Системы строгой аутентификации

Одним из наиболее уязвимых мест при подключении пользователя к защищаемым ресурсам является аутентификация пользователей с применением статических паролей.

При использовании статических паролей возникают многочисленные угрозы, связанные с возможностью перехвата пароля и несанкционированного входа в систему с его использованием. Проникновение в систему в этом случае крайне сложно обнаружить и распознать, так как в данном случае факт несанкционированного доступа для системы неотличим от подключения легального пользователя, что приводит к невозможности принять эффективные меры по предупреждению таких вариантов взлома системы.

Возможность перехвата пароля имеется как в частных (локальных) сетях, так и в сетях общего пользования. Особенно высока вероятность перехвата паролей в системах, использующих Интернет в качестве среды передачи данных. Интернет, как среда передачи данных, создает дополнительные возможности перехвата информации за счет проникновения на компьютер пользователя программ – троянов и таких угроз, как фишинг, фарминг, «отравление» DNS-серверов.

Самой распространенной мерой защиты является периодическая смена паролей, которые либо создаются системным администратором, либо самими пользователями. К сожалению, эта мера далеко не всегда достигает поставленной цели. В том случае, если пароли создаются администратором, необходим защищенный от возможного перехвата канал передачи новых паролей пользователем. Более того, если пароль создается с помощью программных средств и является бессмысленным набором символов, букв и цифр (что обеспечивает высокую стойкость пароля), то, как правило, пользователи записывают пароль и хранят его в удобном для себя месте. В том случае, если создание нового пароля доверяется пользователю, то большинство из них используют в качестве пароля свои персональные данные, что не обеспечивает высокой стойкости данных паролей.

Еще одним распространенным методом защиты от перехвата паролей является использование одноразовых паролей, которые пользователь получает в виде книжки с готовыми паролями. Каждый из данных паролей может быть использован во время одного сеанса работы с системой. Во время следующего сеанса будет использован следующий пароль и так далее. Основным недостатком данного решения является высокая стоимость печати и распространения таких одноразовых паролей. Кроме того, при попадании такой таблицы в руки злоумышленника имеется вероятность незаконного использования кодов.

Для аутентификации пользователей и защиты содержимого транзакций в ряде стран в качестве стандарта предусматривается использование цифровых сертификатов и электронных цифровых подписей. Данный метод аутентификации отличается высокой надежностью, но требует устройства для хранения сертификата и ключевой информации. Самым слабым местом является данное устройство – в некоторых реализациях дискета (ее очень легко скопировать) или устройство – USB-токен, которое обеспечивает высокую надежность хранения информации и практическую невозможность копирования информации, но требует подключения к компьютеру для использования. Данная технология практически идеально подходит для корпоративных клиентов банка, но для обеспечения удаленного доступа, особенно при использовании мобильного устройства, такое решение крайне сложно реализовать.

Использование одноразовых паролей предназначено для строгой аутентификации* пользователей и находит широкое применение в локальных сетях, системах удаленного доступа, электронной и мобильной коммерции, банковских системах дистанционного обслуживания. Генераторы одноразовых паролей используются конечными пользователями и обеспечивают надежную авторизацию и защиту от таких угроз, как фишинг и троянские программы при использовании удаленного доступа к корпоративным ресурсам. Являясь автономным устройством, не имеющим связи с компьютером пользователя, генераторы одноразовых паролей имеют следующие преимущества:

  • Возможность использования с любой программно-аппаратной платформой.
  • Возможность аутентификации пользователя по любому каналу доступа: Интернет, телефон, факс, мобильный телефон.
  • Отсутствие каких-либо изменений программного обеспечения на стороне клиента.

Для проверки одноразовых паролей и МАС на серверной стороне размещается программная компонента решения, позволяющая проверить их подлинность. Для аутентификации пользователей в локальных сетях компании предлагаются готовые решения на основе продукта серверов аутентификации и плагинов, обеспечивающих доступ к корпоративной почте, корпоративным приложениям и инфраструктуре предприятия. 

Строгая аутентификация пользователей достигается за счет применения одноразовых паролей в двух основных режимах:

  • Запрос-ответ.
  • Одноразовый пароль, генерируемый по датчику реального времени.

Программное обеспечение серверной части решения производит на основании имени пользователя генерацию одноразового пароля и сравнивает полученное от пользователя значение с вычисленным сервером одноразовым паролем. Далее на основании результатов сравнения программное обеспечение возвращает результат аутентификации в виде «да-нет». Основываясь на результатах аутентификации, следующий по иерархии уровень программного обеспечения позволяет принять решения о допуске или отказе в допуске пользователя к ресурсам вычислительной системы.