A többtényezős hitelesítési piac áttekintése. Hardver alapú többtényezős hitelesítés

Mesélek egy másik hitelesítési mechanizmusról a webes erőforrásokon. A mechanizmus egyszerű, elektronikus digitális aláírás használatán alapul, a kulcsok tárolására USB token szolgál.

A korábbi cikkekben leírt algoritmusok fő feladata az volt, hogy megvédjék a jelszót az elfogástól, és biztonságosan tárolják a titkot (például jelszókivonatot) a szerver adatbázisában. Van azonban egy másik komoly veszély is. Ez egy nem biztonságos környezet, amelyben jelszavakat használunk. A szoftveres és hardveres billentyűzetnaplózók, a böngésző beviteli űrlapjait figyelő kémprogramok, a MitM támadás, amely nem csak a hitelesítési protokollt, hanem a jelszó beírására szolgáló html-oldal szerkezetét is ellenőrzi, és még csak egy Önt kémkedő szomszéd is fenyegetést jelent. hogy semmilyen jelszó-hitelesítési séma nem fog tudni ellenállni. Ezt a problémát egy időben a többtényezős hitelesítés feltalálásával oldották meg. Lényege, hogy a sikeres hitelesítéshez ismerni kell a titkot és birtokolni kell valamilyen objektumot (esetünkben egy USB token és annak PIN kódja).

Ezt kínálják az információbiztonsági szoftverfejlesztők.

USB token - hardver eszköz, képes kulcspárt alkotni és elektronikus digitális aláírás, a műveletek végrehajtásához PIN-kód megadása szükséges. A digitális aláírások generálásakor elliptikus görbe kriptográfiát használnak. Nem igényel illesztőprogram telepítését, a rendszer HID eszközként érzékeli.

Böngészők közötti bővítmény- tud működni USB tokennel, van szoftver interfész kriptográfiai funkciókhoz való hozzáférés. Nem igényel rendszergazdai jogokat a telepítéshez.

A javasolt komponensek egyfajta konstruktorok különféle kriptográfiai funkciók webalkalmazásokba való beágyazásához. Segítségükkel magas szintű biztonsággal valósíthat meg titkosítási, hitelesítési és digitális aláírási funkciókat.

Például egy hitelesítési séma így nézhet ki.

Bejegyzés:

1. Az ügyfél létrehoz egy kulcspárt a tokenben e,d;
2. Nyilvános kulcs e a kliens küld a szervernek;

1. A kliens bejelentkezést küld a szervernek;
2. A szerver generál RNDés elküldi az ügyfélnek;
3. Az ügyfél generál RNDés aláírt üzenetet küld a szervernek ( RND-server||RND-client||Szervernév);
4. A szerver az ügyfél nyilvános kulcsa segítségével ellenőrzi a digitális aláírás hitelességét;

Azok számára, akik bizalmatlanok a „biciklikkel” szemben, keresse a google-ba az „ISO nyilvános kulcsú kétmenetes egyoldalú hitelesítési protokollt”.

A „3A” rendszerek (hitelesítés, engedélyezés, biztonságos adminisztráció) és az erős hitelesítési eszközök piaci szektorainak rohamos növekedése számos rendszer megjelenését eredményezte. különféle típusok hardver és szoftver azonosítók, valamint ezek hibrid módosításai. Nehéz választás előtt áll az az ügyfél, aki ma többtényezős hitelesítési rendszert szeretne bevezetni. A fizikai és logikai hitelesítés konvergenciájának trendjei, az egyszeri bejelentkezési megoldások és az identitáskezelő rendszerek integrációja csak tovább növeli a választás kihívását. Ebben a cikkben igyekszünk segíteni az ügyfeleknek a piacon elérhető megoldások megértésében és a megfelelő választásban.

Napjaink egyik legveszélyesebb IT-biztonsági fenyegetése a jogosulatlan hozzáférés bizalmas információ. Az Intézet tanulmánya szerint számítógép biztonság Az Egyesült Államokban és az FBI-ban (lásd: CSI/FBI Computer Crime and Security Survey 2005), tavaly a vállalatok 55%-a számolt be az adatokhoz való jogosulatlan hozzáféréssel járó incidensekről. Ráadásul 2005-ben minden cég átlagosan 303 ezer dollárt veszített illetéktelen hozzáférés miatt, és 2004-hez képest a veszteség hatszorosára nőtt.

A vállalkozások azonnal reagáltak a fenyegetések fokozott veszélyére. Az IDC szerint (lásd: „Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares”), az orosz vállalatok nemcsak 32,7%-kal növelték befektetéseiket az IT-biztonságba, hanem erőfeszítéseiket nagyrészt a „3A” rendszerek bevezetésére összpontosították (hitelesítés, engedélyezés, biztonságos ügyintézés).

A 3A rendszerek piaci szegmense 83%-kal nőtt az év során. Ez a dinamika teljesen érthető: az erős hitelesítés eszközei, amelyek a teljes „3A” koncepció alapját képezik, lehetővé teszik a vállalat védelmét az IT-biztonsági fenyegetések egész sorával szemben – ideértve az információkhoz való jogosulatlan hozzáférést és az illetéktelen hozzáférést is. vállalati hálózat az alkalmazottak részéről, csalás, mobileszköz-lopásból vagy személyi akcióból származó adatszivárgás, stb., és ismert, hogy ezek a fenyegetések minden évben óriási károkat okoznak (1. ábra).

Rizs. 1. Veszteségek a különféle típusok támadások, dollár

Az erős hitelesítés egy két- vagy háromtényezős ellenőrzési folyamaton alapul, amely hozzáférést biztosít a felhasználónak a kért erőforrásokhoz. Az első esetben a munkavállalónak bizonyítania kell, hogy ismeri a jelszót vagy a PIN-kódot, és rendelkezik bizonyos személyi azonosítóval ( elektronikus kulcs vagy intelligens kártya), a második esetben pedig a felhasználó más típusú azonosító adatokat, például biometrikus adatokat mutat be.

A többtényezős hitelesítés használata nagymértékben csökkenti a jelszavak szerepét, ami az erős hardveres hitelesítés másik előnye, mivel a becslések szerint manapság a felhasználóknak körülbelül 15 különböző jelszót kell megjegyezniük a fiókjuk eléréséhez. Az információs túlterheltség miatt a dolgozók papírra írják azokat, hogy elkerüljék a jelszavak elfelejtését, ami csökkenti a jelszókompromittálódás miatti biztonsági szintet. A jelszavak elfelejtése komoly anyagi károkat okoz a cégeknek. Így a Burton Group tanulmánya (lásd: „Enterprise Single Sign-On: Access Gateway to Applications”) kimutatta, hogy egy számítógépes segélyvonalra irányuló minden hívás 25-50 dollárba kerül egy vállalatnak, és az összes hívás 35-50%-a feledékenységből származik. alkalmazottak. Így a továbbfejlesztett vagy kéttényezős hitelesítés alkalmazása nemcsak az informatikai biztonsági kockázatok csökkentését teszi lehetővé, hanem a közvetlen pénzügyi veszteségek mérséklése miatt a vállalat belső folyamatainak optimalizálását is.

Mint már említettük, a többtényezős hitelesítési eszközök nagy hatékonysága a „3A” rendszerek piacának gyors növekedéséhez vezetett. A bemutatott megoldások bősége megköveteli az ügyfelektől a megfelelő kompetenciát, mert minden javasolt személyi azonosítótípust saját előnyei és hátrányai, és ebből következően használati forgatókönyvek jellemeznek. Ráadásul ennek a piaci szegmensnek a gyors fejlődése az elkövetkező években oda vezet, hogy a ma népszerűsített hardverazonosítók egy része elmarad. Így a vevőnek ma egyik vagy másik megoldást előnyben részesítve nem csak a szervezet aktuális, hanem a jövőbeli igényeit is figyelembe kell vennie.

Személyes hitelesítési eszközök típusai

Jelenleg sok személyes azonosító van a piacon, amelyek mindkettőben különböznek technikai lehetőségeket mind a funkcionalitás, mind a formai tényező. Nézzük meg őket közelebbről.

USB tokenek

A kéttényezős hitelesítési folyamat USB tokenekkel két szakaszban történik: a felhasználó ezt csatlakoztatja kis készülék a számítógép USB-portjába, és beírja a PIN-kódot. Az ilyen típusú hitelesítési eszközök előnye a nagy mobilitás, mivel mindegyiken USB-portok állnak rendelkezésre munkaállomásés bármilyen laptopon.

Ugyanakkor egy különálló fizikai eszköz használata, amely képes a rendkívül érzékeny adatok (titkosítási kulcsok, digitális tanúsítványok stb.) biztonságos tárolására, lehetővé teszi a biztonságos helyi vagy távoli bejelentkezést. számítógép hálózat, fájlok titkosítása laptopokon, munkaállomásokon és szervereken, felhasználói jogok kezelése és biztonságos tranzakciók lebonyolítása.

Intelligens kártyák

Ezek a megjelenésükben hitelkártyára emlékeztető eszközök biztonságos mikroprocesszort tartalmaznak, amely lehetővé teszi a kriptográfiai műveleteket. A sikeres hitelesítéshez intelligens kártyát kell behelyezni az olvasóba, és meg kell adni egy jelszót. Az USB-tokenekkel ellentétben az intelligens kártyák lényegesen nagyobb biztonságot nyújtanak a kulcsok és felhasználói profilok tárolásánál. Az intelligens kártyák optimálisak az infrastruktúrában való használatra nyilvános kulcsok(PKI), mivel magában az eszközben tárolják a kulcsanyagot és a felhasználói tanúsítványokat, és a felhasználó titkos kulcsa nem kerül ellenséges külső környezetbe. Az intelligens kártyáknak azonban van egy komoly hátránya - alacsony mobilitása, mivel olvasóra van szükségük a használatukhoz.

USB tokenek beépített chippel

Intelligens kártyákról ez a típus a személyi azonosító csak alaktényezőben tér el. A beépített chippel rendelkező USB-tokenek a smart kártyák minden előnyével rendelkeznek biztonságos tárolás bizalmas információk és kriptográfiai műveletek végrehajtása közvetlenül a tokenen belül, de nincs fő hátrányuk, vagyis nem igényelnek speciális olvasóeszközt. A tokenek multifunkcionalitása széles körű felhasználási lehetőségeket biztosít – a szigorú hitelesítéstől és a biztonságos helyi vagy távoli bejelentkezés megszervezésétől a számítógépes hálózaton át a jogilag fontos, tokenekre épülő rendszerek felépítéséig. elektronikus dokumentumkezelés, biztonságos adatátviteli csatornák szervezése, felhasználói jogok kezelése, biztonságos tranzakciók lebonyolítása stb.

OTP tokenek

Az OTP (One-Time Password) technológia egyszeri jelszavak használatát foglalja magában, amelyeket egy token segítségével állítanak elő. Erre a célra a felhasználó titkos kulcsát használják, amely mind az OTP-tokenben, mind a hitelesítési szerveren található. A szükséges erőforrásokhoz való hozzáféréshez a munkavállalónak egy OTP tokennel létrehozott jelszót kell megadnia. Ezt a jelszót a rendszer összehasonlítja a hitelesítési szerver által generált értékkel, majd döntés születik a hozzáférés megadásáról. Ennek a megközelítésnek az az előnye, hogy a felhasználónak nem kell a tokent a számítógéphez csatlakoztatnia (ellentétben a fenti típusú azonosítókkal). Az OTP tokenekkel való munkavégzést támogató IT-biztonsági alkalmazások száma azonban ma már jóval kisebb, mint az USB-tokenek (chip nélküli és chip nélküli) és intelligens kártyák esetében. Az OTP tokenek hátránya az korlátozott idő ezeknek az eszközöknek az élettartama (három-négy év), mivel az autonómiához akkumulátor használata szükséges.

Hibrid tokenek

Ezek a kétféle eszköz – a beépített chippel ellátott USB tokenek és az OTP tokenek – funkcionalitását ötvöző eszközök viszonylag nemrég jelentek meg a piacon. Segítségükkel megszervezheti mind a kéttényezős hitelesítés folyamatát USB-porthoz való csatlakozással, mind az érintés nélküli hitelesítést olyan esetekben, amikor az USB-port nem elérhető (például egy internetkávézóban). Vegye figyelembe, hogy az USB- és OTP-token funkcióval, valamint beépített chippel rendelkező hibrid intelligens kártyák megfelelnek a legmagasabb szint rugalmasság és biztonság.

Szoftver tokenek

BAN BEN ebben az esetben jelző szerepét tölti be szoftver, amely egyszeri jelszavakat generál, amelyeket a szokásos jelszavakkal együtt használnak a többtényezős hitelesítéshez. A titkos kulcs alapján a token program egy egyszeri jelszót generál, amely megjelenik a számítógép képernyőjén, ill. mobil eszközés hitelesítésre kell használni. De mivel a token a munkaállomáson rögzített program, mobil számítógép vagy mobiltelefon, akkor szó sincs a legfontosabb információk biztonságos tárolásáról. És így, ez a módszer biztonságosabb, mint a hagyományos jelszavak, de sokkal gyengébb, mint a hardveres azonosítók használata.

Különféle személyi azonosítók jellemzői

Az orosz többtényezős hitelesítési piac

Az orosz erős hitelesítési piacot az OTP tokenek nagyon alacsony elterjedtsége jellemzi, amelyek a személyes azonosítók globális szegmensének több mint felét foglalják el. Ezeknek az eszközöknek a szállítása ma már főként a nyugati nagyvállalatok oroszországi képviseleteibe történik, amelyek központi irodái és teljes informatikai infrastruktúrája kezdetben OTP tokenekre épült.

Az orosz OTP token piac fejlődését elsősorban a magas birtoklási költség (Total Cost of Ownership, TCO) és a rövid életciklus hátráltatja. A beépített akkumulátor általában három-négy évig bírja, ezt követően a vásárló kénytelen kicserélni a készüléket, a kezdeti költség mintegy 70%-át kifizetve. Vegyük példának a nyugaton népszerű RSA SecurID OTP tokent. Az 500 felhasználóra szánt megoldás költsége, amely magában foglalja a fő szervert és a replikátor szervert, a szoftvereket és magukat a személyi azonosítókat, 76 ezer dollár (egy SecurID token 79 dollárba kerül). Emellett a kereskedők szerint évente további 6,6 ezer dollárt kell költenie, így általában 82,6 ezer dollárba kerül a megoldás, és egy OTP tokennel felszerelt munkaállomás ára legalább 165 lesz. Baba.

Összehasonlításképpen vegyünk egy másik elektronikus kulcsot egy egyszeri jelszógenerátorral - az Aladdin eToken NG-OTP-jét. Ebben az esetben a számítási séma egy munkahely kicsit másképp: nem kell hitelesítő szervert vásárolni, elég egy szerver Windows verzió, amellyel a túlnyomó többség már fel van szerelve helyi hálózatok vállalkozások. Az összes hitelesítési eszköz (beleértve a különböző típusokat is) vállalati léptékű kezelésére szolgáló univerzális rendszer (eToken TMS) költsége körülbelül 4 ezer dollár (szerverlicenc), és összesen 500 token ára (egy eszköz ára 67 dollár) 33,5 ezer dollár. Adjuk hozzá minden token felhasználói licencét: 24 dollár - 500 felhasználóig és 19 dollár - 500 felett. Így egy munkaállomás költsége egy integrált szigorú hitelesítési rendszerrel. - Az időjelszavak 99 dollárba kerülnek. és 501 felhasználó alapján - 94 dollár.

Azonban ennek ellenére is lényegesen alacsonyabb egy munkahely „standard” tokennel, azaz OTP nélkül történő védelmének költsége. Például ugyanannál az eToken PRO-nál, amely a legnépszerűbb USB-token az Aladdin vonal beépített chipjével, egy munkaállomás költsége ugyanazzal a képlettel számolva mindössze 47 dollár.

Így a személyes azonosítók orosz piaca jelentősen eltér a globális piactól, és főként beépített chippel ellátott USB-tokenekből áll - ezek a piac körülbelül 80-85% -át teszik ki. Ma azonban a beépített chippel rendelkező USB-tokenek jelentik az erős hitelesítés leghatékonyabb eszközét. Így a vezető tanácsadó cégek, például az IDC és a Gartner elemzői úgy vélik, hogy 2008-ra a teljes személyazonosító-piac túlnyomó részét a beépített chippel ellátott USB-tokenek teszik majd ki. Emellett a Gartner a legjobb biztonsági befektetésnek a beépített chippel ellátott USB-tokeneket nevezte meg biztonságos hozzáférés 2005-ös adatok szerint.

Belső adatok szerint Aladdin-Russia, a vezető Háztartási bolt A beépített chippel ellátott USB tokenek orosz cég Az Aladdin (70%), majd a Rainbow Technologies (25%) és az Aktiv (5%) következett komoly lemaradással (2. ábra).

Rizs. 2. A beépített chippel rendelkező USB tokenek orosz piacának felépítése (

Az erős hitelesítés lényege, hogy a félnek igazolnia kell személyazonosságát a másik fél előtt egy bizonyos titok ismeretének bemutatásával. Egy ilyen titkot kezdetben el lehet terjeszteni biztonságos módszer a hitelesítési csere felhasználói között.

Az X.509 szabvány a következő típusú hitelesítéseket határozza meg:

• egyoldalú
• kétoldalú
• háromoldalú

Az egyirányú hitelesítés csak egy irányba határozza meg a kommunikációt. Ez a fajta hitelesítés lehetővé teszi:

• észleli a szállított adatok integritásának megsértését
• hitelesítési csere egyik oldalának hitelesítése
• megtalálni a visszajátszási támadás megvalósítását
• biztosítsa, hogy az átvitt hitelesítési adatokat csak az érintett fél használhatja fel

A kétirányú hitelesítés az egyirányú hitelesítéshez képest további hatást fejt ki egyik oldalról a másikra. A háromoldalú hitelesítés háromlépcsős hitelesítést foglal magában. Kiderül, hogy a bizonyító fél 2-szer küldi el az adatokat.

Paraméterellenőrzések és kriptográfiai módszerek megvalósítása alapján erős hitelesítési algoritmus valósítható meg. A többtényezős hitelesítés megvalósítása csökkenti a jelszavak jelentőségét, ami azért előnyös, mert a felhasználóknak nem kell több jelszót megjegyezniük, és ezért nem kell azokat további adathordozókra feljegyezniük.

USB tokenek és intelligens kártyák használata

Intelligens kártyák megvalósítása

Az intelligens kártya egy beépített mikroprocesszorral rendelkező műanyag kártya, amely beléptetési műveleteket hajt végre a kártyán. Az ilyen kártyák fő előnye a tartalom megbízható védelme a külső hozzáféréstől. Az intelligens kártyák a következő paraméterek szerint vannak felosztva:

• végrehajtási köre
• az adatok kártyáról történő kiolvasásának módja
• chip típusú
• megfelelés

Ezenkívül minden kártya fel van osztva: memóriával és mikroprocesszoros kártyákkal. Memóriakártya adattároláshoz szükséges. Az ilyen kártyákat PIN kód védi. Mikroprocesszoros kártyák rendelkezik mikrokontrollerrel, CPU-val, RAM-mal és ROM-mal, valamint elektromosan törölhető programozható ROM-mal (EEPROM) 1. ábra.

1. kép

A munka legalapvetőbb része a társprocesszorban található:

• generáció
• tranzakciók végrehajtása elektronikus aláírással
• kriptográfiai algoritmusok megvalósítása
• műveletek végrehajtása PIN kóddal

Van egy kategória a mikroprocesszoros intelligens kártyáknak - kriptográfiai logikával rendelkező kártyák. Az ilyen kártyákra az információbiztonsági rendszerekben van szükség a titkosítási folyamatokban való részvételhez, vagy kriptográfiai kulcsok és egyéb biztonsági intézkedések létrehozásához.

Kulcspár generálása az eszközön kívül. Ebben az esetben a munkavállaló végrehajthatja biztonsági másolat privát kulcs. Ha az adathordozó elveszett, megsérült vagy valami más, akkor a felhasználó egy másik eszközre írhatja a privát kulcsot, és dolgozhat vele.

Kulcspár generálása a készülék segítségével. Privát kulcs ilyen módszerben nincs benne nyitott formaés nem fenyeget ellopása.

Az intelligens kártyák kiválóan alkalmasak a számára, mivel biztonságosan tárolják a felhasználó kulcsát és tanúsítványát magán az adathordozón. Az intelligens kártyák hátrányai közé tartozik, hogy kéznél kell lennie egy olvasónak.

USB tokenek használata

Az USB-tokenek nagyon hasonlítanak a kontakt chipkártyákhoz. Kinézetre az USB-kulcsok kulcstartónak vagy USB flash meghajtónak tűnnek. Az USB tokenek az intelligens kártyák minden előnyével rendelkeznek, amelyek a biztonságos adattároláshoz és a kriptográfiai műveletek végrehajtásához kapcsolódnak a tokenen belül, de nincs meg az a fő hátrányuk, hogy a token nem igényel további olvasót. Az USB-token az USB-porthoz csatlakozik. Az 1. táblázat az USB-tokenek jellemzőit foglalja össze.

1. táblázat – Az USB-tokenek jellemzői

Az USB-tokenek hátrányai közé tartozik a garantált csatlakozások száma (csak 5000-szer), valamint a meglehetősen magas költség és a rossz mechanikai biztonság.

PIN kód használata

A PIN-kód kitalálásának legegyszerűbb támadása (a leskelődésen kívül) az érték kitalálása. A találgatás valószínűsége a PIN kód hosszától és a megengedett beviteli kísérletek számától függ. Számítsuk ki ezt a valószínűséget.

• X - a lehetséges PIN kód kombinációk száma
• m — pozíciónként lehetséges szimbólumok száma
• n - a PIN-kód pozícióinak száma
• P - a találgatás valószínűsége
• i — a találgatási kísérletek száma

A lehetséges kombinációk száma x = m n. A PIN-kód kitalálásának valószínűsége az i kísérletekkel: P = i/m n . Például, ha a PIN kód 4 tizedesjegyből áll, n = 4, m = 10, akkor a lehetséges kombinációk száma x = 10 4 = 10000. Ha a megengedett beviteli kísérletek standard számát vesszük, i = 3, akkor a PIN kód kitalálásának valószínűsége 0,03%.

Ha szeretné elolvasni a sorozat következő részét, kérjük, kövesse a linket

Eddig gyakran a jelszavak voltak az előnyben részesített/megkövetelt hitelesítési mechanizmusok a nem biztonságos rendszerekhez és adatokhoz való hozzáférés során. De a nagyobb biztonság és kényelem iránti, szükségtelen bonyolultság nélküli növekvő igények ösztönzik a hitelesítési technológiák fejlődését. Ebben a cikksorozatban megvizsgáljuk a Windows rendszeren használható különböző többtényezős hitelesítési technológiákat. Az 1. részben a chip alapú hitelesítéssel kezdjük.

Amikor a jelszó egyszerűen nem működik

1956-ban George A. Miller írt egy kiváló cikket "The Magical Number Seven, plus or Minus Two: Some Limits on Our Capacity for Information" címmel. Ez a cikk azokról a korlátokról szól, amelyeket emberekként tapasztalunk, amikor meg akarunk emlékezni bizonyos információkról. Ennek a munkának az egyik megállapítása az, hogy az átlagember hét (7) információra képes emlékezni egyszerre, plusz-mínusz kettő (2). Más tudósok később megpróbálták bebizonyítani, hogy az átlagember egyszerre csak öt (5) információra tud emlékezni, és ismét plusz/mínusz kettőre (2). Ha azonban ez az elmélet igaz, akkor ellentmond a jelszó hosszára és bonyolultságára vonatkozó tanácsoknak, amelyek különböző forrásokban olvashatók, vagy a biztonságra érzékeny emberektől hallhatók.

Gyakran mondják, hogy a komplexitás az egyik legnagyobb biztonsági fenyegetés. Az egyik terület, ahol ez a minta megfigyelhető, az az, amikor a felhasználóknak és a rendszergazdáknak összetett jelszószabályokat kell betartaniuk. A kreativitás és a megkerülő megoldások, amelyeket néha látok a felhasználóktól és a rendszergazdáktól, amikor nehezen emlékeznek jelszavaikra, soha nem szűnnek meg ámulatba ejteni. De ugyanakkor ez a probléma szinte mindig az első ötben van a súgótáblázaton. És most, hogy a Gartner és a Forrester becslése szerint minden egyes elveszett jelszóval küldött ügyfélszolgálati hívás hozzávetőlegesen 10 USD-ba kerül, egyszerű költség-haszon elemzést végezni a szervezet jelenlegi jelszópolitikájáról.

A jelszavak, mint az egyetlen hitelesítési mechanizmus, mindaddig megfelelőek, amíg a jelszó 15 karakternél hosszabb, és tartalmaz legalább egy nem angol karaktert. A jelszavak olyan hosszú jelszavak példái, amelyeket a felhasználók könnyebben megjegyezhetnek. Ez biztosítja, hogy a legtöbb szivárványos támadás, beleértve a 8 bites támadásokat is, meghiúsuljon az idegen karakterek által biztosított összetettség miatt.

A jegyzet: A Windows 2000 óta a jelszó legfeljebb 127 karakter hosszú lehet.

A jelszavak azonban nem hatékonyak, mivel az egyetlen hitelesítési mechanizmus az, hogy a felhasználók rosszul találnak és emlékeznek a jó, erős jelszavakra. Ráadásul a jelszavak gyakran nincsenek megfelelően védve. Szerencsére vannak olyan biztonsági megoldások, amelyek rövid, könnyen megjegyezhető jelszavak használatával javítják a biztonságot és a kényelmet.

Chip alapú hitelesítés

Az egyik ilyen biztonsági megoldás a chip alapú hitelesítés, amelyet gyakran kéttényezős hitelesítésnek is neveznek. A kéttényezős hitelesítés a következő elemek kombinációját használja:

1. Valami, amivel rendelkezik, például intelligens kártya vagy USB flash meghajtó.
2. Valami, amit tud, például egy személyi azonosító szám (PIN). A PIN-kód hozzáférést biztosít a felhasználó számára az intelligens kártyán tárolt digitális tanúsítványhoz.

Az 1. ábrán két különböző megoldás látható, amelyek lényegében ugyanannak a technológiának a képviselői. Őszintén szólva, a fő különbség az ár és a forma, bár mindegyik megoldás tartalmazhat Extra lehetőségek, mint hamarosan látni fogjuk.

Példa távoli hitelesítéshez használt intelligens kártyára, Windows hitelesítésre,

fizikai hozzáférés és fizetés Példa USB flash meghajtók chip alapú hitelesítéssel és flash memóriával az információ tárolására 1. ábra: Két példa chip alapú hitelesítéssel

Az intelligens kártyák, valamint az USB flash meghajtók beépített chippel rendelkeznek. A chip egy 32 bites mikroprocesszor, és jellemzően egy 32 KB-os vagy 64 kb-os (EEPROM - elektromosan törölhető programozható, csak olvasható memória) (RAM) memóriachipet tartalmaz intelligens kártyába vagy USB flash meghajtóba. Ma már léteznek akár 256 KB-os intelligens kártyák és USB flash meghajtók is véletlen hozzáférésű memória biztonságos adattároláshoz.

A jegyzet: Amikor ebben a cikkben a tárolásról beszélünk, akkor a beépített biztonságos chipen, nem pedig magán az eszközön van szó.

Ez a chip kis operációs rendszerrel és némi memóriával rendelkezik a hitelesítéshez használt tanúsítványok tárolására. Ez a chip operációs rendszer gyártónként eltérő, ezért olyan CSP (Cryptographic Service Provider) szolgáltatást kell használnia a Windows rendszerben, amely támogatja a chip operációs rendszert. A következő cikkben a CSP szolgáltatással fogunk foglalkozni. A chip alapú megoldás bizonyos előnyökkel rendelkezik a többi többtényezős hitelesítési megoldással szemben, mivel használható hitelesítési, azonosítási és aláírási tanúsítványok tárolására. Mint említettük, mindent egy PIN kód véd, amivel a felhasználó hozzáférhet a chipen tárolt adatokhoz. Mivel a szervezetek gyakran támogatják és kiadják saját intelligens kártyáikat és flash meghajtóikat, azt is meghatározhatják, hogy milyen házirendek legyenek társítva ehhez a megoldáshoz. Például letiltják-e a kártyát, vagy utána törlődnek róla az adatok x mennyiségeket sikertelen próbálkozások. Mivel ezek a házirendek PIN-kóddal együtt használhatók, a PIN-kód lényegesen rövidebb és könnyebben megjegyezhető, biztonsági kockázat nélkül. Mindezek a paraméterek az intelligens kártyán tárolódnak a kiadás pillanatától kezdve. A chip alapú megoldás szintén nem érzékeny a külső manipulációra, így a szükséges PIN kód nélkül a chipen tárolt információk (tanúsítványok és személyes adatok) nem érhetők el, ezért nem használhatók fel semmilyen célra.

Intelligens kártyák vagy USB flash meghajtók?

Mint már említettük, az egyik különbség az intelligens kártyák és az USB flash meghajtók között az alaktényező. Mindkét megoldás a kéttényezős hitelesítés általános célját szolgálja, de mindegyik megoldásnak megvannak a maga előnyei és hátrányai. Az intelligens kártya használható fényképes azonosításra, mivel nyomtathat rá fényképet és nevet. Az USB flash meghajtó tartalmazhat flash memóriát dokumentumok és fájlok tárolására. Mindkét eszköz használható a fizikai hozzáférés ilyen vagy olyan módon történő szabályozására. Az intelligens kártya tartalmazhat chipet, mágnescsíkot, vonalkódokat és érintésmentes képességeket, míg a flash meghajtó érintés nélküli képességgel vagy biometrikus támogatással is rendelkezhet.

A jegyzet: Más formai tényezők is léteznek, mint pl Mobiltelefonok, amelyben az (Subscriber Identity Module) SIM-kártya ugyanazt a célt szolgálhatja, mint egy intelligens kártya vagy USB flash meghajtó.

Az intelligens kártyához intelligenskártya-olvasó szükséges, míg az USB flash meghajtó a számítógépen már meglévővel használható USB csatlakozóés használja az intelligenskártya-olvasó emulálására. Az intelligenskártya-olvasóknak manapság vagy olyan interfészeket kell használniuk, mint a PC Card, ExpressCard, USB, vagy be kell építeniük néhány laptop- és billentyűzetgyártót, akik ilyen kártyaolvasókat készítettek a modelljeiken. Az intelligenskártya-olvasók szabványos Windows-eszközöknek számítanak, függetlenül az operációs rendszer chipétől, és rendelkeznek biztonsági leíróval és PnP azonosítóval. Mind a kártyaolvasókhoz, mind az USB flash meghajtókhoz illesztőprogram szükséges Windows eszközök használat előtt, ezért teljesítményi okokból mindenképpen a legújabb illesztőprogramokat használja a kéttényezős hitelesítés során.

Az egyes készülékek kezdeti ára beleszólhat abba, hogy melyik megoldást alkalmazzuk, de más különbségeket is figyelembe kell venni, például az ezekhez a hitelesítési megoldásokhoz kapcsolódó pszichológiai tényezőket. Az intelligens kártya és a hitelkártya szinte ugyanaz, sok bankkártyák ma már beépített chipek is vannak. Manapság sok cég használ intelligens kártyákat mind a fizikai hozzáféréshez, mind az ebédek fizetéséhez stb. Ez azt jelenti, hogy a kártya kényelmes és pénzbeli értéke is van, ezért az emberek kénytelenek védeni egy ilyen kártyát, és ne felejtsék el, hogy mindig maguknál tartsák. Remekül elfér a pénztárcában is, aminek plusz biztonsági hatása is lehet, attól függően, hogyan nézzük.

Néhány megfontolandó kérdés

A chip alapú hitelesítési megoldás kiválasztásakor figyelembe kell venni néhány kérdést és szempontot.

1. Kompatibilitás» Győződjön meg arról, hogy a chip operációs rendszer kompatibilis a használni kívánt CSP-vel. Amint azt a következő cikkből megtudhatja, a CSP a köztes szoftver a chip operációs rendszere és a Windows között, és felelős a chipre alkalmazott biztonsági szabályzatokért is.
2. Ellenőrzés» Ha intelligens kártyát vagy flash meghajtót kell használnia a használatához nagy mennyiség emberek, győződjön meg arról, hogy az általa választott kártyakezelő rendszerrel (CMS) kompatibilis chip operációs rendszert választ.
3. Nyújthatóság» Győződjön meg arról, hogy a chip operációs rendszert mindenki használhatja szükséges alkalmazásokés minden szükséges hitelesítési igényhez. A jövőben további tanúsítványokra, például aláírásokra lehet szüksége az intelligens kártyán vagy a flash meghajtón Email vagy akár biometrikus adatokat. Tekintse meg a DoD Common Access Card (CAC) műszaki részleteit, amely nagy mennyiségű felhasználói információ tárolására szolgál (lásd az alábbi linket). Csak ügyeljen arra, hogy vegye figyelembe az adatvédelmi kérdéseket, amikor olyan információkat használ, mint a biometrikus adatok. A cikksorozat későbbi részében ezzel a kérdéssel foglalkozunk.
4. Egyszerű használat» Ügyeljen arra, hogy felhasználóbarát és praktikus chipmegoldást válasszon. A többtényezős hitelesítési megoldások nagy kihívása, hogy a felhasználók hajlamosak elfelejteni vagy elveszteni intelligens kártyáikat vagy pendrive-jukat, illetve elfelejteni a PIN-kódot, ha az eszközt nem használják gyakran.

Következtetés

A következő cikkben a folyamatot nézzük meg Windows előkészítés támogatja a többtényezős hitelesítési eszközöket, valamint tippeket ad az intelligens kártyák és flash meghajtók előkészítéséhez és használatához Windows XP és Windows Server 2003 körül.

Forrás www.windowsecurity.com

Olvasói megjegyzések (Nincs hozzászólás)

Csere 2007

U2F - nyílt protokoll, amely lehetővé teszi az univerzális 2-faktoros hitelesítést, támogatott Chrome böngésző 38 és később. Az U2F-et a FIDO Alliance fejlesztette ki – egy szövetség Microsoft cégek, Google, Lenovo, MasterCard, Visa, PayPal stb. A protokoll anélkül működik kiegészítő telepítés sofőrök be operációs rendszer Windows/Linux/MacOS. Wordpress szolgáltatások,Google, LastPass támogatja a protokollt. Tekintsük a vele való munka minden előnyét és hátrányát.

A kétlépcsős azonosítás növekvő népszerűsége fényében, amelyet hívással vagy SMS-üzenet küldésével hajtanak végre, logikus kérdés merül fel - mennyire kényelmes, és van-e buktatója ennek a hitelesítési módszernek?

Mint kiegészítő módszer A hívás vagy üzenetküldés által végzett hitelesítés természetesen nagyon kényelmes. Sőt, ez a módszer sok esetben hatékonynak bizonyult - például adathalászat, automatizált támadások, jelszókitaláló kísérletek, vírustámadások stb. elleni védekezésként egyaránt alkalmas. A kényelem mögött azonban egy veszély húzódik meg – ha a csalók belevágnak a dolgukba, a telefonszámra mutató linkelés ön ellen hathat. Leggyakrabban a fiók a felhasználó megadott elérhetőségi számához kapcsolódik, amelynek első vagy utolsó számjegyét bárki felismerheti, ha megpróbálja visszaállítani a hozzáférést a fiókhoz. Így a csalók megtudhatják az Ön telefonszám, majd határozza meg, hogy kinek adták ki. Miután megkapták a tulajdonosról szóló információkat, a csalók hamis dokumentumokkal maradnak az üzemeltető szalonjában cellás kommunikáció kérje a SIM-kártya újbóli kiadását. Bármely fióki alkalmazott jogosult a kártyák újrakibocsátására, amely lehetővé teszi a csalók számára, hogy miután megkapták a kívánt számú SIM-kártyát, bejelentkezzenek az Ön fiókjába, és bármilyen manipulációt végezzenek vele.

Egyes cégek, például a nagybankok, nemcsak a tulajdonos telefonszámát mentik el, hanem a SIM-kártya egyedi azonosítóját is - IMSI, ha megváltozik, a telefonszám összerendelése megszűnik, és azt a banki ügyfélnek személyesen újra meg kell tennie. Az ilyen szolgáltatások azonban nem eléggé elterjedtek. Annak érdekében, hogy megtudja az IMSI-t bármely telefonszámhoz, küldjön egy speciális HLR-kérést az smsc.ru/testhlr webhelyen.

Webáruházunkban vásárolhat egy modern, kétlépcsős hitelesítést támogató böngészőt, amely további biztonságot garantál fiókja számára.