Технологии/Безопасность
Откройте, это свои!
| Современные методы аутентификации. Окончание |
21.01.2010
12:30
Начало читайте в статье «Реквием по паролям»
Токены
В настоящее время в западных компаниях, а в последнее время и в российских организациях широкое распространение получили персональные аппаратные средства аутентификации. Это небольшие по размеру устройства, которые позволяют пользователю получать доступ к информационным системам с локального рабочего места или удаленно с использованием подключения к сети интернет. Такие устройства принято называть токенами (от английского token – метка, жетон, ярлык).
Принципы, лежащие в основе процедуры аутентификации с использованием токенов, могут быть самыми различными: одноразовые пароли, цифровые сертификаты, хранение в памяти устройства паролей и ключей шифрования и т.п. 
Кроме того, и сами токены различаются по внешнему виду и могут использоваться по-разному в зависимости от конкретных бизнес-потребностей. Например, для контроля доступа в помещение и к компьютерным ресурсам используется токен в формате смарт-карты с имплантированной RFID-меткой. На поверхность смарт-карты могут быть нанесены идентификационные данные – ФИО, место работы, должность. На рабочем месте для такой карты понадобится специальный считыватель – ридер для смарт-карт.
Не требуют считывателя USB-устройства – они подключаются напрямую к USB-порту, затем пользователь вводит свой PIN-код и происходит аутентификация. Мы еще вернемся к вопросу самой технологии чуть позже, в разделе «Двухфакторная аутентификация», а здесь отметим лишь, что с использованием токена можно обеспечить безопасный доступ в удаленном режиме, даже тогда, когда возможности подключить устройство попросту нет.
Не останавливаясь в рамках статьи на описание самих механизмов работы, сформулирую основное требование к этим устройствам: невозможность создания за разумные деньги и время дубликата. Действительно, использование для доступа к клиент-банку «ключевой дискеты» архаично не только из-за практически полного выхода из обихода 3,5” дисководов, но и по причине простоты изготовления копии такого «токена». 
USB-флешки в этом смысле от дискет тоже ушли не далеко. Пожалуй, наиболее безопасным на сегодняшний день является использование смарт-карт и USB-ключей с чипом смарт-карты. Именно эти аппаратные средства аутентификации и стали стандартом де-факто для многих зарубежных и российских компаний.
Кстати, в статье «Реквием по паролям», посвященной паролям, не был отмечен еще один их важный недостаток: кражу пароля нельзя заметить. Это позволяет злоумышленнику безнаказанно читать, например, всю электронную почту жертвы или отслеживать финансовые транзакции при работе в системе интернет-банкинга, оставаясь не пойманным длительное время. Кражу или потерю токена заметить легко, а значит легко и заблокировать доступ к системе по факту утраты устройства.
Вся правда о биометрии
Режиссеры современных фильмов очень любят для создания атмосферы полной секретности какой-нибудь очередной военной базы или исследовательской лаборатории снабдить их биометрическими системами контроля доступа. 
Хотя такие системы в тех же фильмах периодически обманываются имитаторами голоса, «силиконовыми» пальцами и отрубленными головами, широко распространено мнение, что биометрия – это очень надежно и безопасно.
Созданный имидж, к сожалению, ничего общего с реальностью пока не имеет. Один из немногих плюсов биометрии – это удобство использования. То, что аутентифицирует пользователя в биометрической системе, всегда находится вместе с ним (действительно, сложно забыть свой палец дома или потерять сетчатку глаза). Этот плюс одновременно является и минусом – биометрическую характеристику нельзя запереть в сейф в конце рабочего дня, как это можно сделать, например, со смарт-картой. Постоянное нахождение аутентификатора в недоверенной среде (кафе, бары, дискотеки – в зависимости от пристрастий носителя) является серьезным риском.
Важно также понимать, что биометрия не является строгим методом аутентификации. Два отпечатка одного и того же пальца будут немного, но отличатся из-за влияний внешней среды (жарко или холодно), состояния человека и т.д. Для успешного прохождения аутентификации достаточно частичного совпадения полученного отпечатка с эталонным, например, на 90%. 
Таким образом, биометрия является вероятностным методом аутентификации, так как всегда есть некая вероятность как ложного срабатывания (постороннего приняли за легального сотрудника), так и ложного несрабатывания (лицо загоревшего и поправившегося в отпуске пользователя не совпадает с его двухнедельной «фотографией»).
При доступе к конфиденциальным данным вряд ли стоит руководствоваться вероятностным подходом: ведь никто не будет разрешать вход в систему, если пароль будет верен, например, только на 90%.
Если же говорить про удаленный доступ, то биометрическая аутентификация становится совершенно бесполезной. Современные технологии не позволяют (и вряд ли когда либо смогут) передать по сети интернет сетчатку глаза или отпечаток пальца. На сервер отправляется оцифрованная информация, полученная с соответствующего биометрического сканера. Понятно, что злоумышленнику без разницы, что перехватывать - пароль или цифровую последовательность. И то и другое можно будет впоследствии легко использовать для повторного входа в удаленную систему.
«Где же ты, где?...»
Многие современные сайты крупных производителей автоматически определяют по IP-адресу страну своего очередного посетителя и предлагают ему интерфейс на родном 
языке, а пользователям поисковых систем удобно, когда им автоматически предлагается поиск по сайтам их родного государства.
К сожалению, использовать эту информацию для аутентификации пользователя при доступе к конфиденциальной информации вряд ли стоит. IP-адрес можно легко поменять – в интернете за несколько минут можно найти сотни «анонимайзеров» - анонимных прокси-серверов, позволяющих скрыть реальный IP-адрес, а MAC-адрес сетевой карты (который по идее должен быть уникальным) можно поменять даже без перезагрузки компьютера.
Более-менее достоверно узнать местонахождения человека на сегодня позволяют спутниковые системы навигации и (с гораздо большей погрешностью) метод определения координат по ближайшим базовым станциям сотового оператора. Это удобно пользователям, которые могут узнать расположение ближайших заведений и предприятий той или иной категории, но мало помогает компаниям, обеспечивающим аутентификацию при удаленном доступе.
Двухфакторная аутентификация
Для повышения общей безопасности в современных системах используется многофакторная аутентификация, то есть пользователь предъявляет системе два разных аутентификатора. 
Важно, чтобы при этом они были основаны на разных методах. К примеру, ввод двух паролей не является двухфакторной аутентификаций, по сути это один пароль, только разбитый на две части.
Среди всех возможных комбинаций факторов аутентификации наибольшую популярность получила комбинация аппаратного устройства (токена) и пароля (PIN-кода). Второй фактор позволяет не переживать при утрате самого устройства – воспользоваться им злоумышленник не сможет. Конечно, нельзя исключать возможность компрометации сразу двух факторов, но вероятность такого исхода, конечно, существенно меньше, чем при использовании только одного из них.
Токены в форм-факторе смарт-карты, требующие для доступа к содержимому их памяти ввода секретного пароля, широко распространены за рубежом. Их используют крупные и средние компании, учебные заведения, государственные организации для проверки пользователей обращающихся к информационным ресурсам.
Появившиеся на рынке чуть позже и запатентованные компанией Aladdin Knowledge Systems USB-ключи, совмещающие в себе чип смарт-карты и миниатюрный карт-ридер, на практике оказались удобнее в повседневном использовании, ведь для их подключения не требуется приобретать считывателей смарт-карт (карт-ридеры). 
Рынок аппаратных токенов формировался в то время, когда USB-ключи уже были широко известны и доступны, именно поэтому в нашей стране смарт-карты менее популярны, хотя для нанесения на них изображения (например, фотографии сотрудника) они, конечно, удобнее.
Токены для аутентификации (в частности, реализованные на основе смарт-карт) позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам. Чаще всего, создание инфраструктуры токенов в информационной системе какой-либо компании является платформой для дополнительных защитных мер, таких как безопасный доступ к базам данных, порталам, обеспечение контроля физического доступа и контроля доступа к приложениям. Благодаря своим функциям защиты электронные ключи могут использоваться для развертывания самых различных систем безопасности (в том числе и на основе PKI – инфраструктуры открытых ключей) и обеспечивают максимальную масштабируемость, а, следовательно, гибкость внедрения таких решений.
Широкому распространению, в том числе на российском рынке, токены обязаны своей 
многофункциональности. Один токен можно использовать для решения целого ряда различных задач, связанных с шифрованием пользовательских данных, электронной цифровой подписью документов и аутентификацией самого пользователя. С одной и той же смарт-картой сотрудник может входить в Windows, участвовать в защищенном информационном обмене с удаленным офисом (например, с помощью VPN), работать с web-сервисами (технология SSL), подписывать документы (ЭЦП), а также надежно сохранять закрытые ключи и сертификаты в памяти своего токена.
Эпилог
Рассмотренные вопросы лишь частично освещают все многообразие средств и методов аутентификации, так или иначе применяемых в наши дни. Поэтому в ближайшее время ждите продолжений, в которых постепенно будут раскрыты все детали и нюансы конкретных технологий и аппаратных устройств.
Благодарим компанию Aladdin Security Solutions за помощь в подготовке материала
www.aladdin.ru
<< Предыдущая В начало рубрики Следующая >>