|
|||||||||||||||||||||||
Трудно понять, что пароль украден, поскольку он нематериален, его копирование невозможно отследить. Пароль – это просто знание, нельзя быть уверенным в том, что этим знанием не обладает кто-то еще. Плохо и то, что вы даже не подозреваете, что злоумышленник знает ваш пароль и пользуется им наравне с вами. Злоумышленник может очень долго использовать пароль вместе с его законным владельцем. А потом, если что-то случится, обвинят в причиненном вреде владельца пароля. Поэтому пароли в чистом виде – это плохое и ненадежное решение защиты информации, хотя ими все привыкли пользоваться. Когда-то, в ранних версиях, Linux пароли хранились в открытом доступе. Потом их начали шифровать в хэш. Пришло время сложных паролей, которые сложно запомнить, но по-прежнему легко украсть, потому что люди нередко записывают их и держат в легкодоступном месте, например, наклеивают бумажку с паролем прямо на монитор компьютера. К тому же, средства автоматической кражи паролей значительно усовершенствовались. Каким образом можно защититься от кражи паролей? С помощью многофакторной аутентификации, когда для того, чтобы получить к чему-либо доступ необходимо, помимо фактора знания, обладать еще неким устройством, которое всегда при вас, либо использовать биометрическую аутентификацию. Защиту обеспечивает фактор физического присутствия либо самого человека, либо устройства, которое невозможно украсть или потерять без ведома владельца. Есть три основных фактора аутентификации. Первый – фактор знания. Я знаю пароль или PIN-код. Когда вы используете парольную аутентификацию, то она у вас однофакторная. Второй – фактор владения. У вас есть некое устройство – смарт-карта, токен или смартфон, позволяющие с этой аутентификацией работать. Третий фактор аутентификации– сам пользователь. Это биометрия, обладание определенными характеристиками – радужкой глаза, отпечатками пальцев, голосом, группа крови – которые позволяют установить личность человека. Комбинация двух или трех основных факторов и лежат в основе многофакторной аутентификации. Существуют также вспомогательные факторы. Например, клавиатурный почерк – информация о том, какой скоростью вы обычно вводите пароль. Или фактор географического положения – учитывается ваше обычное местоположение. Например, доступ предоставляется только из Москвы, и блокируется, если вы пытаетесь получить его, находясь в другом месте. Но эти факторы потому и называются вспомогательными, что не могут однозначно служить для разрешения или запрета аутентификации.
|
|||||||||||||||||||||||
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
На RIGF 2024 обсудили ключевые вопросы цифрового развития России
Александр Сабов,
|
В чем проигрывают токену другие способы реализации фактора владения?
SMS/Puch – это двухэтапная, а не двухфакторная аутентификация. Сначала выполняется аутентификация с помощью логина и пароля, это первый этап, а потом вам приходит SMS/Puch для выполнения второго этапа аутентификации. Недостаток этого способа в том, что злоумышленник может перехватить и SMS, и Puch. К сожалению, банки в работе с физическими лицами часто пользуются несовершенными технологиями. Но юридические лица используют только токены для доступа к своим банковским счетам.
Смартфон – всем хорош, но это недоверенное устройство с непроверенным программным обеспечением, используемое для личных целей.
ОТР – незащищенная технология, там требуется отдельная реализация парольной защиты.
FIDO U2F/ FIDO2 – западная технология, поэтому токены FIDO стоят гораздо дороже, чем токены, которые выпускаются в нашей стране. При этом защита у западных токенов слабее. Например, базовый токен FIDO не позволяет подписывать документы электронной подписью.
Как реализуется двухфакторная аутентификация на основе Рутокен?
Первый фактор – владение физическим токеном линейки Рутокен ЭЦП, который всегда при вас – либо это небольшое устройство, либо смарт-карта.
Второй фактор – это PIN-код, который закрывает доступ к токену.
Вы подключаете токен к компьютеру, вводите PIN-код, он разблокирует доступ к токену, и дальше с помощью ключей ЭЦП, которые присутствуют на токене, и криптографических преобразований выполняется двухфакторная аутентификация.
Что делать, если вы потеряли токен или у вас его украли?
Если токен потерялся, то ничего страшного не произойдет, потому что получить к нему доступ путем подбора PIN-кода практически невозможно. Если количество попыток ввести PIN-код превысит установленный заранее лимит, то токен блокируется, а владелец токена должен обратиться за помощью к администратору.
Если подсмотрен PIN-код, то аутентификация без токена невозможна. Если токен украден, то аутентификация невозможна по нескольким причинам – PIN-код не известен стороннему лицу, при переборе PIN-код блокируется, для разблокировки токена владелец должен связаться с администратором.
Особенно важна двухфакторная аутентификация при удаленной работе, даже больше, чем при работе в офисе. Потому что удаленно может подключиться кто угодно.
Необходимость двухфакторной аутентификации закреплена и на законодательном уровне. Существуют приказы ФСТЭК России №17 и №21, согласно которым требуется двухфакторная аутентификация при защите информации, особенно если вы оперируете персональными данными.
Как реализуется двухфакторная аутентификация в Linux?
В Linux существует подключаемый модуль для выполнения аутентификации – Pluggable Authentication Module или PAM. Базовый PAM реализует аутентификацию с паролями, хранящимися в локальном диске. Но можно создавать и свои PAM. Есть много готовых PAM для разных вариантов двухфакторной аутентификации с помощью токена.
Рассмотрим два варианта реализации двухфакторной аутентификации. Первый – с использованием инфраструктуры открытых ключей (PKI). Второй вариант – с хранением пароля в защищенной памяти токена.
При первом варианте, с использованием инфраструктуры открытых ключей, у пользователя есть два ключа. Один ключ – открытый или публичный для проверки электронной подписи, который доступен всем, кто проверяет подписанные пользователем документы. Второй ключ – частный, закрытый, он имеется только у конкретного человека и хранится в надежном хранилище – токене.
Оба ключа генерируются в паре. Частный – хранится только в токене и не может быть извлечен. Публичный ключ хранится на сервере, обычно в сертификате – электронном документе, который гарантирует подлинность данного открытого ключа. Пользователи заносятся в специальный каталог. Для каждого пользователя указан его сертификат.
Как работает двухфакторная аутентификация с использованием инфраструктуры открытых ключей?
Пользователь подключает токен к компьютеру, чтобы разблокировать токен вводом PIN-кода. Затем контроллер домена генерирует произвольное число и отправляет его на компьютер. Компьютер преобразовывает код с помощью личного ключа пользователя и криптопроцессора токена и отправляет результат на сервер. Сервер выполняет обратное преобразование с помощью обратного ключа из сертификата пользователя. Если в результате этой комбинации получится исходное число, то только тогда аутентификация пройдена.
Как реализуется двухфакторная аутентификации на основе сертификатов Linux?
Можно использовать хранилище Microsoft Active Directory. К нему ставите бесплатный компонент Microsoft Certification Services в качестве PKI и работаете.
Можно хранить сертификаты на локальном ПК. В этом случае аутентификация происходит внутри компьютера. Сложность в том, что каждым компьютером нужно управлять отдельно.
Есть также такой контроллер FreeIPA. В качестве PKI для него используется открытое программное обеспечение DogTag.
И, наконец, есть собственные контроллеры и PKI от российских производителей Linux.
Чем отличается второй вариант реализации двухфакторной аутентификации с хранением пароля в защищенной памяти токена от первого?
При выборе этого варианта токен подключается к компьютеру, вводится PIN-код, он разблокирует токен. Дальше генерируется длинный и сложный пароль, который устанавливается для пользователя в операционную систему. Пароль сохраняется на токене.
При аутентификации токен подключается к компьютеру. Пользователь вводит PIN-код и разблокирует токен. PAM извлекает пароль из памяти токена и выполняет аутентификацию.
Конечно, первый вариант с сертификатом надежнее, но можно использовать и второй вариант аутентификации.
Теперь, когда мы разобрали основные варианты аутентификации – с помощью паролей, биометрии и устройств, думаю, что будет легко ответить на вопрос: «Почему же компании необходима двухфакторная аутентификация при защите своих конфиденциальных данных?»
Ответ ясен: внедрение технологии двухфакторной аутентификации позволит предотвратить кражу паролей и последующий несанкционированный доступ злоумышленников к ресурсам организации, а также обеспечит выполнение требований регуляторов в области защиты информационной инфраструктуры предприятия.
Ключевые слова: многофакторная аутентификация, информационная инфраструктура предприятия, токен, операционная система, домен
Подпишитесь на журнал
Купите в Интернет-магазине
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
_cover.jpg)
 |
|
 |