Журавль в небе, а токен – в руках » mogilew.by
 

Журавль в небе, а токен – в руках

Журавль в небе, а токен – в руках


Павел Анфимов, 05/06/23
Парольная аутентификация используется для защиты доступа к корпоративным информационным системам уже довольно давно, и нет сомнений, что этот подход просуществует еще много лет: его плюсами являются простота и доступность, а при условии соблюдения правил создания сложных паролей этому методу вполне можно доверять. Но если мы говорим о защите конфиденциальной информации в госсекторе или на объектах критической информационной инфраструктуры, то здесь актуальны другие технологии, сертифицированные программные и аппаратные средства. Поговорим о них далее.

Автор: Павел Анфимов, руководитель отдела продуктов и интеграций компании "Актив"

Надежность физического устройства


В последнее время в крупных государственных и коммерческих организациях все шире становится применение технологий многофакторной аутентификации и электронной подписи. Они дополняют привычную парольную аутентификацию и обеспечивают доступ в информационные системы с помощью смарт-карт и USB-токенов с ПИН-кодом. Эти устройства выступают в качестве дополнительного фактора аутентификации и во многих случаях заменяют ввод логина-пароля на вход с использованием электронной подписи.
В чем плюс использования дополнительного фактора аутентификации в виде владения физическим устройством?
При хищении злоумышленником связки "логин-пароль" пользователь может длительное время не знать о факте пропажи, но при этом мошенник будет совершать неправомерные действия от имени легального пользователя. Пропажа физического устройства обнаружится сразу, и воспользоваться им злоумышленник, скорее всего, не сможет, ведь для входа в информационную систему нужен второй фактор – знание ПИН-кода. Подбор в этой ситуации невозможен, потому что число попыток ввода ПИН-кода ограничено. С точки зрения пользователя, запомнить короткий ПИН-код от токена или смарт-карты намного проще, чем длинный сложный пароль [1].
Рассмотрим различные сценарии использования механизма двухфакторной аутентификации для защиты доступа в корпоративные информационные системы, публичные сервисы на стационарных и мобильных устройствах.
[img]https://www.itsec.ru/hs-fs/hubfs/ris1-2.jpeg?width=1000&height=700&name=ris1-2.jpeg[/img]

Защита доступа в домен Windows/Linux


Данный сценарий – один из самых актуальных в корпоративном секторе.
Для организации аутентификации потребуется:
домен Active DirectoryFreeIPA Samba DC ALD Pro;
инфраструктура открытых ключей (PKI);
индивидуальные устройства, токены или смарт-карты Рутокен для каждого сотрудника.
Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, то есть реализуется строгая криптографическая аутентификация по схеме "запрос-ответ".
Администратор безопасности на внутреннем или внешнем удостоверяющем центре генерирует ключевую пару на устройстве Рутокен для каждого сотрудника и записывает сертификат ключа проверки электронной подписи формата X509. На сервер помещается открытый ключ пользователя. Его значение есть в сертификате ключа проверки электронной подписи (он же – "сертификат"). Сервер генерирует случайную числовую последовательность, которую клиент подписывает с помощью закрытого ключа на токене или смарт-карте. После этого электронная подпись отправляется на сервер, где проверяется при помощи открытого ключа клиента. Аутентификация считается успешной, если подпись верна.
Для аутентификации пользователю необходимо подключить устройство Рутокен к компьютеру и ввести ПИН-код. О паролях можно забыть, вместо них будет использоваться асимметричная криптография, а пользователю достаточно помнить простой ПИН-код. Использование PKI для процесса аутентификации входит в число лучших практик.

Аутентификация в корпоративных приложениях и системах единого входа (SSO)


Для организации аутентификации потребуется:
устройство Рутокен ОТР (One-Time Password) [2];
сервер аутентификации;
система единого входа/корпоративное приложение или веб-сервис.
Вариант аутентификации по одноразовому паролю обычно применяется в системах единого входа (Single Sign-On), в "банк-клиент", при управлении сайтами и в других системах.
В таких случаях для усиления процесса аутентификации часто используются одноразовые пароли по технологии OATH-TOTP (технология выработки одноразового пароля "по времени"). Одноразовый пароль выступает как дополняющий связку "логин-пароль" фактор защиты. Для каждого запроса на доступ к информационной системе используется новый пароль, действительный только для одного входа в систему. Одноразовый пароль безопаснее СМСи push-кодов, потому что он независимо вычисляется на сервере и в клиентском устройстве с помощью криптографических преобразований и имеет механизм защиты от подмены.

Аутентификация в корпоративных и публичных сервисах


Для организации аутентификации потребуется:
устройство Рутокен ЭЦП 3.0 или Рутокен ЭЦП PKI в удобном форм-факторе:
– токен с разъемом USB-A или Type-C;
– контактная смарт-карта;
дуальный токен с двумя интерфейсами (NFC и контактным);
– беспроводной токен Рутокен с Bluetooth;
корпоративный или публичный сервис;
настольный компьютер или мобильное устройство.
При удаленном доступе к инфраструктуре предприятия Устройство Рутокен защищает и упрощает вход в удаленные рабочие столы (VDI) или частную корпоративную сеть, заменяя однофакторную парольную аутентификацию двухфакторной. Таким образом, секреты хранятся в специализированных защищенных устройствах.

В системах ЭДО


Устройство Рутокен позволяет безопасно работать с электронной подписью, в том числе квалифицированной, и служит средством двухфакторной аутентификации в клиенте ЭДО.

В веб-приложениях


Для взаимодействия из вебприложений с устройствами Рутокен создан бесплатный программный компонент Рутокен Плагин. Взаимодействие происходит через jаvascript API [3]. Для работы подойдет любой компьютер под управлением ОС Windows, macOS или Linux с любым популярным браузером.

На мобильных устройствах


USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC обеспечивают двухфакторную аутентификацию при входе в ОС "Аврора" [4].
Двухфакторная аутентификация может быть внедрена и для входа в отдельные приложения для мобильных ОС Android/iOS/"Аврора". Для этого может быть использован комплект разработчика (Рутокен SDK) [5].
Решение проблемы незаблокированных рабочих станций
Для организации аутентификации потребуется:
компьютер с ОС Windows, Linux или macOS;
любое устройство Рутокен.
Автоматическую блокировку рабочего места или соединения обеспечивает от несанкционированного доступа, при определенных параметрах настройки, сам факт извлечения токена или смарт-карты. После блокировки доступ может получить только пользователь, у которого есть устройство с необходимой ключевой информацией.
[img]https://www.itsec.ru/hs-fs/hubfs/ris2.jpeg?width=1000&height=750&name=ris2.jpeg[/img]

Электронный пропуск и средство аутентификации в единой смарт-карте


Для организации аутентификации потребуется:
смарт-карта Рутокен с RFID-меткой;
система контроля и управления доступом (СКУД).
Оснащение смарт-карты Рутокен RFID-меткой позволяет одновременно использовать ее и в качестве электронного пропуска сотрудника в системе СКУД, и в качестве токена для получения доступа с помощью двухфакторной аутентификации к информационной системе организации. При этом сотрудник, покидая рабочее место и забирая пропуск, будет автоматически блокировать рабочий компьютер.
Сочетание устройств Рутокен и RFID-метки повышает общий уровень информационной безопасности в компании без лишних затрат.
Использование технологий многофакторной аутентификации является одним из ключевых, на сегодняшний день элементов защиты от действий кибермошенников. Они с успехом применяются в системах дистанционного банковского обслуживания, электронном документообороте, комплексных решениях для удаленной работы, а также для защиты конфиденциальных данных в ГИС. Использование в механизме двухфакторной аутентификации физического устройства гарантирует, что, даже зная ПИН-код, злоумышленнику потребуется предъявить токен или смарт-карту, кража которых всегда быстро обнаруживается.
https://www.rutoken.ru/technologies/core/#pin
https://www.rutoken.ru/products/all/rutoken-otp/
https://plugin.api.rutoken.ru/
https://www.rutoken.ru/press-center/news/2023-02-07.html
https://www.rutoken.ru/developers/sdk/

www.itsec.ru
рейтинг: 
  • Не нравится
  • +189
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости