Журнал "Information Security/ Информационная безопасность" #2, 2023

При хищении злоумыш- ленником связки "логин- пароль" пользователь может длительное время не знать о факте пропажи, но при этом мошенник будет совер- шать неправомерные дей- ствия от имени легального пользователя. С точки зрения пользо- вателя, запомнить короткий ПИН-код от токена или смарт-карты намного проще, чем длинный слож- ный пароль. Надежность физического устройства В последнее время в крупных государственных и коммерче- ских организациях все шире становится применение техно- логий многофакторной аутен- тификации и электронной под- писи. Они дополняют привыч- ную парольную аутентифика- цию и обеспечивают доступ в информационные системы с помощью смарт-карт и USB- токенов с ПИН-кодом. Эти устройства выступают в каче- стве дополнительного фактора аутентификации и во многих случаях заменяют ввод логина- пароля на вход с использова- нием электронной подписи. В чем плюс использования дополнительного фактора аутентификации в виде владе- ния физическим устройством? При хищении злоумышлен- ником связки "логин-пароль" пользователь может длитель- ное время не знать о факте пропажи, но при этом мошен- ник будет совершать неправо- мерные действия от имени легального пользователя. Про- пажа физического устройства обнаружится сразу, и восполь- зоваться им злоумышленник, скорее всего, не сможет, ведь для входа в информационную систему нужен второй фактор – знание ПИН-кода. Подбор в этой ситуации невозможен, потому что число попыток ввода ПИН-кода ограничено. С точки зрения пользователя, запомнить короткий ПИН-код от токена или смарт-карты намного проще, чем длинный сложный пароль 1 . Рассмотрим различные сце- нарии использования механиз- ма двухфакторной аутентифи- кации для защиты доступа в корпоративные информацион- ные системы, публичные сер- висы на стационарных и мобильных устройствах. Защита доступа в домен Windows/Linux Данный сценарий – один из самых актуальных в корпора- тивном секторе. Для организации аутентифи- кации потребуется: l домен Active Directory\FreeIPA\ Samba DC\ALD Pro; l инфраструктура открытых ключей (PKI); l индивидуальные устройства, токены или смарт-карты Руто- кен для каждого сотрудника. Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметрич- ной криптографии, то есть реа- лизуется строгая криптографи- ческая аутентификация по схеме "запрос-ответ". Администратор безопасности на внутреннем или внешнем удостоверяющем центре гене- рирует ключевую пару на устройстве Рутокен для каждого сотрудника и записывает сер- тификат ключа проверки элек- тронной подписи формата X509. На сервер помещается откры- тый ключ пользователя. Его значение есть в сертификате ключа проверки электронной подписи (он же – "сертификат"). Сервер генерирует случайную числовую последовательность, которую клиент подписывает с помощью закрытого ключа на токене или смарт-карте. После этого электронная подпись отправляется на сервер, где проверяется при помощи откры- того ключа клиента. Аутенти- фикация считается успешной, если подпись верна. Для аутентификации пользо- вателю необходимо подключить устройство Рутокен к компью- теру и ввести ПИН-код. О паро- лях можно забыть, вместо них будет использоваться асиммет- ричная криптография, а поль- зователю достаточно помнить простой ПИН-код. Использова- ние PKI для процесса аутенти- фикации входит в число лучших практик. Аутентификация в корпоративных приложениях и системах единого входа (SSO) Для организации аутентифи- кации потребуется: 24 • СПЕЦПРОЕКТ Журавль в небе, а токен – в руках арольная аутентификация используется для защиты доступа к корпоративным информационным системам уже довольно давно, и нет сомнений, что этот подход просуществует еще много лет: его плюсами являются простота и доступность, а при условии соблюдения правил создания сложных паролей этому методу вполне можно доверять. Но если мы говорим о защите конфиденциальной информации в госсекторе или на объектах критической информационной инфраструктуры, то здесь актуальны другие технологии, сертифицированные программные и аппаратные средства. Поговорим о них далее. П Павел Анфимов, руководитель отдела продуктов и интеграций компании "Актив" 1 https://www.rutoken.ru/technologies/core/#pin