February 8
La sicurezza è un argomento importante e preoccupazione quando si accede a reti private e le informazioni riservate su Internet. Autenticazione (tipicamente attraverso username e password) fornisce un modo per gli utenti ei computer per identificarsi a un server Web prima al server Web che consente l'accesso a informazioni riservate. Tuttavia, anche se un nome utente e una password di fornire una certa sicurezza, i metodi utilizzati dai computer per eseguire l'autenticazione potrebbero non essere sicure. Familiarizzare con i più comuni tipi di autenticazione Internet in modo da poter discernere quando ogni tipo è appropriato.
HTTP (Hyper Text Transfer Protocol) specifica descrive l'autenticazione di base come un processo che inizia quando il server Web a cui un client Web (come ad esempio un browser Web) si collega risponde con una richiesta di autenticazione. Il client Web riceve un nome utente e una password da parte dell'utente browser Web o un'applicazione Web, e poi inoltra il nome utente e la password al server Web e il server Web verifica quindi il nome utente e password per l'autenticazione. l'autenticazione di base codifica la password utilizzando l'algoritmo Base64, che non è sicuro. Inoltre, solo il client Web viene autenticato e non il server Web (in modo che il client Web non ha alcuna verifica che è connesso al server Web corretto).
L'autenticazione Digest HTTP utilizza lo stesso algoritmo di scambio username e password come l'autenticazione di base HTTP. Tuttavia, in questo caso, quando il server Web ribatte che richiede l'autenticazione, il server Web fornisce anche un "nonce", che è una stringa di caratteri generati al fine di crittografia della password. Il client Web richiede quindi un nome utente e una password da parte dell'utente. Dopo che l'utente inserisce le credenziali richieste, il client Web utilizza il "nonce" e l'algoritmo hash MD5 (Message Digest 5) per crittografare la password. Il nome utente e la password crittografata vengono poi inviati al server Web per l'autenticazione.
HTTPS (Hyper Text Transfer Protocol su SSL) fornisce un metodo molto sicuro per l'autenticazione di Internet basata su Web. HTTPS utilizza un certificato di chiave pubblica digitale fornita da una terza parte CA (autorità di certificazione) per identificare e autenticare sia il client Web e il server Web (anche se nella maggior parte dei casi solo il server è autenticato con un certificato a chiave pubblica e il client è autenticato con un nome utente e password). Quando l'autenticazione avviene, il client Web invia una richiesta al server Web, che specifica la versione di algoritmi di crittografia SSL e si sta usando. Il server Web risponde con la versione di SSL utilizza e il server certificato di chiave pubblica. Il client Web si conferma con il terzo CA (tramite un elenco memorizzato sul client Web) che il certificato del server è valido e quindi invia un riconoscimento accettando di usare la chiave pubblica del server Web per la crittografia. Il server Web riconosce la risposta del client Web e quindi tutto il traffico inviato o ricevuto è crittografato. Il client Web può quindi autenticare in modo sicuro utilizzando l'autenticazione di base attraverso la sessione crittografata. HTTPS fornisce servizi di riservatezza, non ripudio e l'integrità del messaggio.
Autenticazione a due fattori, chiamato anche "autenticazione forte", richiede due forme di identificazione per autenticare. In genere le due forme includono un nome utente e una password e anche un dispositivo di "token" che genera un secondo, una volta la password. Autenticazione a due fattori è più sicuro perché si basa su qualcosa che si sa e su qualcosa che si deve per autenticare. Quindi, se si conosce il nome utente e la password, ma non hanno un token per generare la seconda password, non è possibile eseguire l'autenticazione con un server di autenticazione a due fattori. autenticazione a due fattori solito inizia con lo scambio HTTPS sopra descritto. Tuttavia, quando viene richiesta l'autenticazione utente, l'utente fornisce un nome utente account, una password e una password generata dal dispositivo token.