Систематизация методов аутентификации

Технологии
Проглядывал материалы RSA и увидел у них неплохо систематизированную информацию по методам аутентификации — решил стащить и перевести на русский. Первая табличка просто сравнивает существующие методы аутентификации по различным параметрам. Какого-то лидера среди них — выбирается нужный в конкретной ситуации. По поводу предпоследнего метода — у RSA он называется «composite authentication» — это по сути набор факторов, по которым часто аутентифицируют Интернет-пользователей — совокупность IP-адреса, типа браузера, cookie и т.д. Кстати, именно этот метод будет прописан в новой редакции 382-П для проверки подлинности клиентов ДБО.

Вторая таблица систематизирует методы аутентификации по 4 признакам — субъект знает что-то, имеет что-то, обладает чем-то или делает что-то. И для каждого из признаков приведены свои примеры аутентификации.

Собственно ничего нового в этих таблицах нет, но систематизировано неплохо — этим и понравилось.

А еще польза от такой систематизации в том, что она позволяет выбрать метод для реализации 21-го или 17-го приказов ФСТЭК по защите ПДн или государственных информационных систем. Если вспомнить набор защитных мер, то они описаны достаточно высокоуровнево и не ограничивают вас в выборе конкретной реализации. Например, ИАФ.1 «Идентификация и аутентификация пользователей, являющихся работниками оператора» или ИАФ.6 «Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)». А какой метод аутентификации выбрать? Как раз две вышеупомянутые таблички и помогают сделать такой выбор.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Harry

    В первой табличке "Цена" — Что означает? Никак не стоимость владения/внедрения. Если парольная защита дороже биометрии или смарт…

    Ответить
  2. Unknown

    "Проглядывал материалы RSA" — компании/подразделения ЕМС или конференции?

    Если "первое", то понятно почему парольная защита самая дорогая и самая слабая.

    Если "второе", то возможно ли ссылочкой на "первоисточник" поделиться?

    Ответить
  3. Harry

    Vladimir Gninyuk
    Может подскажите почему порольная защита самая дорогая?

    Ответить
  4. Unknown

    Harry, воспринимайте мной написанное в контексте. Очень важно, кто автор классификации.

    Лично я не утверждаю, что согласен с написанным 😉 Но я пытаюсь понять почему так написали. А вдруг мне надо пересмотреть свои взгляды ))

    Ответить
  5. Алексей Лукацкий

    Ну у меня тоже вопрос возник по парольной защите. Вполне вероятно, что речь идет о стоимости владения всем жизненным циклом парольной защиты.

    Источник: RSA как часть EMC на конференции RSA 😉

    Ответить
  6. Unknown

    "RSA как часть EMC…" — эх, а я думал, что то упустил :))

    Маркетинг есть маркетинг ))

    Ответить
  7. Harry

    Фу… отпустило 🙂 Я уж думал -"опять чего то не знаю"
    Спасибо!

    Ответить
  8. doom

    Известный факт, что парольная защита очень дорогая (именно в плане TCO) по оценкам западных аналитиков. Когда пытаешься повторить расчеты, используя наши средние з/п, то получается уже не так впечатляюще.

    А так — потери на 1000 сотрудников в год порядка $500 000.

    Ответить