Аутентификация: когда телефон лучше токена
Облачные вычисления, электронная коммерция, дистанционное банковское обслуживание, удаленная работа сотрудников по всему миру — эти новшества нашей эпохи могут дать огромную прибыль компаниям, которые сумеют ими грамотно воспользоваться. Одно из условий – отлаженная система ИБ, в которой важную роль играет надежный и понятный способ аутентификации пользователей в компьютерной системе. Хорошее решение проблемы — отправка паролей пользователям по отдельному каналу связи, независимому от компьютеров и интернета, которое предлагает компания TopSecurity — официальный дистрибьютор решений SecurEnvoy в России.Основной проблемой современного интернета является информационная безопасность, которая во многом зависит от правильной аутентификации. Именно обман процедуры аутентификации и лежит в основе большинства хакерских атак, в которых злоумышленники выдают себя за легальных пользователей. При этом не всегда помогают даже такие средства аутентификации как специальные устройства (токены), которые генерируют одноразовые пароли. Они не очень удобны в использовании, поскольку их нужно иметь под рукой для прохождения процедуры аутентификации. Однако, как показывает практика, и на них так же могут быть организованы атаки. Примером может служить атака на систему дистанционного банковского обслуживания нескольких банков, которая началась со взлома производителя токенов RSA.
SecurAccess интегрируется с такими службами каталогов, как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos
В то же время практически у всех пользователей современных технологий удаленного доступа есть устройство, которое привязано жестко к пользователю - это его мобильный телефон. Сейчас он постепенно превращается и в средство аутентификации пользователей. В России все контракты мобильных операторов именные и привязаны к паспортам, что обычно позволяет по номеру мобильного телефона в случае необходимости определить его владельца. Именно эту особенность мобильного телефона и использует компания SecurEnvoy, разработавшая продукт SecurAccess для аутентификации пользователей в различных веб-системах с помощью мобильного телефона.
Телефон как имя
Компания предлагает систему, которая позволяет аутентифицировать пользователя по номеру телефона. Продукт состоит из сервера, рассылающего одноразовые пароли на мобильные телефоны предварительно зарегистрированных пользователей. При этом у пользователя проверяется знание постоянного пароля для входа в систему аутентификации Windows.
Для этого продукт интегрируется с такими службами каталогов как Microsoft Active Directory, Novell E-Directory, Sun Directory Server и OpenLDAP, а сама процедура аутентификации выполняется по протоколу Kerberos. Дополнительным фактором защиты может служить PIN-код для снятия блокировки самого телефона, который вообще не передаётся по сетям и его знает только владелец телефона. Одноразовый пароль служит для подтверждения регистрации данного телефона в системе. Таким образом, систему можно отнести к классу двухфакторных с привязкой к телефону.
SecurAccess интегрируется с большинством серверов удалённого доступа и веб-службами, включая Microsoft OWA, Citrix Access Gateway, Juniper VPN/SSL, Cisco ASA и многими другими. Устанавливается он на любой существующий сервер Microsoft Windows 2003 или 2008, поддерживающий виртуальные среды, такие как VMware и Microsoft Hyper-V. Причем может работать и в условиях нестабильной сотовой связи - в одном SMS может передаваться до 3 кодов-паролей. Используя их последовательно, пользователь может получать в три раза меньше сообщений. Кроме того, есть режим получения временных ключей со сроком действия один или несколько дней - они хорошо подходят для временного персонала. Причем у пользователя есть возможность получить временный пароль с помощью веб-интерфейса или по электронной почте.
Технология, реализованная в SecurAccess, предназначена для построения систем удалённого доступа, решая наиболее сложную для них проблему двухфакторной аутентификации. Причем она проще в использовании, чем традиционные аппаратные устройства - для её применения пользователям достаточно стандартных мобильных телефонов. Кроме того, она может оказаться дешевле. Токены стоят определённых денег, да к тому же ими нужно управлять, для чего приходится разворачивать специальные приложения. В то же время при потере токена этот факт может обнаружиться не сразу, а для его замены нужно приобретать новый токен, приходить к системному администратору и прописывать его в системе.
В то же время стоимость решения с использованием мобильных телефонов зависит от лицензии на ПО и цены SMS, которая постоянно снижается. Аппаратная же часть системы - мобильные телефоны - находятся вообще в собственности пользователя, и он за них отвечает самостоятельно. Кроме того, сам пользователь следит за тем, чтобы мобильный телефон был постоянно доступен и в случае потери может легко восстановить номер.