Istotna integracja

Jednym z najważniejszych czynników przy wyborze sposobu uwierzytelniania jest integracja. Brak standardowego API często oznacza, że system uwierzytelniania może pracować tylko z jednym systemem operacyjnym czy zaporą ogniową.

Karty identyfikacyjne integrują się zazwyczaj z większą liczbą różnych systemów i zapór niż systemy biometryczne. W opracowaniu jest kilka standardów biometrycznego API, m.in. Biometrics Application Program Interface, Human Au-thentication API i Speaker Verification API.

Praktyczna integracja urządzeń uwierzytelniania z systemami komputerowymi i sieciowymi pojawi się zapewne w najbliższych latach. Nacisk rynku powinien przyspieszyć ten proces.

Przy ocenie systemów uwierzytelniania należy pamiętać, że jedna technika nie może zaspokoić różnorodnych potrzeb. Karty identyfikacyjne mogą być odpowiednie dla podróżujących pracowników przedsiębiorstwa, którzy potrzebują uwierzytelniania, gdy logują się ze swoich notebooków. Rozpoznawanie twarzy jest natomiast metodą świetnie nadającą się dla użytkowników desktopów.

Należy również sprawdzać, czy można oszukać urządzenie uwierzytelniające, przeładowując PC lub kopiując strumień danych z czytnika linii papilarnych do serwera w celu odtworzenia wzorca.

Karty identyfikacyjne zaprezentowane w tabeli używają ścisłych metod kryptograficznych i numerów losowych, zapobiegając praktycznie atakom typu replay, polegającym na ponownym żądaniu wykonania zleceń w ramach autoryzowanej usługi, która została właśnie zakończona.

Uwierzytelnianie biometryczne jest trochę mniej bezpieczne. Produkty biometryczne muszą na drodze pomiędzy urządzeniem a serwerem używać DES lub Triple DES w celu zabezpieczenia przed przechwyceniem danych.

Próbka pakietów uwierzytelniania

Na rynku można znaleźć produkty do ścisłej weryfikacji tożsamości przeznaczone dla różnych platform systemowych. Aby ułatwić porównanie, w przeglądzie omówiono produkty zapewniające ścisłe uwierzytelnianie w procesie logowania do domen Windows NT. Zastępują one komponent GINA (Graphical Identification and Authentication) Windows NT, który po stronie klienta sieciowego obsługuje logowania użytkowników. Wszystkie prezentowane produkty szyfrują komunikację pomiędzy klientem i serwerem, zabezpieczając tym samym dane przed przechwyceniem.

Z Windows NT najlepiej integruje się SAF/nt firmy NRI, która włożyła wiele wysiłku w integrację swoich narzędzi ze standardowymi utility Windows NT. Mechanizmy te, w powiązaniu z obsługą wielu metod identyfikacji biometrycznych, stawiają produkt w rzędzie najlepiej przygotowanych do współpracy z Windows NT.

Różnorodność metod - SAF/NT

SAF/nt nie ogranicza się tylko do jednej biometrycznej metody weryfikacji tożsamości. Firma NRI zawarła w produkcie interfejs Human Authentication API (HA-API), umożliwiający stosowanie w połączeniu z SAF/nt modułów BSP (Biometric Sernice Provider), spełniających wymagania tego interfejsu. Firma zakwalifikowała do współpracy moduły BSP wykorzystujące techniki rozpoznawania linii papilarnych, głosu i wizerunku twarzy.

W przeglądzie omówiono moduł weryfikacji głosu SpeakerKey firmy ITT. ITT Industries pierwotnie zaprojektowała technologię użytą w SpeakerKey dla NSA (National Security Agency), do użytku w aplikacjach kontroli dostępu do komputera. SpeakerKey stosuje w uwierzytelnianiu cyfrowe rozpoznanie wymowy pseudolosowych par liczb (na przykład "64-79", wypowiadanych jako "sixty four, seventy nine"). W czasie procesu rejestracji wzorców użytkownicy proszeni są o wypowiedzenie dwunastu takich par. w czasie uwierzytelniania natomiast są proszeni o podanie dwóch z nich.

Najbardziej dopracowane mechanizmy SAF/nt to integracja z Windows NT. Produkt jest niewątpliwie najlepszy w tej kategorii. Utility administracyjne SAF/nt integrują się "bezszwowo" ze standardowym zarządzaniem użytkownikami i serwerem Windows NT. Eliminuje to potrzebę podwójnego wprowadzania danych przez administratora. Dodanie użytkownika do domeny to jedynie konieczność kliknięcia przycisku "Biometric" w celu skonfigurowania danych biome-trycznych użytkownika i ich zarejestrowania. Program dołącza także ramkę kontrolną dla ustawień serwera (w Server Manager NT) w celu ustawienia w stacji roboczej czy serwerze statusu czynnej identyfikacji biometrycznej.

Operacje po stronie klienta są równie intuicyjne. Logon GINA prosi o podanie nazwy użytkownika i domeny.

Jeżeli użytkownik został skonfigurowany do weryfikacji biometrycznej, to w celu identyfikacji tożsamości proszony jest o wypowiedzenie dwóch par liczb. Użytkownik nie skonfigurowany do weryfikacji biometrycznej jest proszony o normalne hasło dostępu do domeny. Jeżeli stacja robocza nie jest skonfigurowana do uwierzytelniania biometrycznego, to użytkownik może stosować zwykłą procedurę wprowadzenia swojej nazwy, domeny i hasła.

Instalacja SAF/nt na serwerze jest prosta. Produkt wymaga serwera SQL do obsługi bazy danych informacji biometrycznych. Jedyną niedogodnością jest to, że podręcznik zaleca zainstalować zaplanowany moduł BPS przed instalacją pakietu SAF/nt na serwerze. Zainstalowanie modułu BPS awansem zapobiega brakowi elementów instalacyjnych w momencie prowadzenia procesu instalacji. Jeżeli planuje się zastosowanie kilku BPS, to powinno się zainstalować wszystkie, zanim zainstaluje się pakiet serwerowy.

Instalacja po stronie klienta przebiega bez podobnych komplikacji. Jeżeli zaistnieje potrzeba usunięcia klienta, to SAF/nt i pozostałe produkty deinstalują się bez problemu i przywracają maszynie standardowe logowanie GINA do domen NT.

Dla użytkowników potrzebujących uwierzytelniania biometrycznego w środowisku NT SAF/nt zapewnia najlepszy poziom integracji z systemem.