Технологии многофакторной аутентификации

Сегодня мы уже не мыслим нашу жизнь без высоких технологий, в том числе и без глобальной сети Интернет. Интернет - это эффективный инструмент исследований, развития торговли и бизнеса, воздействия на аудиторию без территориальных и национальных границ. Необходимый уровень информационной культуры и знаний в этой области необходим всем предприятиям, которые хотят выжить в условиях жесткой конкуренции. Новые технологии - новые возможности, новые рынки, новые прибыли. И это открывает огромные перспективы для бизнеса.

Проблемы парольной аутентификации

С ростом вовлеченности важных бизнес ресурсов растет и риск работы с ними в сети. Все больше компаний прибегают к технологии удаленного доступа или общему доступу нескольких компаний к одному ресурсу через сетевые протоколы. Риск подключения удаленных пользователей к корпоративным ресурсам упирается в проблему парольной защиты. 90% компаний используют статический пароль в качестве единственной границы, отделяющей конфиденциальную информацию от «внешнего мира». Причем, с бОльшим использованием парольной защиты растет и бОльшая изобретательность методов воровства паролей. Дело уже не в количестве запоминаемых паролей и дифференциации символов самого пароля, который может быть с легкостью скомпрометирован из-за халатности пользователей; различные вредоносные программы и атаки социальной инженерии позволяют заполучить пароль вне зависимости от сложности пароля. Значительные интервалы времени, в течение которых пароль и логин пользователя остаются неизменными, позволяют применить различные методы их перехвата и подбора. Для повышения защищенности компьютерной системы администраторы ограничивают срок действия паролей, но в типичном случае этот срок составляет недели и месяцы, что вполне достаточно для злоумышленника.

Многофакторная аутентификация

Рациональным решением является применение двухфакторной аутентификации. В этом случае аутентификация пользователя осуществляется при помощи комбинации различных подходов: пользователь предоставляет системе «то, что знает» (“something you know”) - например, пароль, PIN код, а также какой либо аппаратный идентификатор «то, что имеет» (“something you have”) или биометрические параметры самого человека - «то, кем является» (“something you are”).

One Time Password

В вопросе соотношения цены/надежности наилучшей комбинацией является реализация парольной защиты при наличии некоего идентификатора, который строго закреплен за определенным пользователем и позволяет его аутентифицировать.

Такое решение давно нашло отражение в токенах двухфакторной аутентификации. На сегодняшний день большой популярностью пользуются USB-токены, смарт-карты и OTP-токены. Каждый из данных вариантов обладает, как преимуществами, так и недостатками. Рассмотрим их подробнее.

USB-токены обладают высокой мобильность среди компьютеров со свободным USB-портом. На базе PKI инфраструктуры существует поддержка большого числа приложений IT-безопасности, что довольно широко используется в финансовых и юридических структурах. Использование USB-токена не всегда удобно мобильным пользователям, которые пользуются услугами сети в Интернет-кафе, где не всегда есть в наличии USB-порт. С проблемой программного обеспечения сталкивается пользователь при использовании чужого компьютера: отсутствие драйвера для устройства, нет доверия к установленному программному обеспечению на машине.

Высоким уровнем безопасности обладает смарт-карта: данные со смарт-карты не подвергаются никаким изменениям, а также секретный ключ не может быть считан вредоносным ПО; физические размеры самой карты не отличаются от кредитной карты, ее легко можно поместить в бумажник; аутентификация, реализованная на основе смарт-карты, используется в большом числе приложений. Для чтения смарт-карты требуется считывающее устройство - карт-ридер, что резко снижает мобильность пользователя для аутентификации.

Высоким уровнем мобильности обладает токен на технологии ОТР (one time password). Для аутентификации с этим устройством не требуются драйвера на клиенте, или свободный USB-порт, существует возможность использования защищенного пароля в различного рода мобильных устройствах, типа Blackberry, PDA и т.д.; удобство и простота использования для пользователя - вот основные факторы, за счет которых этот тип токенов заслужил большую популярность! Причем технология аутентификации работает как в WEB-приложениях, так и для аутентификации удаленных пользователей. В свою очередь стоит отметить, что такое бесконтактное решение влияет на срок использования таких устройств: работоспособность зависит только от времени жизни батареи, которое на сегодня исчисляется как минимум 5 годами работы.

Принцип работы OTP токена

Устройство работает по принципу генерации одноразового пароля, и представляет собой автономный портативный электронный прибор, отображающий на встроенном ЖК-дисплее цифровые коды - пароль. Генерация выполняется на базе различных подходов: по времени или по событию. Механизм генерации одноразовых паролей основан на криптопреобразовании набора данных, состоящий из последовательности бит текущего времени или идентификатора события и секретного вектора данных, уникальных для каждого токена. Полученный результат преобразования виден на дисплее в виде определенного числа десятичных цифр, визуально считывается пользователем и вручную вводится в качестве пароля в ответ на запрос прикладных программ об аутентификации.

На серверной части системы происходит та же последовательность операций в момент аутентификации определенного пользователя, результат сравнивается с паролем, предъявляемым пользователем. При совпадении паролей разрешается доступ пользователя в систему.

Пароль на основе генерации по времени является более защищенным по сравнению с паролем, сгенерированным по событию - нажатии кнопки генерации. Если вероятность подверженности атаки в сети или социальной инженерии остается эквивалентной вероятности компрометации для статичного пароля, то возможность воспользоваться OTP-паролем уже различается в данных двух случаях. Пароль, сгенерированный по событию будет действительным в течение всего периода времени до следующей генерации пароля и аутентификации на сервере, в отличие от пароля, привязанного ко времени. Через определенный промежуток времени пароль, позволяющий получить доступ к ресурсам, становится другим.

Сегодня применение решений по многофакторной аутентификации является необходимым условием обеспечения безопасности корпоративных ресурсов любой организации.



СОВИТ

Аналитика

Архив

Новости

Архив