Ulike typer godkjenning på nettet

Ulike typer godkjenning på nettet


Sikkerhet er et viktig tema og bekymring ved tilgang til private nettverk og konfidensiell informasjon over Internett. Autentisering (typisk gjennom brukernavn og passord) gir en måte for brukere og datamaskiner til å identifisere seg selv til en webserver før webserveren gir tilgang til konfidensiell informasjon. Men selv om et brukernavn og passord gi noen sikkerhet, metodene som brukes av datamaskiner til å utføre autentiseringen kan ikke være sikker. Gjør deg kjent med de vanligste typer Internett-godkjenning, slik at du kan skjelne når hver type er hensiktsmessig.

Enkel HTTP-autentisering

HTTP (Hyper Text Transfer Protocol) Spesifikasjonen beskriver grunnleggende godkjenning som en prosess som starter når webserveren som en Web-klient (for eksempel en nettleser) kobler svar med en forespørsel om godkjenning. Web-klienten mottar et brukernavn og passord fra nettleseren eller web-applikasjon bruker, og deretter videresender brukernavn og passord til webserveren, og webserveren bekrefter deretter brukernavn og passord for autentisering. Enkel godkjenning koder passord ved hjelp av base64 algoritme, som ikke er sikker. Også, bare webklienten er godkjent og ikke webserveren (så webklienten har ingen bekreftelse på at det har koblet til riktig Web server).

HTTP Digest-autentisering

HTTP Digest-autentisering benytter samme brukernavn og passord utveksling algoritme som enkel HTTP-autentisering. Men i dette tilfellet, når webserveren-svar ber om godkjenning, webserveren gir også en "nonce", som er en rekke tegn som genereres i den hensikt å kryptere passordet. Webklienten ber deretter om et brukernavn og passord fra brukeren. Når brukeren går inn i de forespurte legitimasjon, bruker webklienten på "nonce" og MD5 (Message Digest 5) hash algoritme for å kryptere passord. Brukernavnet og krypterte passord blir deretter sendt til webserveren for godkjenning.

HTTPS-godkjenning

HTTPS (http over SSL) gir en svært sikker metode for web-baserte Internett-godkjenning. HTTPS bruker en digital offentlig nøkkel sertifikat levert av tredjepart CA (Certificate Authority) for å identifisere og autentisere både webklienten og webserveren (men i de fleste tilfeller bare serveren er autentisert med en offentlig nøkkel sertifikat og klienten er autentisert med brukernavn og passord). Når autentisering skjer, sender webklienten en forespørsel til webserveren, som angir hvilken versjon av SSL og krypteringsalgoritmer som brukes. Webserveren svarer med den versjonen av SSL den bruker og serveren offentlig nøkkel sertifikat. Web-klienten bekrefter med CA tredjepart (via en liste lagret på webklienten) at serversertifikatet er gyldig, og sender deretter en bekreftelse bli enige om å bruke Web-serverens offentlige nøkkel for kryptering. Webserveren erkjenner webklienten respons, og deretter all trafikk som sendes eller mottas kryptert. Web-klienten kan da godkjenne en sikker måte med grunnleggende godkjenning gjennom kryptert økt. HTTPS gir konfidensialitet, ikke-fornekting og melding integritet tjenester.

To faktor autentisering

To faktor autentisering, også kalt "sterk autentisering," krever to former for identifikasjon for å godkjenne. Vanligvis de to formene inkluderer et brukernavn og passord, og også en "token" enhet som genererer et sekund, engangspassord. To faktor autentisering er sikreste fordi det er avhengig av noe du vet og på noe du har for å godkjenne. Så hvis du kjenner brukernavnet og passordet, men ikke har en token å generere den andre passord, kan du ikke autentisere med en to-faktor autentisering server. To-faktor autentisering vanligvis starter med HTTPS utveksling beskrevet ovenfor. Men når brukerautentisering er forespurt, gir brukeren en konto brukernavn, passord og et passord generert av token enheten.