Телефон лучше токена. SecurAccess::БИТ 01.2012
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
июль    2019
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
27
28
29
30
31

показать все 

Новости партнеров

19.07.2019

Конкурс и премия «Лучший ЭДО в России и СНГ 2019»

Читать далее 

19.07.2019

Кибербезопасность промышленных систем. Новые вызовы

Читать далее 

19.07.2019

6-й Бизнес-форум 1С:ERP

Читать далее 

19.07.2019

Последние тенденции рынка, эксклюзивный контент и дискуссии от ведущих специалистов промышленной автоматизации и цифровизации на IITF 2019

Читать далее 

показать все 

Статьи

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

04.06.2019

Бонусы за лояльность

Читать далее 

04.06.2019

Прощайте, доктора?

Читать далее 

04.06.2019

Между В2В и В2С – сплошная двойная

Читать далее 

04.06.2019

Компьютеры + медицина = синергия

Читать далее 

22.03.2019

5 вопросов о «цифре»

Читать далее 

21.03.2019

Все под контролем

Читать далее 

12.03.2019

Тренды по UC

Читать далее 

21.04.2017

Язык цифр или внутренний голос?

Читать далее 

16.04.2017

Планы – ничто, планирование – все. Только 22% компаний довольны своими инструментами для бизнес-планирования

Читать далее 

показать все 

Телефон лучше токена. SecurAccess

Главная / Архив номеров / 2012 / Выпуск №1 (14) / Телефон лучше токена. SecurAccess

Рубрика: Продукты и решения


Виталий Ивановэксперт по информационной безопасности

Телефон лучше токена
SecurAccess

Основной проблемой современного Интернета является аутентификация. Именно обман процедуры аутентификации и лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации, как токены

Токены не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них также могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.

В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое привязано жестко к пользователю, – это его мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных веб-системах с помощью мобильного телефона.

Телефон как имя

Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, который рассылает одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows. Для этого продукт интегрируется с такими службами каталогов, как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передается по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону.

SecurAccess интегрируется с большинством серверов удаленного доступа и веб-службами, включая Microsoft OWA, Citrix, Juniper, Cisco и многими другими. Устанавливается он на любой существующий сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем может работать и в условиях нестабильной сотовой связи – в одном SMS может передаваться до трех кодов-паролей. Использование их последовательно даст возможность пользователю получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия один или несколько день – они хорошо подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью веб-интерфейса или по электронной почте.

Технология, реализованная в SecurAccess, предназначена для построения систем удаленного доступа, решая наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства, – для ее применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определенных денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобретать новый токен, приходить к системному администратору и прописывать его в системе.

В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на само ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы – мобильные телефоны – находится вообще в собственности пользователя, и он за нее отвечает самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен, и в случае его потери может легко восстановить номер самостоятельно, не обращаясь к системному администратору, но к собственному оператору, или зарегистрировать новый номер телефона – в любом случае нет необходимости физического присутствия пользователя при регистрации устройства.

Поскольку для генерации одноразовых паролей используется не хеширующая функция, но действительно случайные числа, то и не существует начального вектора инициализации, как в аппаратных устройствах. Поэтому от надежности защиты производителя, как это произошло с RSA, работа механизма не зависит. При этом регистрация в системе может быть дистанционной и легко контролироваться компанией по спискам контактных телефонов сотрудников, клиентов или партнеров. Безопасность системы зависит от защиты сервера, которую можно сделать достаточно надежной. Для взлома механизма аутентификации хакеры должны перехватывать канал между корпоративной сетью и мобильным оператором, что сделать достаточно трудно, или же получить контроль над мобильным телефоном жертвы.

Аутентификация по мобильному телефону может пригодиться для систем дистанционного банковского обслуживания, различных платежных приложений и любых систем удаленного доступа к наиболее ценным корпоративным ресурсам. В частности, подобная процедура защищает от действия троянских программ, которые работают на компьютере и не в состоянии синхронно контролировать еще и мобильный телефон сотрудника. Защититься же от троянцев на мобильном телефоне достаточно просто – использовать простые телефоны, которые только и умеют, что получать SMS-сообщения.

Кроме того, аутентификация с помощью мобильных телефонов хорошо подходит для защиты облачных приложений. Продукт SecurEnvoy работает в виртуальных средах VMware и Microsoft Hyper-V, что облегчает его использование в облачных приложениях. Поэтому его можно применять для усиления безопасности облачных вычислений – именно это и является сейчас основной проблемой для внедрения облаков. Надежная аутентификация в облаке является ключевой задачей при построении системы защиты распределенных приложений.

Также на основе данного сервера безопасности работает несколько продуктов SecurEnvoy, каждый из которых может найти свое место в инфраструктуре компании. Так, надежная аутентификация во время чрезвычайных ситуаций может быть выполнена с помощью продукта SecurICE, восстановление паролей через мобильный телефон можно организовать с помощью продукта SecurPassword, а для передачи защищенных сообщений можно воспользоваться продуктом SecurMail.

Итак, рассмотрим их более подробно.

SecurePassword

Этот продукт позволяет пользователям обновить пароль. Для этого достаточно, чтобы пользователь системы ввел на момент регистрации не только свои регистрационные данные, но и номер мобильного телефона. В случае если свой старый пароль пользователь забыл или он был скомпрометирован, пользователь запускает на сайте специальную процедуру восстановления пароля, которая инициирует пересылку SMS-сообщения на заранее зарегистрированный мобильный телефон. В сообщении содержится временный пароль, который просто гарантирует, что процедуру проходит зарегистрированный пользователь с указанным номером телефона. При этом пользователь может сменить временный пароль на любой другой.

Следует отметить, что использовать подобную систему стоит не для собственных сотрудников, а для регистрации сторонних пользователей. Пароли являются не самым надежным, но самым дешевым средством аутентификации, поэтому, когда пользователей предполагается иметь тысячи, лучше применять обычные пароли с возможностью их обнуления по мобильному телефону – именно для этого предназначен продукт SecurPassword.

SecurICE

В некоторых случаях все-таки стоит использовать аппаратные устройства аутентификации – это может быть указано в требованиях безопасности или в том случае, когда система с токенами уже была развернута. Для надежной аутентификации также могут использоваться сертификаты. Однако эти системы достаточно сложны и могут выходить из строя. Например, что делать, если аппаратный идентификатор потерян или корневой сертификат дискредитирован. В этом случае система становится беззащитной, что могут использовать нападающие. Они же могут и спровоцировать подобную ситуацию для проникновения внутрь системы.

Чтобы защититься от подобных активных методов нападения, компании стоит предусмотреть надежный метод аутентификации на время восстановления штатной работы системы защиты. В этом случае также может помочь аутентификация по мобильному телефону. В частности, именно для этих целей компания SecurEnvoy предлагает продукт SecurICE. Его активирует системный администратор в случае аварийной ситуации со штатной системой надежной аутентификации. Сервер безопасности рассылает всем пользователям, затронутым аварией, одноразовые пароли для временного доступа. В результате система не совсем теряет защиту, но переходит в другой режим безопасности, исследовать который заранее злоумышленники не могут.

SecurMail

Безопасные системы передачи сообщений существуют достаточно давно, однако в них всегда есть проблема передачи ключа дешифрования новому пользователю. Для этого приходится использовать схемы распределения ключей через сертификаты или общие секреты. Однако есть способ лучше – доставлять ключи дешифрования на мобильный телефон. При этом также можно использовать платформу безопасной аутентификации, разработанную компанией SecurEnvoy. Именно этим и занимается продукт SecurMail, который обеспечивает шифрование сообщений и рассылку паролей для их дешифрования на мобильный телефон. Правда, для шифрования и дешифрования сообщений нужно установить специальный программный компонент. Подобное программное решение может пригодиться практически любой компании для защиты своей внутренней переписки, а также общения с наиболее важными контрагентами.

Скачать бесплатную пробную 30-дневную версию продуктов SecurEnvoy можно на сайте официального дистрибьютора в России – компании TopSecurity www.tsecure.ru.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №05 (88) 2019г.
Выпуск №05 (88) 2019г. Выпуск №04 (87) 2019г. Выпуск №03 (86) 2019г. Выпуск №02 (85) 2019г. Выпуск №01 (84) 2019г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика