Преглед на пазара за многофакторно удостоверяване. Хардуерно базирано многофакторно удостоверяване

Ще ви разкажа за друг механизъм за удостоверяване на уеб ресурси. Механизмът е прост, базира се на използването на електронен цифров подпис, а за съхранение на ключове се използва USB токен.

Основната задача на алгоритмите, описани в предишни статии, беше да защитят паролата от прихващане и сигурно да съхраняват тайната (например хеш на парола) в сървърната база данни. Има обаче и друга сериозна заплаха. Това е несигурна среда, в която използваме пароли. Софтуерни и хардуерни кийлогъри, шпионски софтуер, който следи формулярите за въвеждане на браузъра, MitM атаката, която контролира не само протокола за удостоверяване, но и самата структура на html страницата, на която е въведена паролата, и дори само съсед, който ви шпионира, представляват заплаха че нито една схема за удостоверяване на парола не може да съвпадне.няма да може да устои. Този проблем беше решен навремето чрез изобретяването на многофакторно удостоверяване. Същността му е, че за успешното удостоверяване трябва да знаете тайната и да притежавате някакъв обект (в нашия случай USB токен и неговия ПИН код).

Това предлагат разработчиците на софтуер за информационна сигурност.

USB токен - хардуерно устройство, способен да формира двойка ключове и да извършва електронни цифров подпис, изисква въвеждане на ПИН код за извършване на операции. При генериране на цифрови подписи се използва криптография с елиптична крива. Не изисква инсталиране на драйвер, разпознава се като HID устройство.

Плъгин за различни браузъри- може да работи с USB токен, има софтуерен интерфейс за достъп до криптографски функции. Не изисква административни права за инсталиране.

Предложените компоненти са своеобразен конструктор за вграждане на различни криптографски функции в уеб приложения. С тяхна помощ можете да реализирате функции за криптиране, удостоверяване и цифров подпис с високо ниво на сигурност.

Например схема за удостоверяване може да изглежда така.

Регистрация:

1. Клиентът генерира двойка ключове в токена e,d;
2. Публичен ключ дклиентът изпраща към сървъра;

1. Клиентът изпраща логин към сървъра;
2. Сървърът генерира RNDи го изпраща на клиента;
3. Клиентът генерира RNDи изпраща подписано съобщение до сървъра ( RND-сървър||RND-клиент||Име на сървър);
4. Сървърът проверява автентичността на цифровия подпис чрез публичния ключ на клиента;

За тези, които не вярват на „велосипедите“ - потърсете в Google „ISO public-Key Two-pass Unilateral Authentication Protocol“.

Бързият растеж на пазарните сектори на системи „3A“ (удостоверяване, авторизация, сигурна администрация) и силни инструменти за удостоверяване доведе до появата на много различни видовехардуерни и софтуерни идентификатори, както и техните хибридни модификации. Клиент, който иска да внедри система за многофакторна автентификация днес, е изправен пред труден избор. Тенденциите в сближаването на физическото и логическото удостоверяване, интегрирането на решения за единично влизане и системи за управление на самоличността само добавят към предизвикателството на избора. В тази статия ще се опитаме да помогнем на клиента да разбере наличните на пазара решения и да направи правилния избор.

Една от най-опасните заплахи за ИТ сигурността днес е неоторизираният достъп до конфиденциална информация. Според проучване на института компютърна сигурностСАЩ и ФБР (вижте CSI/FBI Computer Crime and Security Survey 2005), миналата година 55% от компаниите съобщиха за инциденти, включващи неоторизиран достъп до данни. Освен това всяка компания е загубила средно $303 хиляди през 2005 г. поради неоторизиран достъп, а загубите са се увеличили 6 пъти в сравнение с 2004 г.

Бизнесът веднага реагира на повишената опасност от заплахи. Според IDC (вижте „Прогноза за софтуера за сигурност в Русия за 2005-2009 г. и акции на доставчици за 2004 г.“), руските компании не само са увеличили инвестициите си в ИТ сигурност с 32,7%, но също така до голяма степен са съсредоточили усилията си върху внедряването на системи „3A“ (автентификация, оторизация, сигурна администрация).

Пазарният сегмент на 3A системи нарасна с 83% през годината. Тази динамика е съвсем разбираема: средствата за силно удостоверяване, които са в основата на цялата концепция „3A“, позволяват да се защити компанията от цял ​​набор от заплахи за ИТ сигурността - това включва неоторизиран достъп до информация и неоторизиран достъп до корпоративна мрежаот страна на служителите и измами, и изтичане на данни поради кражба на мобилни устройства или действия на персонала и т.н., като е известно, че всяка от тези заплахи причинява огромни щети всяка година (фиг. 1).

Ориз. 1. Загуби от различни видовеатаки, долари

Силното удостоверяване се основава на процес на дву- или трифакторна проверка, който може да предостави на потребителя достъп до исканите ресурси. В първия случай служителят трябва да докаже, че знае паролата или ЕГН и притежава определен персонален идентификатор ( електронен ключили смарт карта), а във втория случай потребителят представя друг вид идентификационни данни, като биометрични данни.

Използването на многофакторно удостоверяване значително намалява ролята на паролите, което е друго предимство на силното хардуерно удостоверяване, тъй като се изчислява, че потребителите днес трябва да запомнят около 15 различни пароли, за да получат достъп до своите акаунти. Поради претоварването с информация, служителите ги записват на хартия, за да избегнат забравянето на паролите, което намалява нивото на сигурност поради компрометиране на пароли. Забравянето на пароли причинява сериозни финансови щети на компаниите. Така едно проучване на Burton Group (вижте „Enterprise Single Sign-On: Access Gateway to Applications“) показа, че всяко обаждане до компютърна телефонна линия струва на компанията $25-50, а от 35 до 50% от всички обаждания идват от забравили служители. По този начин използването на подобрена или двуфакторна автентификация позволява не само да се намалят рисковете за ИТ сигурността, но и да се оптимизират вътрешните процеси на компанията поради намаляване на преките финансови загуби.

Както вече споменахме, високата ефективност на инструментите за многофакторна автентификация доведе до бързия растеж на пазара за системи „3A“. Изобилието от представени решения изисква от клиентите да имат подходяща компетентност, тъй като всеки предложен тип персонален идентификатор се характеризира със своите предимства и недостатъци и, следователно, сценарии за използване. В допълнение, бързото развитие на този пазарен сегмент през следващите години ще доведе до факта, че някои от хардуерните идентификатори, популяризирани днес, ще бъдат изоставени. По този начин, давайки предпочитание на едно или друго решение днес, клиентът трябва да вземе предвид не само текущите нужди на организацията, но и бъдещите.

Видове лични инструменти за удостоверяване

В момента на пазара има много лични идентификатори, които се различават и по двата технически възможностикакто функционалност, така и форм фактор. Нека ги разгледаме по-отблизо.

USB токени

Процесът на двуфакторно удостоверяване с помощта на USB токени протича на два етапа: потребителят свързва това малко устройствов USB порта на компютъра и въвежда ПИН кода. Предимството на този тип средства за удостоверяване е високата мобилност, тъй като на всеки има USB портове работна станцияи на всеки лаптоп.

В същото време използването на отделно физическо устройство, което е в състояние да осигури сигурно съхранение на изключително чувствителни данни (ключове за криптиране, цифрови сертификати и т.н.), позволява сигурно локално или отдалечено влизане в компютърна мрежа, криптиране на файлове на лаптопи, работни станции и сървъри, управление на потребителски права и извършване на сигурни транзакции.

Смарт карти

Тези устройства, които на външен вид приличат на кредитна карта, съдържат защитен микропроцесор, който позволява криптографски операции. Успешното удостоверяване изисква поставяне на смарт карта в четеца и въвеждане на парола. За разлика от USB токените, смарт картите осигуряват значително по-голяма сигурност за съхранение на ключове и потребителски профили. Смарт картите са оптимални за използване в инфраструктура публични ключове(PKI), тъй като те съхраняват ключови материали и потребителски сертификати в самото устройство и тайният ключ на потребителя не попада във враждебна външна среда. Смарт картите обаче имат сериозен недостатък - ниска мобилност, тъй като изискват четец за работа с тях.

USB токени с вграден чип

От смарт карти този видличният идентификатор се различава само във форм-фактора. USB токените с вграден чип имат всички предимства на смарт картите, свързани с безопасно съхранениеповерителна информация и изпълнението на криптографски операции директно в токена, но нямат основния си недостатък, тоест не изискват специално устройство за четене. Мултифункционалността на токените предоставя широки възможности за тяхното използване - от стриктна автентификация и организиране на сигурно локално или отдалечено влизане в компютърна мрежа до изграждане на правно важни електронни системи за управление на документи, базирани на токени, организиране на сигурни канали за предаване на данни, управление на потребителски права, извършване на защитени транзакции и др.

OTP токени

Технологията OTP (One-Time Password) включва използването на еднократни пароли, които се генерират с помощта на токен. За тази цел се използва секретният ключ на потребителя, който се намира както в OTP токена, така и на сървъра за удостоверяване. За да получи достъп до необходимите ресурси, служителят трябва да въведе парола, създадена с помощта на OTP токен. Тази парола се сравнява със стойността, генерирана от сървъра за удостоверяване, след което се взема решение за предоставяне на достъп. Предимството на този подход е, че потребителят не трябва да свързва токена към компютъра (за разлика от горните типове идентификатори). Въпреки това, броят на приложенията за ИТ сигурност, които поддържат възможността за работа с OTP токени, сега е много по-малък от този за USB токени (както без чип, така и без чип) и смарт карти. Недостатъкът на OTP токените е ограничено времеживот на тези устройства (три до четири години), тъй като автономността изисква използването на батерия.

Хибридни токени

Тези устройства, които комбинират функционалността на два вида устройства - USB токени с вграден чип и OTP токени - се появиха на пазара сравнително наскоро. С тяхна помощ можете да организирате процеса както на двуфакторна автентификация с връзка към USB порт, така и на безконтактна автентификация в случаите, когато USB портът не е наличен (например в интернет кафе). Обърнете внимание, че хибридните смарт карти, които имат функционалността на USB и OTP токени, както и имат вграден чип, отговарят на най-високо нивогъвкавост и сигурност.

Софтуерни токени

IN в такъв случайиграе ролята на жетон софтуер, който генерира еднократни пароли, които се използват заедно с обикновените пароли за многофакторно удостоверяване. Въз основа на секретния ключ програмата за токени генерира еднократна парола, която се показва на екрана на компютъра или мобилно устройствои трябва да се използва за удостоверяване. Но тъй като токенът е програма, записана на работната станция, мобилен компютърили мобилен телефон, тогава не може да се говори за безопасно съхранение на ключова информация. По този начин, този методпо-сигурни от обикновените пароли, но много по-слаби от използването на хардуерни идентификатори.

Характеристики на различни видове персонални идентификатори

Руски пазар за многофакторна автентификация

За руски пазарСилните инструменти за удостоверяване се характеризират с много малко разпространение на OTP токени, които заемат повече от половината от глобалния сегмент на личните идентификатори. Днес доставките на тези устройства отиват главно в руските представителства на големи западни компании, чиито централни офиси и цялата ИТ инфраструктура първоначално са изградени върху OTP токени.

Основният фактор, възпрепятстващ развитието на руския пазар на OTP токени, е високата цена на притежание (обща цена на притежание, TCO) и краткият жизнен цикъл. Вградената батерия обикновено издържа от три до четири години, след което клиентът е принуден да смени устройството, като заплати около 70% от първоначалната му цена. Да вземем за пример популярния на Запад OTP токен RSA SecurID. Цената на решението за 500 потребители, което включва основния сървър и репликаторния сървър, софтуера и самите лични идентификатори, е $76 хиляди (един SecurID токен струва $79). Освен това годишно, според дилъри, ще трябва да похарчите още 6,6 хиляди долара за поддръжка.Така като цяло решението ще струва 82,6 хиляди долара, а цената на една работна станция, оборудвана с OTP токен, ще бъде най-малко 165 Кукла.

За сравнение, нека вземем друг електронен ключ с генератор на еднократни пароли - eToken NG-OTP от Aladdin. В този случай схемата за изчисление за един работно мястомалко по-различен: няма нужда да купувате сървъри за удостоверяване, достатъчно е да имате сървър Windows версия, с които преобладаващото мнозинство вече са оборудвани локални мрежипредприятия. Цена универсална системауправлението на всички средства за удостоверяване (включително различни видове) в мащаб на предприятието (eToken TMS) ще бъде около 4 хил. долара (сървърен лиценз), а общата цена за 500 токена (при цена на едно устройство 67 долара) е 33,5 хил. Нека добавим тук потребителски лиценз за всеки токен: $24 - до 500 потребители и $19 - над 500. Така цената на една работна станция с интегрирана система за силно удостоверяване с еднократни пароли ще бъде $99. и на базата на 501 потребители - $94.

Въпреки това, въпреки тази разлика, разходите за защита на едно работно място с помощта на „стандартен“ токен, тоест без OTP, са значително по-ниски. Например, за същия eToken PRO, най-популярният USB токен с вграден чип в линията Aladdin, цената на една работна станция, изчислена по същата формула, е само $47.

По този начин руският пазар на персонални идентификатори се различава значително от световния и се състои главно от USB токени с вграден чип - те представляват приблизително 80-85% от пазара. Но USB токените с вграден чип днес са най-ефективното средство за силно удостоверяване. По този начин анализатори от водещи консултантски компании, като IDC и Gartner, смятат, че до 2008 г. по-голямата част от целия пазар на персонални идентификатори ще се състои от USB токени с вграден чип. Освен това Gartner определи USB токените с вграден чип като най-добрата инвестиция в сигурността защитен достъппо данни през 2005 г.

Според вътрешни данни на Aladdin-Russia лидерът на вътрешния пазар за USB токени с вграден чип е Руска компания Aladdin (70%), следван от Rainbow Technologies (25%) и Aktiv (5%) със сериозно изоставане (фиг. 2).

Ориз. 2. Структура на руския пазар за USB токени с вграден чип (

Идеята за силно удостоверяване е, че една страна трябва да докаже самоличността си на другата страна, като покаже познанията си за определена тайна. Такава тайна може първоначално да бъде разпространена безопасен методмежду потребители на обмен на удостоверяване.

Стандартът X.509 дефинира следните видове удостоверяване:

• едностранчив
• двустранно
• тристранен

Еднопосочното удостоверяване дефинира комуникацията само в 1 посока. Този тип удостоверяване позволява:

• откриване на нарушения на целостта на транспортираните данни
• удостоверяване на едната страна на обмен на удостоверяване
• намерете реализация на атака с повторение
• гарантира, че транспортираните данни за удостоверяване могат да се използват само от разчитащата страна

Двупосочното удостоверяване в сравнение с еднопосочното удостоверяване има допълнителен ефект от едната страна към другата. Тристранното удостоверяване включва удостоверяване в три стъпки. Оказва се, че доказващата страна ще изпрати данните 2 пъти.

Силен алгоритъм за удостоверяване може да бъде приложен въз основа на проверки на параметри и прилагане на криптографски методи. Прилагането на многофакторно удостоверяване намалява важността на паролите, което е предимство, тъй като потребителите не трябва да помнят множество пароли и следователно не трябва да ги записват на допълнителни носители за съхранение.

Използване на USB токени и смарт карти

Внедряване на смарт карти

Смарт картата е пластмасова карта с вграден микропроцесор, който изпълнява действия за контрол на достъпа до картата. Основното предимство на такива карти е надеждната защита на съдържанието от външен достъп. Смарт картите се разделят според следните параметри:

• обхват на изпълнение
• метод за четене на данни от карта
• тип чип
• съответствие

Също така всички карти се делят на: карти с памет и карти с микропроцесор. Карта паметнеобходими за съхранение на данни. Такива карти са защитени с ПИН код. Микропроцесорни картиимат микроконтролер, CPU, RAM и ROM и електрически изтриваем програмируем ROM (EEPROM) Фиг. 1.

Снимка 1

Най-основната част от работата се крие в копроцесора:

• поколение
• осъществяване на операции с електронен подпис
• прилагане на криптографски алгоритми
• изпълнение на операции с ПИН код

Има категория микропроцесорни смарт карти - карти с криптографска логика. Такива карти са необходими в системите за информационна сигурност, за да участват в процесите на криптиране или да създават криптографски ключове и други мерки за сигурност.

Генериране на двойка ключове извън устройството. В този случай служителят може да реализира резервно копиечастен ключ. Ако носителят е изгубен, повреден или нещо друго, потребителят може да запише частния ключ на друго устройство и да работи с него.

Генериране на двойка ключове с помощта на устройството. Личен ключв този метод не е в отворена формаи няма заплахи за кражбата му.

Смарт картите са страхотни за , тъй като съхраняват сигурно потребителския ключ и сертификат на самия носител. Недостатъците на смарт картите включват факта, че трябва да имате четец под ръка.

Използване на USB токени

USB токените са много подобни на контактните смарт карти. На външен вид USB ключовете приличат на ключодържател или USB флашка. USB токените имат всички предимства на смарт картите, свързани със сигурно съхранение на данни и изпълнение на криптографски действия вътре в токена, но нямат основния недостатък на смарт картите; токенът не изисква допълнителен четец. USB токенът е свързан към USB порта. Таблица 1 обобщава характеристиките на USB токените.

Таблица 1 - Характеристики на USB токени

Недостатъците на USB токените включват гарантиран брой връзки (само 5000 пъти) и доста висока цена и лоша механична сигурност.

Използване на ПИН

Най-простата атака срещу отгатването на ПИН кода (различна от подслушването) е отгатването на стойността. Вероятността за отгатване зависи от дължината на ПИН кода и броя разрешени опити за въвеждане. Нека изчислим тази вероятност.

• X - брой възможни комбинации на ПИН код
• m — брой възможни символи на позиция
• n - брой позиции в ПИН кода
• P - вероятност за отгатване
• i — брой опити за отгатване

Броят на възможните комбинации е x = m n. Вероятност за отгатване на ПИН кода чрез i опита: P = i/m n . Например, ако ПИН кодът се състои от 4 десетични цифри, n = 4, m = 10, тогава броят на възможните комбинации е x = 10 4 = 10000. Ако вземем стандартния брой допустими опити за въвеждане, i = 3, тогава вероятността да познаете ПИН кода е 0,03%.

Ако искате да прочетете следващата част от тази поредица, моля, последвайте връзката

Досега паролите често са били предпочитаният/задължителен механизъм за удостоверяване при получаване на достъп до незащитени системи и данни. Но нарастващите изисквания за по-голяма сигурност и удобство, без ненужна сложност, стимулират развитието на технологиите за удостоверяване. В тази поредица от статии ще разгледаме различните технологии за многофакторно удостоверяване, които можете да използвате в Windows. В част 1 ще започнем, като разгледаме базираното на чип удостоверяване.

Когато паролата просто не работи

През 1956 г. Джордж А. Милър написа отлична статия, озаглавена „Магическото число седем, плюс или минус две: някои ограничения на нашия капацитет за обработка на информация“. Тази статия говори за ограниченията, които ние като хора изпитваме, когато искаме да запомним определена информация. Едно от откритията в тази работа е, че средният човек е в състояние да запомни седем (7) части от информация наведнъж, плюс или минус две (2). Други учени по-късно се опитаха да докажат, че обикновеният човек може да запомни само пет (5) части от информация наведнъж и отново плюс/минус две (2). Въпреки това, ако тази теория е вярна, тя противоречи на съветите относно дължината и сложността на паролата, които могат да бъдат прочетени в различни източници или които могат да бъдат чути от различни хора, чувствителни към сигурността.

Често се казва, че сложността е една от най-големите заплахи за сигурността. Една област, в която може да се наблюдава този модел, е когато от потребителите и администраторите се изисква да се придържат към правила за сложни пароли. Креативността и заобиколните решения, които понякога виждам от потребители и администратори, когато имат проблеми със запомнянето на паролите си, не спират да ме учудват. Но в същото време този проблем почти винаги е в първите пет на бюрото за помощ. И сега, след като Gartner и Forrester изчисляват, че всяко обаждане за загубена парола до бюро за помощ струва приблизително $10 USD, е лесно да се извърши анализ на разходите и ползите на текущата политика за пароли на дадена организация.

Паролите, като единствен механизъм за удостоверяване, са добри, стига паролата да е дълга повече от 15 знака и да включва поне един неанглийски знак. Фразите за достъп са примери за дълги пароли, които потребителите по-лесно запомнят. Това ще гарантира, че повечето Rainbow атаки, включително 8-битови атаки, ще се провалят поради допълнителната сложност, която предоставят чуждите знаци.

Бележката:От Windows 2000 паролата може да бъде с дължина до 127 знака.

Въпреки това, причината, поради която паролите не са ефективни като единствен механизъм за удостоверяване, е, че потребителите са лоши в намирането и запомнянето на добри, силни пароли. Освен това паролите често не са добре защитени. За щастие има решения за сигурност, които подобряват сигурността и удобството чрез използване на кратки, лесни за запомняне пароли.

Чип базирано удостоверяване

Едно такова решение за сигурност е базираното на чип удостоверяване, често наричано двуфакторно удостоверяване. Двуфакторното удостоверяване използва комбинация от следните елементи:

1. Нещо, което имате, като смарт карта или USB флаш устройство.
2. Нещо, което знаете, като персонален идентификационен номер (ПИН). ПИН кодът дава на потребителя достъп до цифровия сертификат, съхранен на смарт картата.

Фигура 1 показва две различни решения, които по същество са представители на една и съща технология. Честно казано, основната разлика е цената и формата, въпреки че всяко решение може да съдържа Допълнителни опции, както скоро ще видим.

Пример за смарт карта, която се използва за дистанционно удостоверяване, Windows удостоверяване,

Пример за физически достъп и плащане USB флашкис удостоверяване на базата на чип и флаш памет за съхраняване на информация Фигура 1: Два примера за устройства с удостоверяване на базата на чип

Смарт картите, както и USB флашките имат вграден чип. Чипът е 32-битов микропроцесор и обикновено съдържа 32KB или 64kb (EEPROM - електрически изтриваема програмируема памет само за четене) (RAM) чип с памет, вграден в смарт карта или USB флаш устройство. Днес има смарт карти и USB флаш устройства, съдържащи до 256KB оперативна паметза сигурно съхранение на данни.

Бележката:Когато говорим за съхранение в тази статия, говорим за съхранение на вградения защитен чип, а не на самото устройство.

Този чип има малка операционна система и малко памет за съхраняване на сертификати, използвани за удостоверяване. Тази ОС на чипа е различна за всеки производител, така че трябва да използвате услуга CSP (Cryptographic Service Provider) в Windows, която поддържа ОС на чипа. Ще разгледаме услугата CSP в следващата статия. Базираното на чип решение има определени предимства пред други многофакторни решения за удостоверяване, тъй като може да се използва за съхраняване на сертификати за удостоверяване, идентификация и подпис. Както споменахме, всичко е защитено с ПИН код, който дава на потребителя достъп до данните, съхранявани на чипа. Тъй като организациите често поддържат и издават свои собствени смарт карти и флаш устройства, те също могат да определят какви политики ще бъдат свързани с това решение. Например ще бъде ли блокирана картата или след това данните от нея ще бъдат изтрити хколичества неуспешни опити. Тъй като тези политики могат да се използват заедно с ПИН, ПИН може да бъде значително по-кратък и по-лесен за запомняне, без риск за сигурността. Всички тези параметри се съхраняват на смарт картата от момента на нейното издаване. Решението, базирано на чип, също не е податливо на външни манипулации, така че без необходимия ПИН код информацията (сертификати и лична информация), съхранена на чипа, не може да бъде достъпна и следователно не може да бъде използвана за никакви цели.

Смарт карти или USB флашки?

Както вече казахме, една от разликите между смарт карти и USB флаш устройства е форм-факторът. И двете решения отговарят на общата цел за двуфакторно удостоверяване, но всяко решение има своите плюсове и минуси. Смарт картата може да се използва за фотоидентификация, тъй като можете да отпечатате снимка и име върху нея. USB флаш устройство може да включва флаш памет за съхранение на документи и файлове. И двете устройства могат да се използват за контрол на физическия достъп по един или друг начин. Смарт картата може да включва чип, магнитна лента, баркодове и безконтактни възможности, докато флаш устройството може да има добавена безконтактна възможност или биометрична поддръжка.

Бележката:Съществуват и други форми фактори, като напр Мобилни телефони, в който SIM картата (Модул за идентификация на абоната) може да служи за същата цел като смарт карта или USB флаш устройство.

Смарт картата изисква четец на смарт карти, докато USB флаш устройство може да се използва със съществуващо в компютъра USB порти го използвайте за емулиране на четец на смарт карти. Днес четците на смарт карти трябва или да използват интерфейси като PC Card, ExpressCard, USB, или да бъдат вградени; някои производители на лаптопи и клавиатури са създали такива четци на карти на своите модели. Четците на смарт карти се считат за стандартни устройства с Windows, независимо от чипа на операционната система, и имат дескриптор за сигурност и PnP идентификатор. Както четците на карти, така и USB флаш устройствата изискват драйвер Windows устройствапреди да могат да бъдат използвани, така че не забравяйте да използвате най-новите драйвери от съображения за производителност по време на двуфакторно удостоверяване.

Първоначалната цена на всяко устройство може да има думата при вземането на решение кое решение да се използва, но трябва да се вземат предвид и други разлики, като психологическия фактор, свързан с тези решения за удостоверяване. Смарт картата и кредитната карта са почти едно и също, много кредитни картиднес имат и вградени чипове. Много компании днес използват смарт карти както за физически достъп, така и за плащане на обеди и т.н. Това означава, че картата е удобна и също така има парична стойност и следователно хората са принудени да пазят такава карта и да не забравят да я носят винаги със себе си. Освен това се побира добре в портфейла, което също може да има допълнителен защитен ефект, в зависимост от това как го гледате.

Някои въпроси за разглеждане

Когато избирате решение за удостоверяване, базирано на чип, трябва да имате предвид някои проблеми и съображения.

1. Съвместимост» Уверете се, че операционната система на чипа е съвместима с CSP, който ще използвате. Както ще научите в следващата статия, CSP е междинният софтуер между операционната система на чипа и Windows и също така отговаря за политиките за сигурност, прилагани към чипа.
2. контрол» Ако трябва да използвате смарт карта или флаш устройство, за да използвате голяма сумахора, уверете се, че сте избрали операционна система на чип, съвместима със системата за управление на карти (CMS) по ваш избор.
3. Разширяемост» Уверете се, че операционната система на чипа може да се използва от всички необходими приложенияи за всички нужди за удостоверяване, от които се нуждаете. В бъдеще може да имате нужда от допълнителни сертификати на смарт картата или флаш устройството, като например подписи електронна пощаили дори биометрични данни. Вижте техническите подробности за картата за общ достъп на DoD (CAC), която се използва за съхраняване на голямо количество потребителска информация (вижте връзката по-долу). Просто се уверете, че вземате предвид проблемите с поверителността, когато използвате информация като биометрични данни. Ще разгледаме този проблем по-късно в тази поредица от статии.
4. Лекота на използване» Уверете се, че сте избрали чипово решение, което е удобно и практично. Основно предизвикателство за решенията за многофакторно удостоверяване е, че потребителите са склонни да забравят или загубят своите смарт карти или флаш устройства или да забравят ПИН кода, ако устройството не се използва често.

Заключение

В следващата статия ще разгледаме процеса Подготовка на прозорциза поддържане на устройства за многофакторно удостоверяване, а също и някои съвети за подготовката и използването на вашите смарт карти и флаш устройства в Windows XP и Windows сървър 2003 обграден.

Източник www.windowsecurity.com

Коментари на читателите (без коментари)

Exchange 2007

U2F - отворен протокол, позволяваща универсална 2-факторна автентификация, поддържана Браузър Chrome 38 или повече по-късни версии. U2F е разработен от FIDO Alliance - съюз на Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Протоколът работи без допълнителна инсталацияшофьори в операционна система Windows/Linux/MacOS. Wordpress услуги,Google, LastPass поддържат протокола. Нека разгледаме всички плюсове и минуси на работата с.

На фона на нарастващата популярност на удостоверяването в две стъпки, осъществявано чрез обаждане или изпращане на SMS, възниква логичен въпрос - колко удобно е и има ли този метод за удостоверяване някакви капани?

Като допълнителен методПроверките за автентификация чрез обаждане или изпращане на съобщение, разбира се, са много удобни. Нещо повече, този метод се е доказал като ефективен в много случаи – например той е еднакво подходящ като защитни мерки срещу фишинг, автоматизирани атаки, опити за отгатване на парола, вирусни атаки и др. Зад удобството обаче се крие опасност – ако измамниците се заемат с работата, свързването с телефонен номер може да работи срещу вас. Най-често акаунтът е свързан с посочения номер за контакт на потребителя, чиято първа или последна цифра може да бъде разпозната от всеки, ако се опита да възстанови достъпа до акаунта. По този начин измамниците могат да разберат вашите телефонен номер, а след това установете на кого е издаден. След като получат информация за собственика, измамниците използват фалшиви документи в салона на оператора клетъчни комуникациипоискайте повторно издаване на SIM картата. Всеки служител на клон има право да преиздава карти, което позволява на измамниците, след като са получили SIM карта с желания номер, да влязат във вашия акаунт и да извършват всякакви манипулации с него.

Някои компании, например големи банки, запазват не само телефонния номер на собственика, но и уникалния идентификатор на SIM картата - IMSI, ако се промени, обвързването на телефонния номер се отменя и трябва да се направи отново лично от клиента на банката. Подобни услуги обаче не са достатъчно разпространени. За да разберете IMSI за всеки телефонен номер, можете да изпратите специална HLR заявка на уебсайта smsc.ru/testhlr.

Модерен с поддръжка на двустепенна автентификация в браузъра, което гарантира допълнителна сигурност за вашия акаунт, можете да закупите от нашия онлайн магазин.