Многофакторная аутентификация

Использование парольной аутентификации в ИС предприятий и организаций себя изживает. Продолжая применять эту традиционную методику доступа в отношении собственных информационных ресурсов, компании фактически ставят под угрозу рентабельность и, вероятно, само существование предприятия.

Это утверждение имеет смысл и относится, прежде всего, к компаниям финансового сектора, как впрочем, и ряду компаний выполняющих НИОКР в высокотехнологичных секторах рынка. Давайте рассмотрим основания для столь многозначительного вывода.

Согласно стандарту РФ о защите информации, три основных свойства определяют безопасное состояние обрабатываемой информации - её конфиденциальность, доступность и целостность. Вспомним, что парольная аутентификация, а именно она в деле защиты данных является одним из первых барьеров, появившихся в ИТ-системах одновременно с операционными системами, реализующими множественный доступ к информационным ресурсам, без малого 20 лет стоит на первом рубеже контроля. Очевидно, что среди основных достоинств этой методики защиты её привычность и простота. И вряд ли кто-то станет оспаривать достаточность применения во многих организациях парольной аутентификации и уровня безопасности использования информации, при соответствующем организационном подходе. Однако...

80% инцидентов в сфере информационной безопасности случаются вследствие использования слабых паролей - к такому выводу пришла компания Trustwave по результатам собственного исследования, охватившего ряд компаний в 18 регионах мира. Аналитики посвятили исследование уязвимости элементов в системах информационной безопасности, в процессе коего изучили более 300 инцидентов, имевших место в 2011 году. Главное заключение, сделанное в итоге: слабые пароли пользователей в ИС - наиболее уязвимое место, используемое злоумышленниками, как в крупных, так и в небольших компаниях.

Слабый пароль - это плохо, но обратная сторона применения сложных паролей - трудность удержания в памяти человека. Как следствие - небрежность их хранения в виде рабочих записей, а в этом случае уже не имеет значения, будет ли пара логин/пароль записана в личном блокноте сотрудника или закреплена на мониторе липким листком. Зная традицию обращения с такими данными работниками российских компаний, к примеру, для злоумышленника не составит особого труда получить эти сведения... Если еще учесть часто применяемую "синхронизацию" паролей для доступа к различным приложениям и корпоративным системам... И вот, минимум два из трёх столпов информационной безопасности предприятия повержены в цифровую пыль.

Некоторые зарубежные компании, действующие в сфере анализа инцидентов в системах безопасности, делают вывод: несанкционированный доступ к информации ограниченного использования о финансовой активности предприятия, договорах и графиках способен сказаться не то, что потерями - разорением. Ежегодные потери от утечек информации в США оцениваются в миллиардах долларов. Российский отраслевой портал "Информационная Безопасность Банков" в оценке финансового ущерба от возможных злоупотреблений сотрудников ссылается на исследования Ассоциации экспертов по борьбе с мошенничеством (ACFE, США), которая видит эту сумму в размере 6% прибыли банка за год. По наблюдениям ассоциации, потери при подобных инцидентах, в среднем, достигали $100 тыс., а в 14,6% превысили $1 млн.

Исследовательская компания Javelin Strategy в своем ежегодном исследовании, опубликованном в феврале 2012 года, оценила мировой объем мошенничества и утечек данных из компаний и организаций за 2011 год в $18 млрд. Не доверять экспертам нет оснований, а поправку на отставание России в области информатизации и не публичность российских банков и компаний каждый вправе сделать сам.

Невзирая на множество средств вычтехники и широкий спектр технологических решений, выбор методов аутентификации для компаний, планирующих своё будущее, невелик - многофакторная аутентификация (конечно, если в ближайшее время не случится технологический прорыв в управлении вычислительными системами при помощи мысли). Однофакторной или парольной аутентификации для безопасной работы с информационными системами в развитом бизнесе уже не достаточно.

Сильные и слабые стороны многофакторной аутентификации, в общем, известны. К преимуществам можно отнести её способность защитить информацию, как от внутренних угроз, так и от внешних вторжений. Определенной слабостью можно считать необходимость использования дополнительных программно-аппаратных комплексов, устройств хранения и считывания данных. В то же время, в настоящий момент статистика взломов систем, применяющих двухфакторную аутентификацию, отсутствует или ничтожна.

Многофакторная или расширенная аутентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и т.п. решений для конечных пользователей. Она основана на совместном использовании нескольких факторов аутентификации (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам коммуникаций.

В качестве примера может послужить процесс двухфакторной аутентификации пользователя, реализованный в настоящее время рядом российских банков: вход в личный кабинет пользователя посредством сети интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности), следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем.

Аналогичные схемы контроля и управления полномочиями пользователя, его дальнейших действий в корпоративных или других информационных системах, могут быть реализованы с применением самых различных средств и методов, выбор коих достаточно широк, как по технологичности, стоимости, исполнению, так и по возможным комбинациям перечисленных свойств.

Сессия работы пользователя может также контролироваться на предмет соответствия, как IP-адреса последней успешно завершенной сессии, так и MAC-адреса соответствующего сетевого оборудования. Далее могут идти действия подтверждения или отказа в доступе к информационным ресурсам, но доверия к этим двум параметрам контроля быть не может в силу их технологической слабости: IP-адрес можно подменить, а MAC-адрес просто переписать в ходе работы системы, и даже без перезагрузки. Тем не менее, в качестве неких контрольных значений эти сведения могут быть использованы.


Несколько примеров двухфакторной и многофакторной аутентификации

Методика аутентификации при помощи SMS основана на использовании одноразового пароля: преимущество такого подхода, по сравнению с постоянным паролем в том, что этот пароль нельзя использовать повторно. Даже если предположить, что злоумышленнику удалось перехватить данные в процессе информационного обмена, он не сможет результативно использовать украденный пароль для получения доступа к системе.

А вот пример, реализуемый с применением биометрических устройств и методов аутентификации: использование сканера отпечатка пальца, который имеется в ряде моделей ноутбуков. При входе в систему пользователь должен пройти процедуру сканирования пальца, а затем подтвердить свои полномочия паролем. Успешно завершенная аутентификация даст ему право на использование локальных данных конкретного ПК. Тем не менее, регламентом работы в ИС может быть предусмотрена отдельная процедура аутентификации для доступа к сетевым ресурсам компании, которая помимо ввода другого пароля может включать в себя целый ряд требований к представлению аутентификаторов субъекта. Но даже при такой реализации, защищенность системы, несомненно, усиливается.

Аналогичным образом могут быть использованы и другие биометрические аутентификаторы:

  • отпечатки пальцев;
  • геометрия кисти руки;
  • очертания и размеры лица;
  • характеристики голоса;
  • узор радужной оболочки и сетчатки глаз;
  • рисунок вен пальцев.

При этом конечно применяется соответствующее оборудование и программное обеспечение, а затраты на его приобретение и поддержку могут отличаться в разы.

Но! Стоит понимать - биометрические аутентификаторы не являются абсолютно точными данными. Отпечатки одного пальца могут иметь отличия под воздействием внешней среды, физиологического состояния организма человека и т.п. Для успешного подтверждения этого аутентификатора достаточно не полного соответствия отпечатка эталону. Методы биометрической аутентификации содержат определение степени вероятности соответствия действующего аутентификатора эталону. Что касается биометрической аутентификации и удаленного доступа к ИС, то пока у современных технологий нет возможности передать по незащищенным каналам достоверные данные - отпечаток пальца или результат сканирования сетчатки глаза.

Эти технологии в большей степени годятся для использования в корпоративных сетях.

Наиболее популярной технологией, в этом направлении, в недалеком будущем может стать голосовая аутентификация и признаки тому на лицо. Значительное количество разработок в этой сфере имеется уже сегодня, проекты внедрения подобных механизмов управления/контроля нашли место в ряде крупных банков РФ. В качестве примера практического применения систем голосовой биометрической аутентификации, можно указать аутентификацию по ключевой фразе, применяемую в ряде колл-центров, аудио-пароли для доступа к системам интернет-банкинга и т.п., подтверждение действий персонала при осуществлении важных операций доступа к информации, контроль физического доступа и присутствия в помещении.

Помимо технологий, связанных с использованием биометрических аутентификаторов, имеются также программно-аппаратные решения, такие как автономные ключи для генерации одноразовых паролей, считыватели RFID-меток, криптокалькуляторы, программные и аппаратные жетоны (токены), электронные ключи различных типов - Touch Memory и ключ/смарт-карта, а также биометрические идентификационные карты. Все перечисленные в рамках статьи системы и методы многофакторной аутентификации, а помимо них еще и системы контроля и управления доступом (СКУД) могут интегрироваться, комбинироваться, отрабатывать поочерёдно и в комплексе. Отсюда можно сделать вывод: на рынке России существует достаточное количество предложений для усиления защиты информационных систем, как от внутренних, так и внешних вторжений. У компаний имеется возможность выбора, ограничиваемая лишь размером бюджета.

Методам защиты, основанным на методиках многофакторной аутентификации, сегодня доверяет большое число зарубежных компаний, среди которых организации хай-тека, финансового и страхового секторов рынка, крупные банковские учреждения и предприятия госсектора, независимые экспертные организации, исследовательские фирмы.

При этом, частные компании и организации в мире, в целом, не очень охотно распространяются о внедрении у себя технологических новинок в сфере безопасности и защиты информации, по вполне понятным причинам. Гораздо больше известно о проектах в государственном секторе - с 2006 года публично известны успешно реализованные технологические решения в государственных учреждениях Канады, Саудовской Аравии, Испании, Дании и ряда других стран.

Материал подготовлен компанией "Индид"

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя Al

Проще - это в СПИД-инфо. )))

Аватар пользователя mike

Al, что за глупости? Он дело пишет!

Аватар пользователя mental

Просто "КВ" лезут не в свою песочницу, пытаются копировать действительно серьезные издания типа "Хакера". Лучше бы в этом местечковом хабрахабре писали о Беларуси, а не о высоких материях. А то специалист только посмеется, когда почитает ваши поделки, а неспециалист и читать не станет, ему лучше в контактике посидеть. Но редакции проще публиковать всё скопом. Такая политика уже погубила бумажное издание.

Аватар пользователя Al

mental, похоже, любит кормчневый цвет, ходит в нём, ест его, говорит на нём. ))) Но для дела или показать, как надо писать по его мнению - это никогда, это же надо работать, думать, быть профессионалом. Это не для него. Зато категоричен, как Шариков.

Аватар пользователя mike

...Показать, как надо писать

Или показать, как не надо писать. Что обсуждаемая статья и показывает. "Вода, вода, кругом вода..." ((С)ПесТня). Оставим, Al,  mental'а, парень категоричен, вероятно, молод, но ... прав: наводнение сайта бесполезными псевдосерьёзными статьями, которые шлёпаются за полчаса-час -- ПУТЬ В НИКУДА. Я бы развил свою мысль и далее и даже обосновал бы её, но из предыдущих моих высказываний делаю вывод: редакция не хочет этого понимать. Охохо... Так уж устроен человек -- не замечает того, чего не хочет видеть.


Аватар пользователя VladB

я неоднократно уже писал о многофакторной аутентификации. Могу, если нужно, отослать к своим статьям. Данная статья поднимает большую проблему, НО! Не показывает ее решения. Аутентификация путем SMS, увы, уже доказала свою несостоятельность. Рассказать же нужно было бы о том, какие системы есть, в чем их достоинства, в чем недостатки. Это если бы речь шла о теоретической статье о многофакторной аутентификации. Если же говорить о практической реализации, то здесь статья тоже не дотягивает.

Аватар пользователя VladB

http://www.compress.ru/article.aspx?id=20509&iid=901 Парольная защита: прошлое, настоящее, будущее.

Эта статья написана мной еще в 2008 году. Однако теоретические основы остались прежними

Аватар пользователя Al

"Аутентификация путем SMS, увы, уже доказала свою несостоятельность" - Это чем же? Если телефон у меня, то кто зайдёт на мой сайт, даже зная пароль-имя? Вполне надёжная защита. Особенно если и каждая операция дублируется SMS. Я говорю в данном случае про банковские сайты.

Аватар пользователя VladB

На самом деле не совсем так. Был написан вирус (сейчас уж подробностей не помню, поищите на securitylab.ru), который позволял с вашего смартфона воровать эту SMS. Как-то так

 

Аватар пользователя Al

"вашего смартфона" - Воооот! А у меня телефон, а не смартфон. Да и, подозреваю, вирус был для конкретной оси, и как бы не для конкретной версии.

Страницы