Краткая проверка подлинности

Новая возможность IIS 5.0. Краткая проверка подлинности предлагает те же возможности, что и обычная, но включает различные способы передачи информации, удостоверяющей пользователя. Сведения, подтверждающие подлинность пользователя, передаются путем однонаправленного процесса, часто называемого хэшированием. Результат этого процесса называется хэшем или выборкой сообщения. Расшифровать его практически невозможно. Иными словами, по хэшу нельзя восстановить исходный текст.

Краткая проверка подлинности проходит следующим образом:

1. Сервер посылает обозревателю некоторую информацию, которая будет использована при проверке подлинности.
2. Обозреватель добавляет эту информацию к имени пользователя, паролю и некоторой другой информации и выполняет хэширование. Дополнительная информация помогает предотвратить повторное использование значения хэша посторонними лицами.
3. Хэш передается на сервер через сеть вместе с дополнительной информацией, передаваемой открытым текстом.
4. Сервер добавляет дополнительную информацию к паролю клиента, полученному в виде неформатированного текста, и хэширует всю информацию.
5. Сервер сравнивает переданное значение хэша с вычисленным им.
6. Доступ предоставляется только при полном совпадении чисел.

Дополнительная информация добавляется к паролю перед хэшированием, поэтому никто не может перехватить хэшированный пароль и использовать его, чтобы выдать себя за настоящего клиента. Добавляемые значения помогают идентифицировать клиента, его компьютер и область, или домен, к которой принадлежит клиент. Отметка времени добавляется для предотвращения использования клиентом пароля после его аннулирования.

Это является явным преимуществом перед обычной проверкой подлинности, при которой пароль может быть перехвачен и использован пользователем, не имеющим соответствующих полномочий. Структура краткой проверки подлинности позволяет использовать ее через прокси-серверы и другие брандмауэры. Этот способ проверки подлинности доступен для WebDAV (Web Distributed Authoring and Versioning). Поскольку краткая проверка подлинности является новой возможностью HTTP 1.1, не все обозреватели поддерживают ее. Если несовместимый обозреватель выполняет запрос к серверу, требующему краткой проверки подлинности, сервер отвергает запрос и посылает клиенту сообщение об ошибке. Краткая проверка подлинности поддерживается только доменами с контроллерами домена, управляемыми операционной системой Windows 2000.

Важно! Краткая проверка подлинности будет завершена, если только сервер домена, к которому был сделан запрос, имеет пароль пользователя в виде неформатированного текста. Поскольку контроллер домена имеет копии паролей в виде неформатированного текста, он должен быть защищен от физической и сетевой атак. Для получения более подробной информации о защите контроллера домена см. пакет Microsoft Windows 2000 Server Resource Kit.

Примечание Значение хэша состоит из небольшого количества двоичных данных, обычно не более 160 бит. Это значение получается с помощью алгоритма хэширования. Все значения хэша имеют следующие свойства, независимо от используемого алгоритма:

• Длина хэша Длина значения хэша определяется типом используемого алгоритма и не меняется при изменении размера сообщения. Длина сообщения может составлять и несколько килобайт, и несколько гигабайт; это не скажется на длине значения хэша. Наиболее часто используется хэш длиной 128 или 160 бит.
• Нераскрываемость Каждая пара неидентичных сообщений будет преобразована в два совершенно различных значения хэша, даже если эти два сообщения отличаются только одним битом. Используя современные технологии, невозможно обнаружить пару сообщений, которые преобразуются в одно и то же значений хэша.
• Повторяемость При каждом хэшировании одного и того же сообщения с помощью одного алгоритма получается одно и то же значение хэша.
• Необратимость Все алгоритмы хэширования являются однонаправленными. По заданному значению хэша, даже при известном алгоритме, невозможно восстановить исходное сообщение. Фактически, ни одно из свойств исходного сообщения не может быть определено только по значению хэша.