Журавль в небе, а токен – в руках

Парольная аутентификация используется для защиты доступа к корпоративным информационным системам уже довольно давно, и нет сомнений, что этот подход просуществует еще много лет: его плюсами являются простота и доступность, а при условии соблюдения правил создания сложных паролей этому методу вполне можно доверять. Но если мы говорим о защите конфиденциальной информации в госсекторе или на объектах критической информационной инфраструктуры, то здесь актуальны другие технологии, сертифицированные программные и аппаратные средства. Поговорим о них далее.

Автор: Павел Анфимов, руководитель отдела продуктов и интеграций компании "Актив"

Надежность физического устройства

В последнее время в крупных государственных и коммерческих организациях все шире становится применение технологий многофакторной аутентификации и электронной подписи. Они дополняют привычную парольную аутентификацию и обеспечивают доступ в информационные системы с помощью смарт-карт и USB-токенов с ПИН-кодом. Эти устройства выступают в качестве дополнительного фактора аутентификации и во многих случаях заменяют ввод логина-пароля на вход с использованием электронной подписи.

В чем плюс использования дополнительного фактора аутентификации в виде владения физическим устройством?

При хищении злоумышленником связки "логин-пароль" пользователь может длительное время не знать о факте пропажи, но при этом мошенник будет совершать неправомерные действия от имени легального пользователя. Пропажа физического устройства обнаружится сразу, и воспользоваться им злоумышленник, скорее всего, не сможет, ведь для входа в информационную систему нужен второй фактор – знание ПИН-кода. Подбор в этой ситуации невозможен, потому что число попыток ввода ПИН-кода ограничено. С точки зрения пользователя, запомнить короткий ПИН-код от токена или смарт-карты намного проще, чем длинный сложный пароль [1].

Рассмотрим различные сценарии использования механизма двухфакторной аутентификации для защиты доступа в корпоративные информационные системы, публичные сервисы на стационарных и мобильных устройствах.

Защита доступа в домен Windows/Linux

Данный сценарий – один из самых актуальных в корпоративном секторе.

Для организации аутентификации потребуется:

• домен Active Directory\FreeIPA\ Samba DC \ ALD Pro;
• инфраструктура открытых ключей (PKI);
• индивидуальные устройства, токены или смарт-карты Рутокен для каждого сотрудника.

Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, то есть реализуется строгая криптографическая аутентификация по схеме "запрос-ответ".

Администратор безопасности на внутреннем или внешнем удостоверяющем центре генерирует ключевую пару на устройстве Рутокен для каждого сотрудника и записывает сертификат ключа проверки электронной подписи формата X509. На сервер помещается открытый ключ пользователя. Его значение есть в сертификате ключа проверки электронной подписи (он же – "сертификат"). Сервер генерирует случайную числовую последовательность, которую клиент подписывает с помощью закрытого ключа на токене или смарт-карте. После этого электронная подпись отправляется на сервер, где проверяется при помощи открытого ключа клиента. Аутентификация считается успешной, если подпись верна.

Для аутентификации пользователю необходимо подключить устройство Рутокен к компьютеру и ввести ПИН-код. О паролях можно забыть, вместо них будет использоваться асимметричная криптография, а пользователю достаточно помнить простой ПИН-код. Использование PKI для процесса аутентификации входит в число лучших практик.

Аутентификация в корпоративных приложениях и системах единого входа (SSO)

Для организации аутентификации потребуется:

• устройство Рутокен ОТР (One-Time Password) [2];
• сервер аутентификации;
• система единого входа/корпоративное приложение или веб-сервис.

Вариант аутентификации по одноразовому паролю обычно применяется в системах единого входа (Single Sign-On), в "банк-клиент", при управлении сайтами и в других системах.

В таких случаях для усиления процесса аутентификации часто используются одноразовые пароли по технологии OATH-TOTP (технология выработки одноразового пароля "по времени"). Одноразовый пароль выступает как дополняющий связку "логин-пароль" фактор защиты. Для каждого запроса на доступ к информационной системе используется новый пароль, действительный только для одного входа в систему. Одноразовый пароль безопаснее СМСи push-кодов, потому что он независимо вычисляется на сервере и в клиентском устройстве с помощью криптографических преобразований и имеет механизм защиты от подмены.

Аутентификация в корпоративных и публичных сервисах

Для организации аутентификации потребуется:

• устройство Рутокен ЭЦП 3.0 или Рутокен ЭЦП PKI в удобном форм-факторе:
  – токен с разъемом USB-A или Type-C;
  – контактная смарт-карта;
• дуальный токен с двумя интерфейсами (NFC и контактным);
  – беспроводной токен Рутокен с Bluetooth;
• корпоративный или публичный сервис;
• настольный компьютер или мобильное устройство.

При удаленном доступе к инфраструктуре предприятия Устройство Рутокен защищает и упрощает вход в удаленные рабочие столы (VDI) или частную корпоративную сеть, заменяя однофакторную парольную аутентификацию двухфакторной. Таким образом, секреты хранятся в специализированных защищенных устройствах.

В системах ЭДО

Устройство Рутокен позволяет безопасно работать с электронной подписью, в том числе квалифицированной, и служит средством двухфакторной аутентификации в клиенте ЭДО.

В веб-приложениях

Для взаимодействия из вебприложений с устройствами Рутокен создан бесплатный программный компонент Рутокен Плагин. Взаимодействие происходит через JavaScript API [3]. Для работы подойдет любой компьютер под управлением ОС Windows, macOS или Linux с любым популярным браузером.

На мобильных устройствах

USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC обеспечивают двухфакторную аутентификацию при входе в ОС "Аврора" [4].

Двухфакторная аутентификация может быть внедрена и для входа в отдельные приложения для мобильных ОС Android/iOS/"Аврора". Для этого может быть использован комплект разработчика (Рутокен SDK) [5].

Решение проблемы незаблокированных рабочих станций

Для организации аутентификации потребуется:

• компьютер с ОС Windows, Linux или macOS;
• любое устройство Рутокен.

Автоматическую блокировку рабочего места или соединения обеспечивает от несанкционированного доступа, при определенных параметрах настройки, сам факт извлечения токена или смарт-карты. После блокировки доступ может получить только пользователь, у которого есть устройство с необходимой ключевой информацией.

Электронный пропуск и средство аутентификации в единой смарт-карте

Для организации аутентификации потребуется:

• смарт-карта Рутокен с RFID-меткой;
• система контроля и управления доступом (СКУД).

Оснащение смарт-карты Рутокен RFID-меткой позволяет одновременно использовать ее и в качестве электронного пропуска сотрудника в системе СКУД, и в качестве токена для получения доступа с помощью двухфакторной аутентификации к информационной системе организации. При этом сотрудник, покидая рабочее место и забирая пропуск, будет автоматически блокировать рабочий компьютер.

Сочетание устройств Рутокен и RFID-метки повышает общий уровень информационной безопасности в компании без лишних затрат.

Использование технологий многофакторной аутентификации является одним из ключевых, на сегодняшний день элементов защиты от действий кибермошенников. Они с успехом применяются в системах дистанционного банковского обслуживания, электронном документообороте, комплексных решениях для удаленной работы, а также для защиты конфиденциальных данных в ГИС. Использование в механизме двухфакторной аутентификации физического устройства гарантирует, что, даже зная ПИН-код, злоумышленнику потребуется предъявить токен или смарт-карту, кража которых всегда быстро обнаруживается.

1. https://www.rutoken.ru/technologies/core/#pin 
2. https://www.rutoken.ru/products/all/rutoken-otp/ 
3. https://plugin.api.rutoken.ru/ 
4. https://www.rutoken.ru/press-center/news/2023-02-07.html 
5. https://www.rutoken.ru/developers/sdk/