декабрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

показать все 

07.12.2024

Avanpost FAM/MFA+ стали еще безопаснее: вышла обновленная версия системы аутентификации

Читать далее 

07.12.2024

M1Cloud: Итоги 2024 года на российском облачном рынке

Читать далее 

06.12.2024

Действия сотрудников назвали главной причиной утечек информации

Читать далее 

06.12.2024

САТЕЛ представляет систему записи разговоров СИЗАР

Читать далее 

06.12.2024

Efros Defence Operations, релиз 2.11: умная киберзащита

Читать далее 

показать все 

12.12.2024

Что следует учитывать ИТ-директорам, прежде чем претендовать на должность генерального директора?

Читать далее 

11.12.2024

Сетевая инфраструктура, сетевые технологии: что лучше – самостоятельная поддержка или внешнее обслуживание?

Читать далее 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

показать все 

Главная / Архив номеров / 2012 / Выпуск №1 (14) / Телефон лучше токена. SecurAccess

Рубрика: Продукты и решения

Виталий Иванов, эксперт по информационной безопасности

Телефон лучше токена
SecurAccess

Основной проблемой современного Интернета является аутентификация. Именно обман процедуры аутентификации и лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации, как токены

Токены не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них также могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.

В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое привязано жестко к пользователю, – это его мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных веб-системах с помощью мобильного телефона.

Телефон как имя

Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. Для этого продукт интегрируется с такими службами каталогов, как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передается по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону.

SecurAccess интегрируется с большинством серверов удаленного доступа и веб-службами, включая Microsoft OWA, Citrix, Juniper, Cisco и многими другими. Устанавливается он на любой существующий сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем может работать и в условиях нестабильной сотовой связи – в одном SMS может передаваться до трех кодов-паролей. Использование их последовательно даст возможность пользователю получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия один или несколько день – они хорошо подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью веб-интерфейса или по электронной почте.

Технология, реализованная в SecurAccess, предназначена для построения систем удаленного доступа, решая наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства, – для ее применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определенных денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобретать новый токен, приходить к системному администратору и прописывать его в системе.

В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы – мобильные телефоны – находится вообще в собственности пользователя, и он за нее отвечает самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен, и в случае его потери может легко восстановить номер самостоятельно, не обращаясь к системному администратору, но к собственному оператору, или зарегистрировать новый номер телефона – в любом случае нет необходимости физического присутствия пользователя при регистрации устройства.

Поскольку для генерации одноразовых паролей используется не хеширующая функция, но действительно случайные числа, то и не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надежности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнеров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надежной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.

Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платежных приложений и любых систем удаленного доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне достаточно просто – использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.

Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приложениях. Поэтому его можно применять для усиления безопасности облачных вычислений – именно это и является сейчас основной проблемой для внедрения облаков. Надежная аутентификация в облаке является ключевой задачей при построении системы защиты распределенных приложений.

Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти свое место в инфраструктуре компании. Так, надежная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail.

Итак, рассмотрим их более подробно.

SecurePassword

Этот продукт позволяет пользователям обновить пароль. Для этого достаточно, чтобы пользователь системы ввел на момент регистрации не только свои регистрационные данные, но и номер мобильного телефона. В случае если свой старый пароль пользователь забыл или он был скомпрометирован, пользователь запускает на сайте специальную процедуру восстановления пароля, которая инициирует пересылку SMS-сообщения на заранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который просто гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.

Следует отметить, что использовать подобную систему стоит не для собственных сотрудников, а для регистрации сторонних пользователей. Пароли являются не самым надежным, но самым дешевым средством аутентификации, поэтому, когда пользователей предполагается иметь тысячи, лучше применять обычные пароли с возможностью их обнуления по мобильному телефону – именно для этого предназначен продукт SecurPassword.

SecurICE

В некоторых случаях все-таки стоит использовать аппаратные устройства аутентификации – это может быть указано в требованиях безопасности или в том случае, когда система с токенами уже была развернута. Для надежной аутентификации также могут использоваться сертификаты. Однако эти системы достаточно сложны и могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становится беззащитной, что могут использовать нападающие. Они же могут и спровоцировать подобную ситуацию для проникновения внутрь системы.

Чтобы защититься от подобных активных методов нападения, компании стоит предусмотреть надежный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Его активирует системный администратор в случае аварийной ситуации со штатной системой надежной аутентификации. Сервер безопасности рассылает всем пользователям, затронутым аварией, одноразовые пароли для временного доступа. В результате система не совсем теряет защиту, но переходит в другой режим безопасности, исследовать который заранее злоумышленники не могут.

SecurMail

Безопасные системы передачи сообщений существуют достаточно давно, однако в них всегда есть проблема передачи ключа дешифрования новому пользователю. Для этого приходится использовать схемы распределения ключей через сертификаты или общие секреты. Однако есть способ лучше – доставлять ключи дешифрования на мобильный телефон. При этом также можно использовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно этим и занимается продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений нужно установить специальный программный компонент. Подобное программное решение может пригодиться практически любой компании для защиты своей внутренней переписки, а также общения с наиболее важными контрагентами.

Скачать бесплатную пробную 30-дневную версию продуктов SecurEnvoy можно на сайте официального дистрибьютора в России – компании TopSecurity www.tsecure.ru.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи