vastuse kontrollimise protseduurina, sisaldab mitmeid protokolle, mis võimaldavad kasutaja autentimist ilma teavet võrgu kaudu edastamata. Väljakutse-vastuse protokollide perekonda kuulub näiteks üks levinumaid – CHAP (Challenge-Handshake Authentication Protocol) protokoll.

Kinnitusprotseduur sisaldab vähemalt nelja etappi (joonis 2):

• kasutaja saadab serverile juurdepääsupäringu, sealhulgas oma sisselogimise;
• server genereerib juhusliku arvu ja saadab selle kasutajale;
• kasutaja krüpteerib saadud juhusliku arvu sümmeetrilise krüpteerimisalgoritmiga, kasutades oma unikaalset võtit (vt "BYTE/Russia" nr 8"2003), krüpteerimise tulemus saadetakse serverisse;
• server dekrüpteerib saadud teabe sama võtme abil ja võrdleb seda algse juhusliku arvuga. Kui numbrid ühtivad, loetakse kasutaja edukalt autentituks, kuna ta tunnistatakse kordumatu salavõtme omanikuks.

Autentimisteave on sel juhul võti, mille alusel krüpteeritakse juhuslik arv. Nagu vahetusskeemilt näha, antud võti ei edastata kunagi üle võrgu, vaid osaleb ainult arvutustes, mis on selle perekonna protokollide vaieldamatu eelis.

Selliste autentimissüsteemide peamine puudus on vajadus omada kohalik arvuti kliendimoodul, mis teostab krüptimist. See tähendab, et erinevalt PAP-protokollist, jaoks kaugjuurdepääs sobib ainult vajalikule serverile piiratud arv sellise kliendimooduliga varustatud arvutid.

Siiski, nagu kliendi arvuti võib olla ka kiipkaart või sarnane “kantav” seade, millel on piisavalt arvutusvõimsus näiteks mobiiltelefoni. Sel juhul on teoreetiliselt võimalik autentida ja pääseda serverisse igast arvutist, mis on varustatud kiipkaardilugejaga, mobiiltelefon või PDA.

Väljakutse-vastuse protokolle saab hõlpsasti laiendada vastastikusele autentimisskeemile (joonis 3). Sel juhul saadab kasutaja (samm 1) autentimistaotluses oma juhusliku numbri (N1). 2. sammus peab server lisaks oma juhuslikule numbrile (N2) saatma ka numbri N1, krüpteerituna vastava võtmega. Seejärel dekrüpteerib kasutaja enne 3. sammu sooritamist selle ja kontrollib: kui dekrüpteeritud number ühtib N1, näitab see, et serveril on vajalik salajane võti, st see on täpselt see server, mida kasutaja vajab. Seda autentimisprotseduuri nimetatakse sageli käepigistuseks.

Nagu näete, õnnestub autentimine ainult siis, kui kasutaja on eelnevalt registreerunud see server ja vahetas temaga kuidagi salajase võtme.

Pange tähele, et selle asemel sümmeetriline krüptimine kasutada saab ka selle perekonna protokolle asümmeetriline krüptimine ja elektrooniline digitaalallkiri. Sellistel juhtudel saab autentimisskeemi hõlpsasti laiendada piiramatule arvule kasutajatele, piisab digisertifikaatide rakendamisest infrastruktuuri sees avalikud võtmed

(vt "BYTE/Venemaa" nr 7 "2004).

Kerberose protokoll Kerberose protokoll on üsna paindlik ja sellel on võimalused peenhäälestus

konkreetsete rakenduste jaoks on see olemas mitmes versioonis. Vaatleme Kerberose protokolli versiooni 5 abil rakendatud lihtsustatud autentimismehhanismi (joonis 4): Esimese asjana tuleb öelda, et Kerberose kasutamisel ei pääse te otse ühelegi sihtserverile juurde. Autentimisprotseduuri enda käivitamiseks peate võtma ühendust spetsiaalse autentimisserveriga kasutaja sisselogimist sisaldava päringuga. Kui server ei leia taotlejat oma andmebaasist, lükatakse päring tagasi. Vastasel juhul genereerib autentimisserver juhusliku võtme, mida kasutatakse kasutaja suhtlusseansside krüptimiseks süsteemi teise spetsiaalse serveriga: piletite väljastamise serveriga (TGS). Autentimisserver krüpteerib selle juhusliku võtme (nimetagem seda Ku-tgs-ks) kasutaja võtmega (Kuser) ja saadab selle viimasele. Täiendav koopia klahvi Ku-tgs numbriga lisaparameetrid (nimetatakse piletiks) saadetakse kasutajale ka krüpteeritult spetsiaalne võti

autentimisserverite ja TGS (Ktgs) ühendamiseks. Kasutaja ei saa piletit dekrüpteerida, mis tuleb järgmises autentimisetapis TGS-i serverile edastada. Järgmine kasutaja toiming on päring TGS-ile, mis sisaldab kasutaja sisselogimist, serveri nime, millele soovite juurde pääseda, ja sama TGS-i piletit. Lisaks sisaldab päring alati praegust ajatemplit, mis on krüpteeritud Ku-tgs-võtmega. Ajatemplit on vaja selleks, et vältida rünnakuid, mis sooritatakse pealtkuulatud varasemate päringute taasesitamisel serverile. Rõhutagem seda süsteemi aeg

Kui pilet on edukalt kinnitatud, genereerib TGS-server juurdepääsu otsiva kasutaja ja sihtserveri (Ku-serv) vahelise suhtluse krüptimiseks teise juhusliku võtme. See võti krüpteeritakse Kuseri võtmega ja saadetakse kasutajale. Lisaks saadetakse sarnaselt 2. sammuga kasutajale krüpteeritud kujul (TGS-i ühendamise võtmel) Ku-servi võtme ja sihtserveri nõutavate autentimisparameetrite koopia (pilet sihtserverile juurdepääsuks). ja sihtserver - Kserv).

Nüüd peab kasutaja sihtserverisse saatma eelmises etapis saadud pileti ja Ku-servi võtmega krüpteeritud ajatempli. Pärast edukat pileti kontrollimist loetakse kasutaja lõpuks autendituks ja ta saab sihtserveriga teavet vahetada. Antud sideseansi jaoks ainulaadset Ku-servi võtit kasutatakse sageli selles seansis saadetud andmete krüptimiseks.

Igal süsteemil võib olla mitu sihtserverit. Kui kasutaja vajab juurdepääsu mitmele neist, loob ta taas päringuid TGS-serverile – nii mitu korda, kui palju servereid tal töötamiseks vaja on. TGS-server genereerib iga päringu jaoks uue juhusliku Ku-servi võtme, st kõik sideseansid erinevate sihtserveritega on kaitstud erinevate võtmetega.

Kerberose autentimisprotseduur tundub üsna keeruline. Kuid ärge unustage, et kõik päringud ja nende krüpteerimine vajalike võtmetega teostatakse automaatselt kasutaja kohalikku arvutisse installitud tarkvara abil. Samas on vaieldamatu miinus vajadus paigaldada küllaltki keerukat klienttarkvara protokolli. Tänapäeval on Kerberose tugi aga sisse ehitatud enamlevinud operatsioonisüsteemidesse Windowsi perekond, alustades Windows 2000-st, mis kõrvaldab selle puuduse.

Teiseks puuduseks on vajadus mitme eriserveri järele (juurdepääsu sihtserverile pakuvad veel vähemalt kaks, autentimisserver ja TGS). Kuid süsteemides koos väike arv kasutajate puhul saab kõiki kolme serverit (autentimine, TGS ja sihtmärk) füüsiliselt ühendada ühes arvutis.

Samas tuleb rõhutada, et autentimisserver ja TGS peavad olema usaldusväärselt kaitstud sissetungijate volitamata juurdepääsu eest. Teoreetiliselt on TGS-ile või autentimisserverile juurdepääsu saanud ründaja võimeline sekkuma juhusliku võtme genereerimise protsessi või hankima kõigi kasutajate võtmed ja algatama seetõttu sideseansse mis tahes sihtserveriga mis tahes seadusliku kasutaja nimel.

* * *

Ühe või teise protokolli valik sõltub eelkõige selle info olulisusest, millele autentimise tulemusena juurdepääs antakse. Teine kriteerium on kasutusmugavus. Ja siin, nagu mujalgi, on kasulik säilitada mõistlik tasakaal. Mõnikord kui mitte erinõuded autentimisprotseduuri saladuseks on Kerberose sarnase usaldusväärse (kuid raskesti rakendatava) protokolli asemel parem kasutada “elementaarset” parooliprotokolli PAP, mille lihtsus ja kasutusmugavus kaaluvad sageli üles kõik selle puudused.