РешенияПродуктыКонсалтингПоддержкаКонтакты
Перейти на предыдущую страницу  Перейти на главную страницу  Версия для печати  

Сравнительный анализ средств и технологий аутентификации и авторизации доступа

Строгая аутентификация - что это?

Строгая (иногда говорят – жесткая) аутентификация - это надежное и достоверное определение источника информации. Среди разнообразия различных методов и технологий проведения аутентификации по уровню жесткости выделяются следующие классы, построенные на количестве факторов/параметров процесса:

  • одиночный фактор, типовой пароль – слабая схема;
  • два и более факторов, например, токен код + PIN-код – строгая схема.

    Обычно реализация строгой схемы подразумевает предъявление следующих атрибутов:

  • пользователь что-то имеет в качестве доказательства при проведении аутентификации, например, токен-брелок, смарт-карту, мобильный телефон, PDA etc.;
  • пользователь что-то знает, что ведомо только ему и проверяющему, например, пароль или PIN.

    Дополнительными или альтернативными факторами могут быть элементы биометрики, т.е., подтверждение того, кто он есть на самом деле, например, отпечаток пальца, голосовой спектр, сканирование ирисовой оболочки глаза и пр.

    Управляемый сервис – большая гибкость и снижение рисков.

    Гибкость сервиса означает универсальное разнообразие в подходе управления полномочиями пользователей, т.е., учитывающего особенности и потребности конкретного пользователя. Например, для универсализации контроля доступа удаленных пользователей лучше подходят SeсurID токены; для штатных сотрудников офиса, где нужен повседневный доступ на основе single-sign-on (SSO) – смарт-карты, USB токены; для однократного или редкого доступа удобнее использовать доставку One-Time-Password (OTP) через SMS сервис на мобильный телефон. В случае если меняется матрица прав пользователей, то единый сервис позволяет при таком подходе просто и быстро изменить схему полномочий доступа пользователя, что, собственно, и составляет гибкость и скорость в обслуживании средств обеспечения безопасного доступа в контролируемые ресурсы.

    Ниже приведено краткое описание особенностей технологий строгой аутентификации , имеющихся на рынке средств, с некоторым анализом уровня жесткости, а также их проекцией на специфику использования в соответствующих приложениях и/или ресурсах.

    Технология RSA SecurID

    Эта технология построена на процедуре генерации одноразового пароля (OTP) c привязкой по синхронизации к серверной компоненте. Генерируемый токен является псевдослучайной величиной от секретного начального вектора генерации и времени, преобразованного в отображаемый вид (6-8 знаков) на дисплее, изменяющийся каждые 60 секунд. На текущий момент к собственному алгоритму RSA генерации добавлена реализация на основе стандарта AES.

    При входе в систему (firewall, web server) пользователь дополняет текущее число на токене своим секретным PIN-кодом и вводит их как один так называемый passcode.

    Система отсылает сформированный passcode серверу аутентификации, который проверяет его валидность путем симметричной генерации части passcode. Результат посылается обратно в систему, которая соответственно даёт доступ или отказывает в нём.

    Основные преимущества:

  • уникальное устройство, которое нельзя скопировать;
  • вместе с секретным PIN кодом обеспечивает безопасную двухфакторную аутентификацию;
  • пользователь хранит свой токен в безопасности, а в случае утери может отменить его действие;
  • устройство не требует никаких дополнительных считывающих устройств;
  • пользователь может вводить passcode с любого терминала, под управлением любой ОС;
  • идеален для удалённого доступа в Интернет;
  • широкая поддержка в распространённых сетевых устройствах, межсетевых экранах, веб-серверах и операционных системах;
  • простота настройки на практически любой архитектуре;
  • выбор устройства для SecurID: брелки, Palm PDA или новые мобильные телефоны;
  • RSA Security – надежный в технологическом и устойчивый в финансовом смысле производитель.

    Издержки или слабости:

  • пользователь обычно должен раздельно проходить аутентификацию при входе в каждую систему, защищённую SecurID;
  • цепочная схема авторизации требует от пользователя получения следующего значения кода на токене;
  • может потребоваться запрос повторной аутентификации при очень продолжительной сессии, когда пользователи работают целый день;
  • обеспечивает лишь аутентификацию объекта, но не предназначен для реализации других услуг по защите информации, например, подписи передаваемых данных;
  • зависимость от батареи – токен необходимо менять каждые 2-5 лет;
  • чтение с дисплея может быть затруднительно при ослабленном зрении.

    Идеальные условия применения

    Идеальная среда:

  • компании и сервис-провайдеры с контролируемым уровнем безопасности и строгой формой учета доступа пользователей;
  • обеспечение целевого, безопасного доступа к ресурсам компании, мобильным и удалённым сотрудникам;
  • для доступа с любого компьютера с любого места (из дома, из интернет-кафе) без дополнительных устройств чтения.

    Идеальное применение:

  • безопасный корпоративный RAS и VPN доступ;
  • приложения, которые требуют авторизации либо через web-browser, либо через своего т.н. «тонкого клиента», например, Citrix/Terminal Server;
  • администрирование удалёнными серверами и/или сетевыми устройствами;
  • поддержка системными администраторами офисных систем в нерабочее время из дома.

    Цифровой сертификат с хранением на смарт-карте или USB токене

    Индивидуальный ключ пользователя и связанный цифровой сертификат сохраняются на смарт-карте (формата кредитной карты) или на ключе, который имеет USB-интерфейс.

    Для входа в систему пользователь помещает смарт-карту в устройство для чтения или подключает ключ в USB-порт, играющий роль считывателя. Проводится протокол аутентификации объекта доступа с использованием сертификатов и индивидуальных ключей, находящихся на смарт-карте. От пользователя требуется ввод PIN-кода для получения доступа к защищенной информации, размещенной на карте. Карта или ключ обычно находятся подключёнными к компьютеру в течение всей сессии, которая закрывается автоматически при извлечении смарт-карты из считывателя.

    Основные преимущества:

  • уникальное устройство, которое нельзя скопировать;
  • пользователь хранит смарт-карту в безопасности, а в случае утери может запросить отзыв сертификата находящегося на ней;
  • вместе с PIN-кодом обеспечивает двухфакторную аутентификацию: что-то, что ты знаешь и что-то, что имеешь;
  • с помощью индивидуального ключа, не покидающего смарт-карту, возможно безопасно подписывать и шифровать файлы, электронную почту и документы;
  • обеспечивается защита от перехвата частных данных пользователя;
  • обеспечивается быстрый и безопасный вход в корпоративную сеть, VPN и веб-порталы;
  • упрощённый процесс входа в систему, для чего пользователю необходимо ввести только PIN-код, при этом имя пользователя автоматически читается с карты;
  • может обеспечивать простую идентификацию во многих приложениях: сохранить несколько имён пользователей и паролей;
  • безопасный выход из системы или блокировка рабочей станции при удалении карты;
  • USB- ключ не требует дополнительного устройства чтения.

    Издержки или слабости:

  • можно использовать только смарт-карты на компьютерах с совместимыми читающими устройствами и операционными системами или с предустановленным специальным программным обеспечением;
  • USB-ключи зависят от простоты доступа к USB-порту и совместимой операционной системы или драйверов;
  • таким образом, пользователь ограничен компьютерами компании (не может войти с произвольного домашнего компьютера, офиса клиента или интернет-кафе);
  • пользователи часто оставляют смарт-карты в считывающих устройствах, таким образом, уменьшая обеспечиваемую безопасность. Выход – сопрягать физический и логический доступ на одной карте – proximity-smart;
  • эффективность применения смарт-карт зависит от наличия PKI-ready приложений;
  • проблема совместимости смарт-карт и устройств чтения разных производителей;
  • издержки по поддержке физических устройств.

    Идеальные условия применения

    Идеальная среда:

  • компании с жестким и контролируемым уровнем безопасности и ответственностью пользователей;
  • ИТ подразделения, имеющие полный контроль над всеми настольными системами, где администратор может правильно установить операционную систему, программные драйверы и устройства для чтения смарт-карт.

    Идеальные применения:

  • режим доступа SSO к различным корпоративным приложениям, где нужно уменьшить количество и сложность паролей;
  • безопасная аутентификация в домене Windows 2000 в LAN или через VPN;
  • аутентификация для всех приложений осуществляется через Веб-портал;
  • пользователь может безопасно войти в систему на любом сетевом компьютере и автоматически выйти, изъяв карту из считывателя;
  • удалённые пользователи VPN имеют безопасный доступ к корпоративной сети через соединения типа VPN: Check Point SecuRemote, Win2000 & Cisco VPN;
  • цифровая подпись электронной почты, контрактов и форм;
  • интеграция корпоративных карт идентификации: одна и та же карта для прохода в здание, карта photo ID, а также для доступа в сеть и для сервиса цифровой подписи.

    Цифровой сертификат, хранимый на файловой системе компьютера пользователя

    Работает также как и в случае со смарт-картой, только индивидуальный ключ и цифровой сертификат хранятся на жёстком диске компьютера или дискете.

    Основные преимущества:

  • дешевле, чем использование смарт-карт;
  • нет необходимости в дополнительном оборудовании и дополнительном программном обеспечении;
  • может использоваться для систем с применением подписи и шифрования с невысоким уровнем требований по безопасности.

    Издержки или слабости:

  • легко получить доступ к индивидуальному ключу пользователя со всеми вытекающими отсюда последствиями;
  • индивидуальный ключ защищён только паролем, обеспечивающим слабую однофакторную аутентификацию;
  • факт компрометации индивидуального ключа может быть не замечен;
  • пользователь привязан к одному компьютеру. Теряется мобильность ключевого материала;
  • при копировании ключевого материала на другой компьютер понижается безопасность и надежность. Как результат, идентификационные данные и цифровая подпись пользователя не могут иметь серьёзного доверия.

    Идеальные условия применения

    Идеальная среда:

  • сетевое окружение с невысокими требованиями к безопасности без жесткого аудита или декларированной ответственности пользователей;
  • сетевые приложения с низкими требованиями безопасности, где пользователь использует один и тот же компьютер.

    Идеальные применения - электронные транзакции небольшой стоимости и другие схемы документооборота невысокой критичности.

    Сервис на основе RSA Mobile

    Пользователь входит в On-line систему со своим именем и PIN-кодом или паролем. Система оповещает сервис, который доставляет одноразовый passcode (OTP) указанному пользователю на мобильный телефон через SMS. Пользователь вводит passcode для подтверждения, что он тот пользователь с тем телефоном, от имени которого выполняется вход в систему. Мобильный телефон выступает в роли аутентифицирующего устройства.

    Основные преимущества:

  • превращает обычный сотовый телефон пользователя в аутентифицирующее устройство;
  • совмещает секретный PIN пользователя и мобильный телефон для обеспечения двухфакторной аутентификации;
  • технология проста для понимания и использования;
  • при цепочной схеме авторизации во время ожидания passcode может быть обеспечен предварительный уровень доступа;
  • низкие издержки: предполагается, что пользователь уже имеет сотовый телефон с услугой SMS.

    Издержки или слабости:

  • требует от пользователя быть в зоне обслуживания его сотовой компании;
  • пользователю необходимо дождаться прихода SMS;
  • могут быть издержки непредсказуемой задержки передачи SMS, особенно при международном соединении;
  • может досаждать при очень частом использовании;
  • passcode передается в мобильной сети в стандартном для мобильной сети (A5) виде и может быть потенциально перехвачен, хотя при этом и обеспечивается 32 битное шифрование как для voice;
  • меньший уровень безопасности, чем в случае токенов, но гораздо больший по сравнению с паролями.

    Идеальные условия применения

    Идеальная среда:

  • сервис-провайдеры, предоставляющие услуги электронной коммерции, банковские on-line сервисы;
  • компании, предоставляющие мобильным и удалённым работникам доступ к корпоративным ресурсам.

    Идеальные применения:

  • внешние сети, финансовые приложения и электронная коммерция, где каждый пользователь имеет мобильный телефон.
  • более подходит для нечастого доступа, нежели для ежедневного использования.
  • подходит, когда пользователи и сервис-провайдеры находятся в одной стране.

    Системы с токенами Запрос/Ответ (PinPad, Vasco, Defender)

    Когда пользователь входит в систему, запрос отображается на экране. Пользователь активирует токен, вводя секретный PIN-код. Затем пользователь вводит запрос в свой токен, который выдаёт уникальный ответ. Пользователь вводит ответ, и он передаётся серверу аутентификации, который проверяет, является ли введённая информация ответом токена именно того пользователя; в зависимости от этого предоставляется доступ.

    Основные преимущества:

  • секретный PIN-код и уникальный токен обеспечивают двухфакторную аутентификацию;
  • новые токены имеют сменную батарейку, что увеличивает их время жизни;
  • нет привязки ко времени, соответственно нет сложности с синхронизацией часов.

    Издержки или слабости:

  • токен неудобен из-за клавиатуры или другого устройства ввода;
  • пользователи находят клавиатуру кропотливой в работе, а экраны сложными для прочтения;
  • многоходовый процесс входа приводит к ошибкам пользователя;
  • менее надёжный и менее распространенный на рынке, чем SecurID;
  • издержки, связанные с поддержкой физических устройств.

    Идеальные условия применения

    Идеальная среда:

  • компания, которой нужна безопасность с возможностью аудита и ответственностью пользователей;
  • безопасный доступ к корпоративным ресурсам для мобильных и удалённых работников.

    Идеальное применение - безопасный корпоративный RAS и VPN доступ.

    Биометрика

    Идентификация пользователя осуществляется в форме отпечатков пальцев, голосовой идентификации, сканирования сетчатки глаза или других форм уникальных характеристик человека. Требует специального считывающего устройства для снятия биометрических данных. Снятые данные отсылаются на сервер для сравнения с контрольными. Сервер может отбраковывать абсолютно идентичные данные, как признак атаки типа replay.

    Основные преимущества:

  • биометрика уникальна для каждого человека;
  • абсолютная мобильность – всегда все при себе;
  • простота в использовании;
  • одновременная идентификация и аутентификация.

    Издержки или слабости:

  • различие в реализациях по характеристикам надежности, уровня достоверности и безопасности приводят к сложности позиционировать биометрику, как целое;
  • требования на считывающие устройства;
  • необходимость контролировать целиком процесс сбора данных о пользователях: возможно только в защищенных, контролируемых организациях;
  • сложности по безопасной передаче отсканированной информации о пользователе на сервер;
  • так как биометрическая информация не одноразовая, то возникает подверженность атакам с повторной передачей;
  • зачастую приходится иметь дело с ложными срабатываниями – легальный пользователь не получает доступ из-за плохого качества сканирования;
  • сохраняемая персональная информация о пользователе имеет моральные и правовые аспекты;
  • пользователь не может сменить свою идентификационную информацию при переходе в другую организацию. Нет никаких гарантий, что эта информация была полностью удалена в первой организации;
  • нельзя переиздать или изменить биометрическую информацию в случае компрометации;
  • не предоставляет возможности цифровой подписи;
  • цена сканирующих устройств.

    Идеальные условия применения

    Простые биометрические схемы хороши для:

  • упрощённого входа в корпоративную сеть;
  • совмещения доступа в здание с логическим доступом - к сетевым ресурсам.

    Сложные биометрические схемы хороши для:

  • быстрой идентификации и аутентификации пользователя в условиях, когда клавиатурный ввод недоступен;
  • строгой, трёхфакторной аутентификация очень критичных финансовых, медицинских, правительственных или военных сервисов.

    Сравнительные возможности технологий аутентификации

    Приложение

    RSA Mobile

    Предложенное недавно RSA Security решение доставки токенов на мобильный телефон основано на программных компонентах, в которые входят – серверный модуль аутентификации и агентская компонета для защищаемого ресурса, а также plugin подключения к сети GSM для передачи текстовых сообщений SMS по протоколу SMPP. Никакого дополнительного аппаратного и программного обеспечения конечным пользователям не требуется. Схема предоставления доступа зарегистрированному пользователю весьма проста: при входе на Web-сайт, защищенный средствами RSA Mobile (агент), вводится имя и пароль обычным способом. После этого система ищет номер телефона, соответствующий имени абонента, и пересылает на него одноразовый код доступа в виде сообщения SMS. Пользователь вводит код доступа и получает доступ к требуемому ресурсу.

    Проведенные RSA испытания показали, что в 90% случаев код доступа доставляется по назначению менее чем за 6 секунд. Доставку кода также возможно осуществлять при помощи электронной почты (SMTP протокол) или каких-либо иных портативных телекоммуникационных устройств. Прототипы новой системы аутентификации успешно прошли испытания в Европе, Азии и США. Цены на программное обеспечение RSA Mobile весьма приемлемы, а стоимость подключения к сети мобильных телефонов и тарифы на передачу сообщений, содержащих коды доступа, должны обсуждаться непосредственно с оператором мобильной связи. Крупные организации (например, банки) уже сейчас заключают соглашения с операторами мобильных сетей для того, чтобы осуществлять рассылку клиентам уведомлений (с помощью сообщений SMS), например, о текущем состоянии их счетов. Небольшие компании имеют возможность подключения непосредственно с телекоммуникационным оператором или при посредничестве промежуточных служб, специализирующихся на интеграции корпоративных и мобильных сетей общего пользования. Программное обеспечение RSA Mobile, прежде всего, ориентировано на корпоративных пользователей, которые могут применять его в интересах своих сотрудников и клиентов. Сетевые операторы и поставщики информационных сервисов также могли бы использовать эти средства, развертывая с их помощью дополнительные услуги.

  • Перейти в начало страницы