Идентификация пользователя

2 минуты на чтение

Идентификация пользователяДля начала мы покупаем хороший программный пакет, который может шифровать данные, и инсталлируем его на каждом NT-сервере. Мы настраиваем программу таким образом, чтобы она могла быть запущена только с помощью привилегированной учетной записи администратора, который регистрируется каждый день и начинает копирование информации. Через определенное время это становится утомительным, и он настраивает программу на автоматическое выполнение ежедневного копирования. Когда требуется восстановить данные, администратор регистрируется и выделяет группу файлов, которые дешифруются программой и отсылаются из библиотеки резервных копий.

А теперь подумайте, что может случиться в этом сценарии. Скорее всего, у администратора только один NT-пароль для запуска программы резервного копирования, либо пароль хранится где-нибудь на диске и вызывается оттуда при автоматическом копировании. Если требуется только один пароль для запуска программы, откуда удаленному серверу резервных данных знать, что кто-то не подделал запись на лентах? Если кто-нибудь имеет возможность записи на ленту, он может заполнить ее информационным мусором и тем самым помешать правильно провести копирование на следующий день. Или же кто-то может перезаписать одну из копий или просто удалить ее перед тем, как она потребуется вам на следующее утро. Вы уверены, что посылаете хорошую копию в хранилище, а на самом деле она не содержит никакой полезной информации. Поэтому нужно программное обеспечение, требующее идентификацию, при которой только авторизованные пользователи могут делать запись в резервную библиотеку. Если программное обеспечение требует в режиме исполнения установку отдельного пароля и он находится на диске в читабельной форме, я просто могу с помощью удаленного доступа добраться до диска и прочитать его (совет: никогда не делайте диск С: общедоступным) или же вытащить его из реестра (совет: конфигурация ваших систем не должна позволять удаленное прочтение реестра никому, кроме администратора). Зашифрованный пароль нужно хранить таким образом, чтобы программное обеспечение резервного копирования могло его извлечь в момент вашего отсутствия. Это требует двухстороннего хэширования. Кроме того, если пароль зашифрован, в какой-то момент потребуется его дешифровка, поэтому секретный ключ для шифрования также должен храниться где-нибудь на диске, возможно, в реестре или файле конфигурации программы (совет: не покупайте такую программу). Чтобы вообще исключить хранение секретных ключей и паролей на диске, понадобится такое программное обеспечение, которое бы использовало разные пароли для разных пользователей и проверяло их с помощью надежного метода идентификации.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Традиционно Идентификация пользователя была делом создания учетной записи и пароля. Приложения работали на основной ЭВМ, соединенной с терминалами. Пароль вводили «на месте», он не нуждался в защите от перехвата или взлома. Сегодня требования к идентификации с...
Для регистрации пользователя (как правило, это относится к аптечным, медицинским или финансовым сайтам) обычно создается Web-страница, на которой клиент вводит свои имя и пароль (на SSL-соединении). Сеанс устанавливается на базе сертификата сервера. Во многих ...
Защиту конфиденциальной информации можно обеспечить, только изучив методы и программное обеспечение резервного копирования на вашем предприятии, кто этим занимается, насколько надежны ключи, как происходит идентификация и шифрование, где хранятся данные, как э...