Аппаратная аутентификация

Аппаратная аутентификация

Безмалый В.Ф.

MVP in Windows Security

В настоящее время компьютеры настолько прочно вошли в нашу жизнь, что с каждым днем все больше и больше пользователей и организаций хранят в них свою виртуальную собственность. И если многие из нас весьма трепетно относятся к своей реальной собственности, то виртуальная явно обделена подобным вниманием.

 

Большинство пользователей продолжают считать, что до них никому нет дела, что в их компьютерах нет ничего ценного для злоумышленника, и вся компьютерная зараза пройдет мимо. Давайте посмотрим на эту проблему с другой стороны баррикад — со стороны злоумышленников. За последние годы своего интенсивного развития, постоянно изобретая новые вредоносные технологии, киберкриминал стал высокодоходным занятием, пройдя путь от любительских проб одиночек до бизнеса хорошо организованных групп.

В течение 2005 года киберпреступники по различным оценкам заработали от десятков до сотен миллиардов долларов, что превышает доход всей антивирусной индустрии. Безусловно, не все столь внушительные средства «заработаны» на атаках на пользователей и организации, но они занимают значительную часть в суммарном доходе злоумышленников.

Кражи

Что крадут

Итак, какая же виртуальная собственность может заинтересовать компьютерного вора?

По результатам проведенного аналитиками «Лаборатории Касперского» исследования вредоносных программ, можно выделить 4 группы собственности, которая наиболее часто подвергается кражам с компьютеров пользователей. Подчеркнем, что это далеко не весь список того, чем интересуются мошенники. Рассмотрим их подробнее:


параметры для доступа к различным финансовым системам (онлайн-банкингу, пластиковым картам, электронным деньгам), интернет-аукционам или им аналогичным;


пароли для доступа к интернет-пейджерам, сайтам;
пароли для доступа к почтовым ящикам, которые являются

неотъемлемой частью ICQ-аккаунтов, а также все найденные на компьютере адреса электронной почты;


пароли к онлайн-играм, среди которых наиболее популярными являются такие как Legend of mir, Gamania, Lineage и World of Warcraft.

Таким образом, если вы обладаете хоть чем-то из приведенного списка, то уже представляете интерес для криминала.

Почему крадут данные и что с ними потом делают, мы расскажем немного ниже в разделе «сбыт краденого», а сейчас остановимся на том, как осуществляются кражи.

Как крадут

Для совершения кражи в подавляющем большинстве случаев используются специализированные вредоносные программы или методы социального инжиниринга, либо и то и другое — для большей эффективности.

Начнем с вредоносных программ, задачей которых является шпионаж за действиями пользователя (например, запись последовательности всех нажатых клавиш), либо целенаправленный поиск ключевых данных в пользовательских файлах или системном реестре. Полученные данные вредоносная программа в конечном счете передает автору, который поступит с ними по своему усмотрению.

Согласно классификации «Лаборатории Касперского», подобные творения относятся к Trojan-Spy или к Trojan-PSW. Если количество ежемесячно обнаруживаемых новых модификаций шпионских программ представить в виде графика, то он примет следующий вид:


Рост числа вредоносных программ, занимающихся кражей информации.

Получить шпионские программы можно самыми различными путями: при просмотре вредоносного сайта, по почте, в чате, форуме, через интернет-пейджер или иным способом во время путешествия по всемирной паутине. В большинстве случаев злоумышленники одновременно с вредоносными программами используют приемы социального инжиниринга, целью которых является подвигнуть пользователя к совершению необходимых киберпреступнику действий. В качестве примера возьмем одну из модификаций широко распространенного Trojan-PSW.Win32.LdPinch, который занимается кражей паролей к интернет-пейджерам, почтовым ящикам, FTP и другой информации. Оказавшись на вашем компьютере, эта вредоносная программа рассылает по контакт-листу всем вашим знакомым сообщения вида:

Смотри

<ссылканавредоносную_программу>

Классная вещь! 🙂

Практически каждый получатель данного сообщения идет по вредоносной ссылке и запускает троянца. Происходит это из-за высокого уровня доверия к ICQ-сообщениям. Получатель не сомневается, что сообщение пришло от его знакомого. И так по кругу: заразив компьютер вашего знакомого, троянец рассылает себя дальше по всем контактлистам, обеспечивая автора программы ворованными пользовательскими данными.

Особое опасение вызывает факт, что подобные шпионские программы уже пишут начинающие — и также сочетают их с методами социнжиниринга.

Атаки на компании

Мошенничество, вымогательство и шантаж со стороны киберкриминала по отношению к компаниям — явления довольно частые. Однако самым распространенным видом киберпреступлений, которым подвергаются компании, остаются кражи конфиденциальной информации.

Кражи

В последнее время все большей популярностью у мошенников стали пользоваться всевозможные личные данные клиентов: адреса электронной почты, номера социального страхования, учетные записи для доступа к онлайн-играм и даже PIN-коды, которые, как оказалось, целый ряд организаций хранит во внутренних базах данных. Сбыт украденных баз не составляет в наше время труда — существует значительный спрос на них, приносящий немалые деньги злоумышленникам, что подталкивает их к совершению дальнейших аналогичных преступлений.

Россию можно приводить в качестве примера того, каких масштабов может достигать кража информации, которая совершается даже из таких труднодоступных мест, как налоговые и таможенные службы. На российских черных рынках беспрепятственно можно купить кредитные истории граждан, базы данных с таможенными декларациями, базы данных регистрации автомобилей, мобильных телефонов с адресами владельцев, а также базы данных паспортной службы. Объемы продаваемых данных, порой, настолько значительны, что они не вмещаются ни на один оптический носитель, и их продают на жестких дисках. Стоимость краденой информации варьируется от нескольких десятков долларов до нескольких тысяч долларов в зависимости от ценности и актуальности информации.

Не стоит думать, что подобную информацию крадут только в России. Такие данные пользуются значительным спросом и в других странах: чего стоят громкие скандалы с кражами номеров кредитных карт и номеров социального страхования, произошедшие в 2006 году в целом ряде развитых стран. Один из таких случаев произошел в Великобритании. Используя уязвимость в системе защиты, злоумышленники украли данные с кредитных карт MasterCard у двух тысяч покупателей одного из крупных магазинов.

Покупателями похищенных данных зачастую становятся преступники, которые используют полученную информацию в своих аферах уже не в виртуальном, а в реальном мире.

Немаловажную роль в совершении краж внутренних баз данных играют сотрудники, имеющие доступ к таким базам данных и не считающиеся с нормами морали. Все чаще аналитики «Лаборатории Касперского» обнаруживают шпионские программы, написанные со знанием инсайдерской информации. Например, были выявлены вредоносные программы, при создании которых злоумышленники использовали внутренние логины и пароли атакуемой организации, а также знания о формате структур внутренних баз данных этой организации. Противостоять кражам, которые поддерживаются каким-либо инсайдером, весьма проблематично, но все-таки возможно. Если пользователя в какой-то мере можно защитить, дав ему ряд простых рекомендаций, которые существенно снижают вероятность потери виртуальной собственности, то для организаций следует использовать комплексную защиту, включающую антивирусные средства, сетевые экраны, спам-фильтры, системы мониторинга и аудита сетевой инфраструктуры предприятий.

В последнее время заметно увеличилось число заражений пользователей через веб. Схема очень простая: злоумышленники взламывают какойнибудь популярный веб-сайт и устанавливают там вредоносную программу, далее эта программа загружается на компьютер всякого посетителя сайта без его ведома. В связи с этим организации (или компании) следует устанавливать у себя антивирус с обязательным наличием в нем веб-компоненты или отдельный продукт для проверки веб-контента на наличие вредоносного кода.

В заключение этого раздела, к сожалению, можно сказать только одно: сложившаяся ситуация позволяет строить прогнозы лишь в сторону увеличения числа совершаемых краж.

Аппаратная аутентификация

 

«Любой пароль, который человеку легко запомнить, может быть взломан с применением грубой силы»

Брюс Шнайер.

главный технолог Counterpane Internet Security, автор книг по

информационной безопасности

 

Определение: Аутентификация — это процесс, в рамках которого выполняется проверка личности пользователя компьютера или сети и который фактически подтверждает, что пользователь именно тот человек, за которого себя выдает. Данную процедуру следует отличать от идентификации (которая определяет, известен ли конкретный пользователь системе) и авторизации (которая предоставляет конкретному пользователю доступ к определенным системным ресурсам)

Кто вы? Вы здесь работаете? Какими правами вы обладаете? Как я могу убедиться, что вы тот самый человек, за которого себя выдаете?

Это очень важные вопросы, на которые должна ответить любая эффективная система защиты прежде, чем пользователь сможет получить доступ к компьютерным, сетевым или другим защищенным ресурсам. Мы считаем, что этим занимается система защиты паролем, но пароли — это всего лишь одна составляющая эффективной системы защиты. Она должна включать в себя три отдельных элемента: идентификацию, аутентификацию и авторизацию, которые все вместе составляют то, что называют контролем доступа.

Когда вы регистрируетесь на компьютере или в сети, первое, что у вас спрашивают, — это имя пользователя (или имя «учетной записи»). Но имя пользователя обеспечивает невысокий уровень защиты в системе. В силу чего система обычно просит вас ввести еще и пароль, выполняя тем самым определенный вид аутентификации.

Аутентификация

Заметим, что решение вопросов персонифицированного доступа к конфиденциальным данным и возможности наказать виновного с помощью неопровержимого доказательства его вины невозможно без применения самых современных способов аутентификации и управления доступом. Чтобы показать это, обратимся к перечню основных сервисов безопасности:

  • Идентификация и аутентификация
  • Разграничение доступа
  • Протоколирование/аудит
  • Межсетевое экранирование
  • Построение VPN
  • Шифрование
  • Контроль целостности и аутентичности информации
  • Контроль защищенности
  • Управление безопасностью
  • Фильтрация контента

 

Заметим, что вопросы разграничения доступа пользователей, идентификации и аутентификации в обязательном порядке решаются не только в системах обеспечения безопасности, но и при создании любой информационной системы. В настоящее время инфокоммуникационное пространство развивается гигантскими темпами, системы и сервисы становятся все более распределенными; при этом возрастает роль корректного решения задачи предоставления доступа, в том числе, удаленного, легальным пользователям систем. В то же время в связи с массовой информатизацией и развитием технологий к системам доступа предъявляются все более строгие требования по защите от действий злоумышленников, как внешних, так и внутренних. При этом роль надежной идентификации пользователей и ресурсов все более и более возрастает, поскольку современные методы аутентификации позволяют строго персонифицировать действия пользователей, а системы управления доступом – с достаточной степенью надежности оградить информационные ресурсы от действий злоумышленников.

 

Во многих случаях вопрос «Как я могу убедиться, что вы тот самый человек, за которого себя выдаете?» оказывается самым важным. Если вы не дадите удовлетворительного ответа, идентификация не будет завершена и никакой авторизации не последует. Но как система проверит, что пользователь именно тот, за кого себя выдает? Ввод пароля не доказывает, что его ввел человек, которому этот пароль на самом деле принадлежит. Ваш пароль может узнать и кто-то другой. А при современных способах взлома паролей это довольно легко. В ходе проведенного исследования устойчивости парольной защиты операционной системы Windows XP выявлено следующее:

  • Скорость перебора паролей составляет 5310986 паролей/сек
  • Если пароль состоит из стандартных слов английского (русского) языка, то время взлома составляет до 2 минут (в зависимости от величины словаря).
  • При применении паролей длиной 8 символов и составленных из цифр время взлома составляет 18 секунд.
  • При применении паролей длиной 8 символов и составленных из цифр и букв английского алфавита время взлома составляет до 6 суток.
  • При применении паролей длиной не менее 8 символов и составленных из букв, цифр и спецсимволов время соответственно увеличивается до 61 суток.

Исследование производилось на компьютере AMD 2400 XP+. Объем применяемого словаря составил 9 мегабайт.

То есть мы с вами можем сказать, что парольная защита не является панацеей.

За время моей работы в области компьютерной безопасности я выяснил следующее:

  1. Пользователи предпочитают легкие пароли. Как правило, в качестве паролей выбираются имена и даты рождения детей, клички домашних животных и т.д.
  2. В случае если система требует усиленных паролей, то, как правило, пароли записываются на стикерах, прикрепляемых к мониторам, к обратной стороне клавиатуры и т.д.

Эти тенденции подчеркивают главную проблему паролей: даже лучшие из них можно украсть. Цифровой вор, вооруженный паролем, выглядит в системе как легитимный пользователь. Естественно о безопасности в этом случае можно просто забыть. Есть ли выход? Конечно есть!

На самом деле уже на сегодня существует несколько вариантов как помочь пользователю в решении этой нелегкой проблемы. Попробуем их кратко описать здесь.

Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается (кладется) плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. Данный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив целостности. Примером такого конверта может служить PINконверт к платежной карте. Далее такие конверты хранятся в сейфе начальника подразделения или сейфе службы информационной безопасности. Единственной сложностью при таком способе хранения является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если учесть сбережение времени администраторов сети и приложений, то эта цена не является чрезмерной.

Третий вариант – использование двухфакторной аутентификации на базе новейших технологий аутентификации. Основным преимуществом двухфакторной аутентификации является наличие физического ключа и пин-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометации пароля, так как кроме ключа для доступа к системе нужен еще и пин-код к ключу.

Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием Интернет-технологий и системы биометрической аутентификации.

 

Решение секьюрити-эксперты видят в использовании для защиты сетей двух ключей — так называемой двухфакторной аутентификации. Это сочетание защитного устройства, которое нужно иметь при себе, и пароля, или PIN-кода.

По сути, для аутентификации пользователя могут применяться следующие три фактора.

  1. Информация, которая известна пользователю. Это многоразовый пароль, кодовая фраза, персональный идентификатор или факт, который вряд ли известен кому-то другому, например девичья фамилия матери.
  2. Вещь, которая принадлежит пользователю. Это может быть ключ, кредитная карта, смарт-карта или специализированное устройство аутентификации (называемое аппаратным ключом), которое генерируют одноразовый пароль или определенный ответ на обращение со стороны сервера.
  3. Характеристики, которыми обладает пользователь. Они зависят от некоторых физических особенностей или качеств пользователя. К такому виду параметров аутентификации, называемых биометрическими характеристиками, относятся: отпечатки пальцев, снимок сетчатки, геометрия руки, голос, черты лица, манера вводить текст и динамические характеристики подписи (скорость и сила нажатия, а не только очертания).

Перечисленные факторы аутентификации располагаются по степени надежности, в зависимости от того, насколько сложно их сфальсифицировать. Все эти методы предполагают определенный уровень защиты. Однако каждый из них имеет свои недостатки.

Так сложилось исторически, что многоразовые пароли остаются очень уязвимыми. Их можно подобрать, подсмотреть или взломать. (об этом мы уже говорили выше).

Второй фактор аутентификации (вещь, которая принадлежит пользователю) требует, чтобы у пользователя было какое-нибудь трудновоспроизводимое устройство. Это более надежная защита, стоит она дороже (обычно несколько десятков долларов за устройство) и требует принятия специальных мер, если пользователь забыл устройство дома, потерял или оно было украдено.

Третий фактор аутентификации (характеристики, которыми обладает пользователь) подделать сложнее всего, но тут возникают другие проблемы. Методы идентификации биометрик порождают два типа ошибок: ошибочное подтверждение и ошибочный отказ. В первом случае система аутентифицирует пользователя, который не должен быть аутентифицирован; во втором — в доступе отказывают легитимному пользователю.

Крайне нежелательны и те и другие ошибки, поэтому важно при оценке такой системы знать и отслеживать уровень ошибок.

Еще одна проблема состоит в том, что постоянные физические изменения или случайные искажения или травмы могут либо изменить, либо сделать нечитаемыми измеряемые характеристики.

Если вы порезали палец, то отпечатки пальцев, на которые ориентируется система, будут искажены. Наклейте пластырь, и модуль считывания вообще не сможет прочитать информацию.

Наконец, если аутентификация по третьему способу невозможна, то нет возможности присвоить пользователю новые идентификационные характеристики. Вы можете определить новый пароль или аппаратный ключ, но не можете изменить отпечатки пальцев или изображение радужной оболочки.

Двухфакторная аутентификация

Усиленная аутентификация (strong authentication) основывается, как минимум, на двух из трех следующих факторов:

 

  • «Нечто, что Вы знаете» (пароль, имя)
• «Нечто, что Вы имеете» (некое устройство, например,

смарткарта, электронный ключ USB-токен)

  • «Нечто, что Вас определяет» (набор индивидуальных черт, например, отпечаток пальца или другой биометрический фактор).

Для обеспечения более высокого уровня защиты эксперты предпочитают использовать одновременно два или три метода — этот процесс получил название двухфакторной аутентификации. К примеру, чтобы применить аппаратный ключ, который генерирует одноразовый пароль, вам, возможно, придется ввести личный идентификационный номер в сам аппаратный ключ. Точно так же аппаратный ключ может применяться в сочетании с биометрической системой.

По сути, то же самое происходит, когда вы регистрируетесь перед посадкой на авиарейс. Вы предъявляете билет, который служит и вашим идентификатором. Затем показываете документ с фотографией. Это вещь, которая вам принадлежит, и в то же время биометрика (характеристика пользователя), по которой клерк должен определить, что фотография на документе ваша.

Как только пользователь прошел идентификацию и аутентификацию, остается предоставить ему доступ к соответствующим системным ресурсам. Эта авторизация обычно сопровождается анализом записи о пользователе в списке контроля доступа, который определяет конкретные права и разрешения. Список этих прав может зависеть от ряда других моментов, например личности пользователя и его служебных обязанностей, членства в рабочей группе или другой классификации, а также, возможно, от времени суток и дня недели.

 

Аутентификация с помощью аппаратных ключей

SecurID

Устройство аппаратной аутентификации, или аппаратный ключ, обеспечивает более высокий уровень защиты от подделки или взлома. Плата SecurID компании RSA Security имеет ЖК-экран, который показывает строку чисел, изменяющуюся каждую минуту. Пользователь набирает свое имя при регистрации, затем на экране возникает число. Система знает, что это число предлагается данному пользователю в конкретное время. Некоторые аппаратные ключи не показывают числа постоянно, а требуют, чтобы пользователь ввел личный идентификационный номер на самой плате, прежде чем на экране появится число, тем самым предлагая двухфакторную аутентификацию. Системы Challenge–Response

В случае применения системы Challenge — Response («вопрос — ответ») при регистрации пользователя на экране отображается число (запрос). Пользователь набирает этот номер в своем аппаратном ключе, который в свою очередь кодирует этот номер и выдает другое число (ответ). Пользователь вводит ответ в компьютер. Хост выполняет те же операции на запросе, затем сравнивает результат с ответом пользователя. Если они соответствуют друг другу, пользователь аутентифицирован. Системы подобного рода широко применяются в процедурах Интернет-банкинга. eToken

К двухфакторной аутентификации можно отнести аутентификацию с

использованием смарткарт и USB-токенов (само устройство -Нечто, что Вы имеете + PIN-код к нему – Нечто, что Вы знаете). Смарткарты появились раньше ключей USB-токен, но внедрение решений с их использованием тормозилось, с начала отсутствием единого стандарта, когда каждый производитель смарткарт старался сделать так, чтобы его карта не работала на считывателе конкурента, потом – отсутствие массово предустановленных считывателей и свободных портов для подключения внешних считывателей. Все это и послужило толчком для появления и развития нового класса устройств – USB-токенов. USB-токены по своим характеристикам безопасности, по удобству использования, по функциональности и ценовым характеристикам можно позиционировать между устройствами Touch Memory и смарткартами. Устройство USB-токен можно назвать брелком для USB-порта, который как бы объединяет в себе и смарткарту и считыватель. В чем же преимущества использования USB-токенов перед смарткартами?

  • Не нужен считыватель (USB-порт есть всегда)
  • Больше функциональность (больше память, индикация)
  • Один такой токен можно использовать для решения многих задач
  • Чисто психологически такое устройство воспринимается как ключ

 

То есть в дальнейшем мы с вами все чаще будем встречаться именно с программно-аппаратными средствами аутентификации, которые постепенно придут на смену традиционным паролям.

Классификация средств идентификации и аутентификации.

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные. В отдельную подгруппу в связи с их специфическим применением можно выделить системы одноразовых паролей, входящие в состав электронных (рис. 1.).

Рис.1. Классификация программно-аппаратных систем идентификации и аутентификации.

 

В электронных системах идентификационные признаки представляются в виде кода, хранящегося в памяти идентификатора (носителя). Идентификаторы в этом случае бывают следующие:

  • контактные смарт-карты;
  • бесконтактные смарт-карты;
  • USB-ключи (USB-token); • iButton.

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.

Статическая биометрия основывается на данных (шаблонах), полученных из измерений анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.).

Динамическая основывается на анализе действий человека (голос, параметры подписи, ее динамика).

В комбинированных системах используется одновременно несколько признаков, причем они могу принадлежать как системам одного класса, так и разным.

 

Особенности электронных систем идентификации и аутентификации

В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin Software.

eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде USB-ключа или стандартной смарт-карты. eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure). Основное назначение:

  • строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
  • безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
  • аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функции, формирование ЭЦП).

eToken как средство аутентификации поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности.

Возможности применения:

  • строгая аутентификация пользователей при доступе к серверам, базам данных, разделам Web-сайтов;
  • безопасное хранение секретной информации: паролей, ключей шифрования, закрытых ключей цифровых сертификатов;
  • защита электронной почты (цифровая подпись и шифрование, доступ);
  • системы электронной торговли, «клиент-банк», «домашний банк»;
  • защита компьютеров;
  • защита сетей, VPN; • клиент-банк, home-банк.

    eToken обеспечивает:

  • строгую аутентификацию пользователей за счет использования криптографических методов;
  • безопасное хранение ключей шифрования и ЭЦП, а также закрытых ключей цифровых сертификатов для доступа к защищенным корпоративным сетям и информационным ресурсам;
  • мобильность пользователя и возможность безопасной работы с конфиденциальными данными в недоверенной среде (например, на чужом компьютере) за счет того, что ключи шифрования и ЭЦП генерируются ключом eToken аппаратно и не могут быть перехвачены;
  • безопасное использование – воспользоваться ключом eToken может только его владелец, знающий PIN-код ключа;
  • реализацию как западных, так и российских стандартов на шифрование и ЭЦП, сертифицированных ФАПСИ (ФСБ);
  • удобство работы – ключ выполнен в виде брелка со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащены 100% компьютеров, не требует специальных считывателей, блоков питания, проводов и т.п.;
  • использование одного ключа для решения множества различных задач – входа в компьютер, входа в сеть, защиты канала, шифрования информации, ЭЦП, безопасного доступа к защищенным разделам Web-сайтов, информационных порталов и т.п.

    Бесконтактные смарт-карты разделяются на идентификаторы

Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации.

Таблица 1.

Радиочастотные идентификаторы

Характеристика

Proximity

Смарт-карты

ISO/IEC 14443

ISO/IEC 15693

Частота радиоканала

125 кГц

13,56 МГц

13,56 МГц

Дистанция чтения

До 1 м

До 10 см

До1 м

Встроенные типы чипов

Микросхема памяти,

микросхема с жесткой логикой

Микросхема памяти,

микросхема с

жесткой логикой, процессор

Микросхема памяти,

микросхема с жесткой логикой

Функции памяти

Только чтение

Чтение-запись

Чтение-запись

Емкость памяти

8-256 байт

64 байт – 64 кбайт

256 байт – 2 кбайт

Алгоритмы шифрования и аутентификации

Нет

Технология

MIRAGE, DES,

3DES, AES, RSA, ECC

DES, 3DES

Механизм антиколлизии

Опционально

Есть

Есть

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64 разрядные серийные номера.

Системы идентификации на базе Proximity криптографически не защищены, за исключением специальных заказных систем.

USB-ключи работают с USB-портом компьютера. Изготавливаются в виде брелков. Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер.

Таблица 2.

Характеристики USB-ключей

Изделие

Емкость памяти, кБ

Разрядность серийного номера

Алгоритмы шифрования

iKey 20xx

8/32

64

DES (ECB и

CBC), DESX,

3DES, RC2, RC5, MD5, RSA1024/2048

eToken R2

16/32/64

32

DESX (ключ 120 бит), MD5

eToken Pro

16/32

32

RSA/1024, DES, 3DES, SHA-1

ePass 1000

8/32

64

MD5, MD5-HMAC
ePass 2000

16/32

64

RSA, DES, 3DES,

DSA, MD5, SHA1

ruToken

8/16/32/64/128

32

ГОСТ 28147-89,

RSA, DES, 3DES,

RC2, RC4, MD4, MD5, SHA-1

uaToken

8/16/32/64/128

32

ГОСТ 28147-89

USB-ключи, представленные на рынке:

  • eToken R2, eToken Pro – компания Aladdin Knowledge Systems;
  • iKey10xx, iKey20xx,iKey 3000 – компания Rainbow Technologies;
  • ePass 1000 ePass 2000 – фирма Feitian Technologies; • ruToken – разработка компании «Актив» и фирмы «АНКАД»; • uaToken – компания ООО «Технотрейд».

USB-ключи – это преемники смарт-карт, в силу этого структуры USBключей и смарт-карт идентичны.

Комбинированные системы

Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность.

Таблица 3. Основные функции комбинированных систем

 

Функция

Комбинированные системы

На базе бесконтактны

х смарт-карт и USBключей

На базе гибридных смарт-карт

Биоэлектронн ые системы

Идентификация и аутентификация компьютеров

Есть

Есть

Есть

Блокировка работы компьютеров и

разблокирование при предъявлении

персонального идентификатора

Есть

Есть

Идентификация и аутентификация

сотрудников при их доступе в здание, помещение (из него)

Есть

Есть

Хранение конфиденциальной

информации (ключей

шифрования, паролей, сертификатов и т.д.)

Есть

Есть

Есть

Визуальная идентификация

Есть

Есть

На сегодня существуют комбинированные системы следующих типов:

  • системы на базе бесконтактных смарт-карт и USB-ключей; системы на базе гибридных смарт-карт;
  • биоэлектронные системы.

Бесконтактные смарт-карты и USB-ключи

В корпус брелка USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволит организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Данная схема использования идентификатора может исключить ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что позволит работать под его идентификатором. В случае же, когда нельзя выйти из помещения, не используя бесконтактный идентификатор, данной ситуации удастся избежать.

На сегодня наиболее распространены два идентификатора подобного типа:

  • RfiKey – компания Rainbow Technologies;
  • eToken PRO RM – компания Aladdin Software Security R.D.

Изделие RfiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR05Hx, APR-06Hx, APR-08Hx, H-Reader).

eToken RM – USB-ключи и смарт-карты eToken PRO, дополненные

пассивными RFID-метками.

Интеграция eToken c RFID-метками

RFID-технология (Radio Frequency Identification, радиочастотная идентификация) является наиболее популярной на сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен только eToken PRO/32K. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13.56 МГц, например, производства Ангстрем или HID.

Гибридные смарт-карты

Гибридные смарт-карты содержат разнородные чипы. Один чип поддерживает контактный интерфейс, другой – бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: доступ в помещение и доступ к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что делает возможным полностью заменить обычные пропуска и перейти к единому “электронному пропуску”.

Смарт-карты подобного типа разрабатывают многие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin Knowledge Systems и др.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken Pro/SC RM. В них микросхемы с контактным интерфейсом eToken Pro встраиваются в бесконтактные смарт-карты. Смарт-карты eToken PRO могут быть дополнены пассивными RFID-метками производства HID/ISOProx II, EMMarine (частота 125 кГц), Cotag (частота 122/66 кГц), Ангстрем /КИБИ002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем – биометрической и контактной на базе смарт-карт или USB-ключей.

Наиболее часто в качестве биометрических систем применяются системы распознавания отпечатков пальцев. При совпадении отпечатка с шаблоном разрешается доступ.

К недостаткам такого способа идентификации можно отнести возможность использования муляжа отпечатка.

Генераторы разовых паролей

Одноразовые пароли

На мой взгляд, единственным техническим способом уменьшить потери от фишинга могут служить системы аутентификации с помощью одноразовых паролей.

Конечно же, необходимо обучение пользователей. Но сколько бы вы не учили пользователя, вероятность того, что в вашем компьютере появится «троян» специально написанный под вас и не обнаруживаемый сигнатурными базами достаточно велика. Конечно, можно (и нужно) использовать системы проактивной защиты. Но это не тема статьи. Об этом и так много написано.

Да, можно использование виртуальной клавиатуры. Но ведь можно написать программу, которая будет считывать координаты вашей мыши, а следовательно, восстанавливать ваш пароль. Следовательно – это не выход.

Выходом могут служить системы генерации одноразовых паролей.

Давайте попробуем их рассмотреть.

Что представляет собой система одноразовых паролей?

Генератор одноразовых паролей может выглядеть внешне либо как брелок с небольшим окном (RSA Security ID, Aladdin eToken NG OTP (рис. 7 ) либо напоминать собой калькулятор (рис. 8).

Рисунок 7 OTP Token c USB подключением

Рисунок 8 Генератор одноразовых паролей

В случае использования небольшого устройства, внешне напоминающего калькулятор, пользователь вводит комбинацию символов, которая изображена в окошке и дополняет ее своим персональным PIN-кодом (чтобы гарантировать что устройство используется законным пользователем). Генерация кода может производиться по времени – так называемый тип Time Based для устройств типа RSA Security и подобных. Или по событию – нажатию кнопки для устройств типа eToken NG OTP и подобных. Третий вариант (самый дешевый) – заранее сгенеренные, случайные последовательности (бумажная реализация для онлайн банкинга – с защитным слоем).

Есть еще один вариант аутентификации с использованием одноразовых паролей –аутентификация по мобильному телефону. Вы с вашего мобильного телефона (зарегистрированного в системе) отправляете СМС на определенный номер. В ответ вам приходит PIN-код, который вы вместе со своим кодом вводите при аутентификации. В этом случае вам вообще не нужны брелки, т.к. мобильные телефоны есть у всех …

 

Помимо этого существуют программные реализации (на JAVA) подобных токенов (рис. 9). Т.е. опять используем ваш телефон, в который устанавливаем программный токен. К сожалению, поддерживаются не все телефоны, чем и ограничивается распространение данной реализации OTP, хотя для внутрикорпоративного использования очень популярное решения, в связи с более низкой стоимостью, по сравнению с аппаратным токеном.

Рисунок 9 – JAVA токен для телефона.

 

Так как сгенерированный пароль можно ввести лишь однажды, да еще и в ограниченный по времени интервал, то использовать подсмотренный пароль не представляется возможным. Генераторы одноразовых паролей широко применяются в банковской системе Европы и США, а также их используют некоторые Интернет-провайдеры (AOL). Но безопасность в этом случае стоит денег, так как нужно покупать само устройство и провайдеру (банку) нужно иметь соответствующее программное обеспечение.

Идентификаторы на базе генераторов разовых паролей применяются чаще всего для организации web-доступа или систем типа e-banking.

Рис. 2. eToken NG.

eToken NG – функциональный аналог eToken PRO, имеющий

встроенный генератор одноразовых паролей.

eToken NG-OTP предназначен для аутентификации пользователей при их подключении к защищенным информационным ресурсам (в том числе при недоступности USB портов, к примеру – доступ с мобильных устройств, интернет-кафе), а также для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.

Выпускается в двух модификациях: с 64 Кб и 32 Кб памяти (внутри защищенного чипа смарт-карты).

Имеет аппаратно реализованные алгоритмы RSA/1024, DES, 3DES, SHA-1 и аппаратный генератор одноразовых паролей.

Если необходимо получить соединение с сетью, пользователь вводит PIN-код, затем генерирует разовый пароль, нажимая кнопку на eToken NG. При этом пароль равен PIN-код+Token-код.

На стороне сети этот пароль проверяется с помощью специального серверного ПО.

Второй вариант реализован в продуктах компании RSA Security.

RSA SecurID for Microsoft Windows – это программное решение для проверки подлинности пользователей в вычислительных средах Microsoft Windows.

С точки зрения конечного пользователя разница между обычной процедурой регистрации в системе Windows и аутентификацией в системе RSA SecurID состоит лишь в том, что вместо стандартного пароля требуется ввести составной код доступа, состоящий из личного PIN-кода и комбинации цифр, которая в данный момент отображается на экране жетона-аутентификатора. Затем этот код доступа отсылается серверу RSA Authentication Manager, который и выполняет проверку подлинности пользователя.

RSA SecurID for Microsoft Windows обеспечивает прозрачную интеграцию с контролерами доменов Windows и каталогами Active Directory. База данных пользователей и групп сервера аутентификации RSA Authentication Manager синхронизирована с каталогом Active Directory. Поэтому, когда пользователь успешно проходит аутентификацию, сервер RSA Authentication Manager отправляет его пароль клиентской системе. Затем этот пароль отсылается контролеру домена для завершения аутентификации.

 

Отличие между этими двумя технологиями заключается в том, что 20 разовый пароль в RSA SecurID изменяется через заранее заданные промежутки времени, а в продукте eToken NG смена разового пароля производится по нажатию кнопки (т. е. по мере надобности).

Вывод

Таким образом, рассмотрев различные технологии аппаратнопрограммной и парольной аутентификации можно сделать вывод, что в дальнейшем по мере роста вычислительных мощностей все более востребованным будет именно применение двухфакторной аутентификации, что позволит избежать человеческих ошибок, связанных с применением слабых паролей и ужесточить требования к парольной аутентификации.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.