USB-токен: безопасная аутентификация

Для обеспечения защиты доступа к данным одним из необходимых факторов является организация надежной процедуры аутентификации, гарантирующей безопасный доступ к ресурсам для сотрудников компании и ее партнеров. Наиболее надежным методом аутентификации с точки зрения безопасности является использование средств двухфакторной аутентификации (например, USB-ключей (токенов)).


Алексей Вагин, консультант отдела информационной безопасности
компании "БМС Консалтинг"

USB-токен представляет собой смарт-карту и считыватель в едином корпусе, выполненном в виде USB-ключа. Это позволяет пользователям и администраторам более эффективно управлять процессом аутентификации, безопасно сохраняя в памяти токена пароли, закрытые ключи, сертификаты открытого ключа, профили пользователя и другую информацию, нуждающуюся в безопасном хранении.

Чем же, все-таки, использование USB-токенов лучше и безопаснее привычного для нас парольного метода защиты, являющегося наиболее простым с точки зрения реализации? Всем известно, что если использовать пароли достаточной длины (10 символов и более) и сложности (например, с использованием символов разных регистров, цифр и спецсимволов), довольно-таки тяжело будет подобрать такой пароль даже с использованием специальных программ. Однако длинные пароли обладают очевидным недостатком: их сложнее запомнить. Более того, в целях безопасности парольную фразу необходимо периодически менять. И еще одна трудность: на каждое из используемых пользователем приложений должен использоваться отдельный пароль. В результате либо политики парольной защиты не соблюдаются, либо сотрудники компаний начинают использовать осмысленные комбинации (имена, год рождения), что существенно повышает вероятность подбора с использованием метода "словарной атаки" и социальной инженерии. Ну и не редкость, конечно же, когда работники записывают пароли на бумажках, которые лежат на рабочих столах или приклеены к мониторам. Тут уже и взламывать ничего не надо.

Но даже если в компании политика парольной защиты действительно используется, всегда найдутся методы, с помощью которых злоумышленник сможет получить пароль. Например, злоумышленник может прочитать пароли пользователя из парольного файла или резервной копии, а исходя из знаний личных данных жертвы, злоумышленник пытается войти в систему с помощью имени пользователя жертвы и одного или нескольких паролей, которые она могла бы использовать.

Не меньшую опасность для парольного типа аутентификации представляет и вредоносное программное обеспечение, способное незаметно для пользователя инфицировать его ПК и отправлять всю вводимую с клавиатуры информацию своему создателю. Более того, на сетевом уровне злоумышленник может скрытно установить программное обеспечение, имитирующее обычную регистрационную программу, которая на самом деле будет собирать имена пользователей и пароли при попытках пользователей войти в систему.

Решить подобные проблемы можно при помощи использования электронных ключей (USB-токенов) и других аппаратных аутентификаторов, которые разработаны специально для надежного противостояния различным типам атак и которые обеспечивают максимально высокий уровень безопасности.

Мобильность смарт-карт и USB-ключей позволяет пользователю безопасно работать в "недоверенной среде" (например, Интернет), так как ключи шифрования генерируются аппаратно микросхемой смарт-карты, никогда не покидают её и не могут быть извлечены или перехвачены. Реализуя принцип двухфакторной аутентификации, данный тип устройств может быть использован злоумышленником только в том случае, если он будет иметь физический доступ к устройству и знать его PIN-код. Кража отдельно USB-токена или пароля бесполезна.

Большие возможности USB-ключей позволяют им работать со всеми приложениями, использующими технологии смарт-карт, что делает их незаменимым средством для проведения защищенных финансовых транзакций, применения в приложениях, предназначенных для электронной коммерции, а также для безопасного доступа в корпоративную сеть, к защищенным информационным ресурсам и порталам. Существует возможность использования токенов в системе единой авторизации (Single Sign-On), благодаря чему пользователям больше не нужно запоминать пароли для различных учетных записей. Все, что им нужно, – это иметь USB-токен и знать единственный пароль, необходимый для доступа к нему. Электронный ключ управляет реквизитами пользователя и автоматически использует их для заполнения Web-форм, ввода данных в прикладных приложениях и входа в сеть. С помощью токена сообщения и документы можно снабжать электронной подписью, используя технологию инфраструктуры открытых ключей, обеспечивающую достоверность электронных сообщений.

Конечно же, существуют и трудности при использовании USB-токенов по сравнению с парольной защитой, а именно:

  • сложность внедрения решения (ведь, кроме закупки самих токенов, необходимо развернуть программный комплекс, выполняющий функции управления токенами, а также решить вопросы интеграции с приложениями, используемыми в компании);
  • сложность в обслуживании (администраторы должны уметь, например, восстанавливать забытые пароли к ключам, подключать новые токены к системе и т.д.).

Но все это решается либо путем обучения обслуживающего персонала, либо путем привлечения системных интеграторов, обладающих практическим опытом внедрения подобных проектов.

Поэтому USB-токены и их аналоги все больше завоевывают доверие на рынке. Все больше компаний приходят к выводу, что использование устройств двухфакторной аутентификации в значительной степени повышает защищенность доступа к информации. И со временем использование однофакторной аутентификации будет вытеснено, особенно в критичных для бизнеса компаний сферах применения.

— Алексей Вагин, консультант отдела информационной безопасности
компании "БМС Консалтинг"

2008.12.17
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".