Что использовать — карту, отпечаток пальца или OTP?

Что же выбрать? Начнем!

Многофакторная аутентификация: когда третий – не лишний

Способы усиления логического доступа, перечисленные в первых двух частях статьи, подходят для офисных сотрудников компании, которые централизованно подключаются к рабочим станциям через доменные политики, находясь внутри периметра офиса. Рассмотрим еще один сценарий, который будет полезен заказчикам, у которых не организован контроль физического доступа в помещения и которые уже осознали необходимость защиты доступа к корпоративной информации через личные мобильные устройства сотрудников.
Метод Ping Me, или Как проверить присутствие сотрудника в офисе? 
Современные программные продукты поддерживают метод Ping Me, который позволяет прозрачно проверить присутствие сотрудников на территории компании.
Алгоритм:
1. В момент пересечения периметра офиса смартфон или планшет сотрудника автоматически подключается к корпоративной беспроводной сети, из которой открыт доступ к серверу аутентификации и в интернет.
2. Для входа на рабочую станцию сотрудник вводит свой обычный системный пароль. Через установленное на смартфоне мобильное приложение следует пройти аутентификацию с помощью входящего Push-сообщения.

В сценарии: 
первый фактор – факт присутствия сотрудника в зоне действия корпоративной беспроводной сети (на территории компании);
второй – ввод стандартного доменного пароля;
третий фактор – это наличие личного или рабочего смартфона/планшета с установленным мобильным приложением, которое инициирует запрос на вход в систему через сервис Push-уведомлений от Google (Android) или Apple (iOS).
Если пользователь со своим смартфоном находится вне периметра офиса и попробует войти в систему дистанционно, даже правильно введя свой системный пароль и получив на смартфон запрос на верификацию попытки входа, он не сможет подтвердить его, так как сервер аутентификации не доступен за пределами корпоративной сети.
Достоинство описанного решения многофакторной аутентификации: нет необходимости приобретать дополнительное оборудование – предполагается использование личных или рабочих смартфонов/планшетов сотрудников.

Дистанционный доступ: солдат спит – служба идет
Рассмотрим сценарий усиления удаленного логического доступа к корпоративным ресурсам для дистанционных сотрудников.
Предполагается, что такие пользователи должны проходить безопасную аутентификацию на личных компьютерах, находясь дома, с рабочих лэптопов во время командировок либо пользуясь гостевыми рабочими станциями.
И если для собственных ПК и мобильных устройств можно подключить USB-считыватели для чтения контактных или бесконтактных карт, отпечатков пальцев, инсталлировать клиентское ПО и драйвера, то для гостевого оборудования это будет неуместно и невозможно. Практически единственным выходом в приведенной ситуации является использование инфраструктуры одноразовых паролей (One Time Password – OTP) для безопасной двухфакторной аутентификации по ним.

Одноразовые пароли: эх раз, да еще раз…
Одноразовый пароль валиден только для однократного события ввода в течение ограниченного периода времени (например, одной минуты). Такие пароли могут быть получены на так называемых ОТР-генераторах, которые представляют собой аппаратные или программные токены, цифровые идентификаторы которых (сиды) хранятся на серверах аутентификации и логически привязаны к своим владельцам.

Виды токенов
Аппаратные ОТР-токены представлены на рынке широким спектром разнообразных устройств – от портативных брелоков с одной кнопкой и дисплеем до настольных моделей с цифровой клавиатурой и поддержкой нескольких сервисов (защита внутренним PIN-кодом, запрос-ответ, ОТР-подпись транзакций и т. д.).
Программные генераторы, так называемые софт-токены, в свою очередь, чаще всего представляют собой клиентские мобильные приложения, установленные на смартфоны или планшеты из магазина приложений и активированные через web-сервис серверы аутентификации (через web-портал самообслуживания).

Как это работает? 
После запуска приложения для получения ОТР и дальнейшего ввода его для доступа к целевому ресурсу может потребоваться сначала правильно ввести PIN-код, заданный владельцем при активации софт-токена, и, соответственно, известный только ему.
Весь функционал обслуживания софт-токенов логически разделен на централизованное управление ими со стороны операторов решения (общая конфигурация, политика безопасности, привязка к пользователям, разблокировка, ресинхронизация и т. п.) и сервисы самообслуживания, доступные для конечных пользователей (активация и смена PIN-кода, самостоятельная разблокировка и ресинхронизация).
Высокий уровень защиты от компрометации основан на специальных алгоритмах их генерации, которые практически исключают вычисление или подбор следующего значения ОТР из любого количества предыдущих. Функции вычисления ОТР работают только «в одну сторону», обратных алгоритмов не существует, а данные во внутренней памяти ОТР-генераторов надежно защищены строгой криптографией, а в случае аппаратных токенов – дополнительной защитой от механического вскрытия.

OTP для дистанционных и офисных сотрудников
Нет технических ограничений, которые бы ограничивали использование ОТР для повышения защиты логического доступа не только дистанционных, но и офисных сотрудников. А в случае использования мобильных софт-токенов на собственных или рабочих смартфонах это позволяет значительно снизить издержки.
С точки зрения информационной безопасности рекомендуем обратить внимание на решения, которые не предусматривают уход от системных паролей при входе в систему, а усиливают его через дополнительный ввод одноразового пароля. Такой сценарий позволяет отключить собственный PIN-код для софт-токенов, имея в виду установленную защиту доступа к смартфону у большинства владельцев с помощью своего кода или графического ключа.

Единая карта: три в одном
В двух первых частях статьи мы уже говорили о так называемом конвергированном доступе, когда объединение логического и физического доступа осуществляется через единую комбинированную карту, которая совмещает в себе несколько различных технологий, например, контактный чип смарт-карты, один или несколько бесконтактных стандартов. Но область применения таких карт может быть расширена также и на инфраструктуру одноразовых паролей для удаленного доступа по ним к корпоративным ресурсам со стороны сотрудников, работающих дистанционно.
Эта концепция в полной мере реализована, например, в картах DisplayCard от HID, в которые могут быть встроены несколько технологий в разных комбинациях. В наиболее полном варианте это контактный чип смарт-карты; совместимая со СКУД бесконтактная метка плюс ОТР-генератор с ЖК-дисплеем, обозначенной пьезокнопкой и высококонтрастным ЖК-дисплеем, на который выводится 6-значный одноразовый пароль при нажатии на кнопку.
Унификация доступа в этом сценарии будет выглядеть так: сотрудник использует карту для прохода в офисное помещение. Для входа на рабочую станцию вставляет карту в USB-считыватель на своей рабочей станции и вводит PIN-код для входа на нее. А в случае дистанционной работы для удаленной аутентификации, например к корпоративной почте через web-клиент, использует одноразовый пароль, сгенерированный на той же карте.

Резюме:

Чтобы еще сильнее облегчить ваш выбор, вы можете обратиться к нам по указанным телефонам и задать вопросы нашим инженерам, которые с радостью помогут определится вам с выбором.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.

Сделано в OWS

Обратный звонок RedConnect