Двухфакторная аутентификация – ключевой элемент в разграничении доступа к защищаемой информации
Invite pending
Разграничение прав доступа к корпоративной информации является одним из необходимых требований в обеспечении ее безопасности. Очевидно, что, к примеру, инженер техподдержки и главный бухгалтер обладают совершенно разной информацией. Поэтому перед тем как получить доступ к ресурсу, пользователь должен подтвердить, что он является именно тем, за кого себя выдает. Самый простой вариант – ввести имя пользователя и пароль. Аутентификация по паролю (то есть однофакторная по принципу «знание чего-либо») обладает рядом существенных недостатков. Удовлетворяющий политике сложности пароль тяжело запомнить, а если их несколько и меняются они довольно часто, пользователи начинают записывать их на листочках, в текстовых файлах и на клавиатуре. Пароль может быть подсмотрен, подобран, перехвачен клавиатурным шпионом или при передаче по сети. Кражу пароля сложно отследить, поэтому нельзя знать точно, все ли пароли в организации хранятся в секрете или какие-то из них скомпрометированы. А какими могут быть последствия, когда «недооцененный» системный администратор входит в корпоративную информационную систему с паролем генерального директора?
Современная тенденция – использование двухфакторной аутентификации по принципу «знание чего-либо» + «обладание чем-либо». В качестве второго фактора чаще всего используются USB-токены и смарт-карты. Аутентификация на их базе является высокотехнологичной и, главное, надежной альтернативой парольным и биометрическим методам и, кроме того, она существенно превосходит их по простоте интеграции и дальнейшей эксплуатации. Одно устройство может хранить в себе пароли для доступа к рабочим станциям и приложениям, цифровые сертификаты, ключи для шифрования и создания электронной цифровой подписи (ЭЦП). На смарт-карту может также наноситься фотография, а при добавлении радиометки (RFID) такая карта может быть использована в качестве электронного пропуска в системе контроля и управления доступом (СКУД). Отсутствие (потеря или кража) электронного ключа обнаруживается быстро, что позволяет оперативно изменить атрибуты доступа для пользователя.
Рассмотрим возможный сценарий применения. Сотрудник приходит на работу и получает доступ в офис при помощи радиометки, встроенной в его токен. Затем подключает его к своему рабочему компьютеру и аутентифицируется до загрузки операционной системы (ОС). Далее входит в корпоративную сеть (домен). Во время работы сотрудник с помощью токена шифрует и подписывает электронную почту, передает данные по безопасным каналам, работает с защищенными Web-ресурсами, на терминальном сервере и с различными приложениями, требующими строгой аутентификации с цифровыми сертификатами. При этом сотруднику нужно помнить только PIN-код своего токена и подключить его к компьютеру. При отсоединении токена компьютер автоматически блокируется.
Если же сотрудник находится вне офиса, он может c помощью токена получить безопасный удаленный доступ в корпоративную сеть. При этом он по-прежнему сможет шифровать и подписывать электронные письма и выполнять защищенный обмен данными и строгую аутентификацию в различных приложениях. Все персональные цифровые данные сотрудника всегда доступны для него и надежно защищены.
У описываемой технологии есть ряд ключевых преимуществ, повышающих безопасность и удобство использования:
Отдельная категория решений по двухфакторной аутентификации – генераторы одноразовых паролей (OTP). При использовании этой технологии каждый пароль, вводимый пользователем, не может быть использован повторно. В качестве пароля может использоваться комбинация «некоторое слово + значение OTP», также для получения пароля может потребоваться ввод PIN-кода. Таким образом, даже если злоумышленник перехватит пароль, он не сможет им воспользоваться. Обладание генератором паролей без знания PIN-кода также не позволит осуществить НСД. Такие меры, как правило, применяются в системах с повышенными требованиями к безопасности – к примеру, при удаленном проведении банковских платежей.
В итоге внедрение двухфакторной аутентификации позволяет повысить защищенность и обеспечить безопасный доступ к информации, исключить влияние человеческого фактора при использовании паролей, а также всевозможные угрозы компрометации паролей и использования их в целях причинения ущерба бизнесу. Администраторы корпоративной сети и безопасности получают эффективные механизмы управления паролями, а сотрудник всегда имеет при себе персональные цифровые данные (сертификаты, ключи ЭЦП и шифрования, коды доступа), надежно хранящиеся в защищенной памяти.
Современная тенденция – использование двухфакторной аутентификации по принципу «знание чего-либо» + «обладание чем-либо». В качестве второго фактора чаще всего используются USB-токены и смарт-карты. Аутентификация на их базе является высокотехнологичной и, главное, надежной альтернативой парольным и биометрическим методам и, кроме того, она существенно превосходит их по простоте интеграции и дальнейшей эксплуатации. Одно устройство может хранить в себе пароли для доступа к рабочим станциям и приложениям, цифровые сертификаты, ключи для шифрования и создания электронной цифровой подписи (ЭЦП). На смарт-карту может также наноситься фотография, а при добавлении радиометки (RFID) такая карта может быть использована в качестве электронного пропуска в системе контроля и управления доступом (СКУД). Отсутствие (потеря или кража) электронного ключа обнаруживается быстро, что позволяет оперативно изменить атрибуты доступа для пользователя.
Рассмотрим возможный сценарий применения. Сотрудник приходит на работу и получает доступ в офис при помощи радиометки, встроенной в его токен. Затем подключает его к своему рабочему компьютеру и аутентифицируется до загрузки операционной системы (ОС). Далее входит в корпоративную сеть (домен). Во время работы сотрудник с помощью токена шифрует и подписывает электронную почту, передает данные по безопасным каналам, работает с защищенными Web-ресурсами, на терминальном сервере и с различными приложениями, требующими строгой аутентификации с цифровыми сертификатами. При этом сотруднику нужно помнить только PIN-код своего токена и подключить его к компьютеру. При отсоединении токена компьютер автоматически блокируется.
Если же сотрудник находится вне офиса, он может c помощью токена получить безопасный удаленный доступ в корпоративную сеть. При этом он по-прежнему сможет шифровать и подписывать электронные письма и выполнять защищенный обмен данными и строгую аутентификацию в различных приложениях. Все персональные цифровые данные сотрудника всегда доступны для него и надежно защищены.
У описываемой технологии есть ряд ключевых преимуществ, повышающих безопасность и удобство использования:
- одно устройство может использоваться для аутентификации в различных системах, установления защищенных соединений, а также для шифрования и подписи документов;
- все операции с идентификационными данными (генерация и хранение ключей, проверка PIN-кода) производятся непосредственно на устройстве, сами данные никогда не покидают содержимое устройства и не могут быть из него извлечены;
- доступ к данным на устройстве осуществляется только после ввода PIN-кода;
- содержимое надежно защищено от несанкционированного доступа (НСД) (счетчик попыток ввода PIN-кода, шифрование данных на микросхеме, устойчивый к вскрытию корпус).
Отдельная категория решений по двухфакторной аутентификации – генераторы одноразовых паролей (OTP). При использовании этой технологии каждый пароль, вводимый пользователем, не может быть использован повторно. В качестве пароля может использоваться комбинация «некоторое слово + значение OTP», также для получения пароля может потребоваться ввод PIN-кода. Таким образом, даже если злоумышленник перехватит пароль, он не сможет им воспользоваться. Обладание генератором паролей без знания PIN-кода также не позволит осуществить НСД. Такие меры, как правило, применяются в системах с повышенными требованиями к безопасности – к примеру, при удаленном проведении банковских платежей.
В итоге внедрение двухфакторной аутентификации позволяет повысить защищенность и обеспечить безопасный доступ к информации, исключить влияние человеческого фактора при использовании паролей, а также всевозможные угрозы компрометации паролей и использования их в целях причинения ущерба бизнесу. Администраторы корпоративной сети и безопасности получают эффективные механизмы управления паролями, а сотрудник всегда имеет при себе персональные цифровые данные (сертификаты, ключи ЭЦП и шифрования, коды доступа), надежно хранящиеся в защищенной памяти.