Контакты
Подписка 2024

Журавль в небе, а токен – в руках

Павел Анфимов, 05/06/23

Парольная аутентификация используется для защиты доступа к корпоративным информационным системам уже довольно давно, и нет сомнений, что этот подход просуществует еще много лет: его плюсами являются простота и доступность, а при условии соблюдения правил создания сложных паролей этому методу вполне можно доверять. Но если мы говорим о защите конфиденциальной информации в госсекторе или на объектах критической информационной инфраструктуры, то здесь актуальны другие технологии, сертифицированные программные и аппаратные средства. Поговорим о них далее.

Автор: Павел Анфимов, руководитель отдела продуктов и интеграций компании "Актив"

Надежность физического устройства

В последнее время в крупных государственных и коммерческих организациях все шире становится применение технологий многофакторной аутентификации и электронной подписи. Они дополняют привычную парольную аутентификацию и обеспечивают доступ в информационные системы с помощью смарт-карт и USB-токенов с ПИН-кодом. Эти устройства выступают в качестве дополнительного фактора аутентификации и во многих случаях заменяют ввод логина-пароля на вход с использованием электронной подписи.

В чем плюс использования дополнительного фактора аутентификации в виде владения физическим устройством?

При хищении злоумышленником связки "логин-пароль" пользователь может длительное время не знать о факте пропажи, но при этом мошенник будет совершать неправомерные действия от имени легального пользователя. Пропажа физического устройства обнаружится сразу, и воспользоваться им злоумышленник, скорее всего, не сможет, ведь для входа в информационную систему нужен второй фактор – знание ПИН-кода. Подбор в этой ситуации невозможен, потому что число попыток ввода ПИН-кода ограничено. С точки зрения пользователя, запомнить короткий ПИН-код от токена или смарт-карты намного проще, чем длинный сложный пароль [1].

Рассмотрим различные сценарии использования механизма двухфакторной аутентификации для защиты доступа в корпоративные информационные системы, публичные сервисы на стационарных и мобильных устройствах.

ris1-2

Защита доступа в домен Windows/Linux

Данный сценарий – один из самых актуальных в корпоративном секторе.

Для организации аутентификации потребуется:

  • домен Active Directory\FreeIPA\ Samba DC \ ALD Pro;
  • инфраструктура открытых ключей (PKI);
  • индивидуальные устройства, токены или смарт-карты Рутокен для каждого сотрудника.

Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, то есть реализуется строгая криптографическая аутентификация по схеме "запрос-ответ".

Администратор безопасности на внутреннем или внешнем удостоверяющем центре генерирует ключевую пару на устройстве Рутокен для каждого сотрудника и записывает сертификат ключа проверки электронной подписи формата X509. На сервер помещается открытый ключ пользователя. Его значение есть в сертификате ключа проверки электронной подписи (он же – "сертификат"). Сервер генерирует случайную числовую последовательность, которую клиент подписывает с помощью закрытого ключа на токене или смарт-карте. После этого электронная подпись отправляется на сервер, где проверяется при помощи открытого ключа клиента. Аутентификация считается успешной, если подпись верна.

Для аутентификации пользователю необходимо подключить устройство Рутокен к компьютеру и ввести ПИН-код. О паролях можно забыть, вместо них будет использоваться асимметричная криптография, а пользователю достаточно помнить простой ПИН-код. Использование PKI для процесса аутентификации входит в число лучших практик.

Аутентификация в корпоративных приложениях и системах единого входа (SSO)

Для организации аутентификации потребуется:

  • устройство Рутокен ОТР (One-Time Password) [2];
  • сервер аутентификации;
  • система единого входа/корпоративное приложение или веб-сервис.

Вариант аутентификации по одноразовому паролю обычно применяется в системах единого входа (Single Sign-On), в "банк-клиент", при управлении сайтами и в других системах.

В таких случаях для усиления процесса аутентификации часто используются одноразовые пароли по технологии OATH-TOTP (технология выработки одноразового пароля "по времени"). Одноразовый пароль выступает как дополняющий связку "логин-пароль" фактор защиты. Для каждого запроса на доступ к информационной системе используется новый пароль, действительный только для одного входа в систему. Одноразовый пароль безопаснее СМСи push-кодов, потому что он независимо вычисляется на сервере и в клиентском устройстве с помощью криптографических преобразований и имеет механизм защиты от подмены.

Аутентификация в корпоративных и публичных сервисах

Для организации аутентификации потребуется:

  • устройство Рутокен ЭЦП 3.0 или Рутокен ЭЦП PKI в удобном форм-факторе:
    – токен с разъемом USB-A или Type-C;
    – контактная смарт-карта;
  • дуальный токен с двумя интерфейсами (NFC и контактным);
    – беспроводной токен Рутокен с Bluetooth;
  • корпоративный или публичный сервис;
  • настольный компьютер или мобильное устройство.

При удаленном доступе к инфраструктуре предприятия Устройство Рутокен защищает и упрощает вход в удаленные рабочие столы (VDI) или частную корпоративную сеть, заменяя однофакторную парольную аутентификацию двухфакторной. Таким образом, секреты хранятся в специализированных защищенных устройствах.

В системах ЭДО

Устройство Рутокен позволяет безопасно работать с электронной подписью, в том числе квалифицированной, и служит средством двухфакторной аутентификации в клиенте ЭДО.

В веб-приложениях

Для взаимодействия из вебприложений с устройствами Рутокен создан бесплатный программный компонент Рутокен Плагин. Взаимодействие происходит через JavaScript API [3]. Для работы подойдет любой компьютер под управлением ОС Windows, macOS или Linux с любым популярным браузером.

На мобильных устройствах

USB-токены и смарт-карты Рутокен ЭЦП 3.0 3100 NFC обеспечивают двухфакторную аутентификацию при входе в ОС "Аврора" [4].

Двухфакторная аутентификация может быть внедрена и для входа в отдельные приложения для мобильных ОС Android/iOS/"Аврора". Для этого может быть использован комплект разработчика (Рутокен SDK) [5].

Решение проблемы незаблокированных рабочих станций

Для организации аутентификации потребуется:

  • компьютер с ОС Windows, Linux или macOS;
  • любое устройство Рутокен.

Автоматическую блокировку рабочего места или соединения обеспечивает от несанкционированного доступа, при определенных параметрах настройки, сам факт извлечения токена или смарт-карты. После блокировки доступ может получить только пользователь, у которого есть устройство с необходимой ключевой информацией.

ris2

Электронный пропуск и средство аутентификации в единой смарт-карте

Для организации аутентификации потребуется:

  • смарт-карта Рутокен с RFID-меткой;
  • система контроля и управления доступом (СКУД).

Оснащение смарт-карты Рутокен RFID-меткой позволяет одновременно использовать ее и в качестве электронного пропуска сотрудника в системе СКУД, и в качестве токена для получения доступа с помощью двухфакторной аутентификации к информационной системе организации. При этом сотрудник, покидая рабочее место и забирая пропуск, будет автоматически блокировать рабочий компьютер.

Сочетание устройств Рутокен и RFID-метки повышает общий уровень информационной безопасности в компании без лишних затрат.

Использование технологий многофакторной аутентификации является одним из ключевых, на сегодняшний день элементов защиты от действий кибермошенников. Они с успехом применяются в системах дистанционного банковского обслуживания, электронном документообороте, комплексных решениях для удаленной работы, а также для защиты конфиденциальных данных в ГИС. Использование в механизме двухфакторной аутентификации физического устройства гарантирует, что, даже зная ПИН-код, злоумышленнику потребуется предъявить токен или смарт-карту, кража которых всегда быстро обнаруживается.


  1. https://www.rutoken.ru/technologies/core/#pin 
  2. https://www.rutoken.ru/products/all/rutoken-otp/ 
  3. https://plugin.api.rutoken.ru/ 
  4. https://www.rutoken.ru/press-center/news/2023-02-07.html 
  5. https://www.rutoken.ru/developers/sdk/ 
Темы:RFIDРутокен"Актив"Журнал "Информационная безопасность" №2, 2023Безопасный удаленный доступ

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать