Введение
1. Методы и построение аутентификации 5
1.2 Видоизменяющиеся атаки и видоизменяющаяся защита 11
1.2.1 Стратегия защиты 12
1.3 Факторы аутентификации 15
2. Анализ рисков в информационной безопасности 19
2.1 Уязвимости веб-приложений 21
2.2 Общие результаты 22
2.3 Риски информационной безопасности веб-приложений 25
2.4 Источник угрозы 28
2.5 Анализ угроз 29
2.6 Нейтрализация и контрмеры 30
3. Экспериментальная часть 33
3.1 Установка web-сайта на базе CMS Wordpress 33
3.2 Реализация модуля аутентификации с использованием SMS- сообщений и защитой от автоматизированного анализа сообщений
на мобильных устройствах пользователей 38
3.3 Добавление модуля на сайт, и его активация 41
ЗАКЛЮЧЕНИЕ 44
Список литературы 45
ПРИЛОЖЕНИЕ
Процесс регистрации пользователя в системе состоит из трех взаимосвязанных, выполняемых последовательно процедур: идентификации, аутентификации и авторизации.
Идентификация - это процедура распознавания субъекта по его идентификатору. В процессе регистрации субъект предъявляет системе свой идентификатор, и она проверяет его наличие в своей базе данных. Субъекты с известными системе идентификаторами считаются легальными (законными), остальные субъекты относятся к нелегальным.
Аутентификация - процедура проверки подлинности субъекта, позволяющая достоверно убедиться в том, что субъект, предъявивший свой идентификатор, на самом деле является именно тем субъектом, идентификатор которого он использует. Для этого он должен подтвердить факт обладания некоторой информацией, которая может быть доступна только ему одному (пароль, ключ и т.п.).
Авторизация - процедура предоставления субъекту определенных прав доступа к ресурсам системы после прохождения им процедуры аутентификации. Для каждого субъекта в системе определяется набор прав, которые он может использовать при обращении к ее ресурсам.
Для того чтобы обеспечить управление и контроль над данными процедурами, дополнительно используются процессы администрирования и аудита.
Администрирование - процесс управления доступом субъектов к ресурсам системы.
Данный процесс включает в себя:
создание идентификатора субъекта (создание учетной записи пользователя) в системе;
управление данными субъекта, используемыми для его аутентификации (смена пароля, издание сертификата и т.п.);
управление правами доступа субъекта к ресурсам системы.
Аудит - процесс контроля (мониторинга) доступа субъектов к ресурсам системы, включающий протоколирование действий субъектов при их доступе к ресурсам системы в целях обеспечения возможности обнаружения несанкционированных действий.
Таким образом, в общем случае речь идет о пяти основных процедурах процесса предоставления доступа к информации, при этом возможен различный подход к расстановке приоритетов при выполнении этих процедур.
Цель дипломной работы: реализовать двухфакторную SMS -
аутентификацию с защитой от автоматизированного анализа содержимого.
Основными задачами дипломной работы являются:
1. Изучить и проанализировать существующие методы многофакторной аутентификации.
2. Установить web-сайт на базе CMS Wordpress
3. Реализовать модуль аутентификации с использованием SMS - сообщений и защитой от автоматизированного анализа сообщений на мобильных устройствах пользователей
В ходе выпускной квалификационной работе были:
1. Изучены и проанализированы существующие методы многофакторной аутентификации.
2. Проведен анализ угроз для систем аутентификации web-сайтов с использованием SMS-сообщений.
3. Установлен web-сайт на базе CMS Wordpress по адресу kpfu-students- help.ru.
4. Реализован модуль аутентификации с использованием SMS - сообщений и защитой от автоматизированного анализа сообщений на мобильных устройствах пользователей.
