Sistema di autenticazione contro l'utente

L'autenticazione reciproca è la regola normale; altrimenti, puoi avere problemi come man in the middle attack .

Considera cosa succede con un server Web con SSL . Il browser prima si connette al server e il server invia il suo certificato . Questo certificato e le relative operazioni di crittografia dimostrano al client che comunica con il server "giusto"; per esempio. parla con un server che è veramente "www.paypal.com". Il browser trasmette tali informazioni all'utente visualizzando la famosa icona del lucchetto verde e astenendosi dal mostrare popup spaventosi con avvisi lampeggianti. Quindi, l'utente digita il suo login e la password, che vengono inviati al server (all'interno del tunnel SSL).

Il certificato del server è in realtà "autenticazione del sistema contro l'utente", mentre la password dell'utente viene utilizzata per "l'autenticazione dell'utente contro il sistema". Entrambi sono importanti. Immagina cosa potrebbe accadere se non ci fosse un certificato server: l'utente avrebbe creduto che contattasse il vero server "www.paypal.com", ma in realtà i suoi pacchetti di dati sono stati dirottati da un malvagio malfattore che opera un punto di accesso WiFi errato. Quindi l'utente sta davvero parlando al server dell'aggressore e quando digita la sua password, la password va al server dell'attaccante. Quale è, come immagini, un problema.

Quindi l'autenticazione reciproca accade davvero in ogni momento.

Come tutte le domande di autenticazione, è una questione di fiducia.

L'autenticazione è essenzialmente qualcuno che dimostra di essere chi dice di essere - lo facciamo spesso fornendo un segreto condiviso, una password. Ad esempio, quando un utente sconosciuto si connette al server trusted, si identifica e fornisce il segreto. Il server si fida che l'utente è chi dice di essere, perché conosce il segreto.

Lo vedi nella direzione opposta ogni volta che un utente si connette a un server di cui non si fida necessariamente, come la sua banca (che vuole un maggiore livello di sicurezza) visualizzando il suo conto bancario #; qualcosa che una terza parte non avrebbe saputo. Si ottiene in misura minore ogni volta che si accede e si vede il proprio nome, o avatar o qualsiasi altra cosa sullo schermo - genera una sensazione di fiducia, anche se è molto meno formalizzata di "Confido che la password sia corretta".

Ottieni lo scambio formale di fiducia ogni volta che accedi a qualcosa che utilizza l'autenticazione a più fattori - se accedo con il mio nome utente e password, il server ora si fida di me, se inserisco la chiave sul mio token RSA, o il numero che ho ricevuto in un SMS, ora mi fido del server in cambio.

L'autenticazione del server può aiutare contro il phishing. Ad esempio, se hai intenzione di link e sei portato al sito di phishing link , entrambi con certificati server validi per il loro URL (il server è autenticato rispettivamente come bank.com e b4nk.com, quindi sappiamo solo che il sito corrisponde all'URL, che la maggior parte delle persone trascura).

Un sistema nomignolo (documentato qui e qui ) può essere impostato, in modo che l'utente al momento della registrazione associ il sito Web di destinazione a un petname (una stringa di testo, un'immagine riconoscibile o un suono). Questo petname viene presentato all'utente al momento dell'accesso al sito. Se il nome dell'animale domestico non può essere trovato, l'utente sarà allarmato e dovrebbe controllare l'URL. Se l'URL è inserito correttamente, il sito è sicuro.

Modifica: annotare il commento di AJ Henderson di seguito.