Поделиться
USB-токены: правила выбора
Электронные ключи появились давно, но пока не сумели вытеснить стандартную процедуру идентификации по логину и паролю. Это более чем странно, учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы перед внешними атаками и в достаточном количестве представлены на российском рынке. Главное, не ошибиться с выбором."Пароль" устарел
Идентификация с помощью "логина" и "пароля" - вещь обыденная. Однако, такая схема "распознавания" пользователя системой несколько устарела с точки зрения безопасности и удобства использования. Зачастую, увеличение акцента на защиту информации снижает комфортность контроля доступа для пользователя. Так, пароли созданные в соответствии с предъявляемыми требованиями к сложности (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) тяжелы для запоминания конечному пользователю. Таким образом, главной проблемой становится человеческий фактор.
К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, P@ssw0rd), и перебором (особенно коротких паролей.) Также пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция - использование двухфакторной аутентификации на основе USB-токенов. В России доля таких устройств занимает доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на Российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, "Актив" совместно с "Анкад", RSA Security, а также Feitian Technologies с ее продуктом ePass.
На вопросы корреспондента CNews ответил Дэян Момчилович, руководитель отдела по работе с партнерами Rainbow Technologies.
CNews: Насколько оправданно использование в компаниях USB-токенов и смарт-карт? Являются ли они сами по себе хорошим средством внутренней безопасности?
Дэян Момчилович: Использование любых средств информационной безопасности определяется в первую очередь ценностью той информации, которую необходимо защищать. Соответственно, это важно учитывать и при использовании персональных идентификаторов - USB ключей и смарт-карт.
На вопросы корреспондента CNews ответил Михаил Романов, руководитель сектора информационной безопасности "Техносерв А/С".
CNews: Насколько оправданно использование в компаниях USB-токенов и смарт-карт? Являются ли они сами по себе хорошим средством внутренней безопасности?
Михаил Романов: В настоящее время существует большое количество средств аутентификации и авторизации пользователей. Также постоянно растёт количество приложений, применяемых в компаниях. Оба эти фактора создают определённые трудности, как пользователям приложений, так и персоналу, ответственному за информационную безопасность предприятия.
Сколько стоит современная защита?
Интеллектуальные USB-ключи предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. USB-ключи можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-ключей по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь, если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже стоимости токена. Отметим, что USB-ключи, не выполненные по архитектуре "смарт-карта + карт-ридер", например, ruToken, "Шипка", выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).
Средняя стоимость внедрения систем контроля доступа
| USB-ключ | Смарт-карта + считыватель | |
| 500 пользователей, 500 компьютеров | ||
| 500 пользователей, 250 компьютеров |
Источник: CNews Analytics, 2006
Продемонстрируем это на примере продукции Aladdin. Один электронный USB-ключ eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive IIIe USB V2 – $40.
Тонкости выбора USB-токенов
USB-токен - это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты в считыватель. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель токена, это необходимо проверить. Зачастую, выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена, маленький размер памяти смарт-карты здесь является преимуществом, поскольку это не позволяет сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта - программа плюс USB-токен - надо убедиться, что вас обеспечат драйверами для USB токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.
Состав USB-ключа
- Процессор (обычно, RISC-процессор) – управление и обработка данных;
- Процессор для решения криптографических задач на аппаратном уровне – реализация алгоритмов ГОСТ 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 и других криптографических преобразований;
- USB-контроллер – обеспечение интерфейса с USB-портом компьютера;
- Оперативная память RAM – хранение изменяемых данных;
- Перепрограммируемая память EEPROM – хранение ключей шифрования, паролей, сертификатов и других важных данных;
- Постоянная память ROM – хранение команд и констант.
Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей – их запоминает токен. Следует запомнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор "запирает" токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.
Поделиться
Короткая ссылка
