Аутентификация в сети

Системы аутентификации варьируются также широко, как и службы, которые они помогают защитить. Зачастую устаревшие технологии используют незащищенные по современным меркам методы аутентификации. Аутентификация локальных учетных записей обычно бывает не очень строгой, в то время как для сетевых служб и Интернета необходима надежная аутентификация. Службы аутентификации можно подразделить на три группы.

► Базовый, или обычный, текстовый пароль. В этой простейшей форме аутентификации пароли передаются между клиентом и службой в виде стандартного текста. Такой способ не обеспечивает достаточной сетевой безопасности, поскольку пароли можно легко перехватить, используя обычные инструменты сетевой диагностики. Некоторые службы по-прежнему используют базовую аутентификацию паролем для обслуживания широкой аудитории, однако Lion избегает этого типа аутентификации.

► Зашифрованный пароль. Существует множество вариаций этого типа аутентификации, и все они включают пересылку пароля между клиентом и службой в зашифрованном формате. Это более безопасный метод, чем использование обычного текста, однако он все еще включает передачу секретной информации по сети, поэтому злоумышленник потенциально может вскрыть пароль. Вероятность расшифровки пароля зависит от стойкости используемого алгоритма шифрования. Lion использует шифрованные пароли для локальных учетных записей, также как и некоторые базовые службы каталогов LDAP. Сегодня зашифрованные пароли используют большинство сетевых служб.

► Kerberos. Эта развитая система предоставляет хорошо защищенную аутентификацию с однократной регистрацией. OD компании Apple и Active Directory (AD) компании Microsoft используют Kerberos для обеспечения аутентификации различных служб сети и Интернета. Подробности о системе Kerberos приводятся далее.