+ 7 (495) 640-22-48
+ 7 (495) 721-17-21 доб. 757

Карта, отпечаток пальца или OTP? Как избежать необоснованных затрат на внедрение системы логического доступа

19.04.2016

В первой части статьи «Как выбрать систему логического доступа. Удобство или безопасность?» («Технологии Защиты», #6, 2015) мы затронули проблематику выбора заказчиком между удобством эксплуатации системы и уровнем ее безопасности.

Во второй «Как выбрать систему логического доступа. Часть 2. Сценарии усиления защиты доступа к информационным ресурсам и активам компании» («Технологии Защиты», #1, 2016) подробно рассмотрели сценарии усиления защиты логического доступа с помощью бесконтактных и контактных карт доступа. В третьей части рассмотрим сценарии использования других аутентификаторов и обобщим результаты.

Многофакторная аутентификация
Когда третий не лишний

Способы усиления логического доступа, перечисленные в первых двух частях статьи, подходят для офисных сотрудников компании, которые централизовано подключаются к рабочим станциям через доменные политики, находясь внутри периметра офиса. Рассмотрим еще один сценарий, который будет полезен заказчикам, у которых не организован контроль физического доступа в помещения и которые уже осознали необходимость защиты доступа к корпоративной информации через личные мобильные устройства сотрудников.

Метод Ping Me или как проверить присутствие сотрудника в офисе?

Современные программные продукты поддерживают метод Ping Me, который позволяет прозрачно проверить присутствие сотрудников на территории компании.

Алгоритм:

  1. В момент пересечения периметра офиса, смартфон или планшет сотрудника автоматически подключается к корпоративной беспроводной сети, из которой открыт доступ к серверу аутентификации и в Интернет.
  2. Для входа на рабочую станцию сотрудник вводит свой обычный системный пароль. Через установленное на смартфоне мобильное приложение следует пройти аутентификацию с помощью входящего Push-сообщения.

В сценарии:

первый фактор – факт присутствия сотрудника в зоне действия корпоративной беспроводной сети (на территории компании);

второй – ввод стандартного доменного пароля;

третий фактор – это наличие личного или рабочего смартфона/планшета с установленным мобильным приложением, которое инициирует запрос на вход в систему через сервис Push-уведомлений от Google (Android) или Apple (iOS).

Если пользователь со своим смартфоном находится вне периметра офиса и попробует войти в систему дистанционно даже правильно введя свой системный пароль и получив на смартфон запрос на верификацию попытки входа, он не сможет подтвердить его, т. к. сервер аутентификации не доступен за пределами корпоративной сети.

Достоинство описанного решения многофакторной аутентификации: нет необходимости приобретать дополнительное оборудование – предполагается использование личных или рабочих смартфонов/планшетов сотрудников.

Дистанционный доступ
Солдат спит – служба идет

Рассмотрим сценарий усиления удаленного логического доступа к корпоративным ресурсам для дистанционных сотрудников.

Предполагается, что такие пользователи должны проходить безопасную аутентификацию на личных компьютерах находясь дома, с рабочих лэптопов во время командировок, либо пользуясь гостевыми рабочими станциями.

И если для собственных ПК и мобильных устройств можно подключить USB-считыватели для чтения контактных или бесконтактных карт, отпечатков пальцев, инсталлировать клиентское ПО и драйвера, то для гостевого оборудованияэто будет неуместно и невозможно. Практически единственным выходом в приведенной ситуации является использование инфраструктуры одноразовых паролей (One Time Password – OTP) для безопасной двухфакторной аутентификации по ним.

Одноразовые пароли
Эх раз, да еще раз…

Одноразовый пароль валиден только для однократного события ввода в течение ограниченного периода времени (например, одной минуты). Такие пароли могут быть получены на т. н. ОТР-генераторах, которые представляют собой аппаратные или программные токены, цифровые идентификаторы которых (сиды) хранятся на серверах аутентификации и логически привязаны к своим владельцам.

Виды токенов

Аппаратные ОТР-токены представлены на рынке широким спектром разнообразных устройств – от портативных брелоков с одной кнопкой и дисплеем, до настольных моделей с цифровой клавиатурой и поддержкой нескольких сервисов (защита внутренним PIN-кодом, запрос-ответ, ОТР-подпись транзакций и т. д.).

Программные генераторы, т. н. софт-токены, в свою очередь, чаще всего представляют собой клиентские мобильные приложения, установленные на смартфоны или планшеты из магазина приложений и активированные через WEB-сервис сервера аутентификации (через WEB-портал самообслуживания).

Как это работает?

После запуска приложения для получения ОТР и дальнейшего ввода его для доступа к целевому ресурсу может потребоваться сначала правильно ввести PIN-код, заданный владельцем при активации софт-токена и, соответственно, известный только ему.

Весь функционал обслуживания софт-токенов логически разделен на централизованное управление ими со стороны операторов решения (общая конфигурация, политики безопасности, привязка к пользователям, разблокировка, ресинхронизация и т. п.) и сервисы самообслуживания, доступные для конечных пользователей (активация и смена PIN-кода, самостоятельная разблокировка и ресинхронизация).

Высокий уровень защиты от компрометации основан на специальных алгоритмах их генерации, которые практически исключают вычисление или подбор следующего значения ОТР из любого количества предыдущих. Функции вычисления ОТР работают только «в одну сторону», обратных алгоритмов не существует, а данные во внутренней памяти ОТР-генераторов надежно защищены строгой криптографией, а в случае аппаратных токеновдополнительной защитой от механического вскрытия.

OTP для дистанционных и офисных сотрудников

Нет технических ограничений, которые бы ограничивали использование ОТР для повышения защиты логического доступа не только дистанционных, но и офисных сотрудников. А в случае использования мобильных софт-токенов на собственных или рабочих смартфонах – это позволяет значительно снизить издержки.

С точки зрения информационной безопасности рекомендуем обратить внимание на решения, которые не предусматривают уход от системных паролей при входе в систему, а усиливают его через дополнительный ввод одноразового пароля. Такой сценарий позволяет отключить собственный PIN-код для софт-токенов, имея в виду установленную защиту доступа к смартфону у большинства владельцев с помощью своего кода или графического ключа.

Единая карта: три в одном
Карты не обманешь

В двух первых частях статьи мы уже говорили о так называемом конвергированном доступе, когда объединение логического и физического доступа осуществляется через единую комбинированную карту, которая совмещает в себе несколько различных технологий, например, контактный чип смарт-карты, одну или несколько бесконтактных стандартов. Но область применения таких карт может быть расширена также и на инфраструктуру одноразовых паролей для удаленного доступа по ним к корпоративным ресурсам со стороны сотрудников, работающих дистанционно.

Эта концепция в полной мере реализована, например, в картах DisplayCard от HID, в которые могут быть встроены несколько технологий в разных комбинациях. В наиболее полном варианте – это контактный чип смарт-карты; совместимая со СКУД бесконтактная метка; плюс ОТР-генератор с ЖК-дисплеем, обозначенной пьезокнопкой и высококонтрастным ЖК-дисплеем, на который выводится 6-значный одноразовый пароль при нажатии на кнопку.

Унификация доступа в этом сценарии будет выглядеть так: сотрудник использует карту для прохода в офисное помещение. Для входа на рабочую станцию вставляет карту в USB-считыватель на своей рабочей станции и вводит PIN-код для входа на нее. А в случае дистанционной работы, для удаленной аутентификации, например, к корпоративной почте через WEB-клиент, использует одноразовый пароль, сгенерированной на той же карте.

Резюме
Чтобы существенно облегчить выбор методов и устройств аутентификации для усиления логического доступа к корпоративным ресурсам, взвесить все «за» и «против», обеспечить должный уровень безопасности и удобства, а также избежать необоснованных затрат на внедрение, обобщим проведенный анализ с помощью условного дерева критериев с указанием возможных продуктов и дополнительных устройств для их реализации:

Критерий

Метод усиления защиты

Использование аутентификаторов СКУД

Продукты

Удобство на первом месте

Бесконтактные карты вместо пароля

Уже используются бесконтактные карты для СКУД

2FA ONE, USB-считыватели бесконтактных карт HID Omnikey

Удобство и безопасность

Отпечатки пальцев вместо пароля

Уже используются бесконтактные карты для СКУД

2FA ONE, USB-считыватели отпечатков пальцев HID Omnikey

Безопасность важнее

 

Самый надежный метод

Контактные смарт-карты плюс PIN-код

ActivID CMS, ActivClient, USB-считыватели контактных смарт-карт HID Omnikey, смарт-карты HID Crescendo

USB-PKI-токены плюс PIN-код

ActivID CMS, ActivClient, USB-PKI-токены ActivID ActivKey SIM

Бесконтактные карты плюс PIN-код или системный пароль

Уже используются бесконтактные карты для СКУД

2FA ONE, USB-считыватели бесконтактных карт HID Omnikey

Комбинированные смарт-карты (контактный чип + RFID) плюс PIN-код

СКУД не используется, но планируется

ActivID CMS, ActivClient, USB-считыватели контактных смарт-карт HID Omnikey, комбинированные смарт-карты HID Crescendo

Отпечатки пальцев плюс опционально, PIN-код или системный пароль

СКУД не используется, но планируется

2FA ONE, USB-считыватели отпечатков пальцев HID Omnikey

Одноразовые пароли плюс PIN-код или системный пароль

СКУД не используется, но планируется

ActivID 4TRESS AAA плюс, опционально, аппаратные ОТР-токены

Безопасный вход в систему с контролем присутствия в офисе

 

Вход в по системному паролю с подтверждением на смартфоне

СКУД не используется

2FA ONE – метод PingMe, корпоративная беспроводная сеть

Дистанционный доступ

 

Одноразовые пароли плюс PIN-код или системный пароль

Только дистанционные сотрудники

ActivID 4TRESS AAA плюс, опционально, аппаратные ОТР-токены ActivID

Для внутреннего доступа – бесконтактные карты плюс PIN-код, для удаленного – одноразовые пароли плюс PIN-код через мобильные софт-токены на смартфонах или планшетах

Для входа в офис используются бесконтактные карты для СКУД

2FA ONE, USB-считыватели бесконтактных карт HID Omnikey

Комбинированные смарт-карты (PKI + RFID + OTP) плюс PIN-код

СКУД не используется, но планируется

ActivID CMS, ActivClient, ActivID 4TRESS AAA, USB-считыватели контактных смарт-карт HID Omnikey, комбинированные смарт-карты HID Crescendo DisplayCard

Комбинированные USB-токены (PKI + OTP) плюс PIN-код

Для входа в офис СКУД не используется и не планируется

ActivID CMS, ActivClient, ActivID 4TRESS AAA, комбинированный USB-токен ActivID ActivKey Display

Следует учесть, что факторы условны, ситуации у заказчиков различны, а корпоративная среда, как правило, уникальна, поэтому рекомендуем проводить предпроектный анализ. Мы предлагаем рассматривать приведенные критерии как результат общего анализа сегмента логического доступа, как исходные «точки входа» для предварительной ориентации в широком спектре существующих методов, устройств, решений и, главное, аспектов аутентификации в инфраструктуре компании.

Михаил АШАРИН, технический консультант TerraLink

Опубликовано в журнале «Технологии Защиты», #2, 2016

Скачать в формате PDF


Возврат к списку