Sicurezza è un argomento importante e preoccupazione quando si accede a reti private e informazioni riservate su Internet. Autenticazione ( in genere attraverso nome utente e password ) fornisce un modo per utenti e computer di identificarsi a un server Web prima al server Web che consente l'accesso a informazioni riservate. Tuttavia, anche se un nome utente e una password di fornire una certa sicurezza , i metodi utilizzati dai computer per eseguire l' autenticazione potrebbero non essere sicuri. Familiarizzare con i tipi più comuni di autenticazione Internet in modo da poter discernere quando ogni tipo è appropriato . HTTP Basic Authentication
HTTP ( Hyper Text Transfer Protocol ) specifica descrive l'autenticazione di base , come un processo che inizia quando il server Web a cui un client Web ( come un browser web) collega risponde con la richiesta di autenticazione. Il client Web riceve un nome utente e una password dal browser Web o utente dell'applicazione Web e quindi inoltra il nome utente e la password per il server Web e il server Web verifica quindi il nome utente e la password per l'autenticazione . L'autenticazione di base codifica la password utilizzando l'algoritmo base64 , che non è sicuro . Inoltre , solo il client Web è autenticato e non il server Web ( in modo che il client Web non dispone di verifica che si è collegato al server Web corretto ) .
HTTP Digest Authentication
HTTP Digest Authentication impiega lo stesso nome utente e password come algoritmo di scambio di autenticazione di base HTTP . Tuttavia, in questo caso, quando la risposta dal server Web che richiede l'autenticazione , il server Web fornisce anche un " nonce ", che è una stringa di caratteri generati al fine di crittografia della password . Il client web, quindi richiede un nome utente e una password da parte dell'utente . Dopo che l'utente inserisce le credenziali richieste , il client Web utilizza il " nonce " e l' MD5 ( Message Digest 5 ) algoritmo di hash per crittografare la password . Il nome utente e la password crittografata vengono poi inviati al server Web per l'autenticazione .
HTTPS Autenticazione
HTTPS ( Hyper Text Transfer Protocol over SSL ) fornisce una metodo sicuro per l'autenticazione Internet Web-based . HTTPS utilizza un certificato di chiave pubblica digitale fornito da una terza parte CA ( autorità di certificazione) per identificare e autenticare sia il client Web e il server Web ( anche se nella maggior parte dei casi solo il server è autenticato con un certificato di chiave pubblica e il client è autenticato con un nome utente e password) . Quando l'autenticazione ha luogo, il client Web invia una richiesta al server Web , che specifica la versione di algoritmi SSL e crittografia che utilizza. Il server Web risponde con la versione di SSL che usa e il certificato di chiave pubblica del server . Il client Web conferma con il terzo CA (tramite un elenco memorizzato sul client Web ) che il certificato del server è valido , e quindi invia una conferma di accettare di utilizzare la chiave pubblica del server Web per la crittografia . Il server Web riconosce la risposta del client Web e quindi tutto il traffico inviato o ricevuto è crittografata . Il client Web può autenticare in modo sicuro utilizzando l'autenticazione di base tramite la sessione cifrata . HTTPS fornisce riservatezza , non ripudio e l'integrità dei servizi di messaggi .
Two Factor Authentication
L'autenticazione a due fattori , anche chiamato " autenticazione forte", richiede due forme di identificazione a per autenticare . In genere le due forme includono un nome utente e una password e di un dispositivo "token" che genera un secondo , one-time password . L'autenticazione a due fattori è più sicura perché si basa su qualcosa che si conosce e su qualcosa che avete in modo da autenticare . Quindi, se si conosce il nome utente e la password , ma non hanno un token per generare la seconda password , non è possibile eseguire l'autenticazione con un server di autenticazione a due fattori . Autenticazione a due fattori di solito inizia con lo scambio HTTPS sopra descritta . Tuttavia, quando viene richiesta l'autenticazione utente, l' utente fornisce un nome utente , una password e una password generata dal dispositivo token .