Существенно повысить безопасность данных позволяет использование многофакторной ответ

Военные заменят пароли многофакторной аутентификацией

4d564c8305197eb0d4e0bb79c3a3b456

Министерство обороны США

David B. Gleason / Flickr

Агентство оборонных информационных систем США приступило к испытаниям технологии, которая позволит избавиться от паролей при защите мобильных устройств, компьютеров и элементов сети. Как пишет Breaking Defense, новую технологию в перспективе планируется использовать для защиты устройств, подключенных к правительственным и военным сетям. По словам директора агентства вице-адмирала Нэнси Нортон, исследования в рамках проекта проводились на протяжении последних 18 лет.

Предполагается, что новая технология позволит существенно повысить безопасность важных и секретных данных. Сегодня для их защиты могут использоваться несколько технологий, включая шифрование с паролем или биометрическими параметрами и цифровые ключи, записанные на специальные флешки. Эти системы защиты могут быть уязвимы. По оценке Агентства оборонных информационных систем США, для аутентификации пользователей, допущенных к секретной информации можно использовать системы искусственного интеллекта и многофакторную аутентификацию.

В рамках проведенных исследований специалисты определили 46 ключевых признаков, по которым можно будет опознавать пользователя. Предполагается, что эти признаки будет практически невозможно подделать. Речь идет не только традиционных биометрических параметрах — отпечатках пальцев, рисунке сетчатки глаза или голосе, но и об особенностях движения пользователя и даже его манере держать устройство. Помимо этих факторов для распознавание будет учитываться и окружение — Wi-Fi-сети, беспроводные мониторы, другие мобильные устройства.

Ранние прототипы системы многофакторной аутентификации, по словам Нортон, уже проходят испытания. Их отработка производится на мобильных устройствах на базе процессоров Qualcom SnapDragon 845 (такие, например, используются в смартфонах Samsung Galaxy 9). После доработки системы аутентификации и ее масштабных испытаний, планируется начать ее широкое применение. Предполагается, что новая система будет встроена в мобильные устройства, ноутбуки, настольные компьютеры и беспроводное сетевое оборудование, используемое в государственных ведомствах и военными. Другие подробности о разработке не раскрываются.

В 2016 году министерство обороны США приступило к реализации плана, в рамках которого военные намерены полностью отказаться от использования идентификационных карточек-пропусков. Систему пропусков по карточкам заменят многофакторной идентификацией, включая биометрию, модель поведения и пароли. Военные рассчитывают получить систему, устойчивую к несанкционированному проникновению и не привязанную к каким-либо дополнительным идентификаторам, которые можно потерять.

Источник

Работа из дома: как улучшить безопасность данных с помощью многофакторной аутентификации

Сегодня всем, кто начал работать из дома удаленно через пандемию COVID-19, стоит позаботиться о дополнительной защите своих учетных записей. Полностью доверять паролю в деле безопасности своих профилей – рискованно. Ни для кого не секрет, что пароль можно легко сломать, украсть, угадать или подобрать нужную комбинацию. В таких случаях поможет многофакторная аутентификация, которая также известная как двухфакторная аутентификация.

В действии эту технологию можно увидеть при входе в свой профиль Интернет-банкинга. После ввода своих данных вы получаете одноразовый код доступа на свой смартфон для проверки личности. Этот дополнительный шаг затрудняет доступ злоумышленников к учетной записи даже в случае наличия у них вашего пароля. А тем, кто работает удаленно и входит в корпоративные системы для совместной работы с коллегами, многофакторная аутентификация позволит усилить безопасность таких соединений.

rabota doma

Существенным преимуществом использования многофакторной аутентификации является гибкость в использовании и возможность подобрать удобный вариант в соответствии с вашими потребностями. Самыми популярными способами являются использование физических токенов, смартфонов или биометрических данных.

Этот способ предполагает наличие чего-то вроде брелока для ключей или USB-ключа, который используется для генерации сложной комбинации, которую невозможно сломать. Сегодня такие токены стоят сравнительно недорого и обладают поддержкой входа в корпоративную сеть, онлайн-офисные программы и множество других облачных приложений. Таким образом при входе вам нужно будет ввести обычный пароль и код, сгенерированный этим небольшим устройством.

Поскольку ваш мобильный телефон почти всегда с Вами, как вариант, можно использовать именно его для многофакторной аутентификации. Например, вы можете загрузить приложение для аутентификации, такое как Authy, Google Authenticator или ESET Secure Authentication. При выборе учтите надежность разработчика и самого приложения, просмотрите отзывы и рейтинг, а только потом загружайте программу на ваш смартфон.

Стоит заметить, что часто некоторые пользователи сами подвергают угрозе свои учетные записи, открывая спам-сообщения. Поэтому позаботьтесь об установке антивирусного решения на ваш смартфон, чтобы минимизировать риски заражения устройства вредоносными программами.

Подделать сканирование отпечатков пальцев или сетчатку очень трудно, потому биометрические данные тоже часто используются в многофакторной аутентификации. На сегодняшний день многие устройства имеют встроенные механизмы считывания биометрической информации, которые могут получить изображение вашего лица со смартфона или сканировать отпечатки пальцев, поэтому реализовать это на устройстве уже не трудно.

Однако некоторых больше беспокоят проблемы, связанных с конфиденциальностью, которые продолжает оставаться открытой темой для обсуждения. Кроме этого, Вы легко можете изменить свой пароль в случае утечки данных у поставщика, тогда как со сканированием лица в таких случаях ситуация значительно сложнее.

rabota doma2

Самое важное выбрать тот вариант многофакторной аутентификации, который лучше соответствует вашим целям и будет для вас удобным в использовании. Поскольку даже самое надежное решение не защитит вас, если вы будете пользоваться им время от времени. Тогда как в случае правильной настройки процесса аутентификации вы будете получать уведомление о входе, если злоумышленники попытаются сломать ваши учетную запись. Это позволит вам предотвратить несанкционированный доступ к данным и их использование в злонамеренных целях.

Источник

Не только смс и токен: многофакторная аутентификация на базе SafeNet Authentication Service

Обычно при фразе “многофакторная аутентификация” люди в первую очередь вспоминают про смс-коды, которые приходят, когда оплачиваешь картой онлайн-покупки. Чуть реже на ум приходит флешка с цифрами, токен.

Сегодня я расскажу про другие способы многофакторной аутентификации и задачи, которые они помогают решить компании. Рассказывать буду на примере решения Gemalto Safenet Authentication Service (SAS), которое существует в формате облачного сервиса и on-premise версии, сертифицированной ФСТЭК.

Все примерно представляют, что такое многофакторная аутентификация: это когда помимо пароля (фактор знания) нужно ввести дополнительный подтверждающий фактор. Их два:

Ниже приведу несколько примеров того, какие задачи можно решить с помощью SafeNet Authentication Service.

Задача: соблюдение стандарта PCI DSS
Многофакторная аутентификация – одно из требований стандарта PCI DSS (п. 8.3.). Более того, стандарт требует, чтобы многофакторная аутентификация была одноэтапной: пароль и второй фактор должны вводиться в одном поле. Если злоумышленник попробует завладеть учеткой и ошибется при вводе, ему будет непонятно, где была допущена ошибка – в пароле или токене.

Решение: одноэтапная многофакторная аутентификация по схеме PIN + OTP
Такая схема аутентификации на базе SafeNet реализована в нашей IaaS-платформе, соответствующей требованиям PCI DSS и 152-ФЗ, – Cloud-152. Ее проходят администраторы платформы Cloud-152 для доступа к management-сегменту. Для авторизации нужно ввести в одном поле PIN и OTP, который приходит push-уведомлением в мобильном приложении Mobile Pass.

image loader
Так выглядит авторизация для администраторов Cloud-152 со стороны DataLine.

*Здесь должен был быть скриншот с SafeNet Mobile Pass, но приложение блокирует скриншоты.

Задача: двухфакторная аутентификация для сотрудников без смартфона и мобильного интернета
Компания собирается внедрять двухфакторную аутентификацию для входа на рабочие станции. У компании распределенная сеть офисов по всей России, у многих сотрудников нестабильный мобильный интернет или вообще нет смартфона. Получается, что Push-уведомления от мобильных приложений в качестве второго фактора не подойдут. СМС и физические токены отпадают из-за дороговизны.

Решение: использование в качестве второго фактора GrIDSure
GrIDSure – это одноразовый пароль (OTP). Он состоит из таблицы с символами и паттерна, который пользователь сам задает при настройке аутентификации. Для авторизации пользователь выбирает символы из таблицы по этому паттерну и вводит в качестве второго фактора.


Таблица с символами, которую пользователь получает при авторизации на рабочие станции.

re3ph vsi1rvr4jkj8qqcgg0src
Дальше пользователь просто следует выбранному паттерну. Например, вот такому.

В качестве символов можно использовать цифры, буквы и спецсимволы. Размер таблицы настраивается: это может быть таблица 5 на 5 или больше.

При каждой попытке аутентификации таблица обновляется, поэтому такой пароль не забрутфорсить.

С Gridsure также не нужно мобильное приложение, и следовательно, смартфон с мобильным интернетом. GrIDSure отображается в том же интерфейсе и устройстве, что и защищаемый сервис.

Задача: защита веб-сервиса от атаки методом перебора
Многофакторную аутентификацию на базе SafeNet можно использовать для защиты веб-сервисов, опубликованных в интернете, например, Outlook Web App (OWA). Safenet поддерживает RADIUS и SAML-протоколы, поэтому легко интегрируется с сервисами Microsoft Outlook, Office 365, Saleforce, Dropbox, Apache и т.д.

Если злоумышленник знает email’ы, то он сможет атаковать такие сервисы с помощью перебора паролей. Целью такой атаки не всегда может быть захват учетки, а ее блокировка. В теории можно заблокировать всей компании почту.

Решение: использование OTP в качестве второго фактора
Тут можно использовать GrIDSure или Mobile Pass в качестве второго фактора.

Задача: автоматизация выдачи и обслуживания токенов
В компании с распределенной сетью отделений на 20 тысяч сотрудников уже используют двухфакторную аутентификацию с GrIDSure в качестве второго фактора.

Проблема в том, что администраторам приходится тратить много времени на обслуживание токенов: выпускать новые, сбрасывать паттерны и т. д.

Решение: использование портала самообслуживания
В SafeNet есть портал самообслуживания, который поможет автоматизировать рутинные операции и снизить нагрузку на администраторов.

На портале самообслуживания пользователь может оставить всю информацию, необходимую для выпуска токена. Администратору остается только подтвердить ее и отправить ссылку на формирование токена. Если пользователь забыл, какую траекторию выбрал для GrIDSure, то опять-таки самостоятельно может сбросить ее здесь и задать новую.

image loader

Задач: Регламентирование доступа к рабочим станциям
В call-центре работают 200 сотрудников посменно. Для экономии ресурсов на двух сотрудников приходится одна рабочая станция. Нужно настроить доступы так, чтобы не было конкурентных сессий.

Решение: внедрение входа по токенам и политики доступа
SafeNet можно установить на каждую рабочую станцию и через него задать политики доступа по времени и IP-адресам. Если смена сотрудника еще не началась, то он не сможет зайти на свою рабочую станцию. Администратор сможет проследить, когда тот или иной сотрудник заходил в систему и с какого IP-адреса в журнале.

image loader

Многофакторная аутентификация становится все актуальнее, так как статический пароль даже с большим количеством символов – уже не сложное препятствие на пути злоумышленника.
Еще одна из тенденций в этом направлении – использование токена для доступа сразу к нескольким системам или приложениям компании (SSO-вход). Такой сценарий также можно реализовать с помощью SafeNet. Если интересно, расскажу про него в отдельном посте.

Источник

Многофакторная аутентификация – лучше меньше, да лучше

Многофакторная аутентификация – лучше меньше, да лучше

Многофакторная аутентификация – лучше меньше, да лучше

autor ib 6 2015 skorodymov

Подсистема аутентификации – это практически всегда компромисс между удобством использования и степенью безопасности. Если бы была возможность, никто не запирал бы в квартиру дверь, чтобы вечером не возиться с ключами и ее отпиранием. Но реальность диктует свои условия, и большинство из нас старается поставить замки посложнее и понадежнее.

Парольная аутентификация

Наиболее распространенным способом аутентификации в автоматизированных системах является парольная. О недостатках парольной аутентификации написано и сказано очень много. Тем не менее простота, универсальность и дешевизна этой технологии приводит к тому, что ее продолжают достаточно широко использовать.

Но настолько ли это дешевое решение для организации, как выглядит на первый взгляд? Давайте посчитаем.

Сколько времени тратят пользователи на регулярные смены паролей в эксплуатируемых в организации системах?

Сколько времени теряют пользователи из-за того, что забывают свои пароли?

Сколько рабочего времени тратится у специалистов технической поддержки и администраторов на обработку таких инцидентов?

Сколько тратится средств и усилий по защите от различных сетевых атак на пароли?

Сколько тратится средств на обучение и повышение осведомленности пользователей по применению паролей?

Если все это грамотно посчитать, система парольной защиты уже не покажется такой уж дешевой. Система аутентификации на базе биометрии или аппаратных идентификаторов потребует значительных затрат при внедрении, но в эксплуатации она обойдeтся дешевле, при том, что позволит существенно повысить общий уровень ИБ в организации.

Внутри банка «Санкт-Петербург» регулярно проводятся внутренние тесты на проникновение. И практика показывает, что системы, имеющие однофакторную парольную аутентификацию, пен-тестерам практически всегда удается взломать, «подобрав» пароль к какой-либо учетной записи.

Но однофакторная аутентификация – это не обязательно парольная. Она может быть биометрической (например, по отпечатку пальца) или построена на базе аппаратных идентификаторов (Touch Memory, USB-токен, смарт-карта и т.д.). Такие системы во многом лишены недостатков парольной аутентификации.

Какую аутентификацию выбрать?

Если следовать теории, при выборе способа аутентификации для конкретной информационной системы необходимо оценить присущие ей угрозы. И, исходя из построенной модели угроз, выбирать способ аутентификации пользователей в системе.

Кто-то скажет, что если в организации в каждой системе будет своя уникальная подсистема аутентификации, то ничего хорошего из этого не получится. Это неудобно ни эксплуатировать, ни обслуживать. И будет абсолютно прав!

Необходимо стремиться к унификации подсистем аутентификации в различных автоматизированных системах. Идеально, когда система аутентификации едина, но в зависимости от критичности системы или выполняемых пользователем в системе действий может добавляться дополнительный фактор(ы) аутентификации.

Формирование модели угроз – достаточно трудоемкий процесс, поэтому на практике информационные системы в организации делят на две группы: на системы, к которым возможен доступ только с устройств в контролируемом периметре организации, и системы, к которым возможен удаленный доступ. Формируются модели угроз для этих двух категорий систем, а затем уже при необходимости проводится уточнение угроз для конкретных систем.

При разделении систем на эти два типа следует помнить, что в случае, когда злоумышленник получает удаленный доступ к компьютеру внутри периметра организации, то дальше он может проводить атаку как внутренний пользователь. Поэтому если у вас в организации открыт свободный доступ в Интернет с компьютеров организации, правильнее рассматривать все информационные системы как системы, к которым возможен удаленный доступ из сети Интернет.

ib 6 2015 52 54 fr 1

В системах, доступ к которым осуществляется с компьютеров организации, находящихся внутри контролируемого периметра, возможно применение однофакторной аутентификации, если она обеспечивает приемлемый уровень безопасности в соответствии с построенной моделью угроз.

Когда речь идет о многофакторной аутентификации, обычно имеют в виду двухфакторную. Рассмотрим наиболее часто используемые варианты двухфакторной аутентификации на примере аутентификации в некоторой системе дистанционного обслуживания клиентов.

Вариант 1
Аутентификация происходит по паролю и криптографическому ключу, размещенному на жестком диске компьютера.

В этом случае злоумышленник, загрузив на компьютер пользователя вредоносное ПО, получает доступ сразу к обоим факторам аутентификации, может их скопировать и, соответственно, выдать себя за легального пользователя.

Вариант 2
Аутентификация происходит по паролю и криптографическому ключу, размещенному на внешнем носителе (обычно это USB-токен или смарт-карта), но в момент аутентификации криптографический ключ загружается в оперативную память компьютера (использование носителя с извлекаемым ключом).

Иногда ошибочно вторым фактором при такой системе аутентификации называют сам носитель криптографического ключа. На самом деле вторым фактором, так же, как и в первом случае, является ключ. И так же, как и в первом случае, он может быть украден злоумышленником: считан из оперативной памяти или с внешнего носителя после перехвата пароля для доступа к внешнему носителю.

Вариант 3
Аутентификация происходит по паролю и криптографическому ключу, размещенному на внешнем носителе, но в момент аутентификации криптографический ключ не загружается в оперативную память компьютера (использование носителя с неизвлекаемым ключом ЭП). В этом случае условно можно считать в качестве фактора «я имею» носитель ключа ЭП. Злоумышленник не может украсть у пользователя ключ ЭП, но, заразив компьютер пользователя вредоносным ПО, может осуществить несанкционированный доступ в защищаемую систему прямо с устройства пользователя. Использование пароля (PIN-кода) для доступа к носителю криптографического ключа не сильно улучшает ситуацию, т.к. он вводится обычно с клавиатуры и может быть перехвачен злоумышленником.

Поэтому многие организации стараются вынести второй фактор с того устройства, с которого осуществляется удаленная сессия с защищаемой системой.

Вариант 4
Аутентификация происходит по паролю и одноразовому коду, приходящему пользователю на сотовый телефон в SMS-сообщении. В данном варианте условно вторым фактором можно считать наличие у пользователя сотового телефона с определенным номером. Почему условно? Потому что реальной аутентификации устройства (сотового телефона) не происходит. Система защиты построена на гипотезе, что SMS с одноразовым паролем достаточно сложно перехватить. Но на данный момент существует целый спектр возможных атак на перехват SMS, от получения дубликата SIM-карты до взлома личного кабинета пользователя у провайдера сотовой связи и перенаправления SMS на нужный номер.

Вариант 5
Аутентификация происходит по паролю и одноразовому коду, который генерируется на мобильном устройстве (планшет или коммуникатор). Аналогично предыдущему варианту условно вторым фактором считается устройство, на котором генерируется одноразовый код. И так же, как в предыдущем варианте, существуют способы обхода данного вида аутентификации. Необходимо учитывать, что в случае работы пользователя с системой дистанционного обслуживания с мобильного устройства оба фактора опять «сходятся» в одном устройстве и при заражении этого устройства вредоносным ПО могут стать доступны злоумышленнику.

Как мы видим, все приведенные варианты аутентификации уязвимы. Приходится либо увеличивать число факторов аутентификации, либо защищать имеющиеся.

В ряде случаев бывает достаточно сложно внедрить во все автоматизированные системы, используемые в организации, единый способ аутентификации. Во многих случаях это потребует доработки систем, что зачастую долго и дорого. В таких случаях возможно использовать компромиссное решение.

Сама по себе парольная аутентификация не так уж плоха, вся проблема в так называемом человеческом факторе. Как говорится, нет человека – нет проблемы. Ряд решений по аутентификации (обычно это системы класса Single Sign-On) позволяют отделить пользователя от пароля, при этом сохранив механизм парольной аутентификации в автоматизированных системах. Основаны они обычно на перехвате окна ввода пароля пользователя. Перехватив окно ввода пароля, такие системы проводят аутентификацию пользователя по заданному алгоритму, например биометрическую, после чего, если аутентификация пользователя прошла успешно, такая система самостоятельно подставляет в окно ввода пароль пользователя.

При выборе факторов аутентификации необходимо обращать внимание на невозможность их передачи другому работнику. В этом отношении достаточно привлекательными выглядят системы биометрической аутентификации. Наш опыт использования аутентификации по отпечатку пальца показал, что применение подобных технологий позволяет практически исключить факты работы под учетной записью другого пользователя. Отказаться от авторства операции при использовании биометрической аутентификации также практически невозможно.

Из других современных способов аутентификации интерес представляют системы с использованием программы генерации одноразовых кодов, установленной на коммуникаторе пользователя. Такой аутентификатор пользователь тоже вряд ли будет передавать другому сотруднику.

Многофакторная аутентификация

При многофакторной аутентификации используются факторы следующих типов: «я знаю», «я имею», «я обладаю» (биометрия).

Давайте подумаем, а может быть двухфакторная аутентификация с двумя однотипными факторами: «я имею» + «я имею» или «я обладаю» + «я обладаю»? Безусловно!

Системы с таким подходом к аутентификации на данный момент не очень распространены. Но на рынке уже встречаются решения, позволяющие аутентифицировать пользователя по двум устройствам, взаимодействующим по Bluetooth, или по голосу и геометрии лица. Применение многофакторных систем аутентификации подобного типа выглядят достаточно перспективно.

Системы биометрической аутентификации постоянно совершенствуются. Понятно, что один биометрический фактор практически всегда можно подделать, но если использовать при аутентификации несколько биометрических факторов, обойти такую систему будет практически невозможно. Представьте, вы прикладываете к планшету ладонь, он считывает и проверяет рисунок вен, геометрию ладони, отпечатки пальцев. При этом с использованием встроенной камеры проводится проверка по геометрии лица.

ib 6 2015 52 54 fr 2

Биометрическая аутентификация привлекательна для пользователя еще и тем, что обычно она достаточно проста в использовании, при этом аутентификаторы нельзя забыть, потерять или поменять, они всегда при тебе.

Как я уже отмечал, система аутентификации должна быть не только стойкой, но и удобной. Вы можете внедрить кучу различных факторов аутентификации, но если это не будет удобно, пользователь не станет пользоваться вашей системой или сделает все, чтобы облегчить себе жизнь, сведя на нет всю вашу навороченную безопасность. Вы никогда не задумывались, почему, несмотря на все предупреждения по безопасности, многие пользователи хранят PIN-коды вместе с пластиковой картой или даже пишут их на самой карте? При том, что речь идет о безопасности их личных сбережений.

«Лучше меньше, да лучше»

Кто застал в институте такой предмет, как «История КПСС», вероятно, знаком со статьей В.И. Ленина «Лучше меньше, да лучше». Этот универсальный принцип применим при решении многих задач, в том числе и при выборе системы аутентификации в эксплуатируемых в вашей организации автоматизированных системах.

Помимо непосредственно факторов аутентификации необходимо уделять внимание безопасности самой технологии. Прежде всего, безопасным способам передачи и хранения аутентификационных данных. Предпочтение следует отдавать системам, где хранящиеся аутентификационные данные не позволяют их использовать для регистрации в системе (хранение некой математической свертки, полученной на базе аутентификационных данных), а перехваченные аутентификационные данные не позволяют произвести повторную регистрацию в системе. Если же это не так, необходимо применение дополнительных средств защиты как от копирования, так и от подмены аутентификационных данных при их хранении и передаче.

Абсолютно надежных систем не бывает. Взлом любой системы – это вопрос времени и потраченных на это средств. Поэтому необходимо использовать специализированные системы для выявления попыток обхода (взлома) системы аутентификации (обычно используются системы класса SIEM). Только не нужно использовать правила типа «три раза неправильно введенный пользователем пароль». Вы получите 99% ложных срабатываний. Практика показывает, что пользователь умудряется 15 раз подряд ввести неправильный четырехзначный числовой PIN-код к USB-токену и заблокировать его. Неправильный ввод пароля 3 раза подряд – это достаточно стандартная ситуация. Стоит разработать правила по выявлению фактов регистрации новых пользователей с административными правами или повышению прав существующей учетной записи до административного уровня, работы автоматизированных средств (скриптов) обхода аутентификации, по контролю изменения настроек параметров аутентификации в системе, по контролю действий администраторов с учетными записями пользователей.

Грамотное использование Siem-системы во многих случаях может компенсировать недостатки, присущие конкретному способу аутентификации.

Источник

Adblock
detector