В современной IT-структуре при выполнении каких-либо действий которые могут иметь последствия, необходимо подтвердить свои полномочия на выполнение этих действий. Как правило, это делается с помощью указания имени пользователя (логина) и пароля, связанных с учетной записью пользователя. Учетная запись содержит сведения о доступной пользователю информации и его полномочиях на выполняемые действия. Такая концепция сейчас используется повсеместно: вход в Windows и почтовые серверы, аутентификация при получении удаленного доступа, управление банковскими счетами через Интернет, бронирование билетов и т.д.
Система аутентификации на базе логина и пароля называется однофакторной. Под фактором (или методом) понимается способ подтверждения своей личности — в данном случае это предоставление некоторой информации о себе, которую мы знаем: логин и пароль. Стоит отметить, что эти данные статичны во времени и могут быть использованы для аутентификации многократно.
С точки зрения информационной системы «пользователем» является любой человек, который прошел аутентификацию, использующий подходящие данные. В рассматриваемой выше ситуации — это тот, кто знает ваш логин и пароль. Таким образом, любой человек, который знает соответствующий логин и пароль от учетной записи, например, в системе интернет-управления банковским счетами, может выполнить любые действия и они будут расценены системой, как выполненные Вами.
Предполагается, что Ваши логин и пароль известны только Вам. Однако существует несколько довольно отлаженных способов заставить Вас «поделиться» этими данными с «заинтересованными лицами», причем, так, что Вы даже не будете подозревать об этом до тех пор, пока, например, со счета не исчезнет некоторая сумма денег.
Самые известные и эффективные методы изъятия ваших данных аутентификации - фишинг, фарминг и трояны.
Первый термин (phishing) происходит от английского слова fishing — ловля рыбы. Суть атаки заключается в том, что пользователю присылается письмо от имени «ресурса», например, банка, клиентом которого является пользователь, с предложением пройти перерегистрацию, заполнить анкету для участия в розыгрыше призов по случаю именин банка или принять участие в маркетинговой акции и т.д. При этом ссылка и сама web-страница максимально похожи на аутентичные. Такой подставной сайт имеет единственное назначение – получить данные аутентификации пользователя. Результат – использование этих данных для выполнения операций от имени пользователя, например, перевода денег с его счета.
Второй тип атак похож на описанный выше и предполагает переадресацию на хакерский web-сайт - действия и последствия аналогичны описанным выше.
Атаки такого типа рассчитаны на невнимательность пользователя. Статистика показывает, что мало кто озаботится различием в написании watchguard.com и www.watchguard.com, www.watchguard.com, при том, что само наполнение сайта (а это значительно большая часть информации, по сравнению с URL) будет полностью идентичная настоящему.
Атака с использованием троянов в упрощенном виде сводится к тому, что на компьютер пользователя загружается программка, которая фиксирует данные, вводимые с клавиатуры, а затем пересылает их организаторам атаки. Результат тот же, что и в двух предыдущих случаях – потеря денег или информации (что в общем-то то же самое).
Такие атаки становятся возможными по простой причине —данные аутентификации статичны, то есть не меняются и могут быть использованы многократно. Прилучив единожды логин и пароль хакеры могут использовать их до тех пор, пока пользователь не спохватится (быть может, уже слишком поздно) и не изменит их.
Существует два метода борьбы с этими атаками.
Первый метод: необходимо удостовериться, что ввод данных осуществляется именно на том ресурсе, который необходим. Для этого предполагается использование взаимной аутентификации, то есть с одной стороны пользователь подтверждает свою личность, но при этом и web-ресурс некоторым образом подтверждает пользователю свою идентичность. Это позволяет гарантировать пользователю, что ввод данных выполняется именно там, где это требуется.
Трояны: используйте антивирусное ПО, регулярно обновляйте базы описания вирусов, не «ходите» по неизвестным сайтам, не просматривайте вложения от неизвестных отправителей.
Второй метод: использование для аутентификации некоторых динамических данных, то есть таких данных, которые меняются и не могут быть использованы дважды. В этом случае перехват введенных пользователем данных не приведет к желаемому результату, так как они не могут быть использованы повторно.
Entrust IdentityGuard — эта система предназначена для организации многофакторной аутентификации в Windows, web-приложениях, VPN, а так же любых других ресурсах, поддерживающих RADIUS. IdentityGuard усиливает безопасность системы за счет ис-пользования при аутентификации дополнительного фактора или, другими словами, вторичного метода аутентификации.
Основой Entrust IdentityGuard является Entrust IdentityGuard Server, который выполняет аутентификацию пользователей, управление данными пользователя и их данными аутентификации.
Entrust IdentityGuard использует существующее хранилище данных. Под этим понимается любая служба каталогов, совместимая с LDAP версии 3 или база данных, например SQL или Oracle. Таким образом, в зависимости от цели применения Entrust IdentityGuard интеграция осуществляется с существующей инфраструктурой.
При аутентификации в Windows или VPN, будет использоваться существующая служба каталогов, например Active Directory. В этом случае происходит модификация схемы и данные аутентификации хранятся в зашифрованном виде как дополнительные атрибуты объектов типа user.
Если предполагается усилить безопасность, например, системы управления банковскими счетами через интернет (аутентификация в web-приложения), то данные аутентификации будут храниться в существующей базе данных.
Пример архитектуры в случае использования Entrust IdentityGuard для реализации двухфакторной аутентификации в web-приложении.
Рекомендуемая архитектура состоит из следующих компонентов:
В основе лежит ролевой принцип управления, который подразумевает определение прав и полномочий для каждого сотрудника, принимающего участие в управлении.
В общем случае все пользователи, проходящие аутентификацию через Entrust IdentityGuard, разделяются на группы, для каждой из которых существует собственный набор правил, в том числе описывающие и методы аутентификации. Управление группой выполняют администраторы, каждый из которых имеет собственные полномочия. В некоторых случаях, для упрощения управления, группы, с точки зрения администрирования, могут объединяться в сообщества. В этом случае администратор получает полномочия управления для всех входящих в него групп.
Ключевые операции, такие как: создание групп и пользователей, задание политик безопасности, создание администраторов и их полномочий и т.д., выполняются с помощью командной консоли. Доступ к консоли имеет ограниченный круг персонала. На этапе установки системы определяются 3 сотрудника, которые будут наделены максимально возможными полномочиями.
Выполнение повседневных операций (которые выполняются значительно чаще описанных выше), связанных с управлением пользователями и данными аутентификации, разблокировки учетных записей, генерацией одноразовых паролей и т.д., производится через удобный web-интерфейс.
Инструментарий комплексного управления системой можно интегрировать в собственные программные решения, для этого предоставляется набор API-функций. Кроме того, выполнение многочленных однотипных операций может быть оптимизировано с помощью «конвейерного метода», в основе которого лежит использование макросов.
Entrust IdentityGuard позволяет реализовать 7 вторичных методов аутентификации. В зависимости от решаемой задачи и ее исходной постановки может быть выбран оптимальный метод. Ниже приводится описание этих методов, а так же некоторые особенности и соображения о выборе того или иного метода в зависимости от таких факторов как проста внедрения, проста применения конечным пользователем, надежность и т.д.
Предлагаемые методы:
1. Использование генераторов одноразовых паролей (OTP);
2. Табличная (сеточная) аутентификация;
3. Аутентификация на базе списка паролей;
4. Использованием контрольных вопросов;
5. Высылаемый PIN-код;
6. Аутентификация компьютера.
7. Биометрическая аутентификация
В приведенной ниже таблице – некоторые параметры каждого из предлагаемых методов.
Метод |
Физический элемент |
Обновления/замена |
Пример использования |
---|---|---|---|
Одноразовый пароль |
Аппаратный генератор одноразовых паролей |
При разрядке батареи, примерно через 5 лет |
Строгая вторичная аутентификация |
Таблица (сетка) |
Таблица в любой визуальной форме |
Через указанное время, или определенное количество использований |
Строгая вторичная аутентификация |
Список паролей |
Список в любой визуальной форме |
Через указанное время, или определенное количество использований |
Редко требуемая одноразовая аутентификация или подтверждение особо важных транзакций |
Контрольный вопрос |
Не использует |
|
Регистрация пользователя или компьютера |
Высылаемый PIN-код |
|
одноразовое использование |
Одноразовая аутентификация для выполнения очень важных операций |
Аутентификация компьютера |
Не использует |
При каждой аутентификации или при смене компьютера |
Доступ к ресурсам с личного компьютера пользователя |
Биометрия |
Сканер отпечатка пальца |
По требованию |
Строгая вторичная аутентификация |
Взаимная аутентификация |
Реализуется при табличном методе, используется сама таблица |
|
Проверка идентичности ресурса. |
Все из перечисленных методов используются как дополнение к уже существующей системе аутентификации, то есть являются вторичным методом или фактором аутентификации.
Рассмотрим более подробно каждый из упомянутых выше методов.
В основе этого метода лежит использование аппаратного генератора одноразовых паролей. Это портативное устройство содержит внутренний элемент питания, а его работа основана на встроенных часах реального времени и генераторе случайных чисел. Устройство выдает новые значения каждые 36 секунд. При желании возможно ввести дополнительный уровень защиты в виде использования статического PIN. Это защищает пользователя от несанкционированного использования его генератора при краже или потере. Статический PIN является дополнением к динамическому коду (одноразовому паролю). То есть, при аутентификации используется комбинация двух этих кодов - статический (как суффикс или префикс) и динамический.
Кроме того, существуют защищенные генераторы одноразовых паролей. Такие генераторы имеют встроенную клавиатуру, которая используется для ввода PIN-кода самого генератора.
Генераторы регистрируются по серийному номеру в Entrust IdentityGuard на пользователя. В системе на одного пользователя может быть зарегистрировано несколько генераторов: один из них назначается текущим, остальные находятся в состоянии удержания. Такой подход позволяет учесть ситуации потери генератора или разрядки его батареи.
Преимущества:
Особенности:
Применение:
Наиболее интересный и экономически выгодный метод. На первый взгляд реализуемый подход кажется примитивным и напоминает игру «морской бой». Однако, при более глубоком рассмотрении, он перестает напоминать детскую забаву и доказывает свою надежность как второй фактор строгой аутентификации. Стоит отметить, что использование табличного метода позволяет реализовать взаимную аутентификацию.
Суть метода. Пользователь имеет таблицу (или сетку, так как в оригинале метод называется grid — сетка), состоящую из определенного количества строк и столбцов. Каждая ячейка содержит один или несколько символов. Значения указанных системой ячеек являются информацией, используемой для аутентификации.
Процесс аутентификации:
Такой подход называется двухэтапный: сначала пользователь проходит привычную аутентификацию на базе логина и пароля, а затем вторичную- с использованием таблицы .
Возможен другой вариант — одноэтапный. В этом случае пользователь сразу получает запрос на ввод логина, пароля, и значения определенных ячеек.
Первый метод более предпочтителен, так как позволяет реализовать взаимную ау-тентификацию. То есть предоставить пользователю некоторую информацию, которая позволит удостовериться в том, что данные запрашиваются именно с оригинального ресурса, а не с хакерского двойника. Взаимная аутентификация реализуется довольно просто. Так как пользователь прошел первичную аутентификацию на базе логина и пароля, то Entrust IdentityGuard «знает» пользователя и может сообщить ему некоторые данные о нем самом. Под этими данными подразумевается серийный номер таблицы или значения некоторых ячеек (например, использовавшихся ранее). Пользователю остается просто проверить корректность данных, предоставленных ресурсом. Результаты независимых исследований показали, что 90% пользователей обратят внимание на указанный серийный номер и комментарии, представленные на экране, даже если предварительно не были проинформированы об этом.
Рассмотрим более подробно это метод с точки зрения работы Entrust IdentityGuard. Для каждой группы пользователей задаются параметры таблицы:
o Цифры или буквы и цифры;
o Перечень запрещенных символов;
o Перечень «парных» символов, интерпретируемых одинаково, например, цифра «0» и буква «О» и т.д.;
o Номера ячеек формируются случайным образом и не зависят от ранее использовавшихся;
o Минимизация ячеек, использованных ранее. В этом случае в настройках для формирования запроса указывается максимально допустимое количество ячеек, которые были использованы ранее.
Сгенерированные таблицы хранятся в зашифрованном виде и «привязываются» к пользователям по серийным номерам. Срок действия такой таблицы может ограничиваться по времени или по числу аутентификаций.
Entrust IdentityGuard поддерживает разные варианты выпуска таблиц. Например, таблица может быть сгенерирована и привязана к пользователю на момент регистрации в системе. Также поддерживается конвейерный способ генераций, который подразумевает предварительную генерацию таблиц с последующей привязкой к пользователю. Этот вариант удобен в том случае, когда предполагается централизованный выпуск таблиц, например, на пластике. В этом случае таблицы могут быть отпечатаны в большом количестве, а затем распределены, например, по региональным отделениям банков. В то же время таблицы могут предоставляться пользователю в любом виде, в том числе и электронном - отсылать по почте в виде JPG-файла.
Преимущества:
Особенности:
Применение:
Это некоторая модификация табличного метода. Пользователю предоставляется список паролей, сгенерированных случайным образом. Каждый пароль может быть использован только один раз. Эффективность перехвата такого пароля равна нулю, так как повторно его использовать нельзя.
Преимущества:
Особенности:
Применение:
При аутентификации пользователю предлагается ряд вопросов, ответы на которые может дать только он сам.
Существует два типа контрольных вопросов:
Возможна и комбинация этих методов. В случае регистрации большого количества контрольных вопросов для аутентификации может использоваться часть из них, выбираемая случайным образом. Такой подход опять-таки повышает надежность защиты от фишинговых атак.
При реализации этого метода необходимо учесть массу моментов, которые могут на первый взгляд показаться не столь важными. Например, задаваемые вопросы должны быть универсальными, то есть - подходить для всех пользователей. Например: «имя вашего первого домашнего животного» может подойти далеко не всем, так как не у всех пользователей, проходящих аутентификацию, были птички или собачки в детстве. Или вопрос «ваш любимый автор» может иметь другой ответ со временем, так как предпочтения отвечающего могут измениться.
Эта технология основана на генерации одноразового пароля Entrust IdentityGuard по запросу пользователя. Например, при прохождении первого этапа аутентификации. При этом подразумевается, что связь с пользователем для передачи одноразового PIN-кода инициируется Entrust IdentityGuard, и сгенерированный PIN-код отправляется, например, в виде SMS-сообщения, электронного письма или звонка на зарегистрированный номер.
Применение:
Этот метод используется для проверки компьютера пользователя, то есть пользователь ассоциируется с определенным компьютером. Такая технология применима в случае, когда пользователь осуществляет доступ к требующим аутентификацию ресурсам с одного и того же компьютера. Типичным примером является домашний компьютер. В этом случае для самого пользователя происходит сквозная аутентификация, то есть от него не требуется выполнение каких-либо действий.
На базе параметров компьютера генерируется ключ, часть которого является случайным значением. Это ключ сохраняется на компьютере и в хранилище Entrust IdentityGuard. При обращении к защищаемому ресурсу пользователь проходит первичную аутентификацию на базе логин-пароля. Второй этап аутентификации сводится к извлечению ключа компьютера и сравнению его значения с сохраненным в хранилище Entrust IdentityGuard.
Для усиления защиты компьютерный ключ может перегенерироваться при каждой аутентификации. В этом случае каждая последующая аутентификация будет выполняться на базе ключа, сгенерированного в последний раз.
Преимущества:
Особенности:
Применение:
Описанные выше методы позволяют реализовать дополнительные методы аутентификации. Их основное назначение — использовать динамические данные, что позволяет предотвратить фишинговые атаки.
С точки зрения инвестиций, финансовые вложения в повышенную защищенность ресурса, например, в банковском бизнесе, можно представить как дополнительный платный сервис для клиентов. Это позволит полностью окупить затраты на внедрение и администрирование системы.
Кроме того, высокий уровень безопасности ресурсов и сервисов, доступных и реализуемых через Интернет, позволит их сделать более привлекательными для пользователей, клиентов и партеров, что, в свою очередь, отразится на положительной динамике в развитии бизнеса любой компании.
Автор: Тархов Андрей, менеджер продуктов ActivIdentity
Rainbow Technologies
Для регистрации заполните, пожалуйста, Форму: