Суть модели прямой аутентификации состоит в том, что вычислительные службы размещаются в одном физически защищенном месте, тогда как точки использования (клиенты) не обязательно защищены. Этот шаблон называется "прямым", поскольку точка обслуживания сама принимает решение об аутентификации. Механизм аутентификации, механизмы управления доступом и сами службы находятся в одном устройстве. Администраторы поддерживают базу данных авторизованных пользователей в каждой системе. Изменение в базе данных пользователей имеет мгновенный эффект, так как, если кто-то пытается войти в систему, она обращается к своей собственной базе данных пользователей. Очевидным недостатком прямой модели является недостаточная устойчивость к сбоям, поскольку все централизовано.
Так как пользователям не обязательно взаимодействовать с системой из защищенного места, то взломщики могут выбрать в качестве своей мишени удаленные пользовательские рабочие станции или их линии связи. Это делает биометрические методы нецелесообразными: взломщик может перехватить удаленные биометрические показатели авторизованного пользователя и впоследствии; воспроизвести их, выдав себя за этого пользователя. Аналогичные проблемы; свойственны и для секретных паролей многократного использования.
Из-за риска активной разведки и воспроизведения системы, построенные на основе этого шаблона, обычно требует криптозащиты. Это необязательно шифрование всего трафика; зашифрованных паролей может быть достаточно для обеспечения аутентификации соответствующего уровня. Например, отличительные знаки с одноразовым паролем используют секретный ключ для шифрования: внутреннего значения, что дает пароль, который работает только один раз. Другие отличительные знаки используют метод "запрос-ответ": шифруется запрос, в результате которого генерируется одноразовый пароль. Хотя такие системы могут использовать шифрование с открытым или секретным ключом, в большинстве продуктов этого типа используется шифрование с секретным ключом.
Самый простой протокол аутентификации — доступ по паролю (Password Authentication Protocol, PAP). Его суть состоит в том, что вся информация о субъекте (идентификатор и пароль) передается по сети в открытом виде. Это и является главным недостатком PAP, так как злоумышленник может легко получить доступ к передающимся незашифрованным данным.
Более сложные протоколы аутентификации основаны на принципе «запрос-ответ», например, протокол CHAP (Challenge-Handshake Authentication Protocol). Работа протокола типа «запрос-ответ» может состоять минимум из четырех стадий:
- Субъект отправляет системе запрос, содержащий его персональный идентификатор
- Система генерирует случайное число и отправляет его субъекту
- Субъект зашифровывает полученное число на основе своего уникального ключа и результат отправляет системе
- Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным случайным числом, аутентификация проходит успешно.
Сам уникальный ключ, на основе которого производится шифрование и с одной, и с другой стороны, не передается по сети, следовательно, злоумышленник не сможет его перехватить. Но субъект должен обладать собственным вычислительным шифрующим устройством, например, смарт-карта, мобильный телефон.
Принцип действия протоколов взаимной аутентификации отличаются от протоколов типа «запрос-ответ» незначительно:
- Субъект отправляет системе запрос, содержащий его персональный идентификатор и случайное число N1
- Система зашифровывает полученное число N1 на основе уникального ключа, генерирует случайное число N2, и отправляет их оба субъекту
- Cубъект расшифровывает полученное число на основе своего уникального ключа и сравнивает результат с N1. Идентичность означает, что система обладает тем же уникальным ключом, что и субъект
- Субъект зашифровывает полученное число N2 на основе своего уникального ключа и результат отправляет системе
- Система расшифровывает полученное сообщение на основе того же уникального ключа. При совпадении результата с исходным числом N2, взаимная аутентификация проходит успешно.
Алгоритм, приведенный выше, часто называют рукопожатием. В обоих случаях аутентификация проходит успешно, только если субъект имеет идентичные с системой уникальные ключи.
В операционных системах семейства Windows NT 4 используется протокол NTLM (NT LAN Manager — Диспетчер локальной сети NT). А в доменах Windows 2000/2003 применяется гораздо более совершенный протокол Kerberos.