Аутентификация – это процесс проверки личности кого-либо.
(Не путайте с авторизацией – процесс проверки того, что
разрешено делать пользователю). Хотя эти два термина зачастую
очень тесно связаны, их не надо путать.
Аутентификация (Authentication) – это процесс, с которым
связано много споров среди специалистов. Пароли всегда были
стандартом де факто для аутентификации пользователей
практически во всех средах. Пароли используются для
обеспечения безопасности наших систем, и во многих случаях –
это единственный барьер, который стоит между неавторизованным
пользователем и важными данными. Если набран верный пароль, то
пользователю разрешается зайти в запрашиваемую систему.
За последние несколько лет был достигнут консенсус, что
необходимо делать для того, что максимально обезопасить
системы и данные. Специалисты по безопасности выяснили, что
пароль легко подобрать, и если они являются очень сложными,
что пользователи записывают их, а записанный пароль легко
заполучить.
Но в действительности, сколько систем было взломано,
благодаря взлому пароля? Чтобы прояснить картину, после
изучения годовой конференции по безопасности, на которой
обсуждались вопросы такого типа, было выяснено, что почти все
системы, защищенные паролем, можно взломать при наличии
достаточной удачи и времени, даже если и блокировать
пользователя после нескольких неправильных попыток ввода, т.к.
существуют техники, которые позволяют обойти это ограничение.
Международные студии выяснили, что пароля являются уязвимостью
для всех платформ.
Какие проблемы с паролями?
- Пароли можно списать.
- Пароли можно украсть по сети во время передачи в виде
обычного текста (обычный случай)
- Пароли можно перехватить локально, используя специальные
программы
- Необходимость запоминания множества паролей приводит к
тому, что пользователь использует в различных системах один
и тот же пароль.
- SOX, HIPPA, GLB и другие требования к совместимости
теперь задают более жесткий контроль, чего не делается с
помощью пароля.
Что можно сделать?
Итак, теперь, когда мы знаем об уязвимости паролей, что
можно сделать для структуры сильной аутентификации в вашей
организации?
Что-то вы можете выписать. Одноразовый пароль или
двухфакторная аутентификация.
Какой пароль нельзя перехватить по сети? Зашифрованный
пароль, или вы можете попытаться вашу LAN, а затем Интернет,
но это может занять много времени, однако одноразовый пароль
сделает все дело.
Очень трудно избежать локально перехвата пароля, особенно
при появлении на сегодняшний день физических устройств для
перехвата нажатий на клавиатуре. Их очень сложно обнаружить с
помощью программных инструментов для обнаружения, и в
большинстве случаев очень сложно заметить, если не проводится
подробный аудит аппаратного обеспечения. В этом случае также
помогут одноразовые пароли.
Одноразовые пароли – это пароли, которые задаются только
для одноразового использования, после чего они становятся
неверными. Эти пароли часто формируются специальными
символьными устройствами, которые синхронизированы с сервером,
сервер запрашивает у пользователя пароль, а пользователь
использует жетон для формирования пароля, этот одноразовый
пароль затем используется пользователем для
аутентификации.
Single Sign On
Если используется несколько систем, для которых необходим
доступ, и для каждой платформы или приложения используются
различные права, то можно использовать Single Sign On (SSO
включение единой подписи). Эти системы SSO обычно берут ваши
права, преобразуют их в уникальный очень сложную строку,
которые посылаются, когда запрашиваются ваши права на вход.
Ваши права хранятся централизованно на сервере SSO, а также в
зашифрованном виде локально. Совместно со вторым фактором
аутентификации, вы приблизитесь к более безопасному механизму
аутентификации.
Для чего использовать SSO?
Single Sign On упрощает доступ к системе и снижает
количество паролей, которые необходимо помнить пользователю.
Но помните, что хотя SSO и звучит как утопия, неправильная
реализация SSO может привести к непредвиденным результатам.
Благодаря использованию SSO организация может сэкономить, но
эту реализацию должна проверь незаинтересованная организация.
Правильно установленная SSO в действительности экономит время,
а, следовательно, и деньги.
Что такое многофакторная аутентификация?
Многофакторная или сильная аутентификация обычно состоит из
двух или более механизмов аутентификации (authentication
mechanism). Представьте себе сильную аутентификацию в виде
замка к двери. Несколько замков – лучше безопасность.
Различные уровни безопасности, но эти уровни только эффективны
в определенных случаях. Чтобы эффективно реализовать
эффективную многофакторную аутентификацию, необходимо все
четко спроектировать и спланировать.
Что-то, что вы знаете
Термин, что-то вы знаете, относится к последовательности
символов, как пароль или нажатие мыши на экране, или код.
Что-то, чем вы являетесь
Что-то, чем вы являетесь, относится к пользователю,
например, отпечатки пальцев, оттиск сетчатки глаза, или
распознавание голоса, т.е. паролем является сам
пользователь.
Что-то, что у вас есть, относится к тому, что есть у
пользователя, например, символьное устройство, которое
выпускает одноразовые пароли или OTP, или смарт-карты, которые
пользователь вставляет в специальное устройство, когда
требуется аутентификация. Эти механизмы становятся очень
популярными и часто используются совместно с паролем или
PIN.
Если используются два или более из этих механизмов
аутентификации, то достигается сильная аутентификация.
За последние 15 лет банки использовали механизмы
многофакторной аутентификации, например, банковская карта с
магнитной полосой и пин-кодом для получения доступа к вашим
средствам. Хотя примитивное решение является более
эффективным, чем набор имени пользователя и пароля на ATM,
т.к. вам нужна и карта и пин-код для совершения
транзакции.
Почему с такой неохотой переходят на механизм сильной
аутентификации?
Интеграция
Традиционно, реализация механизма сильной аутентификации
неправильно поддерживалась, была сложно в интеграции и
реализации, но эти времена прошли, и многие производители
начали использовать свои навыки и технологии для помощи
организациям с сильной аутентификацией. Т.к. эти решения стали
больше использоваться, то пользователи стали лучше знать
технологию. Т.к. контроль доступа является ключевым для
безопасности, то лучше использовать сильную аутентификацию.
Точно также страхование не важно до тех пор, пока оно вам не
понадобиться. Основным для рассмотрения элементами являются
LDAP и интеграция директорий, а также совместимость системы и
приложений, т.к. от этого зависит эффективности и
управляемость решения.
Пароли просты, и мы это знаем
Люди используют то, с чем знакомы, если мы не знаем о
чем-то, то мы большей неохотой этим пользуемся, пока мы не
поймем, что это действительно лучше. Многие организации очень
рады использовать пароли и только пароли. Т.к. новое решение
потребует изменений и, возможно, затрат. Но тут все гораздо
сложнее. Если вы охраняете конфиденциальные клиентские данные,
и произошел взлом, то вы можете понести еще большие убытки,
при этом пострадает репутация компании. А это на сегодняшний
день очень важно.
Поддержка и знание альтернативных систем
Как поддерживать данное решение, и какие из новых решений
необходимо использовать – такие вопросы чаще всего задают
организации, когда собираются перейти к реализации решений
сильной аутентификации. Обычно я отвечаю так: «Пробуйте и
используйте те технологии, которыми вы уже владеете». Это
позволит не только снизить затраты, но и облегчит реализацию и
интеграцию данного решения. Составьте список требований и
список соответствия тех возможностей, которыми обладает
программное обеспечение. Так лучше всего начать. Если не все
из ваших требований удовлетворены, то попробуйте найти, такой
продукт, который удовлетворит вашим требованиям.
Совместимость не строгая
До 2007 несколько людей попало в тюрьму, за несоответствие
актам и поправкам. Как только законы и поправки становятся
жестче, люди становятся более законопослушными. Такие системы,
как сильная аутентификация и многофакторная аутентификация
помогают в соблюдении законности, так такие системы обладают
лучшим аудитом по сравнению с паролем. Особенно в тех случаях,
когда для аутентификации используются ваши биометрические
данные, очень сложно доказать, что кто-то украл ваш глаз, а
при этом пропали $5,000,000 и вас не поймали на месте
преступления.
Резюме
Теперь чаще, чем раньше, все больше аппаратного обеспечения
проектируется и продается с инструментами для безопасности,
как стандарт. Производители разрабатывают интересные решения,
как динамические клавиатуры, динамические подписи,
распознавание температуры тела, и другие уникальные
биометрические решения. Биометрические считыватели отпечатков
пальцев теперь интегрируются в клавиатуры и ноутбуки. Сканеры
сетчатки глаза используются в международных аэропортах,
например, в Хитроу (Heathrow), чтобы ускорить проверки
безопасности, а распознавание речи будет использоваться в
банках, чтобы удостоверить вашу личность при звонке в службу
помощи.