Кризис идентичности (управления) (часть 2): все, что вы (думаете, что вы) знаете, неверно

Опубликовано: 8 Апреля, 2023

  • Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией

Введение

В прошлом месяце, в части 1 этой серии, мы углубились в значение «идентичности» — как в общей схеме человеческих взаимодействий, так и в мире компьютерных сетей — и в том, как эти значения менялись с годами. К сожалению, многое из того, что мы думаем, что знаем об идентичности, при ближайшем рассмотрении оказывается либо лишь частично верным, либо полностью ложным. Возможно, самым большим препятствием для ИТ-персонала является представление о том, что идентификация — это просто имена учетных записей и пароли (или другие учетные данные для аутентификации).

Имена не равны идентичности

Имена — это основное средство, с помощью которого большинство из нас идентифицирует людей (и предметы тоже). В английском языке имена, которые идентифицируют конкретных лиц или организации, называются «собственными именами». Исследования показали, что даже некоторые нечеловеческие виды (например, дельфины) используют своего рода имена, чтобы различать друг друга. В некоторых обществах имена тщательно охраняются и раскрываются только доверенным лицам.

В ИТ имена часто требуются для получения доступа к ресурсу. Имена учетных записей пользователей являются частью набора информации, необходимой для входа в систему или для доступа к защищенному ресурсу в системе или по сети. Имена серверов могут потребоваться для поиска сетевого ресурса. Для доступа к веб-странице требуется сочетание имени сервера, имени домена и имени файла, хотя иногда от нас не требуется предоставлять всю информацию; например, если мы указываем веб-браузеру на www.mydomain.com, мы указали имя сервера (www) и доменные имена (mydomain и.com), но нам не нужно было вводить имя файла (например, default.htm или index.html), потому что это предполагается, если мы не введем другое имя файла.

В «реальном мире» у многих разных людей может быть одно и то же имя, написанное одинаково. Всех этих Джонов Смитов легко спутать с кем-то другим. В ИТ-системе обычно требуется, чтобы имена учетных записей пользователей были уникальными в этой системе. Таким образом, мы видим такие имена пользователей, как jsmith392.

Какими бы важными ни были имена, важно помнить, что имя на самом деле является всего лишь дескриптором. Обращаетесь ли вы ко мне как к «Дебре Шиндер», как к «автору книги «Управление идентификацией (кризис)» или как к «рыжеволосой женщине ростом 5 футов 4 дюйма в зеленом свитере», вы говорите об одном и том же человеке. Однако только два из этих трех описаний являются конкретными (вероятно, в любой день в мире будет много женщин ростом 5 футов 4 дюйма в зеленых свитерах). Только одно из них является постоянным – я могу покрасить волосы или даже официально изменить свое имя, но раз уж я написал эту статью, я навсегда останусь ее автором. Только один является «официальным», поскольку он указан в моих государственных документах. Имена могут быть изменены — по решению суда, в результате брака или в некоторых юрисдикциях по общему правилу, просто приняв и используя новое. Дело в том, что ваше имя — это не вы.

В ИТ имена пользователей тоже могут быть изменены. В большинстве систем это можно сделать довольно легко именно потому, что хотя имя — это информация, которую мы, люди, используем для идентификации учетной записи, это не то, что использует система. Система обычно использует базовую буквенно-цифровую строку символов, которая в системах Windows называется SID или идентификатором безопасности. Имя, связанное с этим SID, является лишь одним из его свойств и может быть изменено.

Учетные данные аутентификации не равны удостоверению

То, что мы обычно называем «кражей личных данных», на самом деле является кражей учетных данных, связанных с определенной личностью. Кража вашего пароля на самом деле не является кражей вашей личности, но позволяет вору выдать себя за вас. Это работает только с несложной/неосведомленной системой, которая полагается исключительно на эти учетные данные для вашей идентификации и предполагает, что вы единственный, кто может знать этот пароль.

Возвращаясь к сравнению с реальным миром, если кто-то использует ваше имя и, возможно, владеет одной из ваших кредитных карт, у продавца, который не знает вас, может не быть причин думать, что карта украдена. Более искушенный/добросовестный продавец может попросить удостоверение личности с фотографией вместе с кредитной картой, чтобы убедиться, что это действительно вы. Торговец, который действительно знает вас, сразу же поймет, что это не вы, даже если общий внешний вид вора похож на ваш.

Даже если человек сделал пластическую операцию, чтобы сделать его/ее похожим на вас, ваши близкие друзья и члены семьи узнают, что это не вы, по крайней мере, после небольшого взаимодействия, потому что у этого человека могут быть все ваши воспоминания или воспоминания. вспомнить весь общий опыт, маленькие «внутренние» шутки и так далее, из которых состоят отношения.

Сложная система ИТ-аутентификации должна требовать большего, чем просто правильное имя и пароль. Вы, наверное, заметили, что в последнее время защищенные веб-сайты начали использовать другие, дополнительные методы для проверки вашей личности наряду с обычными учетными данными. Они могут попросить вас дать ответ на личный вопрос, такой как сумма вашего ежемесячного платежа по ипотеке. Они могут попросить вас выбрать фотографию, которую вам придется выбирать из группы фотографий каждый раз, когда вы входите в систему. Существует множество различных способов усложнить процесс проверки личности для самозванца. Хитрость заключается в том, чтобы сделать это очень сложно для самозванца, но очень легко для «настоящего себя». В части 3 мы рассмотрим различные методы и способы определения того, какой из них лучше всего работает в данной ситуации.

Дилемма множественной идентичности

Одна вещь, которая усложняет управление идентификацией, — это огромное количество личностей, которые каждый из нас может принять в ходе законной жизни. В реальной жизни, хотя большинство из нас использует одно и то же имя для большинства взаимодействий, мы играем множество разных ролей в зависимости от того, где мы находимся и с кем взаимодействуем.

Иногда эти различия настолько велики, что описание одного и того же человека в разных ситуациях может привести к мысли, что «мы не должны говорить об одной и той же Мэри Смит». Вы можете быть застенчивым и замкнутым дома, но общительным и шумным на публике — или наоборот. Вы можете быть все время заняты на работе, но веселы и глупы со старыми приятелями из колледжа. Вы можете вести себя чопорно и корректно перед родителями, но вести себя провокационно или даже оскорбительно после нескольких стаканчиков в баре.

Некоторые люди даже живут настоящей «двойной жизнью», не просто действуя по-другому, а устанавливая разные официальные личности. Мы все видели это в кино — обычно с участием правительственного шпиона или агента корпоративного шпионажа. Мы читали в газетах истории о кротком коммивояжере, у которого есть жены и семьи в разных городах. И, конечно же, есть психическое состояние, которое когда-то называлось «раздвоением личности» или «расстройством множественной личности», а теперь называется «диссоциативным расстройством личности», при котором у человека проявляются «альтеры» — отдельные отдельные личности, каждая со своими особенностями. собственные представления о мире.

В ИТ у большинства из нас есть много разных идентификаторов, что обычно означает множество наборов имен пользователей и паролей (и/или других учетных данных для аутентификации). У нас есть имя и пароль для входа на наши домашние компьютеры, еще один для входа на рабочие компьютеры, еще один для веб-сайтов онлайн-банкинга, еще один для оплаты счетов за электричество, один для покупки товаров на Amazon, еще один для обмена с друзьями в социальных сетях, и так далее и далее. Нет ничего необычного в том, чтобы иметь двадцать или более разных онлайн-аккаунтов для управления различными аспектами нашей цифровой жизни.

Простое управление всеми вашими личными идентичностями может быть проблемой. Перед ИТ-отделами стоит еще более сложная задача, связанная с необходимостью управления сотнями или тысячами учетных записей пользователей. Некоторые люди выбирают более легкий путь и используют одно и то же имя и пароль для всех своих учетных записей. Это упрощает работу, но создает серьезную угрозу безопасности: если этот набор учетных данных будет скомпрометирован, все ваши учетные записи окажутся под угрозой.

Другие используют импровизированный метод «многоуровневых» учетных данных. У вас может быть одно имя пользователя/пароль, которые вы используете для не очень важных учетных записей, например, для входа на новостной сайт, чтобы читать его статьи, или на ИТ-форум, чтобы задавать технические вопросы или отвечать на них. Затем у вас есть еще одна учетная запись, которую вы используете для сайтов с более высоким уровнем безопасности, таких как Facebook или Google (где вы делитесь личной информацией). Этот пароль может быть длиннее и сложнее. У вас может быть еще один набор учетных данных с гораздо более сложным паролем/парольной фразой для банковских сайтов или тех, где вы вводите информацию о кредитной карте или другие финансовые данные.

Одна личность, чтобы управлять ими всеми

Некоторые считают единый вход Святым Граалем управления идентификацией. Это относится к возможности войти в систему один раз и получить доступ к нескольким системам. Это отличается от использования одних и тех же учетных данных для нескольких учетных записей тем, что:

  1. С идентичными учетными данными вам все равно придется входить в каждую систему отдельно; вам просто не нужно запоминать несколько имен и паролей.

  2. При едином входе у вас по-прежнему будут разные учетные данные для каждой из систем, но все они хранятся в системе SSO и автоматически вводятся в соответствующую систему после того, как вы вошли в систему с помощью своей «основной» учетной записи SSO.

Мы более подробно рассмотрим решения единого входа в части 3.

Иногда наличие только одного идентификатора даже в рамках одной системы может быть проблематичным. Некоторые популярные социальные сети, такие как Facebook и Google+, получили жалобы пользователей на их политику, запрещающую пользователям иметь несколько учетных записей и/или требующую от пользователей использовать свои «настоящие» (официальные) имена в своих учетных записях. Например, многие люди хотят иметь одну учетную запись для коллег по работе и другую для личных друзей. Некоторые хотят использовать псевдоним в качестве имени учетной записи, потому что это имя, под которым их знает публика (авторы, использующие псевдонимы, актеры, у которых есть сценические псевдонимы и т. д.). В некоторых случаях человеку может быть даже опасно использовать свое настоящее имя из-за диктаторских законов или политических проблем в странах, где любой намек на инакомыслие может караться смертью.

Резюме

Ваша личность — это гораздо больше, чем набор учетных данных, но защита ваших учетных данных — важная часть безопасной работы в Интернете. В части 3 мы рассмотрим некоторые решения для управления идентификацией, а в части 4 мы завершим эту серию рассуждениями о будущем идентификации в мире, который становится все более сетевым.

  • Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023