Аутентификация как таковая

В современной IT-структуре при выполнении каких-либо действий которые могут иметь последствия, необходимо подтвердить свои полномочия на выполнение этих действий. Как правило, это делается с помощью указания имени пользователя (логина) и пароля, связанных с учетной записью пользователя. Учетная запись содержит сведения о доступной пользователю информации и его полномочиях на выполняемые действия. Такая концепция сейчас используется повсеместно: вход в Windows и почтовые серверы, аутентификация при получении удаленного доступа, управление банковскими счетами через Интернет, бронирование билетов и т.д.
Система аутентификации на базе логина и пароля называется однофакторной. Под фактором (или методом) понимается способ подтверждения своей личности — в данном случае это предоставление некоторой информации о себе, которую мы знаем: логин и пароль. Стоит отметить, что эти данные статичны во времени и могут быть использованы для аутентификации многократно.

Чем плоха однофакторная аутентификация или фишинг, фарминг и трояны

С точки зрения информационной системы «пользователем» является любой человек, который прошел аутентификацию, использующий подходящие данные. В рассматриваемой выше ситуации — это тот, кто знает ваш логин и пароль. Таким образом, любой человек, который знает соответствующий логин и пароль от учетной записи, например, в системе интернет-управления банковским счетами, может выполнить любые действия и они будут расценены системой, как выполненные Вами.
Предполагается, что Ваши логин и пароль известны только Вам. Однако существует несколько довольно отлаженных способов заставить Вас «поделиться» этими данными с «заинтересованными лицами», причем, так, что Вы даже не будете подозревать об этом до тех пор, пока, например, со счета не исчезнет некоторая сумма денег.
Самые известные и эффективные методы изъятия ваших данных аутентификации - фишинг, фарминг и трояны.
Первый термин (phishing) происходит от английского слова fishing — ловля рыбы. Суть атаки заключается в том, что пользователю присылается письмо от имени «ресурса», например, банка, клиентом которого является пользователь, с предложением пройти перерегистрацию, заполнить анкету для участия в розыгрыше призов по случаю именин банка или принять участие в маркетинговой акции и т.д. При этом ссылка и сама web-страница максимально похожи на аутентичные. Такой подставной сайт имеет единственное назначение – получить данные аутентификации пользователя. Результат – использование этих данных для выполнения операций от имени пользователя, например, перевода денег с его счета.
Второй тип атак похож на описанный выше и предполагает переадресацию на хакерский web-сайт - действия и последствия аналогичны описанным выше.
Атаки такого типа рассчитаны на невнимательность пользователя. Стастика показывает, что мало кто озаботится различием в написании watchguard.com и www.watchguard.com, www.watchguard.com, при том, что само наполнение сайта (а это значительно большая часть информации, по сравнению с URL) будет полностью идентичная настоящему.
Атака с использованием троянов в упрощенном виде сводится к тому, что на компьютер пользователя загружается программка, которая фиксирует данные, вводимые с клавиатуры, а затем пересылает их организаторам атаки. Результат тот же, что и в двух предыдущих случаях – потеря денег или информации (что в общем-то то же самое).
Такие атаки становятся возможными по простой причине —данные аутентификации статичны, то есть не меняются и могут быть использованы многократно. Прилучив единожды логин и пароль хакеры могут использовать их до тех пор, пока пользователь не спохватится (быть может, уже слишком поздно) и не изменит их.

Способы защиты при фишинговых, фарминговых и троянских атаках

Существует два метода борьбы с этими атаками.
Первый метод: необходимо удостовериться, что ввод данных осуществляется именно на том ресурсе, который необходим. Для этого предполагается использование взаимной аутентификации, то есть с одной стороны пользователь подтверждает свою личность, но при этом и web-ресурс некоторым образом подтверждает пользователю свою идентичность. Это позволяет гарантировать пользователю, что ввод данных выполняется именно там, где это требуется.
Трояны: используйте антивирусное ПО, регулярно обновляйте базы описания вирусов, не «ходите» по неизвестным сайтам, не просматривайте вложения от неизвестных отправителей.
Второй метод: использование для аутентификации некоторых динамических данных, то есть таких данных, которые меняются и не могут быть использованы дважды. В этом случае перехват введенных пользователем данных не приведет к желаемому результату, так как они не могут быть использованы повторно.

Entrust IdentityGuard. Система многофакторной аутентификации

Entrust IdentityGuard — эта система предназначена для организации многофакторной аутентификации в Windows, web-приложениях, VPN, а так же любых других ресурсах, поддерживающих RADIUS. IdentityGuard усиливает безопасность системы за счет ис-пользования при аутентификации дополнительного фактора или, другими словами, вторичного метода аутентификации.

Основой Entrust IdentityGuard является Entrust IdentityGuard Server, который выполняет аутентификацию пользователей, управление данными пользователя и их данными аутентификации.

Хранение данных пользователя

Entrust IdentityGuard использует существующее хранилище данных. Под этим понимается любая служба каталогов, совместимая с LDAP версии 3 или база данных, например SQL или Oracle. Таким образом, в зависимости от цели применения Entrust IdentityGuard интеграция осуществляется с существующей инфраструктурой.
При аутентификации в Windows или VPN, будет использоваться существующая служба каталогов, например Active Directory. В этом случае происходит модификация схемы и данные аутентификации хранятся в зашифрованном виде как дополнительные атрибуты объектов типа user.
Если предполагается усилить безопасность, например, системы управления банковскими счетами через интернет (аутентификация в web-приложения), то данные аутентификации будут храниться в существующей базе данных.
Пример архитектуры в случае использования Entrust IdentityGuard для реализации двухфакторной аутентификации в web-приложении.

Рекомендуемая архитектура состоит из следующих компонентов:

• Сервер Entrust IdentityGuard — вторичная аутентификация конечного пользователя;
• Сервер приложений выполняет первичную аутентификацию пользователя и управляет базой данных;
• Web-сервер располагается в ДМЗ, осуществляет связь между пользователем, сервером приложений и Entrust IdentityGuard;
• Для организации ДМЗ предполагается использовать два программных или аппаратных файервола (межсетевой экран);
• Для управления системой предполагается использовать отдельное место администратора Entrust IdentityGuard.

Управление Entrust IdentityGuard

В основе лежит ролевой принцип управления, который подразумевает определение прав и полномочий для каждого сотрудника, принимающего участие в управлении.

В общем случае все пользователи, проходящие аутентификацию через Entrust IdentityGuard, разделяются на группы, для каждой из которых существует собственный набор правил, в том числе описывающие и методы аутентификации. Управление группой выполняют администраторы, каждый из которых имеет собственные полномочия. В некоторых случаях, для упрощения управления, группы, с точки зрения администрирования, могут объединяться в сообщества. В этом случае администратор получает полномочия управления для всех входящих в него групп.

Ключевые операции, такие как: создание групп и пользователей, задание политик безопасности, создание администраторов и их полномочий и т.д., выполняются с помощью командной консоли. Доступ к консоли имеет ограниченный круг персонала. На этапе установки системы определяются 3 сотрудника, которые будут наделены максимально возможными полномочиями.

Выполнение повседневных операций (которые выполняются значительно чаще описанных выше), связанных с управлением пользователями и данными аутентификации, разблокировки учетных записей, генерацией одноразовых паролей и т.д., производится через удобный web-интерфейс.

Инструментарий комплексного управления системой можно интегрировать в собственные программные решения, для этого предоставляется набор API-функций. Кроме того, выполнение многочленных однотипных операций может быть оптимизировано с помощью «конвейерного метода», в основе которого лежит использование макросов.

Методы вторичной аутентификации

Entrust IdentityGuard позволяет реализовать 7 вторичных методов аутентификации. В зависимости от решаемой задачи и ее исходной постановки может быть выбран оптимальный метод. Ниже приводится описание этих методов, а так же некоторые особенности и соображения о выборе того или иного метода в зависимости от таких факторов как проста внедрения, проста применения конечным пользователем, надежность и т.д.

Предлагаемые методы:

1. Использование генераторов одноразовых паролей (OTP);

2. Табличная (сеточная) аутентификация;

3. Аутентификация на базе списка паролей;

4. Использованием контрольных вопросов;

5. Высылаемый PIN-код;

6. Аутентификация компьютера.

7. Биометрическая аутентификация

В приведенной ниже таблице – некоторые параметры каждого из предлагаемых методов.

Все из перечисленных методов используются как дополнение к уже существующей системе аутентификации, то есть являются вторичным методом или фактором аутентификации.

Рассмотрим более подробно каждый из упомянутых выше методов.

Генерируемые одноразовые пароли

В основе этого метода лежит использование аппаратного генератора одноразовых паролей. Это портативное устройство содержит внутренний элемент питания, а его работа основана на встроенных часах реального времени и генераторе случайных чисел. Устройство выдает новые значения каждые 36 секунд. При желании возможно ввести дополнительный уровень защиты в виде использования статического PIN. Это защищает пользователя от несанкционированного использования его генератора при краже или потере. Статический PIN является дополнением к динамическому коду (одноразовому паролю). То есть, при аутентификации используется комбинация двух этих кодов - статический (как суффикс или префикс) и динамический.

Кроме того, существуют защищенные генераторы одноразовых паролей. Такие генераторы имеют встроенную клавиатуру, которая используется для ввода PIN-кода самого генератора.

Генераторы регистрируются по серийному номеру в Entrust IdentityGuard на пользователя. В системе на одного пользователя может быть зарегистрировано несколько генераторов: один из них назначается текущим, остальные находятся в состоянии удержания. Такой подход позволяет учесть ситуации потери генератора или разрядки его батареи.

Преимущества:

• Простота использования для конечного пользователя;
• Хакер не может повторно использовать перехваченный пароль, что делает этот метод очень надежным.

Особенности:

• Во-первых, необходимо предусмотреть затраты на первичное приобретение генератора, во-вторых, предусмотреть затраты в случае потери или повреждения устройства;
• Необходимо предусмотреть способы физической доставки генератора пользователю;
• Необходимо учитывать временную синхронизацию: Entrust IdentityGuard Server должен быть UTC-синхронизирован в течении 30 секунд.

Применение:

• Web;
• Удаленный доступ Windows;
• VPN.

Табличная аутентификация

Наиболее интересный и экономически выгодный метод. На первый взгляд реализуемый подход кажется примитивным и напоминает игру «морской бой». Однако, при более глубоком рассмотрении, он перестает напоминать детскую забаву и доказывает свою надежность как второй фактор строгой аутентификации. Стоит отметить, что использование табличного метода позволяет реализовать взаимную аутентификацию.

Суть метода. Пользователь имеет таблицу (или сетку, так как в оригинале метод называется grid — сетка), состоящую из определенного количества строк и столбцов. Каждая ячейка содержит один или несколько символов. Значения указанных системой ячеек являются информацией, используемой для аутентификации.

Процесс аутентификации:

• Пользователь проходит первичную аутентификацию на базе логин-пароля;
• Entrust IdentityGuard генерирует запрос (номера ячеек, значения которых необходимо указать);
• Пользователь вводит требуемые значения;
• Entrust IdentityGuard проверяет введенные значения.

Такой подход называется двухэтапный: сначала пользователь проходит привычную аутентификацию на базе логина и пароля, а затем вторичную- с использованием таблицы .

Возможен другой вариант — одноэтапный. В этом случае пользователь сразу получает запрос на ввод логина, пароля, и значения определенных ячеек.

Первый метод более предпочтителен, так как позволяет реализовать взаимную ау-тентификацию. То есть предоставить пользователю некоторую информацию, которая позволит удостовериться в том, что данные запрашиваются именно с оригинального ресурса, а не с хакерского двойника. Взаимная аутентификация реализуется довольно просто. Так как пользователь прошел первичную аутентификацию на базе логина и пароля, то Entrust IdentityGuard «знает» пользователя и может сообщить ему некоторые данные о нем самом. Под этими данными подразумевается серийный номер таблицы или значения некоторых ячеек (например, использовавшихся ранее). Пользователю остается просто проверить корректность данных, предоставленных ресурсом. Результаты независимых исследований показали, что 90% пользователей обратят внимание на указанный серийный номер и комментарии, представленные на экране, даже если предварительно не были проинформированы об этом.

Рассмотрим более подробно это метод с точки зрения работы Entrust IdentityGuard. Для каждой группы пользователей задаются параметры таблицы:

• Размер: количество строк и столбцов;
• Количество символов в ячейке;
• Разрешенный набор символов:

o Цифры или буквы и цифры;

o Перечень запрещенных символов;

o Перечень «парных» символов, интерпретируемых одинаково, например, цифра «0» и буква «О» и т.д.;

• Количество ячеек используемых при аутентификации;
• Метод формирования запроса:

o Номера ячеек формируются случайным образом и не зависят от ранее использовавшихся;

o Минимизация ячеек, использованных ранее. В этом случае в настройках для формирования запроса указывается максимально допустимое количество ячеек, которые были использованы ранее.

Сгенерированные таблицы хранятся в зашифрованном виде и «привязываются» к пользователям по серийным номерам. Срок действия такой таблицы может ограничиваться по времени или по числу аутентификаций.

Выпуск таблиц

Entrust IdentityGuard поддерживает разные варианты выпуска таблиц. Например, таблица может быть сгенерирована и привязана к пользователю на момент регистрации в системе. Также поддерживается конвейерный способ генераций, который подразумевает предварительную генерацию таблиц с последующей привязкой к пользователю. Этот вариант удобен в том случае, когда предполагается централизованный выпуск таблиц, например, на пластике. В этом случае таблицы могут быть отпечатаны в большом количестве, а затем распределены, например, по региональным отделениям банков. В то же время таблицы могут предоставляться пользователю в любом виде, в том числе и электронном - отсылать по почте в виде JPG-файла.

Преимущества:

• Проста использования для конечного пользователя;
• Минимальная стоимость;
• Защищенность. Даже перехватив данные во время нескольких аутентификаций, хакер будет обладать лишь частью информации, недостаточной для аутентификации от имени пользователя.

Особенности:

• Необходим выбор размера таблицы. Например, таблица размером 5 х 10 может успешно применяться для 16 000 запросов при использовании 3 ячеек. Благодаря случайному формированию запроса или по методу «минимальное использование предыдущих ячеек» знание части ячеек не позволяет выполнить аутентификацию;
• Время действия таблицы. Необходимо выбрать сбалансированное решение между высокой защищенностью (а значит частым обновлением) и удобством пользователей;
• Выбор между одноэтапным и двухэтапным методом аутентификации.

Применение:

• Web;
• Удаленный доступ Windows;
• VPN;
• Аутентификация в Windows.

Список паролей

Это некоторая модификация табличного метода. Пользователю предоставляется список паролей, сгенерированных случайным образом. Каждый пароль может быть использован только один раз. Эффективность перехвата такого пароля равна нулю, так как повторно его использовать нельзя.

Преимущества:

• Одноразовость пароля делает невозможным его повторное использование, а значит сводит на нет фишинговые и троянские атаки;
• За один раз может быть создано множество таких одноразовых паролей, то есть список, что позволяет оптимизировать процесс их доставки конечному пользователю.

Особенности:

• Процесс распространения списков паролей схож с табличным методом за небольшим исключением: как правило пользователю необходимо предоставить несколько списков, так как при частой аутентификации пароли будут быстро «расходоваться»;
• Дополнительно можно рассмотреть возможность защиты списка паролей с помощью специального покрытия, наподобие того, что используется в картах моментальной оплаты;
• Необходимо определить длину каждого пароля и знаки: цифровой/буквенно-цифровой, верхний/нижний регистр и т.д.;
• Для большей защищенности можно использовать запрос случайного номера пароля вместо последовательного.

Применение:

• Web.

Аутентификация на базе контрольных вопросов

При аутентификации пользователю предлагается ряд вопросов, ответы на которые может дать только он сам.

Существует два типа контрольных вопросов:

• Вопросы определяются на момент регистрации пользователя, ответы фиксируются на этой же стадии;
• Вопросы связаны с операциями, выполняемыми пользователем в данной системе. Например: состояние баланса на момент последней аутентификации, периодичность платежей и т.д. В этом случае Entrust IdentityGuard извлекает информацию из базы данных приложения и проводит проверку.

Возможна и комбинация этих методов. В случае регистрации большого количества контрольных вопросов для аутентификации может использоваться часть из них, выбираемая случайным образом. Такой подход опять-таки повышает надежность защиты от фишинговых атак.

При реализации этого метода необходимо учесть массу моментов, которые могут на первый взгляд показаться не столь важными. Например, задаваемые вопросы должны быть универсальными, то есть - подходить для всех пользователей. Например: «имя вашего первого домашнего животного» может подойти далеко не всем, так как не у всех пользователей, проходящих аутентификацию, были птички или собачки в детстве. Или вопрос «ваш любимый автор» может иметь другой ответ со временем, так как предпочтения отвечающего могут измениться.

Высылаемый PIN-код

Эта технология основана на генерации одноразового пароля Entrust IdentityGuard по запросу пользователя. Например, при прохождении первого этапа аутентификации. При этом подразумевается, что связь с пользователем для передачи одноразового PIN-кода инициируется Entrust IdentityGuard, и сгенерированный PIN-код отправляется, например, в виде SMS-сообщения, электронного письма или звонка на зарегистрированный номер.

Применение:

• Web.

Аутентификация компьютера

Этот метод используется для проверки компьютера пользователя, то есть пользователь ассоциируется с определенным компьютером. Такая технология применима в случае, когда пользователь осуществляет доступ к требующим аутентификацию ресурсам с одного и того же компьютера. Типичным примером является домашний компьютер. В этом случае для самого пользователя происходит сквозная аутентификация, то есть от него не требуется выполнение каких-либо действий.

На базе параметров компьютера генерируется ключ, часть которого является случайным значением. Это ключ сохраняется на компьютере и в хранилище Entrust IdentityGuard. При обращении к защищаемому ресурсу пользователь проходит первичную аутентификацию на базе логин-пароля. Второй этап аутентификации сводится к извлечению ключа компьютера и сравнению его значения с сохраненным в хранилище Entrust IdentityGuard.

Для усиления защиты компьютерный ключ может перегенерироваться при каждой аутентификации. В этом случае каждая последующая аутентификация будет выполняться на базе ключа, сгенерированного в последний раз.

Преимущества:

• Выполняется сквозная аутентификация.

Особенности:

• Необходимо определить, каким образом должен регистрироваться компьютер, то есть - предусмотреть вариант работы на «публичном» компьютере, который регистрироваться не должен.

Применение:

• Web.

Описанные выше методы позволяют реализовать дополнительные методы аутентификации. Их основное назначение — использовать динамические данные, что позволяет предотвратить фишинговые атаки.

С точки зрения инвестиций, финансовые вложения в повышенную защищенность ресурса, например, в банковском бизнесе, можно представить как дополнительный платный сервис для клиентов. Это позволит полностью окупить затраты на внедрение и администрирование системы.

Кроме того, высокий уровень безопасности ресурсов и сервисов, доступных и реализуемых через Интернет, позволит их сделать более привлекательными для пользователей, клиентов и партеров, что, в свою очередь, отразится на положительной динамике в развитии бизнеса любой компании.

Автор: Тархов Андрей, менеджер продуктов ActivIdentity

Rainbow Technologies

Использование материалов этой статьи без согласования с автором запрещено.